Se ha cumplido un año desde que entrara en aplicación el Reglamento de Resiliencia Operativa Digital (DORA), una norma pionera que ha marcado un antes y un después en la forma en que las entidades financieras abordan la gestión del riesgo tecnológico. Bancos, aseguradoras, reaseguradoras, entidades de pago y crédito, así como los proveedores terceros de servicios TIC críticos, se enfrentan ahora a un marco regulatorio que trasciende lo puramente técnico y sitúa la resiliencia digital en el centro de la estrategia corporativa.
Una vez superado el “hito” inicial de su entrada en aplicación, el foco se ha desplazado hacia otro plano: cómo sostener el cumplimiento en el tiempo, preparar a las organizaciones para procesos de auditoría cada vez más detallados y demostrar con evidencias sólidas que la gestión del riesgo y de ciberseguridad está plenamente integrada en la gobernanza y en la toma de decisiones del máximo órgano de gobierno.
DORA nace en un contexto de creciente dependencia tecnológica, digitalización acelerada y sofisticación de las amenazas cibernéticas. Los incidentes operativos ya no son eventos aislados, sino riesgos sistémicos con capacidad de afectar a la estabilidad financiera. Ante este escenario, la Unión Europea ha optado por una respuesta regulatoria ambiciosa: unificar criterios, elevar exigencias y, sobre todo, reforzar la rendición de cuentas al más alto nivel de las organizaciones.
Uno de los elementos más disruptivos de DORA es que, por primera vez en ciberseguridad y la resiliencia digital, una normativa introduce un régimen sancionador que alcanza directamente a los miembros de los órganos de dirección. El mensaje es claro: la resiliencia operativa digital no puede delegarse exclusivamente en las áreas técnicas, ni tratarse como un asunto puramente de “IT” o de “seguridad informática”. Corresponde al consejo de administración y a la alta dirección definir, supervisar y garantizar que existen medidas adecuadas para prevenir, responder y recuperarse de incidentes TIC relevantes, así como aportar los medios necesarios para ello.
Este cambio de paradigma obliga a muchas entidades a revisar sus modelos de gobierno, reforzar la implicación del liderazgo y mejorar la trazabilidad de las decisiones relacionadas con el riesgo tecnológico. La resiliencia deja de ser un concepto abstracto para convertirse en una responsabilidad tangible y evaluable.
El reglamento se articula en torno a cuatro pilares fundamentales que estructuran las obligaciones de las entidades:
Aunque todos los pilares han supuesto un esfuerzo significativo de adaptación, la experiencia del primer año apunta a que la gestión de proveedores TIC ha sido el mayor reto operativo.
Y es que la externalización de servicios tecnológicos y la concentración en grandes proveedores han incrementado la complejidad de la cadena de suministro digital. Por ello, DORA exige a las entidades no solo conocer a sus proveedores críticos, sino también documentar, evaluar y reportar de forma estructurada toda la información contractual relevante. En España, este reto se materializa especialmente en la entrega anual de los Registros de Información de Contratos (RoI) a las autoridades competentes: el Banco de España, la Dirección General de Seguros y Fondos de Pensiones y la CNMV. Para muchas organizaciones, recopilar esta información, garantizar su calidad y mantenerla actualizada ha requerido repensar procesos, herramientas y responsabilidades internas.
Un año después de la aplicación, las entidades comienzan a pasar de una fase de “inventario” y puesta al día de contratos a una etapa más exigente, en la que los supervisores esperan ver una gestión dinámica del riesgo de terceros: revisión periódica de la criticidad de los proveedores, integración de estos riesgos en los marcos de ciberseguridad y continuidad de negocio, así como la capacidad de demostrar, ante una auditoría, que se toman decisiones informadas y trazables sobre externalizaciones relevantes.
Con todo ello, DORA ha demostrado que no es solo una obligación regulatoria, sino una palanca para fortalecer la solidez operativa de las entidades financieras. Así, aquellas organizaciones que han abordado el cumplimiento desde una perspectiva estratégica están mejor preparadas para un entorno de riesgo cada vez más volátil.
La experiencia acumulada sugiere que resulta necesario establecer mecanismos sólidos de gobierno del riesgo digital, reforzar la colaboración entre áreas y dotar a la dirección de información clara y accionable. En este sentido, la resiliencia operativa digital deja de ser un ejercicio de cumplimiento para convertirse en un factor clave de confianza, sostenibilidad y competitividad en el largo plazo.
En definitiva, en un contexto en el que las ciberamenazas evolucionan, los proveedores tecnológicos se concentran y los reguladores intensifican sus expectativas de supervisión y auditoría, las entidades que consigan transformar DORA en un catalizador de cambio y no en un mero checklist, podrán convertir la resiliencia digital en una verdadera ventaja competitiva y en un elemento diferencial ante clientes, inversores y supervisores.
Deja un comentario