Resiliencia Operativa Digital

La resiliencia operativa digital es el concepto central del Reglamento de Resiliencia Operativa Digital (DORA, Reglamento 2022/2554), que es de aplicación desde el 17 de enero de 2025. DORA la define como la capacidad de una entidad financiera de construir, asegurar y revisar su integridad y fiabilidad operativa, garantizando, ya sea directamente o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios TIC, toda la gama de capacidades relacionadas con las TIC necesarias para hacer frente a la seguridad de las redes y los sistemas de información que utiliza la entidad financiera.

DORA establece un marco integral construido sobre cinco pilares: gestión de riesgos TIC (establecimiento de marcos de gobernanza y control), gestión, clasificación y notificación de incidentes relacionados con las TIC (detección y notificación de incidentes graves), pruebas de resiliencia operativa digital (incluyendo pruebas de penetración basadas en amenazas para entidades significativas), gestión del riesgo de terceros TIC (garantizando que los proveedores de servicios cumplan estándares de resiliencia) y acuerdos de intercambio de información (intercambio voluntario de inteligencia sobre amenazas entre entidades financieras).

El reglamento se aplica a un amplio espectro de entidades financieras, incluyendo entidades de crédito, empresas de servicios de inversión, empresas de seguros y reaseguros, entidades de pago, entidades de dinero electrónico, depositarios centrales de valores, entidades de contrapartida central, centros de negociación, registros de operaciones, gestores de fondos de inversión alternativos y UCITS, proveedores de servicios de criptoactivos, y proveedores terceros de servicios TIC designados como críticos por las Autoridades Europeas de Supervisión.

DORA refleja el reconocimiento por parte de la UE de que la creciente dependencia del sector financiero respecto a la tecnología y los proveedores terceros de TIC genera vulnerabilidades sistémicas que requieren una respuesta regulatoria armonizada. Antes de DORA, los requisitos de resiliencia operativa digital estaban fragmentados entre diversas directivas sectoriales y regulaciones nacionales. Mediante la creación de un marco unificado, DORA pretende eliminar las lagunas regulatorias y garantizar que todas las entidades financieras mantengan un nivel coherente de resiliencia operativa digital.