¿Qué es Dora? Ley de Resiliencia Operativa Digital para los Servicios Financieros

Aprobado: noviembre de 2022
Entrada en vigor: 16 de enero de 2023
Aplicable a partir del: 17 de enero de 2025 (fecha de pleno cumplimiento)

La Ley de Resiliencia Operativa Digital (DORA) es una normativa vinculante de la UE diseñada para reforzar la resiliencia operativa digital del sector financiero. En lugar de sustituir las normativas financieras existentes, la DORA las complementa mediante el establecimiento de un marco unificado para la gestión de los riesgos operativos y de las TIC en todas las entidades financieras y sus proveedores de tecnología críticos.

A partir del 17 de enero de 2025, todas las entidades financieras incluidas en el ámbito de aplicación y los proveedores de servicios TIC externos pertinentes que operen dentro de la UE deberán cumplir los requisitos de la DORA.

El objetivo de DORA es garantizar que las organizaciones puedan prevenir, resistir, responder y recuperarse de las interrupciones relacionadas con las TIC, incluidos los ciberataques, al tiempo que mantienen la continuidad de los servicios financieros críticos.

Ver: Nuevas normas de Deloitte para el cumplimiento de la DORA

¿Qué significa la Ley de Resiliencia Operativa Digital (DORA) para su empresa?

La DORA introduce cambios significativos en la forma en que las instituciones financieras gestionan la resiliencia digital y operativa. En virtud de la normativa, las organizaciones deben implementar un marco integral de gestión de riesgos de las TIC que incluya políticas, procedimientos, controles y mecanismos de gobernanza definidos.

Las entidades financieras deben mantener planes documentados de respuesta ante incidentes y recuperación, en los que se detalle cómo detectarán, responderán y se recuperarán de las interrupciones de las TIC, incluidos los incidentes cibernéticos como los ataques de phishing, el ransomware o las interrupciones del servicio.

Además, los proveedores de servicios de TIC externos que prestan apoyo a las instituciones financieras entran en el ámbito de aplicación de la DORA y están sujetos a obligaciones contractuales, de supervisión y de gestión de riesgos más estrictas.

¡Simplifica Dora con PowerDMARC!

Ámbito de aplicación y aplicabilidad de la DORA

DORA se aplica a:

• Entidades financieras que operan dentro de la UE (incluidos bancos, aseguradoras, empresas de inversión, fintechs y entidades de pago).
• Proveedores externos de servicios TIC que prestan apoyo a estas entidades financieras.

Los proveedores de TIC considerados críticos están sujetos a la supervisión directa de las Autoridades Europeas de Supervisión (AES) para garantizar que su resiliencia y sus controles de riesgo cumplan con las normas DORA.

DORA no ofrece certificación voluntaria a organizaciones que no se encuentren dentro de este ámbito. Las organizaciones no financieras pueden adoptar prácticas recomendadas similares, pero no pueden considerarse «conformes con DORA» en virtud de la normativa.

Requisitos básicos según la DORA

DORA se estructura en torno a cinco pilares obligatorios:

Gestión de riesgos de las TIC
Establecimiento de gobernanza, políticas, controles y procedimientos para gestionar los riesgos de las TIC.

Notificación de incidentes relacionados con las TIC
Clasificación de incidentes graves y notificación obligatoria a los organismos reguladores dentro de los plazos establecidos
(incluida una notificación inicial en cuestión de horas, seguida de actualizaciones y un informe final)

Pruebas de resiliencia operativa digital
Pruebas periódicas de sistemas, procesos y controles para identificar vulnerabilidades.

Gestión de riesgos de terceros en TIC
Gestión de riesgos derivados de los servicios TIC externalizados mediante contratos, supervisión y estrategias de salida.

Intercambio de información
Fomento del intercambio voluntario de información sobre amenazas cibernéticas dentro del sector financiero.

Estas medidas están diseñadas para garantizar que tanto las entidades financieras como sus socios de TIC puedan operar de forma segura incluso durante graves interrupciones digitales.

Cumplimiento normativo según la ley DORA

Para cumplir con los requisitos de la DORA, las organizaciones deben implementar un programa bien definido de riesgos y resiliencia de las TIC, que normalmente incluye:

• Evaluaciones de riesgos y pruebas de vulnerabilidad continuas
• Procedimientos de detección, clasificación y respuesta ante incidentes.
• Planificación de la continuidad del negocio y la recuperación ante desastres
• Programas de sensibilización y formación de los empleados
• Supervisión de proveedores y subcontratistas de TIC

Un marco documentado y aplicado de manera coherente ayuda a las organizaciones a demostrar su cumplimiento y a generar confianza dentro del ecosistema financiero.

La Ley DORA: Principales condiciones y objetivos

El objetivo de DORA es garantizar que el sector financiero de la UE siga siendo seguro, estable y resistente ante las crecientes amenazas digitales. Las principales expectativas normativas incluyen:

• Un plan claramente definido de respuesta y recuperación ante incidentes de TIC.
• Evaluación continua y mitigación de los riesgos relacionados con las TIC.
• Controles de seguridad sólidos en redes, sistemas e infraestructura.
• Notificación oportuna y estructurada de incidentes importantes relacionados con las TIC a los organismos reguladores.
• Medidas para garantizar la continuidad de los servicios esenciales durante las interrupciones.

Un paso más hacia el cumplimiento del DORA con PowerDMARC

A medida que las organizaciones refuerzan su resiliencia digital en respuesta a la DORA, el correo electrónico sigue siendo un vector de ataque crítico que debe protegerse como parte de una estrategia de seguridad de las TIC más amplia.

Aunque la DORA no exige explícitamente protocolos de autenticación del correo electrónico, sí exige a las organizaciones que protejan sus redes, sistemas e infraestructura de comunicaciones. La implementación de controles de seguridad sólidos para el correo electrónico se ajusta a los objetivos generales de la DORA en materia de reducción de riesgos y prevención de incidentes.

PowerDMARC es una plataforma SaaS multitenant que ayuda a las organizaciones a reforzar la seguridad de los canales de correo electrónico mediante un conjunto completo de herramientas de autenticación de correo electrónico. Cumplimos con las normas ISO 27001, SOC 2 Tipo II y el RGPD, y colaboramos con organizaciones financieras para reducir las amenazas relacionadas con el correo electrónico y mejorar la visibilidad de los riesgos de autenticación.

Te ayudamos:

• Protéjase contra la suplantación de identidad y la falsificación de identidad utilizando DMARC.
• Reduzca los riesgos derivados de los ataques de degradación e interceptación con MTA-STS.
• Obtenga visibilidad sobre los resultados de la autenticación de correo electrónico a través de los informes DMARC.
• Evite los fallos en la búsqueda de SPF con el aplanamiento automatizado de SPF.

Póngase en contacto con nosotros hoy mismo para reforzar la seguridad de su correo electrónico como parte de una estrategia de riesgos TIC alineada con la DORA.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Certificado de marca verificada frente a certificado de marca común: elegir el más adecuado - 10 de marzo de 2026
• Nivel de confianza de spam (SCL) -1 Bypass: qué significa y cómo gestionarlo - 4 de marzo de 2026
• «No supera la verificación DMARC y tiene una política DMARC de rechazo»: qué significa y cómo solucionarlo - 26 de febrero de 2026