Si trabajas en una entidad financiera o en una empresa que le presta servicios tecnológicos, DORA ya forma parte de tu día a día. El Reglamento de Resiliencia Operativa Digital es de aplicación directa en toda la Unión Europea desde el 17 de enero de 2025, y no es una recomendación: es de obligado cumplimiento. En este artículo te explico, sin rodeos, qué es, a quién afecta, qué exige y por dónde conviene empezar.

Qué es DORA, en una frase

DORA (por sus siglas en inglés, Digital Operational Resilience Act) es el reglamento europeo que obliga al sector financiero a resistir, responder y recuperarse ante cualquier incidente relacionado con las tecnologías de la información. Dicho de otro modo: ya no basta con tener seguridad informática; hay que demostrar que la organización sigue operando aunque algo falle.

La idea clave: DORA traslada la resiliencia operativa digital del terreno técnico al terreno de la dirección. Deja de ser "un tema de IT" para convertirse en una obligación de gobierno corporativo, con responsabilidad del órgano de administración.

A quién aplica

El ámbito de DORA es amplio. Afecta a prácticamente todo el sector financiero europeo y, de forma indirecta pero muy real, a sus proveedores tecnológicos. Entre las entidades obligadas están:

Si eres un proveedor tecnológico de la banca, conviene que entiendas DORA aunque no seas una entidad financiera: tus clientes te van a exigir cumplirlo por contrato.

Los cinco pilares de DORA

Todo el reglamento se articula en torno a cinco bloques. Entenderlos es entender DORA:

1. Gestión del riesgo TIC

La base de todo. Exige un marco sólido para identificar, proteger, detectar, responder y recuperar. No es opcional ni delegable: la responsabilidad última recae en el órgano de dirección.

2. Gestión, clasificación y notificación de incidentes

Hay que detectar los incidentes relacionados con las TIC, clasificarlos según su gravedad y notificar los más graves a las autoridades en plazos concretos. La improvisación aquí sale cara.

3. Pruebas de resiliencia operativa digital

No vale con decir que estás preparado: hay que demostrarlo con pruebas periódicas. Las entidades más significativas deben realizar pruebas avanzadas basadas en amenazas reales.

4. Gestión del riesgo de terceros

Uno de los puntos más exigentes. Obliga a controlar el riesgo que introducen los proveedores tecnológicos, con cláusulas contractuales específicas y un registro de información actualizado.

5. Intercambio de información

DORA fomenta que las entidades compartan inteligencia sobre amenazas entre ellas, para reforzar la resiliencia del sector en su conjunto.

Por dónde empezar si aún no has avanzado

Si llegas con retraso, no cunda el pánico, pero hay que ponerse. Estos son los primeros pasos que recomiendo en los proyectos en los que trabajo:

  1. Análisis de brecha. Compara lo que ya tienes (probablemente bastante, si cumples ISO 27001) con lo que DORA exige. Identifica los huecos reales.
  2. Inventario de proveedores TIC. Saber de quién dependes es la mitad del pilar de terceros. Sin ese mapa, no puedes gestionarlo.
  3. Marco de gestión de incidentes. Define cómo detectas, clasificas y notificas, con plazos claros.
  4. Implica a la dirección. DORA es responsabilidad del órgano de administración. Si no está informado y comprometido, el proyecto se queda a medias.
Una ventaja poco aprovechada: si tu organización ya tiene un Sistema de Gestión de Seguridad de la Información conforme a ISO 27001, partes con buena parte del camino hecho. DORA y la gestión de riesgos de seguridad se solapan en muchos puntos.

Formarse en DORA: por qué la certificación marca la diferencia

Entender DORA leyendo el reglamento es posible, pero lento y lleno de matices. Una certificación reconocida, como DORA Lead Manager de PECB, te da el marco completo y ordenado, y te acredita ante tu organización y el mercado como la persona capaz de liderar la adecuación. Para los equipos de cumplimiento y riesgo del sector financiero, es de las formaciones con mayor recorrido ahora mismo.