+34 606396444

hector.hernando@hhbrokers.es

Hablemos

DORA: La normativa europea que cambia las reglas del juego en la ciberseguridad financiera

Cómo impacta en bancos, aseguradoras, gestoras, fintechs y proveedores TIC críticos

¿Qué es DORA y por qué marca un antes y un después?

El Reglamento de Resiliencia Operativa Digital (DORA) es una normativa de la Unión Europea que entra en vigor el 17 de enero de 2025 y establece un marco único para proteger al sistema financiero frente a riesgos tecnológicos y ciberataques. Se trata de una respuesta directa a la creciente digitalización del sector y a amenazas reales que ponen en jaque la estabilidad operativa de bancos, aseguradoras, gestoras de fondos y proveedores tecnológicos clave.

En un entorno donde la banca digital y las criptomonedas crecen a velocidad de vértigo, DORA establece exigencias claras en cuanto a gestión de riesgos TIC, pruebas de ciberresiliencia, notificación de incidentes y supervisión de terceros.

¿A quién afecta DORA?

DORA se aplicará a más de 20 tipos de entidades financieras y tecnológicas, entre ellas:

  1. Bancos
  2. Aseguradoras y reaseguradoras
  3. Empresas de inversión
  4. Entidades de pago y dinero electrónico
  5. Proveedores de servicios de criptoactivos
  6. Proveedores terceros de servicios TIC críticos

Os dejo un ejemplo real de cada una para comprender el impacto con mayor profundidad.

1. Bancos: BBVA

BBVA, uno de los principales bancos españoles, es un claro ejemplo de entidad que debe adaptarse a DORA. Con una infraestructura digital global y servicios bancarios cada vez más descentralizados y basados en la nube, BBVA deberá:

  • Implementar un marco robusto de resiliencia operativa.
  • Notificar incidentes tecnológicos relevantes.
  • Realizar pruebas avanzadas de ciberseguridad.

2. Aseguradoras: MAPFRE

MAPFRE, la mayor aseguradora española, está directamente bajo el alcance de DORA. Con operaciones digitales en más de 40 países, cualquier incidente que afecte a su sistema TIC debe ser reportado y gestionado con rapidez. El reto: mantener la confianza del cliente en un sector cada vez más digital.

3. Empresas de inversión: Renta 4 Banco

Renta 4 Banco, especializada en servicios de inversión, gestión de fondos y pensiones, también debe cumplir DORA. La entidad gestiona millones en activos, y un fallo operativo podría tener implicaciones críticas para sus clientes.

  • Estará obligada a hacer pruebas de penetración periódicas.
  • Tendrá que auditar los sistemas de sus proveedores TIC.

4. Entidades de pago: Bizum (representada por la banca española)

Bizum, aunque no es una entidad legal propia, opera como un sistema de pagos digital respaldado por más de 30 bancos. Las entidades que lo integran deben asumir las exigencias de DORA en cuanto a disponibilidad del servicio, gestión de caídas tecnológicas e interoperabilidad.

5. Proveedores de servicios de criptoactivos: Bit2Me

Bit2Me, uno de los exchanges españoles más relevantes, es un proveedor de servicios de criptoactivos sujeto a DORA. La normativa les obliga a mantener un nivel elevado de ciberresiliencia para proteger tanto la custodia como las transacciones de los clientes

6. Proveedores TIC críticos: Amazon Web Services (AWS)

AWS provee servicios en la nube a cientos de entidades financieras europeas. DORA incluye medidas específicas para supervisar estos proveedores externos críticos. Las entidades que dependan de AWS deberán revisar contratos, establecer planes de contingencia y auditar su capacidad de respuesta ante incidentes.

Obligaciones clave que impone DORA

1. Marco de gestión de riesgos TIC

Las entidades deberán tener protocolos sólidos para detectar, prevenir y responder a cualquier amenaza tecnológica.

2. Notificación de incidentes graves

Se establecen plazos y formatos estandarizados para notificar ciberataques o interrupciones graves a las autoridades competentes.

3. Pruebas de ciberresiliencia periódicas

Incluyen desde simulaciones hasta pruebas de penetración tipo Red Team en las infraestructuras tecnológicas más críticas.

4. Supervisión de terceros TIC

Las entidades deberán tener control sobre los riesgos que les trasladan sus proveedores tecnológicos (como servicios en la nube o plataformas de pago).

5. Intercambio de inteligencia sobre amenazas

Se fomenta la cooperación entre entidades financieras para compartir información sobre vulnerabilidades y ataques detectados.

¿Por qué DORA es clave para el futuro financiero europeo?

DORA busca estandarizar la defensa tecnológica de todas las entidades del sistema financiero europeo. Reduce el riesgo sistémico, protege a los consumidores y evita que incidentes tecnológicos deriven en crisis financieras.

Además, al implicar a proveedores de servicios TIC críticos, se cierra un vacío legal que hasta ahora dejaba a muchas entidades desprotegidas frente a fallos de terceros.

Conclusión: DORA como ventaja competitiva

Adaptarse a DORA no es solo una obligación, es una oportunidad estratégica. Las entidades que integren una buena gestión de resiliencia operativa demostrarán solidez ante sus clientes, inversores y reguladores.

En HHBrokers seguiremos de cerca su implementación para ver cómo se han ido adaptando cada una de las empresas afectadas a la nueva normativa europea.

Más artículos y publicaciones

Buscar

Entradas populares

Categorías

Archivo

Etiquetas

#acciones #acs #BancaPrivada #bancos #banks #bbva #Bolsa #bond #bonds #bono #bonos #bonosconvertibles #BonosGubernamentales #china #dividendos #dividends #Economía #EducaciónFinanciera #Electrificación #EstrategiaFinanciera #FinanzasPersonales #fixedincome #FondosDeInversión #funds #gold #HHBrokers #Innovación #inversiones #InversiónInteligente #investments #invsersiones #LibertadFinanciera #materiasprimas #MercadosFinancieros #money #OpenAI #oro #privatebanking #PrivateEquity #privatewealth #rentafija #stocks #tecnología #token #wealth

Síguenos