Ley de Resiliencia Operativa Digital

Cumplimiento de DORA para servicios financieros

El Reglamento de la UE 2022/2554 esta en vigor desde el 17 de enero de 2025, requiriendo que las entidades financieras fortalezcan la resiliencia operativa digital. Le ayudamos a implementar los cinco pilares con procesos claros, evidencia e informes de supervision.

Iniciar evaluacion DORA Reservar consulta de cumplimiento

Que es DORA?

La Ley de Resiliencia Operativa Digital (DORA) es el Reglamento de la UE 2022/2554 que establece requisitos uniformes para la seguridad de los sistemas de redes e informacion que respaldan los procesos comerciales de las entidades financieras que operan en la Union Europea.

Por que es importante ahora: DORA esta en vigor desde el 17 de enero de 2025. Todas las instituciones financieras de la UE deben contar con gestion integral de riesgos TIC, notificacion de incidentes, pruebas de resiliencia y supervision de terceros. El incumplimiento expone a las entidades a sanciones de supervision y riesgo operativo.

En vigor ahora

En vigor desde el 17 de enero de 2025

Obligatorio

Requisito legal para todas las entidades financieras

Complementa la EU AI Act para sistemas de IA e ISO 42001 para gestion de IA.

Quien necesita el cumplimiento de DORA?

Entidades de credito (bancos)

Todos los bancos que operan en la UE, independientemente de su tamano

Entidades de pago

Proveedores de servicios de pago, incluidos PSPs e instituciones de dinero electronico

Empresas de inversion

Empresas de inversion, centros de negociacion y depositarios centrales de valores

Empresas de seguros y reaseguros

Companias de seguros, intermediarios y servicios auxiliares

Proveedores de servicios de criptoactivos

Entidades que prestan servicios de criptoactivos bajo la regulacion MiCA

Proveedores de servicios TIC de terceros

Proveedores TIC criticos que prestan servicios a entidades financieras (designados por las AES)

Como VerifyWise apoya el cumplimiento de DORA

Capacidades integrales que abordan los cinco pilares y los requisitos de supervision

Marco de gestion de riesgos TIC

Establezca marcos integrales de gestion de riesgos TIC con politicas, procedimientos y controles estructurados. La plataforma mantiene documentacion de gobernanza, registros de riesgos y capacidades de monitoreo alineadas con los requisitos del Articulo 6 de DORA.

Aborda: Gestion de riesgos TIC: Marcos, politicas, procedimientos, identificacion de riesgos

Deteccion y notificacion de incidentes

Clasifique incidentes relacionados con TIC, gestione la notificacion de incidentes graves a las autoridades y realice seguimiento de los flujos de trabajo de resolucion. La plataforma automatiza la logica de clasificacion y mantiene la pista de auditoria requerida para la presentacion de informes regulatorios.

Aborda: Notificacion de incidentes: Deteccion, clasificacion, notificacion a autoridades, seguimiento de resolucion

Pruebas de resiliencia operativa digital

Planifique y ejecute programas de pruebas de resiliencia, incluyendo evaluaciones de vulnerabilidad, pruebas de escenarios y pruebas de penetracion basadas en amenazas (TLPT). La plataforma programa pruebas, rastrea hallazgos y gestiona la remediacion.

Aborda: Pruebas de resiliencia: Planificacion de pruebas, coordinacion TLPT, seguimiento de remediacion

Gestion de proveedores de servicios TIC de terceros

Mantenga un registro de proveedores TIC criticos de terceros, realice evaluaciones de debida diligencia y monitoree obligaciones contractuales. La plataforma rastrea el riesgo de concentracion y apoya la documentacion de estrategias de salida.

Aborda: Riesgo de terceros: Registro de proveedores, debida diligencia, gestion de contratos, planificacion de salida

Monitoreo continuo y metricas

Rastree metricas de resiliencia operativa, monitoree el rendimiento de sistemas TIC y genere informes de supervision. La plataforma consolida indicadores de resiliencia para la supervision continua y el analisis de tendencias.

Aborda: Monitoreo: KPIs, paneles de rendimiento, informes de supervision

Acuerdos de intercambio de informacion

Participe en acuerdos de intercambio de informacion sobre amenazas y vulnerabilidades ciberneticas. La plataforma gestiona la participacion en marcos designados y rastrea la inteligencia recibida y compartida.

Aborda: Intercambio de informacion: Inteligencia de amenazas, divulgacion de vulnerabilidades, colaboracion sectorial

Todas las actividades de cumplimiento de DORA tienen marca de tiempo, se asignan a responsables y se rastrean a traves de flujos de trabajo de aprobacion. Esto crea la pista de auditoria que las autoridades de supervision esperan durante las inspecciones e informes.

Cobertura completa de requisitos de DORA

VerifyWise proporciona capacidades dedicadas para todos los requisitos regulatorios en los cinco pilares

Requisitos clave de DORA

Requisitos con herramientas dedicadas

100%

Cobertura en todos los pilares

Gestion de riesgos TIC8/8

Marcos, politicas, procedimientos, monitoreo

Notificacion de incidentes6/6

Deteccion, clasificacion, notificacion, resolucion

Pruebas de resiliencia5/5

Programas de pruebas, pruebas basadas en amenazas, evaluaciones de vulnerabilidad

Riesgo de terceros7/7

Debida diligencia, contratos, monitoreo, estrategias de salida

Construido para el cumplimiento de DORA desde el primer dia

Clasificacion de incidentes

Deteccion automatizada de incidentes graves y flujos de trabajo de notificacion a autoridades

Coordinacion TLPT

Gestion de programas de pruebas de penetracion basadas en amenazas y remediacion

Registro de terceros

Seguimiento de proveedores TIC criticos con analisis de riesgo de concentracion

Informes de supervision

Genere informes para EBA, EIOPA, ESMA y autoridades nacionales

Cinco pilares de DORA

DORA organiza la resiliencia operativa digital en cinco pilares interconectados

Gestion de riesgos TIC

Establecer y mantener marcos integrales de gestion de riesgos TIC alineados con la estrategia empresarial.

Marco de gestion de riesgos TIC

Politica de continuidad del negocio

Capacidades de recuperacion ante desastres

Analisis de impacto en el negocio

Inventario y mapeo de sistemas TIC

Medidas de proteccion y prevencion

Mecanismos de deteccion

Procedimientos de respuesta y recuperacion

Gestion de incidentes relacionados con TIC

Detectar, gestionar, clasificar y notificar incidentes relacionados con TIC para garantizar una resolucion oportuna y el cumplimiento regulatorio.

Deteccion y gestion de incidentes

Clasificacion y categorizacion de incidentes

Notificacion de incidentes graves a las autoridades

Procedimientos de respuesta a incidentes

Analisis de causa raiz

Integracion de lecciones aprendidas

Pruebas de resiliencia operativa digital

Probar sistemas y procesos TIC para identificar vulnerabilidades y garantizar la resiliencia operativa.

Desarrollo de programas de pruebas

Evaluaciones de vulnerabilidad

Pruebas basadas en escenarios

Pruebas de penetracion basadas en amenazas (TLPT)

Determinacion de frecuencia y alcance de pruebas

Seguimiento y validacion de remediacion

Gestion de riesgos TIC de terceros

Gestionar los riesgos derivados de proveedores de servicios TIC de terceros mediante una supervision integral.

Registro de proveedores TIC de terceros

Debida diligencia basada en riesgos

Acuerdos contractuales y SLAs

Evaluacion de riesgo de concentracion

Monitoreo continuo de proveedores

Estrategias de salida y planes de transicion

Clasificacion de proveedores criticos vs importantes

Intercambio de informacion

Intercambiar informacion sobre amenazas y vulnerabilidades ciberneticas dentro de marcos designados.

Participacion en acuerdos de intercambio de informacion

Intercambio de inteligencia sobre amenazas ciberneticas

Procedimientos de divulgacion de vulnerabilidades

Protecciones de confidencialidad

Mecanismos de colaboracion sectorial

Hoja de ruta de cumplimiento de 36 semanas

Un camino practico para lograr y mantener el cumplimiento de DORA con hitos y entregables claros

Fase 1Semanas 1-6

Evaluacion

Analisis de brechas respecto a los requisitos de DORA
Inventario de activos TIC y proveedores de servicios
Evaluacion de madurez actual de gestion de riesgos
Identificar dependencias criticas de TIC de terceros

Fase 2Semanas 7-14

Desarrollo del marco

Desarrollar el marco de gestion de riesgos TIC
Establecer procedimientos de clasificacion de incidentes
Crear la estrategia del programa de pruebas
Disenar procesos de supervision de terceros

Fase 3Semanas 15-28

Implementacion

Desplegar herramientas de monitoreo y deteccion
Implementar flujos de trabajo de notificacion de incidentes
Ejecutar pruebas iniciales de resiliencia
Incorporar proveedores TIC criticos de terceros

Fase 4Semanas 29-36

Validacion

Realizar TLPT para entidades calificadas
Validar capacidades de respuesta a incidentes
Probar continuidad del negocio y recuperacion ante desastres
Preparar procesos de presentacion de informes de supervision

Sanciones y aplicacion

Comprendiendo las consecuencias del incumplimiento de los requisitos de DORA

Sanciones administrativas

Las autoridades competentes pueden imponer multas determinadas por los estados miembros

Ejemplos

• Declaraciones publicas que identifiquen a la persona y la naturaleza de la infraccion
• Orden de cesar la conducta y abstenerse de repetirla
• Retiro o suspension de la autorizacion

Sanciones financieras

Los estados miembros determinan las multas maximas que deben ser efectivas, proporcionadas y disuasorias

Ejemplos

• Sanciones por incumplimiento de requisitos de supervision
• Multas por no informar incidentes graves
• Sanciones por gestion inadecuada de riesgos de terceros

Medidas de supervision

Las AES (EBA, EIOPA, ESMA) pueden ejercer supervision directa sobre proveedores TIC criticos de terceros

Ejemplos

• Inspecciones in situ
• Investigaciones generales
• Solicitudes de informacion
• Recomendaciones de remediacion

Autoridades de aplicacion: Autoridad Bancaria Europea (EBA), Autoridad Europea de Seguros y Pensiones de Jubilacion (EIOPA), Autoridad Europea de Valores y Mercados (ESMA) y autoridades nacionales competentes de cada estado miembro.

Las sanciones deben ser efectivas, proporcionadas y disuasorias. Los montos especificos son determinados por los estados miembros.

Como se compara DORA con otros marcos

Comprendiendo la relacion entre DORA y otros requisitos de cumplimiento

Aspecto	DORA	EU AI Act	ISO 27001
Alcance	Servicios financieros de la UE y proveedores TIC criticos	Sistemas de IA comercializados en la UE	Cualquier organizacion (seguridad de la informacion)
Estatus legal	Regulacion obligatoria de la UE	Regulacion obligatoria de la UE	Estandar de certificacion voluntario
Enfoque	Resiliencia operativa digital para finanzas	Seguridad de sistemas de IA y derechos fundamentales	Gestion de seguridad de la informacion
Fecha de entrada en vigor	En vigor desde el 17 de enero de 2025	Escalonado: agosto 2025-2027	Voluntario (continuo)
Requisitos clave	5 pilares de resiliencia digital	Niveles de riesgo con obligaciones basadas en roles	SGSI con 93 controles
Aplicacion	EBA, EIOPA, ESMA + autoridades nacionales	Autoridades nacionales + Oficina de IA de la UE	Organismos de certificacion de terceros
Sanciones	Efectivas, proporcionadas, disuasorias (definidas por estados miembros)	Hasta 35 M EUR o 7% de ingresos globales	Ninguna (estandar voluntario)
Documentacion	Registros de riesgos TIC, registros de incidentes, informes de pruebas, contratos con terceros	Documentacion tecnica, declaraciones de conformidad, evaluaciones de riesgos	Politicas del SGSI, procedimientos, planes de tratamiento de riesgos
Ideal para	Resiliencia digital de servicios financieros	Cumplimiento de sistemas de IA en la UE	Certificacion general de seguridad de la informacion

Consejo profesional: Las instituciones financieras que utilizan sistemas de IA enfrentan tanto los requisitos de DORA como los de laEU AI Act. DORA aborda la resiliencia operativa de los sistemas TIC mientras que la EU AI Act aborda los riesgos especificos de la IA. Implemente ambos con ISO 42001 para una gobernanza integral.

Discutir cumplimiento multi-marco

Plantillas de politicas

Repositorio de politicas de gobernanza TIC

Acceda a plantillas de politicas de gestion de riesgos TIC listas para usar, alineadas con DORA, EU AI Act e ISO 42001

Gestion de riesgos TIC

• Marco de gestion de riesgos TIC
• Politica de continuidad del negocio
• Procedimientos de recuperacion ante desastres
• Gestion de activos TIC
• Politica de gestion de cambios
• Politica de control de acceso
+ 5 politicas mas

Incidentes y pruebas

• Politica de respuesta a incidentes
• Clasificacion de incidentes graves
• Procedimientos de notificacion a autoridades
• Programa de pruebas de resiliencia
• Marco TLPT
• Gestion de vulnerabilidades
+ 4 politicas mas

Terceros e intercambio

• Politica de riesgo de terceros
• Debida diligencia de proveedores TIC
• Estandares de gestion de contratos
• Marco de estrategia de salida
• Evaluacion de riesgo de concentracion
• Politica de intercambio de informacion
+ 3 politicas mas

Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento e implementacion de DORA

DORA (Ley de Resiliencia Operativa Digital) es el Reglamento de la UE 2022/2554 que entro en vigor el 17 de enero de 2025. Establece requisitos uniformes para la gestion de riesgos TIC, notificacion de incidentes, pruebas de resiliencia, gestion de riesgos de terceros e intercambio de informacion en los servicios financieros de la UE. Consulte el texto completo del reglamento en EUR-Lex.

DORA es aplicada por las Autoridades Europeas de Supervision (AES): la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilacion (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA), en colaboracion con las autoridades nacionales competentes de cada estado miembro.

Los estados miembros determinan las sanciones especificas, pero deben ser efectivas, proporcionadas y disuasorias. Las autoridades pueden imponer multas, retirar autorizaciones, emitir advertencias publicas y exigir el cese de la conducta no conforme. Los proveedores TIC criticos de terceros estan sujetos a supervision directa de las AES con poderes de inspeccion y posibles sanciones.

DORA define los incidentes graves como aquellos con un alto impacto adverso en los sistemas de redes e informacion que respaldan funciones criticas. Las entidades deben notificar a las autoridades competentes sobre incidentes graves y proporcionar informes iniciales, intermedios y finales. La clasificacion depende del impacto en los servicios, clientes, estabilidad financiera y reputacion, con umbrales especificos definidos en estandares tecnicos regulatorios.

TLPT son pruebas avanzadas que simulan ataques del mundo real replicando tacticas, tecnicas y procedimientos de actores de amenazas reales. DORA requiere que ciertas entidades financieras (segun tamano, criticidad y perfil de riesgo) se sometan a TLPT al menos cada tres anos. Las pruebas deben seguir el marco TIBER-EU o marcos nacionales equivalentes.

DORA distingue entre proveedores TIC de terceros 'criticos' e 'importantes' segun la importancia de los servicios para las operaciones comerciales. Las AES designaran a los proveedores 'criticos' que luego estaran sujetos a supervision directa. Las entidades financieras deben mantener un registro de todos los proveedores TIC e implementar una debida diligencia reforzada para las dependencias criticas.

Las entidades financieras deben garantizar que los contratos con proveedores TIC de terceros incluyan: descripciones completas de los servicios, requisitos de nivel de servicio, derechos de acceso y auditoria, periodos de notificacion, derechos de terminacion, estrategias de salida, disposiciones de subcontratacion, terminos de ubicacion y procesamiento de datos, requisitos de continuidad del negocio y acuerdos de responsabilidad. Se estan desarrollando plantillas contractuales estandar.

DORA complementa a NIS2 (Directiva de Seguridad de Redes y Sistemas de Informacion) y al GDPR. Para las entidades financieras, DORA es lex specialis (ley especializada) que tiene prioridad para la resiliencia operativa digital. Las entidades deben seguir cumpliendo con el GDPR para datos personales y pueden tener obligaciones de NIS2 si operan servicios esenciales. Muchos controles se superponen y pueden implementarse conjuntamente.

El Articulo 6 requiere que las entidades financieras tengan un marco integral de gestion de riesgos TIC que cubra capacidades de proteccion, deteccion, contencion, recuperacion y reparacion. Esto incluye identificacion de riesgos, planificacion de continuidad del negocio, politicas de respaldo, recuperacion ante desastres, gestion de crisis y revision anual de la estrategia por parte del organo de direccion.

La mayoria de las instituciones financieras requieren de 6 a 9 meses para una implementacion integral de DORA, dependiendo de la madurez existente. Dado que DORA entro en vigor en enero de 2025, las organizaciones deben priorizar la remediacion de brechas, la mejora del marco y las pruebas de validacion. Las organizaciones que parten de una madurez menor o con ecosistemas complejos de terceros pueden necesitar mas de 12 meses para el cumplimiento total.

DORA se aplica a entidades financieras establecidas en la UE. Las entidades no pertenecientes a la UE con sucursales o filiales en la UE deben garantizar que esas entidades cumplan. Las empresas de terceros paises que prestan servicios en la UE deben monitorear la implementacion nacional, ya que los estados miembros pueden extender ciertos requisitos a proveedores de servicios transfronterizos.

Las entidades financieras que utilizan sistemas de IA enfrentan tanto los requisitos de DORA como los de la EU AI Act. DORA aborda la resiliencia operativa de los sistemas TIC (incluidos los sistemas impulsados por IA), mientras que la EU AI Act aborda los riesgos especificos de la IA y los derechos fundamentales. Muchos controles se complementan entre si, particularmente en torno a la gestion de riesgos, las pruebas y la supervision de terceros.

Si, VerifyWise proporciona capacidades dedicadas de cumplimiento de DORA, incluyendo registros de riesgos TIC, flujos de trabajo de gestion de incidentes, seguimiento de proveedores terceros, gestion de programas de pruebas e informes de supervision. Nuestra plataforma tambien soporta ISO 42001 y EU AI Act para organizaciones que implementan multiples marcos.

Listo para lograr el cumplimiento de DORA?

Comience su camino hacia la resiliencia operativa digital con nuestra evaluacion guiada y herramientas de implementacion.

Iniciar evaluacion DORA Programar consulta