La normativa DORA (Digital Operational Resilience Act) refuerza la resiliencia digital del sector financiero europeo ante el aumento de los riesgos tecnológicos y ciberataques. Su objetivo es establecer un marco común que garantice que entidades financieras y proveedores TIC puedan prevenir, responder y recuperarse eficazmente ante incidentes que afecten a sus sistemas.
En este contexto, es clave analizar tres aspectos fundamentales: su importancia dentro del ecosistema financiero, los beneficios que aporta en términos de seguridad, estabilidad y armonización regulatoria, y las sanciones asociadas al incumplimiento, que refuerzan la necesidad de una adaptación rigurosa por parte de todas las organizaciones implicadas.
Relevancia estratégica de DORA
La importancia de DORA radica en que fortalece de forma estructural la resiliencia del sector financiero frente a un entorno cada vez más expuesto a amenazas digitales.
Su enfoque reduce la exposición a riesgos tecnológicos mediante la imposición de controles estrictos, la monitorización continua y la realización de evaluaciones periódicas de seguridad que permiten detectar vulnerabilidades antes de que se materialicen en incidentes graves
Este enfoque obliga a una mayor madurez organizativa y tecnológica, tanto en las entidades financieras como en sus proveedores, impulsando la adaptación de todo el ecosistema y extendiendo el cumplimiento normativo a la cadena de suministro tecnológica, incluyendo a los proveedores TIC.
Aportaciones clave de DORA al sector financiero
La trascendencia de DORA reside en su capacidad para establecer un estándar común y coherente de resiliencia digital en todo el sector financiero europeo. Esto supone un avance significativo porque sustituye marcos regulatorios previamente fragmentados por un conjunto único de exigencias en materia de ciberseguridad, gestión de riesgos TIC y respuesta operativa ante incidentes.
Este enfoque unificado también mejora de forma notable la capacidad del sector para anticiparse a crisis tecnológicas. Al exigir una gestión estructurada del riesgo, pruebas de resiliencia periódicas y mecanismos claros de notificación y respuesta ante incidentes, DORA permite detectar debilidades antes de que se conviertan en problemas operativos graves.
Penalizaciones y medidas correctivas
El incumplimiento de sus disposiciones puede dar lugar a consecuencias de distinta naturaleza, comenzando por sanciones económicas proporcionales a la gravedad de la infracción.
En el caso de las instituciones financieras, estas multas pueden alcanzar hasta el 2% de la facturación anual global o el 1% de la facturación diaria media, lo que supone un impacto económico considerable incluso para grandes entidades.
Para las personas físicas responsables de incumplimientos, el marco contempla sanciones que pueden llegar hasta 1.000.000 de euros, mientras que los proveedores de servicios TIC considerados críticos pueden enfrentarse a multas de hasta 5.000.000 de euros, o 500.000 euros en el caso de individuos vinculados a dichos proveedores.
Además, el incumplimiento de las obligaciones de notificación de incidentes relevantes o amenazas cibernéticas puede conllevar sanciones adicionales, especialmente cuando se considera que la falta de comunicación ha impedido una respuesta adecuada a nivel supervisor o sectorial.