Reglamento DORA: qué es y cómo ha sido su implementación en España

por | May 22, 2025 | ciberseguridad, fintech | 0 Comentarios

DORA

En enero de este año 2025 entró en vigor el reglamento DORA, que venía a otorgar al sector bancario y asegurador español de la ciberresiliencia financiera. Estamos ya prácticamente a mitad de este año, por lo que en Finveris hemos querido analizar los cambios más importantes que ha introducido esta nueva normativa europea, cómo la han implementado las fintech y empresas españolas y qué nos espera para los próximos meses.

¿Qué es el reglamento DORA?

Antes que nada, vamos a recordar qué es exactamente el reglamento DORA. Es conocido con este nombre debido a sus siglas en inglés, traduciéndose en Reglamento de Resiliencia Operativa Digital. Se trata de una normativa de la UE que pretendía asegurar que las entidades financieras puedan resistir y recuperarse de disrupciones operativas. Por lo tanto, su objetivo era el de fortalecer la resiliencia operativa digital del sector financiero en el marco europeo.

Antes de este reglamento, la UE no contaba con un enfoque armonizado para abordar la gestión del riesgo operativo relacionado con las TIC, algo cada vez más necesario por el aumento de ciberataques y otras interrupciones.

Dentro de las medidas que impone el reglamento DORA se encuentran las siguientes:

  • Gestión de incidentes relacionados con las TIC: las entidades deben contar con sistemas y políticas robustas de gestión del riesgo tecnológico, incluyendo planes de respuesta ante incidentes y continuidad de negocio.
  • Notificación de incidentes: la regla DORA impone notificar a las autoridades pertinentes de incidentes TIC significativos, en plazos concretos, con la intención de mejorar la respuesta coordinada.
  • Pruebas de resiliencia: las entidades deben realizar test periódicos de resiliencia digital, como pruebas de penetración (red teaming) o simulacros de ciberataques.

¿Dónde aplica la ley DORA?

Así, el reglamento DORA se aplica a diversas entidades del sector financiero. Algunos ejemplos son: 

  • Entidades de crédito
  • Entidades de pago
  • Proveedores de servicios de información sobre cuentas
  • Entidades de dinero electrónico
  • Empresas de servicios de inversión
  • Proveedores de servicios de criptoactivos (afectados también por la llamada Ley MICA)
  • Empresas de seguros y reaseguros
  • Empresas matrices fuera de la UE que contraten servicios de TIC a nivel de grupo

Implantación del reglamento DORA en el sector español

A pesar de que la ley entró en vigor en enero de 2025, lo cierto es que las entidades financieras del país ya estaban concienciadas sobre la importancia de la ciberresiliencia algunos meses antes. De hecho, la Comisión Nacional del Mercado de Valores (CNMV) llevó a cabo, a finales de año, una encuesta de autoevaluación para saber el nivel de conocimiento sobre la resiliencia digital de las entidades españolas. El informe llegó a la conclusión de que, en general, las empresas tenían buenas medidas de gobernanza, de ciberseguridad y de continuidad de negocio. Sin embargo, detectó carencias en la gestión de incidentes, en la gestión de pruebas y en la gestión del riesgo de proveedores de servicios de TIC. Además, las entidades de menor tamaño que no pertenecen a un grupo eran las que estaban peor preparadas.

Finveris y el reglamento DORA

Desde Finveris, y con el objetivo de adecuar los servicios prestados a lo dispuesto en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (DORA), se han incluido una serie de medidas de seguridad de la información tanto técnicas, como organizativas y documentales que se aplicarán con nuestros clientes. Entre otras cosas se incluyen áreas específicas: 

  1. Cumplimiento normativo: garantizando la implantación de una política de gestión de seguridad de la información eficaz y coherente con la legislación aplicable y los más altos estándares internacionales de seguridad, como ISO/IEC 27001.
  2. Control: poniendo la información a disposición de sus auditores internos o externos y de las autoridades supervisoras.
  3. Organización de la seguridad: incluyendo formación del personal y compromiso de confidencialidad.
  4. Gestión de identidades y control de acceso de usuarios.
  5. Establecimiento de una política de contraseñas acorde con los requerimientos, siguiendo los más altos estándares de la industria de seguridad.
  6. Política de bloqueos.
  7. Seguridad en las conexiones entre la entidad y OLSET.
  8. Detección de intrusiones y fuga de datos.
  9. Desarrollo de software conforme a las mejores prácticas de la industria en desarrollo seguro, incorporando la seguridad de la información en todo el ciclo de vida del desarrollo.
  10. Gestión de vulnerabilidades.
  11. Gestión y notificación de incidentes de seguridad a las partes interesadas.
  12. Control de cambios y actualizaciones.
  13. Retención y disposición de datos.
  14. Control de acceso físico y presencial.
  15. Establecimiento de niveles de calidad del servicio (SLA).
  16. Plan de continuidad de negocio y gestión de crisis, incorporando un plan de resiliencia operativa.

    ¿Quieres contar con soluciones protegidas y resilientes?

    Contacta con Finveris

    Agenda una demo gratuita

    Enviar comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.