DORA: lo que toda empresa del sector financiero europeo debe saber antes de 2025

Que es DORA

El Reglamento EU 2022/2554 sobre Resiliencia Operativa Digital del Sector Financiero — conocido como DORA — entro en vigor el 17 de enero de 2025. Obliga a entidades financieras y sus proveedores criticos de TIC a demostrar que pueden resistir, responder y recuperarse de incidentes digitales.

A quien afecta

DORA afecta a bancos, aseguradoras, empresas de inversion, proveedores de servicios de pago, exchanges de criptoactivos y sus proveedores criticos de tecnologia. Si tu empresa presta servicios TIC a alguna de estas entidades, DORA tambien te afecta indirectamente.

Las 5 areas de DORA

DORA se estructura en cinco pilares: gestion de riesgos TIC, gestion de incidentes, pruebas de resiliencia, riesgo de terceros y comparticion de informacion. Cada pilar tiene requisitos especificos que las entidades deben implementar y documentar.

La relacion con ISO 27001

ISO 27001 cubre una parte importante de los requisitos de DORA, especialmente en gestion de riesgos e incidentes. Las empresas que ya tienen un programa ISO 27001 activo tienen una ventaja significativa para cumplir con DORA sin duplicar trabajo.

Como empezar

El primer paso es identificar si tu empresa esta en scope. El segundo, mapear tus controles actuales contra los requisitos de DORA. El tercero, cubrir los gaps con evidencias documentadas. Kardu automatiza este proceso con mapeo cruzado entre frameworks.