As\u00ed, el Reglamento DORA no solo enfatiza la prevenci\u00f3n y gesti\u00f3n de riesgos, sino que tambi\u00e9n establece protocolos claros para la notificaci\u00f3n y manejo de incidentes cibern\u00e9ticos. Con ello, se asegura una respuesta coordinada ante amenazas, protegiendo as\u00ed la integridad y la eficiencia del mercado interior, a la vez que facilita su correcto funcionamiento. Desde CE Consulting<\/a> consideramos que este tema es de inter\u00e9s para toda empresa.<\/p>\n\n\n Como objeto principal del Reglamento (UE) 2022\/2554 nos encontramos con el fin de lograr un elevado nivel com\u00fan de resiliencia operativa digital,<\/strong> estableciendo una diversidad de requisitos uniformes relativos a la seguridad de las redes y los sistemas de informaci\u00f3n que sustentan los procesos empresariales de entidades. Requisitos que se expondr\u00e1n de forma amplia en los siguientes ep\u00edgrafes del presente documento, destacando de forma sencilla y preliminar alguno de ellos:<\/p>\n\n\n\n DORA est\u00e1 dirigido principalmente a actores del sector financiero<\/strong>, incluyendo a instituciones de cr\u00e9dito, empresas de inversi\u00f3n o fondos de pensiones de empleo. Tambi\u00e9n registros de titulaciones, sociedades de gesti\u00f3n, proveedores de servicios de suministro de datos. Y administradores de \u00edndices de referencia cruciales, proveedores de servicios de financiaci\u00f3n participativa, proveedores de servicios de criptoactivos, fintechs, instituciones de pago, agencias de calificaci\u00f3n crediticia, proveedores de servicios de crowdfunding, aseguradoras y reaseguradoras. Tambi\u00e9n es aplicable a sus proveedores de servicios TIC<\/strong> (tecnolog\u00edas de la informaci\u00f3n y la comunicaci\u00f3n), siendo de obligado cumplimiento lo regulado en el presente reglamentos. Todo ello, siempre de acuerdo con el principio de proporcionalidad, el cual tiene en cuenta el tama\u00f1o, perfil, la naturaleza, la escala y la complejidad de los servicios, actividades y operaciones desarrollados por las entidades financieras.<\/p>\n\n\n\n El Reglamento DORA responsabiliza a los \u00f3rganos de direcci\u00f3n de la organizaci\u00f3n de la gesti\u00f3n de las TIC.<\/strong> Esto significa que les exige que definan marcos adecuados de gesti\u00f3n de riesgos, colaboren en la ejecuci\u00f3n y supervisi\u00f3n de estas estrategias y se mantengan al corriente de la evoluci\u00f3n del panorama de riesgos.<\/p>\n\n\n\n El Reglamento entr\u00f3 en vigor el 16 de enero de 2023. Y estableci\u00f3 un plazo de dos a\u00f1os para que las entidades del sector financiero cumplan los requisitos establecidos en el Reglamento. Es decir, hasta el 16 de enero de 2025. Por tanto, desde el 17 de enero de 2025 el Reglamento DORA es plenamente aplicable. <\/strong> Y, por ello, las entidades financieras deber\u00e1n cumplir con los requisitos establecidos. Adem\u00e1s, a partir de esta fecha, las autoridades competentes comenzar\u00e1n las actividades de supervisi\u00f3n.<\/p>\n\n\n\n Los requisitos del Reglamento DORA abarcan cinco pilares fundamentales:<\/p>\n\n\n\n Este pilar pretende transformar la gesti\u00f3n de riesgos de las TIC de un proceso reactivo a uno proactivo. Implica el desarrollo y la aplicaci\u00f3n de sistemas de identificaci\u00f3n, evaluaciones peri\u00f3dicas de riesgos, pr\u00e1cticas de evaluaci\u00f3n, estrategias de mitigaci\u00f3n, planes de respuesta a incidentes y procesos de concienciaci\u00f3n sobre los riesgos en toda la organizaci\u00f3n, pol\u00edticas y procedimientos de respaldo y procedimientos y m\u00e9todos de restablecimiento y recuperaci\u00f3n.<\/p>\n\n\n\n Para reforzar la relaci\u00f3n entre las instituciones financieras y sus terceros proveedores cr\u00edticos. Exige que las entidades tengan contratos detallados con sus proveedores de TIC, lleven a cabo una diligencia debida continua y dispongan de un proceso s\u00f3lido para la desvinculaci\u00f3n. Tambi\u00e9n podr\u00e1n ser designados por las autoridades europeas de supervisi\u00f3n como como proveedores esenciales para las entidades financieras. Adem\u00e1s, de la designaci\u00f3n de un supervisor principal fuera de la uni\u00f3n, seg\u00fan los criterios establecido por el reglamento. Este pretende garantizar que las relaciones con terceros no comprometan la resistencia operativa.<\/p>\n\n\n\n Este pilar normaliza y centraliza el proceso de notificaci\u00f3n de incidentes graves en las entidades financieras de toda la UE. Exige que las entidades implanten sistemas que controlen, detecten, describan, notifiquen y analicen los incidentes significativos.<\/p>\n\n\n\n Es imprescindible garantizar que las entidades financieras puedan sobrevivir a las ciberamenazas. Para ello, las organizaciones debe llevar a cabo pruebas peri\u00f3dicas para evaluar sus vulnerabilidades y respuestas cibern\u00e9ticas y, a continuaci\u00f3n, mejorar sus pr\u00e1cticas en funci\u00f3n de los resultados.<\/p>\n\n\n\n Este pilar pretende aumentar la concienciaci\u00f3n sobre la resistencia operativa e incrementar el intercambio de pr\u00e1cticas y lecciones aprendidas en todo el sector. Las organizaciones deben compartir informaci\u00f3n de forma segura para aumentar la colaboraci\u00f3n y la resistencia entre las instituciones financieras.<\/p>\n\n\n\n El proceso de notificaci\u00f3n de incidentes requiere que las empresas establezcan procedimientos claros para la detecci\u00f3n, gesti\u00f3n, clasificaci\u00f3n y notificaci\u00f3n de los mismos.<\/p>\n\n\n\n Detecci\u00f3n<\/strong>. Las entidades deben contar con protocolos internos para la identificaci\u00f3n, seguimiento, registro. Tambi\u00e9n categorizaci\u00f3n y tipificaci\u00f3n de todos los incidentes vinculados a las tecnolog\u00edas de la informaci\u00f3n y comunicaci\u00f3n (TIC).<\/p>\n\n\n\n Evaluaci\u00f3n de la gravedad<\/strong>. La entidad debe estimar la magnitud o relevancia del incidente para decidir si procede su notificaci\u00f3n. Los incidentes calificados como graves deben ser reportados a la alta direcci\u00f3n y al consejo de administraci\u00f3n. Se debe detallar sus consecuencias y las acciones de respuesta emprendidas. As\u00ed como los controles adicionales que se planean implementar a ra\u00edz de estos incidentes graves de TIC.<\/p>\n\n\n\n Notificaci\u00f3n a la Autoridad de Supervisi\u00f3n Competente (ASC)<\/strong>. Es obligatorio reportar el incidente a la autoridad supervisora pertinente dentro del plazo estipulado. La autoridad competente puede diferir seg\u00fan el tipo de entidad financiera y su campo de operaciones.<\/p>\n\n\n\n Notificaci\u00f3n inicial.<\/strong> El contenido de la notificaci\u00f3n debe incluir un aviso inicial. Y un informe intermedio. Esto, si hay cambios significativos en la situaci\u00f3n del incidente. Y un informe final, con las conclusiones del an\u00e1lisis de la causa primaria.<\/p>\n\n\n\n De acuerdo como lo establecido en la normativa, las autoridades competentes dispondr\u00e1n de todas las facultades de supervisi\u00f3n, investigaci\u00f3n y sanci\u00f3n necesarias para el cumplimiento adecuado de esta. Entre ellas destacan las siguientes sanciones administrativas y medidas correctoras:<\/p>\n\n\n\n Todo ello, adem\u00e1s, sin perjuicio de que los estados miembros puedan establecer sanciones penales derivadas de la comisi\u00f3n de infracciones por parte de los sujetos obligados por el reglamento.<\/p>\n\n\n\n Si bien DORA se centra en el sector financiero, los principios en los que se basa son relevantes para todo tipo de empresas. Esto, porque los ciberataques son una amenaza com\u00fan<\/strong> en diversas industrias.<\/p>\n\n\n\n La protecci\u00f3n de datos y sistemas no es solo una cuesti\u00f3n de cumplimiento normativo.<\/strong> Tambi\u00e9n es una ventaja competitiva en un mundo cada vez m\u00e1s interconectado.<\/p>\n\n\n\n Empresas de otros sectores podr\u00edan beneficiarse al adoptar pr\u00e1cticas similares a las de DORA para mejorar su propia seguridad y resiliencia digital. Adem\u00e1s, les ayudar\u00eda a prepararse mejor para los retos actuales y futuros de un entorno digital globalizado.<\/p>\n\n\n\n Por tanto, este Reglamento no solo es un mandato regulatorio. Es m\u00e1s una oportunidad para demostrar diligencia y compromiso con la seguridad y protecci\u00f3n de la informaci\u00f3n cr\u00edtica, tanto de clientes como de la empresa misma. Y posiciona a las organizaciones como l\u00edderes confiables en la era digital.<\/p>\n","protected":false},"excerpt":{"rendered":" por Javier Milara Mu\u00f1oz El Reglamento DORA, o \u201cDigital Operational Resilience Act\u201d es una normativa europea. Busca establecer requerimientos rigurosos para mejorar la seguridad digital y la resiliencia operativa de las entidades financieras y sus proveedores de servicios cr\u00edticos. Este marco normativo est\u00e1 contenido en el Reglamento (UE) 2022\/2554, de 14 de diciembre de 2022. Fue … Seguir leyendo Reglamento DORA y su impacto en las empresas<\/span> ![\"Reglamento](\"https:\/\/ceconsulting.es\/wp-content\/uploads\/2025\/02\/Reglamento-DORA-640x428.jpg\")
<\/figure><\/div>\n\n\n\u00bfCu\u00e1l es el objeto principal del Reglamento DORA?<\/h2>\n\n\n\n
\n
\u00bfA qu\u00e9 empresas afecta DORA?<\/h2>\n\n\n\n
\u00bfCu\u00e1ndo entra en vigor el Reglamento DORA?<\/h2>\n\n\n\n
\u00bfCu\u00e1les son los requisitos y obligaciones del Reglamento DORA?<\/h2>\n\n\n\n
Gesti\u00f3n de riesgos TIC<\/h3>\n\n\n\n
Gesti\u00f3n de riesgos de terceros (proveedores TIC)<\/h3>\n\n\n\n
Notificaci\u00f3n de incidentes<\/h3>\n\n\n\n
Resiliencia operativa digital<\/h3>\n\n\n\n
Intercambio de informaci\u00f3n<\/h3>\n\n\n\n
C\u00f3mo se deben reportar incidentes seg\u00fan el Reglamento DORA<\/h2>\n\n\n\n
\u00bfSe podr\u00e1n imponer sanciones administrativas y medidas correctoras?<\/h2>\n\n\n\n
\n
DORA: un Reglamento de inter\u00e9s para todo el empresariado<\/h2>\n\n\n\n