El Digital Operational Resilience Act (DORA) está en vigor desde el 17 de enero de 2025 para todas las instituciones financieras de la UE, bancos, aseguradoras, gestores de activos, proveedores de servicios de pago y proveedores TIC del sector financiero. DORA es paralelo a la ley neerlandesa de ciberseguridad (Cbw) pero es lex specialis: para las entidades financieras DORA prevalece donde Cbw y DORA se solapan. ¿Qué dice DORA sobre concienciación, cómo se relaciona con la Cbw, y qué debe abordar en la práctica?
¿Qué es DORA y a quién se aplica?
DORA (Reglamento 2022/2554) es un reglamento UE, no una directiva, lo que significa que se aplica directamente en todos los Estados miembros sin transposición nacional. Desde el 17 de enero de 2025 DORA es vinculante para:
- Bancos y entidades de crédito
- Aseguradoras y reaseguradoras
- Gestores de activos y empresas de inversión
- Proveedores de servicios de pago, entidades de dinero electrónico, fintech
- Contrapartes centrales, plataformas de negociación, registros de transacciones
- Proveedores de financiación participativa y proveedores de servicios sobre criptoactivos
- Proveedores TIC críticos al sector financiero (régimen de designación especial)
DORA y la Cbw, ¿cuál se aplica?
En los Países Bajos, el sector financiero está sujeto a una supervisión por capas: la ley de ciberseguridad para la ciberseguridad general, DORA para los riesgos TIC específicos del sector, y los marcos prudenciales existentes (Solvency II, Bbpm) para la estabilidad financiera.
Regla general: DORA prevalece donde DORA y Cbw se solapan. DORA es lex specialis, regulación más específica para el sector financiero. Para los temas solo presentes en la Cbw (y no en DORA), la Cbw sigue siendo aplicable. Para los temas presentes en ambos (por ej. notificación de incidentes), siga DORA.
Implicación práctica: una entidad financiera no necesita implementar ambos marcos en paralelo como pistas separadas. Un programa DORA cubre la mayoría, complementado para temas Cbw que DORA no regula específicamente (por ej. formación del consejo bajo Cbw art. 24, DORA lo menciona menos explícitamente).
DORA artículo 13, concienciación TIC y formación
El artículo 13 de DORA obliga a las entidades financieras a establecer "programas de concienciación TIC y formación en resiliencia operativa digital" como parte obligatoria de la gestión de riesgos TIC. Los requisitos:
- Todo el personal debe recibir formación básica regularmente, no solo el personal TI
- El personal en funciones críticas recibe formación especializada adicional
- Las formaciones deben estar adaptadas al rol y al riesgo, un empleado de tesorería, un agente de servicio al cliente y un compliance officer tienen acentos distintos
- El consejo sigue periódicamente formación sobre riesgos TIC y resiliencia operativa digital
- La eficacia debe medirse y evaluarse, no solo participación, también cambio de comportamiento
Fraude al CEO y BEC, la amenaza n.º 1 en finanzas
Las instituciones financieras se ven desproporcionadamente afectadas por Business Email Compromise (BEC) y fraude al CEO. Según datos del FBI, las finanzas representan anualmente el 15-20 % de todos los incidentes BEC notificados a nivel mundial, mientras que el sector solo supone ~5 % de la economía.
El perfil de riesgo difiere del phishing genérico. Los atacantes apuntan específicamente a funciones de finance y tesorería con escenarios como: una orden urgente del "CFO" fuera de horas de oficina, un correo de proveedor con número de cuenta modificado, una "consulta de cumplimiento" sobre una transacción específica, una solicitud de due diligence M&A.
La concienciación DORA efectiva en finanzas entrena específicamente sobre estos escenarios, con protocolos de verificación (devolver llamada al número conocido, doble firma por encima de un umbral) como reflejo concreto. El contenido genérico de phishing se queda corto aquí.
Notificaciones DORA versus Cbw
El artículo 19 de DORA introduce su propio régimen de notificación de incidentes para instituciones financieras. Los incidentes TIC significativos deben notificarse a la autoridad competente (en NL: DNB) según los plazos DORA. El artículo 25 de la Cbw también establece obligación de notificación (24/72 horas, informe final en un mes) pero para incidentes de ciberseguridad generales.
Para instituciones financieras: ante un incidente TIC significativo que cae tanto bajo DORA como bajo la Cbw, use el proceso de notificación DORA (porque DORA es lex specialis). Para incidentes que solo caen bajo la Cbw (por ej. una brecha de datos que no es operativa TIC), use la vía Cbw.
En la práctica, las grandes instituciones financieras operan un proceso integrado de respuesta a incidentes que satisface ambos marcos, con triaje automático que determina si un incidente afecta a DORA, Cbw o ambos. Esto evita doble notificación o, peor, plazos perdidos.
Supervisión y sanciones
En los Países Bajos DORA es aplicada por De Nederlandsche Bank (DNB) y la Autoriteit Financiële Markten (AFM), según el tipo de institución. Para los bancos de importancia sistémica, además interviene el BCE (vía SSM).
Las sanciones DORA pueden alcanzar el 1 % de la facturación diaria global por día de infracción continuada, algo único en regímenes de cumplimiento. Los reguladores también pueden emitir instrucciones, retirar licencias y eliminar a proveedores TIC de la lista de "proveedores TIC críticos".
En los primeros 12-18 meses tras el 17 de enero de 2025, los reguladores aplican un enfoque gradual: foco en progreso demostrable, no en sanciones máximas. Excepción: notificaciones de incidentes tardías y proveedores TIC críticos que no cumplen sus obligaciones contractuales, aplicación inmediata.
Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.
Ver la página de plataformaArtículos relacionados
- ¿Qué es la ley neerlandesa de ciberseguridad (Cbw)?
- Cbw artículo 24: formación del consejo
- Detectar el fraude del CEO
Fuentes
FAQ
¿Las fintech y el crypto también caen bajo DORA?
Sí. DORA cubre explícitamente PSP, entidades de dinero electrónico, proveedores de financiación participativa y proveedores de servicios sobre criptoactivos (CASP bajo MiCA). Las pequeñas fintech por debajo de ciertos umbrales pueden tener regímenes simplificados, pero rara vez quedan totalmente excluidas.
¿Cómo se relaciona DORA con Solvency II?
DORA es específico para riesgo TIC, Solvency II para prudencia financiera. El riesgo TIC bajo DORA es una categoría propia junto a riesgos de crédito, mercado y operativo.
¿Qué son los "proveedores TIC críticos" bajo DORA?
Proveedores TIC designados por las autoridades europeas de supervisión (AES) como "critical third-party providers" (CTPP), típicamente grandes proveedores cloud (AWS, Azure, GCP), procesadores de pago y plataformas fintech específicas usadas por muchas instituciones financieras a la vez. Los CTPP están bajo supervisión directa de la UE.
¿Las aseguradoras deben seguir el mismo régimen que los bancos?
Sustancialmente sí, con énfasis específicos del sector. Las aseguradoras tienen menos riesgo TIC operativo en tiempo real, pero más exposición a datos de siniestros y modelos actuariales. La implementación DORA en aseguradoras se centra más en continuidad e integridad de datos que en bancos.
¿Qué es DORA Threat-Led Penetration Testing?
Los artículos 26-27 de DORA obligan a las grandes instituciones financieras a realizar periódicamente (cada 3 años) Threat-Led Penetration Tests, ejercicios estructurados de red-team bajo supervisión. Para las más pequeñas se aplica un régimen más ligero de evaluaciones de vulnerabilidad.
¿Cómo empiezo siendo una institución financiera pequeña?
Tres prioridades: (1) análisis de brechas en DORA art. 5-19 (gobernanza, riesgo, formación, notificación); (2) revisar contratos de proveedores TIC para cláusulas requeridas por DORA; (3) montar un programa de formación que cubra tanto DORA art. 13 como Cbw art. 21. Muchos colectivos sectoriales (AEB, UNESPA, AEFI) ofrecen programas compartidos de implementación DORA.
Fuente externa: European Commission - NIS2 Directive