Digital Operational Resilience Act (DORA)
El Digital Operational Resilience Act es un reglamento europeo que impone requisitos estrictos de resiliencia operativa digital a las entidades financieras. Aplicable desde el 17 de enero de 2025, cubre la gestión de riesgos TIC, la notificación de incidentes, las pruebas de resiliencia y la supervisión de proveedores terceros críticos.
DORA responde a la creciente dependencia del sector financiero de las tecnologías digitales estableciendo un marco armonizado de resiliencia operativa a escala de la Unión Europea. El reglamento se aplica a más de 20 categorías de entidades financieras: bancos, aseguradoras, gestoras de activos, plataformas de negociación, proveedores de servicios de pago y también proveedores TIC terceros considerados críticos.
El texto se basa en cinco pilares: gestión de riesgos TIC (gobernanza, marco de gestión, políticas de seguridad); notificación de incidentes TIC graves a las autoridades competentes; pruebas de resiliencia operativa digital, incluyendo pruebas de penetración avanzadas para entidades significativas; gestión de riesgos de terceros TIC; e intercambio de información sobre ciberamenazas entre entidades financieras.
Para los proveedores de servicios KYC y verificación documental, DORA tiene implicaciones directas: como proveedores TIC del sector financiero, pueden ser clasificados como proveedores críticos y quedar sujetos a la supervisión directa de las autoridades europeas de supervisión. Deben garantizar la continuidad del servicio, la seguridad de los datos tratados y la capacidad de resistir ciberataques.
Regulaciones
Ejemplos concretos
- 1.Un banco europeo debe mapear todos sus proveedores TIC, incluido su proveedor de verificación de identidad remota, y evaluar el riesgo de concentración si ese proveedor da soporte a múltiples funciones críticas.
- 2.Una aseguradora realiza pruebas de penetración avanzadas en su sistema de suscripción online, incluido el módulo KYC, para validar su capacidad de resistir un escenario de ciberataque dirigido.
- 3.Un proveedor de servicios de pago notifica un incidente TIC grave a la autoridad supervisora en las 4 horas siguientes a la detección de una interrupción en su servicio de verificación de identidad que afecta la incorporación de nuevos clientes.