¿Que es DORA y como cumplir con la regulacion?
DORA (Digital Operational Resilience Act) es la regulacion europea que establece requisitos uniformes de resiliencia digital para entidades financieras y sus proveedores criticos de servicios TIC. Entro en aplicacion el 17 de enero de 2025 y aplica a bancos, aseguradoras, gestoras de fondos, empresas de inversion, fintechs, proveedores de servicios de pago y proveedores tecnologicos criticos del sector.
DORA se estructura en cinco pilares: gestion de riesgos TIC (identificacion, proteccion, deteccion, respuesta y recuperacion), notificacion de incidentes (clasificacion y reporte a autoridades), pruebas de resiliencia (testeo regular de sistemas criticos), gestion de riesgos de terceros TIC (control sobre proveedores tecnologicos) y acuerdos de intercambio de informacion (compartir inteligencia sobre amenazas).
A diferencia de directivas anteriores como NIS2, DORA es un reglamento directamente aplicable: no necesita transposicion nacional. Sus requisitos son los mismos en todos los estados miembros de la UE, eliminando la fragmentacion regulatoria que existia en materia de resiliencia digital financiera.
¿Por qué importa?
El sector financiero depende criticamente de sus sistemas de informacion. Segun el BCE, el numero de ciberincidentes significativos en el sector financiero europeo se ha triplicado entre 2020 y 2024. Un fallo en los sistemas de un banco puede afectar a millones de clientes y generar riesgo sistemico. DORA responde a esta realidad exigiendo que las entidades demuestren capacidad para resistir, responder y recuperarse de disrupciones.
Las sanciones por incumplimiento pueden alcanzar el 1% de la facturacion diaria media global durante un maximo de 6 meses. Pero mas alla de las multas, el incumplimiento puede resultar en restricciones operativas impuestas por los supervisores. Para proveedores tecnologicos criticos, la Comision Europea puede solicitar cambios en sus practicas o incluso prohibir su uso por entidades supervisadas.
¿Cómo funciona en la práctica?
DORA exige que las entidades financieras mantengan un inventario completo de sus activos de informacion y sistemas TIC, con documentacion de sus interdependencias. Deben identificar los datos y sistemas que soportan funciones criticas o importantes, evaluar los riesgos asociados y demostrar que pueden recuperarse ante interrupciones.
En la practica, esto requiere: un catalogo actualizado de activos de datos y sistemas, trazabilidad de datos a traves de sistemas (lineage), clasificacion de criticidad, politicas de retencion y calidad documentadas, y capacidad de reportar a las autoridades con detalle como fluyen los datos y que controles existen. Los proveedores tecnologicos criticos (cloud, datos, core banking) tambien deben cumplir requisitos especificos.
DORA y como cumplir con la regulacion en Linedat
Linedat cubre varios requisitos de DORA al proporcionar un inventario completo de activos de datos con sus interdependencias (lineage), clasificacion de sensibilidad y criticidad, politicas de calidad y retencion documentadas, y audit logs que demuestran los controles sobre los datos. Estas capacidades son directamente auditables y exportables para reportes a supervisores.
Términos relacionados
El GDPR (RGPD en espanol) es la regulacion europea de proteccion de datos. Aprende sus principios clave y como implementar cumplimiento.
¿Que es Data Governance?Data Governance es el marco de politicas, procesos y roles que garantiza la calidad, seguridad y uso correcto de los datos en una organizacion.
¿Que es Data Quality (Calidad de Datos)?Data Quality mide si los datos son precisos, completos, consistentes y actualizados. Aprende a implementar reglas de calidad efectivas.
¿Que es el Analisis de Impacto en Datos?El analisis de impacto evalua que se rompe antes de hacer cambios en datos, tablas o columnas. Previene incidentes downstream.