DORA · reglamento UE resiliencia operativa digital sector financiero
Por Ángel Ortega Castro3 min de lectura · 558 palabras
DORA es el Reglamento UE 2022/2554 de Resiliencia Operativa Digital del sector financiero. Aplica desde el 17 de enero de 2025 a bancos, aseguradoras, fintech, plataformas de inversión y sus proveedores TIC críticos.
¿A quién aplica DORA en España?
Tres bloques. Entidades financieras: bancos comerciales y de inversión, sociedades gestoras de fondos, aseguradoras, reaseguradoras, EDE (entidades dinero electrónico), plataformas de financiación participativa, fintech autorizadas. Proveedores TIC críticos: las que el ESA designe como críticos (cloud hyperscalers, plataformas de pago, proveedores SaaS sectoriales). Auditores TIC del sector: con requisitos específicos de competencia.
¿Qué tiene que hacer una entidad para cumplir DORA?
Cinco pilares. (1) Marco de gestión del riesgo TIC documentado, aprobado por el órgano de administración. (2) Sistema de gestión y reporting de incidentes TIC graves al supervisor en 4 horas. (3) Programa de pruebas de resiliencia operativa: pentest, red team al menos cada 3 años. (4) Gestión específica del riesgo de terceros TIC (contratos, due diligence, monitorización continua). (5) Compartición de información de ciberamenazas con las autoridades.
¿Cuál es la diferencia entre DORA y NIS2?
DORA es específico del sector financiero y de sus proveedores TIC. NIS2 es transversal a sectores críticos (energía, agua, sanidad, alimentación, etc.). Una entidad financiera está sometida a DORA (lex specialis) y NO a NIS2 para la misma materia. Una empresa de fabricación, agua o energía está sometida solo a NIS2. Hay zonas de solapamiento controlado entre ambos.
Fuentes oficiales
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.