Inicio  >  Podcast  >  Reglamento DORA

En este podcast contamos con la intervención de Carlos Mario González Arango, técnico de la Unidad de Negocio de Certificaciones TIC, en EQA.

Transcripción

00:19 Bienvenida
00:54 ¿Qué es el Reglamento Dora y cuáles son sus Objetivos principales? ¿Cuál es la importancia de la creación del Reglamento DORA por la Unión Europea?
03:06 ¿Cuál es el ámbito de la aplicación del Reglamento Dora?
04:00 ¿Qué obligaciones y medidas contempla el Reglamento Dora?
08:10 ¿Cuáles son los capítulos del Reglamento Dora que deben ser verificados por una entidad de Certificación?
10:44 Despedida

Buenos días y bienvenidos a un nuevo episodio de “Certifica”, el podcast de EQA. Hoy hablaremos sobre el Reglamento DORA, una normativa de la Unión Europea que busca reforzar la resiliencia operativa y la ciberseguridad en el sector financiero, especialmente frente a riesgos tecnológicos.

Para hablar sobre este tema, nos acompaña Carlos Mario González Arango, técnico de la Unidad de Negocio de Certificaciones TIC en EQA España.

Comencemos entonces. Carlos, ¿qué es el Reglamento DORA y cuáles son sus principales objetivos? ¿Por qué es importante que la Unión Europea haya creado esta regulación?
El Reglamento DORA es un documento cuyo objetivo es garantizar que el sector financiero esté preparado para afrontar fallos tecnológicos y ciberataques. Afecta tanto a las entidades financieras como a los proveedores que les brindan servicios tecnológicos críticos.

Exige que estas entidades cuenten con sistemas robustos, seguros y capaces de recuperarse rápidamente ante incidentes. En esencia, se busca que los incidentes estén bien controlados mediante directrices claras de la Unión Europea. Las entidades deben ser capaces de protegerse, detectar problemas a tiempo, contener daños, recuperarse y reparar cualquier afectación en el menor tiempo posible.

En resumen, el Reglamento DORA tiene como objetivo que el sector financiero gestione de forma integral los riesgos tecnológicos en su operativa diaria, y que todos los países de la UE sigan directrices comunes para evitar desigualdades en el nivel de ciberseguridad.
¿Y cuál es el ámbito de aplicación de este reglamento?
El reglamento aplica a todo el sector financiero. Esto incluye bancos, compañías de seguros, gestores de fondos, sociedades de valores, plataformas de negociación, proveedores de servicios de compensación y liquidación de valores, agencias de calificación crediticia, proveedores de servicios TIC y terceros que les presten servicios tecnológicos críticos.
¿Qué obligaciones y medidas contempla el Reglamento DORA?
Esta es una parte clave. El reglamento exige a las entidades financieras que gestionen adecuadamente los riesgos tecnológicos. Las principales obligaciones incluyen:

1. Notificación de incidentes de ciberseguridad: Las entidades deben reportar los incidentes que sufran.
2. Pruebas de resiliencia operativa: Se debe demostrar que los sistemas resisten fallos mediante pruebas, no basta con documentación. También deben tener planes de continuidad que permitan responder rápidamente ante una pérdida de información.
3. Intercambio de información sobre ciberamenazas: Se espera que las entidades compartan información para mejorar la protección colectiva.
4. Gestión de proveedores tecnológicos: Los proveedores de servicios críticos también deben gestionar sus riesgos y, posiblemente, certificarse en sistemas de gestión, ya que también serán objeto de exigencias normativas.

El reglamento reconoce que los incidentes de ciberseguridad y la falta de resiliencia pueden poner en peligro la estabilidad del sistema financiero y la confidencialidad de los datos de los clientes.
¿Cómo se evalúan estas medidas?
El reglamento establece un proceso claro para evaluar la gestión de incidentes: protección, detección, contención, recuperación y reparación. Además, hay una estructura de notificación dividida en tres niveles: notificación inicial, informe intermedio y notificación final. Todo esto se encuentra detallado en el Reglamento 2025/301.

Respecto a las sanciones, aún no se han fijado medidas concretas. Cada país decidirá qué sanciones y cuantías aplicar según la gravedad del incumplimiento. Aunque faltan detalles, ya se ha iniciado la aplicación del reglamento como norma europea.
Para terminar, ¿qué capítulos del Reglamento DORA deben ser verificados por una entidad de certificación?
Las entidades que evalúan el cumplimiento del Reglamento DORA deben estar acreditadas, como por ENAC. El reglamento abarca nueve capítulos y 64 artículos.

Los principales capítulos a verificar son:

– Capítulo 3 (art. 17 al 23): Gestión, clasificación y notificación de incidentes relacionados con las TIC.
– Capítulo 4 (art. 24 al 27): Pruebas de resiliencia operativa digital.
– Capítulo 5 (art. 28 al 44): Gestión de riesgos derivados de terceros.
– Artículo 45: Acuerdos de intercambio de información.

Mi recomendación es que las entidades realicen un mapeo capítulo por capítulo, generando preguntas de verificación tipo “sí/no” que les permitan identificar brechas antes de acudir a una entidad certificadora.