Cumplimiento DORA

Cumplimiento DORA: qué empresas tecnológicas deben cumplir y cómo hacerlo

Inicio / Cumplimiento DORA: qué empresas tecnológicas deben cumplir y cómo hacerlo

El cumplimiento DORA se ha convertido en una prioridad para aquellas empresas tecnológicas que prestan servicios a entidades financieras dentro de la Unión Europea. Este reglamento, centrado en la resiliencia operativa digital, establece nuevas exigencias en materia de seguridad de la información, alineadas con estándares como ISO 27001, referente para organizaciones que desean garantizar su continuidad operativa y cumplir con las obligaciones regulatorias.

Reciba asesoramiento de un consultor experto de ISOTools sin compromiso

En este contexto, es esencial identificar qué tipo de proveedores TIC están obligados al cumplimiento DORA, cuáles son los requisitos que deben cumplir y cómo pueden abordar este desafío de forma eficiente y sistemática.

¿Qué es el Reglamento DORA y por qué afecta a los proveedores tecnológicos?

El Reglamento sobre Resiliencia Operativa Digital o Regulación DORA busca reforzar la capacidad de las entidades financieras para resistir, responder y recuperarse de incidentes relacionados con las tecnologías de la información y la comunicación (TIC). Aunque su foco principal son las entidades financieras, extiende su alcance a los proveedores terceros de servicios de TIC, reconociendo su papel crítico en la cadena de suministro.

De esta manera, cualquier empresa tecnológica que proporcione servicios digitales, de datos o infraestructura tecnológica a entidades financieras dentro de la UE está obligada al cumplimiento DORA. Lo es de manera especial si sus servicios son considerados críticos o esenciales para la continuidad del negocio financiero.

¿Qué empresas tecnológicas están obligadas al cumplimiento DORA?

Según el artículo 3 de DORA, se consideran proveedores terceros de servicios de TIC a aquellas empresas que ofrecen servicios digitales o de datos a entidades financieras. Esto incluye:

  • Proveedores de servicios en la nube.
  • Empresas de software como servicio.
  • Proveedores de infraestructura como servicio.
  • Empresas de mantenimiento y soporte técnico.
  • Proveedores de hardware con servicios asociados.
  • Proveedores TIC críticos.

Por otra parte, en su artículo 31, la Regulación DORA introduce una categoría específica para los proveedores TIC críticos, cuya designación depende de factores como:

  • El impacto en la prestación de servicios financieros.
  • La importancia de las entidades financieras que dependen del proveedor.
  • El grado de sustituibilidad del proveedor.
  • La dependencia de funciones críticas o importantes.

La designación como proveedor crítico implica obligaciones adicionales y una supervisión directa por parte de las Autoridades Europeas de Supervisión (AES).

¿Qué exige DORA a los proveedores tecnológicos?

El cumplimiento DORA tiene matices diferenciadores según la consideración del proveedor, siendo más exigente en los casos de proveedores críticos.

Requisitos generales para todos los proveedores TIC

Todo proveedor externo que mantenga relaciones contractuales con una entidad financiera debe cumplir requisitos claves:

  • Normas de seguridad de la información (artículo 28): DORA no especifica una norma concreta, pero se espera que los proveedores se alineen con estándares reconocidos como ISO 27001 o el Esquema Europeo de Certificación de la Ciberseguridad.
  • Obligaciones contractuales (artículo 30): los contratos con entidades financieras deben incluir cláusulas sobre disponibilidad, integridad, confidencialidad, recuperación de datos y cooperación en auditorías, entre otras cuestiones.

Requisitos adicionales para proveedores TIC críticos

Los proveedores considerados como críticos deben asumir obligaciones más estrictas para el cumplimiento DORA, entre ellas:

  • Supervisión directa por parte de un supervisor principal designado por las AES. Evalúa de forma permanente su capacidad de gestión del riesgo TIC, de acuerdo a lo que se recoge en el artículo 33 de DORA.
  • Acceso a instalaciones para inspecciones in situ por parte del supervisor principal.
  • Aplicar políticas y controles robustos de continuidad del negocio, ciberseguridad y gobernanza TIC.
  • Realizar auditorías TIC periódicas.
  • Implantar mecanismos de notificación inmediata de incidentes de ciberseguridad y planes de respuesta ante ciberataques.
  • Documentación exhaustiva, incluyendo políticas, auditorías, informes de incidentes y contratos con subcontratistas (artículo 37).
  • Cláusulas contractuales específicas, como objetivos de rendimiento, planes de contingencia y pruebas de penetración (artículo 30).

¿Qué sucede con los proveedores TIC ubicados fuera de la UE?

El Reglamento DORA también impone condiciones específicas para los proveedores situados fuera de la Unión Europea. Si son considerados críticos, deben establecer una filial en la UE para poder prestar servicios a entidades financieras europeas y someterse a la supervisión directa de las autoridades de la UE.

Además, según el artículo 36 del Reglamento, el supervisor principal podrá ejercer sus funciones de inspección en instalaciones situadas en terceros países. El requisito es que estén relacionadas con la prestación de servicios a entidades de la UE.

¿Qué riesgos implica el incumplimiento de DORA?

No respetar el cumplimiento DORA puede acarrear consecuencias importantes para los proveedores tecnológicos:

  • Multas de hasta el 1 % de la facturación anual mundial, que se calculan en función de los días de incumplimiento.
  • Daño reputacional, ya que el supervisor principal puede publicar avisos en boletines oficiales con el nombre del proveedor sancionado.
  • Pérdida de clientes, puesto que las autoridades pueden exigir a las entidades financieras que dejen de utilizar los servicios de proveedores no conformes.

¿Cómo puede una empresa prepararse para el cumplimiento DORA?

La mejor estrategia de preparación pasa por anticiparse. En este sentido, las organizaciones tecnológicas deben dar algunos pasos básicos:

  • Evaluar su grado de exposición al sector financiero y analizar si prestan servicios críticos o importantes.
  • Realizar un análisis de brechas respecto a los requisitos de DORA.
  • Establecer políticas de continuidad del negocio, realizar análisis de impacto, implementar controles técnicos y formar al personal en resiliencia digital.
  • Reforzar los acuerdos contractuales incluyendo las cláusulas requeridas por DORA.
  • Implementar controles técnicos y organizativos alineados con ISO 27001.
  • Preparación para auditorías y supervisión externa y establecer mecanismos de monitorización y respuesta ante incidentes.

¿Cómo puede ayudar ISO 27001 en el cumplimiento DORA?

La norma ISO 27001 proporciona un marco estructurado para gestionar la seguridad de la información, lo que facilita el cumplimiento de DORA. Más allá de una obligación legal, este representa una ventaja competitiva: la mejora en los niveles de ciberseguridad, continuidad operativa y transparencia contractual refuerza la confianza de los clientes financieros y posiciona a los proveedores como aliados estratégicos de alto nivel.

Entre los beneficios concretos del cumplimiento DORA cabe destacar los siguientes:

  • Evaluación y tratamiento de riesgos TIC.
  • Gestión de incidentes de seguridad.
  • Controles sobre proveedores y subcontratistas.
  • Auditorías internas y mejora continua.
  • Documentación formalizada y trazabilidad.

Las organizaciones que ya han implementado ISO 27001 parten con una ventaja significativa, ya que muchos de los controles exigidos por DORA ya están integrados en sus sistemas de gestión, permitiendo reducir riesgos operativos y reputacionales, mejorar la trazabilidad de datos y procesos y estar preparados frente a auditorías e inspecciones regulatorias.

Software ISO 27001

El Software ISO 27001 es una solución tecnológica integral que facilita el cumplimiento de DORA, especialmente para aquellas organizaciones que ya gestionan sistemas normalizados. Su enfoque modular permite adaptar la herramienta a las necesidades específicas de cada empresa, integrando funcionalidades clave como la gestión de riesgos, el control documental y la planificación de auditorías.

Gracias a su arquitectura en la nube, el software permite una gestión centralizada, segura y trazable de todos los procesos relacionados con la resiliencia operativa digital. Además, su interfaz intuitiva y su capacidad de automatización reducen significativamente la carga administrativa, lo que permite a las organizaciones centrarse en la mejora continua y en la toma de decisiones estratégicas basadas en datos. Para más información, contacta con nuestros asesores expertos.

RECIBA ASESORAMIENTO SIN COMPROMISO
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Revista Empresa Excelente ISOTools
Revista Empresa Excelente ISOTools: junio 2025
7 julio, 2025

El segundo semestre de 2025 arranca con un entorno empresarial cada vez más determinado por el cumplimiento normativo…

Ver más
Cumplimiento DORA
Cumplimiento DORA: qué empresas tecnológicas deben cumplir y cómo hacerlo
3 julio, 2025

El cumplimiento DORA se ha convertido en una prioridad para aquellas empresas tecnológicas que prestan servicios a entidades…

Ver más
ISO 14001:2015/DAmd 2
ISO 14001:2015/DAmd 2 cancelada
30 junio, 2025
En un giro inesperado, pero revelador del dinamismo normativo internacional, la enmienda ISO 14001:2015/DAmd 2 ha sido...
Ver más
Leyes De IA
Panorama global de las leyes de IA y cómo cumplir con la norma ISO 42001 puede ayudar
26 junio, 2025

La creciente adopción de sistemas de inteligencia artificial está generando oportunidades sin precedentes. Sin embargo, también plantea riesgos…

Ver más

Volver arriba