El Reglamento de Resiliencia Operativa Digital (DORA) es de aplicación obligatoria desde el 17 de enero de 2025. Le ayudamos a entender sus obligaciones, preparar el registro de información y notificar incidentes con guías prácticas y herramientas gratuitas.
DORA (Reglamento (UE) 2022/2554) establece un marco único y armonizado de resiliencia operativa digital para todo el sector financiero de la Unión Europea. Su objetivo es garantizar que las entidades puedan resistir, responder y recuperarse de incidentes relacionados con las tecnologías de la información y la comunicación (TIC).
El reglamento es directamente aplicable en todos los Estados miembros, sin necesidad de transposición nacional, y exige un enfoque estructurado de la gestión del riesgo TIC. Para comprender en detalle el alcance y los plazos, consulte nuestra página ¿Qué es DORA?.
DORA se estructura en cinco pilares que cubren todo el ciclo de vida de la resiliencia operativa digital:
Ponemos a su disposición recursos prácticos y gratuitos para avanzar de inmediato:
El ámbito de aplicación de DORA es muy amplio (artículo 2). Quedan sujetas, entre otras, las siguientes entidades financieras:
Se prevé un principio de proporcionalidad, de modo que las exigencias se adaptan al tamaño y al perfil de riesgo de cada entidad.
Si su entidad inicia ahora su proyecto de cumplimiento, le recomendamos esta hoja de ruta:
Empiece por entender qué es DORA →
DORA es de aplicación obligatoria desde el 17 de enero de 2025 en todos los Estados miembros de la Unión Europea, al tratarse de un reglamento directamente aplicable.
Si es una entidad financiera regulada en la UE (banco, aseguradora, empresa de inversión, entidad de pago, proveedor de criptoactivos, etc.) o un proveedor tercero de servicios TIC para el sector, es muy probable que esté sujeta. Consulte el artículo 2 del Reglamento (UE) 2022/2554.
Son la gestión del riesgo TIC, la gestión y notificación de incidentes, las pruebas de resiliencia operativa digital (incluida la TLPT), la gestión del riesgo de terceros proveedores de servicios TIC y el intercambio de información sobre amenazas.
Es el inventario estructurado de todos los acuerdos contractuales con terceros proveedores de servicios TIC, exigido por el artículo 28(3) de DORA y detallado en la ITS 2024/2956, que debe presentarse anualmente a la autoridad competente.
Sí. Disponemos de un generador del registro de información, un generador de informes de incidentes y guías detalladas de las normas técnicas (RTS e ITS), todo ello de acceso gratuito.
Esta página es una ayuda profesional, no asesoramiento jurídico. · Versión en inglés