Si tu empresa presta servicios tecnológicos a bancos europeos, ofrece soluciones fintech con alcance internacional o forma parte de la cadena de proveedores de una entidad financiera en la Unión Europea, hay una regulación que necesitas conocer: DORA, el Reglamento de Resiliencia Operativa Digital. Este artículo explica qué es, a quién aplica y qué deben hacer las empresas mexicanas para prepararse.
Puntos clave
- DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea vigente desde enero de 2025.
- Aplica a más de 20 tipos de entidades financieras y a sus proveedores críticos de servicios TIC.
- Se basa en 5 pilares: gestión de riesgos TIC, reporte de incidentes, pruebas de resiliencia, gestión de terceros e intercambio de información.
- Empresas mexicanas proveedoras de tecnología para el sector financiero europeo pueden quedar sujetas a sus requisitos.
- ISO 27001 e ISO 22301 proporcionan la base para cumplir con la mayoría de los requisitos de DORA.
¿Necesitas evaluar tu preparación para DORA? Solicita un diagnóstico ISO 27001 o un diagnóstico ISO 22301 como punto de partida.
Qué es DORA y por qué existe
DORA es el Reglamento (UE) 2022/2554, conocido como Digital Operational Resilience Act (Ley de Resiliencia Operativa Digital). Fue publicado el 27 de diciembre de 2022 y es de aplicación obligatoria desde el 17 de enero de 2025.
El reglamento nació de una realidad clara: el sector financiero europeo depende cada vez más de la tecnología, y esa dependencia crea vulnerabilidades sistémicas. Un ciberataque a un proveedor de nube que sirve a múltiples bancos puede afectar la estabilidad financiera de toda la región. DORA busca asegurar que las entidades financieras puedan resistir, responder y recuperarse de cualquier disrupción tecnológica.
A diferencia de directivas anteriores que abordaban la ciberseguridad de forma fragmentada en cada país, DORA establece un marco armonizado para toda la Unión Europea. Esto significa reglas uniformes para bancos, aseguradoras, gestoras de fondos y todos los demás actores financieros, sin importar en qué país de la UE operen.
¿A quién aplica DORA?
DORA tiene un alcance amplio que cubre más de 20 categorías de entidades financieras:
- Entidades de crédito (bancos)
- Empresas de inversión y gestoras de fondos
- Entidades de seguros y reaseguros
- Instituciones de pago y de dinero electrónico
- Proveedores de servicios de criptoactivos
- Plataformas de financiamiento colectivo (crowdfunding)
- Centrales de depósito y contrapartes centrales
- Agencias de calificación crediticia
Pero el alcance no termina ahí. DORA también aplica a los proveedores terceros de servicios TIC que son considerados críticos. Si tu empresa mexicana proporciona servicios de nube, software financiero, ciberseguridad, análisis de datos o cualquier servicio tecnológico a una entidad financiera en la UE, puedes quedar dentro del alcance de DORA.
¿Cuándo afecta a empresas mexicanas?
Una empresa mexicana debe prestar atención a DORA si:
- Presta servicios de tecnología (nube, software, soporte, ciberseguridad) a bancos, aseguradoras o fintechs europeas.
- Es subsidiaria o filial de un grupo financiero europeo.
- Ofrece servicios fintech a usuarios o entidades en la UE.
- Forma parte de la cadena de subcontratación de un proveedor de TIC que atiende al sector financiero europeo.
Los 5 pilares de DORA
DORA se estructura en cinco áreas fundamentales que, en conjunto, buscan construir una resiliencia operativa digital integral:
Pilar 1: Gestión de riesgos TIC
Las entidades financieras deben establecer un marco completo de gestión de riesgos de tecnologías de la información y comunicación. Esto incluye gobernanza clara (con responsabilidad directa del consejo de administración), identificación y clasificación de activos TIC, evaluación continua de riesgos, medidas de protección y prevención, y mecanismos de detección de anomalías y amenazas.
Pilar 2: Notificación de incidentes TIC
DORA establece un proceso armonizado para clasificar y reportar incidentes relacionados con TIC. Las entidades deben clasificar los incidentes según criterios de severidad definidos, reportar incidentes graves a las autoridades competentes dentro de plazos específicos y mantener registros detallados de todos los incidentes, incluyendo los de menor gravedad.
Pilar 3: Pruebas de resiliencia operativa digital
No basta con tener controles; hay que probar que funcionan. DORA exige pruebas regulares que incluyen evaluaciones de vulnerabilidades, pruebas de penetración, pruebas de escenarios y, para entidades significativas, pruebas avanzadas basadas en amenazas (TLPT) al menos cada 3 años.
Pilar 4: Gestión de riesgos de terceros TIC
Este es el pilar con mayor impacto para empresas fuera de la UE. DORA requiere que las entidades financieras gestionen activamente los riesgos derivados de sus proveedores de tecnología. Esto incluye debida diligencia antes de contratar, cláusulas contractuales específicas, monitoreo continuo del desempeño y riesgo del proveedor, y estrategias de salida documentadas en caso de necesitar cambiar de proveedor.
Además, los proveedores de TIC designados como críticos quedan sujetos a supervisión directa por las Autoridades Europeas de Supervisión (ESAs).
Pilar 5: Intercambio de información sobre amenazas
DORA fomenta el intercambio voluntario de inteligencia sobre ciberamenazas entre entidades financieras, dentro de comunidades de confianza y con las garantías adecuadas de confidencialidad. El objetivo es crear un ecosistema donde las lecciones aprendidas de un incidente beneficien a todo el sector.
¿Provees tecnología al sector financiero? Un diagnóstico de seguridad de la información te ayuda a identificar brechas frente a los requisitos de DORA.
Calendario de cumplimiento
| Fecha | Hito |
|---|---|
| 27 dic 2022 | Publicación del Reglamento DORA en el Diario Oficial de la UE |
| 16 ene 2023 | Entrada en vigor del reglamento |
| 17 ene 2025 | Fecha de aplicación obligatoria para todas las entidades sujetas |
| 2025-2026 | Designación de proveedores críticos de TIC y establecimiento del marco de supervisión |
| 2025-2028 | Primer ciclo de pruebas TLPT para entidades significativas |
Cómo deben prepararse las empresas mexicanas
Si tu empresa está o podría estar dentro del alcance de DORA, estos son los pasos prácticos para prepararte:
- Evalúa tu exposición: identifica si tus clientes o socios europeos son entidades financieras sujetas a DORA y qué nivel de criticidad tiene tu servicio para ellos.
- Certifícate en ISO 27001: este estándar cubre la mayoría de los requisitos de gestión de riesgos TIC de DORA y es reconocido por las autoridades europeas como evidencia de buenas prácticas.
- Considera ISO 22301: la norma de continuidad del negocio aborda directamente el componente de resiliencia y recuperación que DORA exige.
- Revisa tus contratos: asegúrate de que tus acuerdos con clientes financieros europeos incluyan las cláusulas que DORA requiere sobre auditorías, subcontratación, niveles de servicio y estrategias de salida.
- Fortalece tu capacidad de respuesta a incidentes: DORA tiene requisitos específicos de notificación. Tu proceso de gestión de incidentes debe ser capaz de clasificar, documentar y reportar incidentes dentro de los plazos establecidos.
- Documenta tu resiliencia: genera evidencia de pruebas de penetración, análisis de vulnerabilidades y simulacros de continuidad que demuestren tu capacidad de resiliencia operativa.
ISO 27001 e ISO 22301 como base para DORA
DORA no reinventa la rueda. Muchos de sus requisitos se alinean con estándares internacionales existentes:
- Gestión de riesgos TIC se mapea directamente con los requisitos de evaluación de riesgos y controles del Anexo A de ISO 27001.
- Continuidad y recuperación se alinea con los requisitos de ISO 22301 sobre análisis de impacto, estrategias de continuidad y planes de recuperación.
- Gestión de incidentes está cubierta tanto por ISO 27001 (Anexo A, controles de gestión de incidentes de seguridad) como por ISO 22301 (respuesta a incidentes).
- Gestión de proveedores se aborda en ISO 27001 a través de los controles de seguridad en relaciones con proveedores.
En la práctica, una empresa que ya cuenta con certificaciones ISO 27001 e ISO 22301 tiene cubierto entre el 60% y el 80% de los requisitos de DORA. Los elementos adicionales son principalmente los específicos del sector financiero: clasificación de incidentes según criterios de DORA, pruebas TLPT avanzadas y los requisitos contractuales específicos del reglamento.
Preguntas frecuentes
¿DORA aplica a empresas fuera de la Unión Europea?
DORA aplica directamente a entidades financieras dentro de la UE. Sin embargo, si tu empresa mexicana es proveedor de servicios TIC (tecnología, nube, software) para una entidad financiera europea, puedes quedar sujeta a los requisitos de gestión de riesgos de terceros de DORA. Los proveedores críticos de TIC pueden ser designados para supervisión directa por las autoridades europeas.
¿Cuál es la fecha límite para cumplir con DORA?
DORA entró en vigor el 16 de enero de 2023 y es de aplicación obligatoria desde el 17 de enero de 2025. Las entidades financieras en la UE ya deben estar cumpliendo con todos los requisitos del reglamento.
¿DORA reemplaza a ISO 27001?
No. DORA es una regulación específica para el sector financiero europeo, mientras que ISO 27001 es un estándar internacional de gestión de seguridad de la información aplicable a cualquier sector. De hecho, DORA recomienda implícitamente el uso de estándares internacionales como ISO 27001 e ISO 22301 como base para cumplir sus requisitos.
¿Qué pasa si no se cumple con DORA?
Las autoridades supervisoras de la UE pueden imponer sanciones administrativas y medidas correctivas. Las multas pueden ser significativas y los proveedores de TIC críticos que no cumplan pueden ser restringidos de prestar servicios al sector financiero europeo.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.