DORA — Definición IT

DORA (Digital Operational Resilience Act, Reglamento europeo 2022/2554) es el reglamento europeo que impone a las instituciones financieras y a sus prestadores de TI críticos exigencias reforzadas de resiliencia operativa digital. Entrado en aplicación el 17 de enero de 2025.

Quién está afectado por DORA

• •Bancos: .
• •Seguros y reaseguros: .
• •Empresas de inversión, gestores de fondos: .
• •Prestadores de servicios de pago: .
• •Plataformas de cripto-activos: .
• •Infraestructuras de mercado: .
• •Prestadores de TI críticos designados: .

Más de 22.000 entidades están directamente afectadas en Europa.

Los cinco pilares de DORA

### 1. Gestión de los riesgos TI

Implementación de un marco de gestión de los riesgos TI documentado.

### 2. Gestión de los incidentes TI

Notificación en las 4 horas para los incidentes críticos.

### 3. Pruebas de resiliencia

Programa anual de pruebas. Para las entidades más críticas, pruebas TLPT cada 3 años.

### 4. Gestión de los riesgos terceros TI

Cartografía completa de los prestadores TI, contratos enmarcados.

### 5. Compartición de información

Sanciones

• •Multas administrativas: hasta el 1 % de la cifra de negocios mundial diaria.
• •Sanciones individuales: para los dirigentes.
• •Suspensión de actividad: .

DORA y la cartografía aplicativa

DORA exige explícitamente (artículo 8) una cartografía completa de los activos TI críticos y de sus interdependencias. Kabeen aporta un grafo vivo del SI.

DORA y [NIS2](/es/glossary/nis2)

DORA es lex specialis frente a NIS2: las entidades financieras dependen de DORA para la ciberseguridad, no de NIS2.

Puesta en conformidad

Proceso tipo en 12 a 18 meses:

1. Gap analysis.
2. Cartografía de los activos críticos.
3. Revisión contractual de los prestadores TI.
4. Refuerzo del marco de gestión de los riesgos.
5. Implementación del reporting de los incidentes.
6. Programa de pruebas de resiliencia.
7. Auditoría interna.

Estándares complementarios

• •ISO 27001: , ISO 22301, NIST CSF, TIBER-EU.