El Digital Operational Resilience Act (DORA) entró en plena vigencia el 17 de enero de 2025, estableciendo un importante precedente en la seguridad cibernética del sector financiero europeo. Esta nueva normativa de la Unión Europea busca proteger una amplia gama de instituciones financieras, desde grandes bancos hasta aseguradoras y plataformas de inversión, contra ciberataques y graves interrupciones operativas. La normativa impone estándares armonizados que permiten a las empresas mantener la continuidad de sus servicios incluso bajo amenazas cibernéticas masivas, reflejando la creciente necesidad de enfrentar los riesgos digitales de manera integrada y efectiva.
DORA estipula claras obligaciones para garantizar que las entidades financieras sean resilientes frente a interrupciones operativas y ciberataques, adoptando medidas clave como el refuerzo de la ciberseguridad, la notificación oportuna de incidentes a los clientes, la realización de pruebas preventivas periódicas, y la coordinación con las autoridades regulatorias para gestionar incidentes críticos de manera conjunta. A través de estas disposiciones, la normativa refuerza la confianza del público en un sector que históricamente ha sido vulnerable a sofisticadas amenazas digitales.
La aplicación de DORA impacta a más de 20 tipos de entidades, incluyendo bancos comerciales y de inversión, aseguradoras, gestores de fondos, plataformas de negociación financiera y proveedores de servicios de compensación. Ante la creciente sofisticación de los ciberataques dirigidos contra estas instituciones, que han comprometido datos sensibles y causado interrupciones a gran escala, la regulación de la UE busca solventar uno de los desafíos más apremiantes del sector financiero.
Para cumplir con DORA, las organizaciones deben enfocarse en la gestión de riesgos y la resiliencia operativa, lo que implica desarrollar programas que incluyan simulaciones de interrupciones y realizar pruebas críticas anuales por parte de expertos independientes. Además, se requiere la protección continua de los sistemas TIC mediante la actualización de software y la aplicación de parches de seguridad, así como la implementación de políticas de autenticación robustas y gestión de redes basadas en el riesgo.
En cuanto a la gestión de incidentes TIC, las entidades deben contar con indicadores de alerta anticipada para detectar amenazas, con la obligación de notificar a las autoridades pertinentes en un plazo máximo de cuatro horas en caso de incidentes graves. La prioridad de DORA sobre la Directiva NIS 2 en el ámbito financiero es clara, particularmente en aspectos relacionados con la gestión de riesgos y las pruebas de resistencia.
Afrontar el desafío del cumplimiento implica que las empresas realicen un análisis de brechas, capaciten continuamente a sus empleados en ciberseguridad y revisen los contratos con terceros para asegurar que coincidan con las exigencias de DORA. La adopción de estas medidas no solo busca robustecer la defensa contra ataques cibernéticos, sino también consolidar un sistema financiero más seguro y confiable para los clientes de toda Europa.
El DORA representa un paso crucial en el camino hacia la construcción de un futuro más seguro para el sector financiero europeo. Estableciendo un estándar que podría servir de referencia global, la UE reafirma su compromiso con la seguridad cibernética y la estabilidad del sistema bancario, en un esfuerzo concertado para enfrentar las amenazas digitales del mundo actual.
