El pasado enero, el sector financiero europeo activó una de las regulaciones más ambiciosas en materia de ciberseguridad: el Digital Operational Resilience Act (DORA). La norma, impulsada por la Unión Europea, exige que bancos, aseguradoras, gestoras de inversión y otras entidades refuercen su capacidad para resistir ciberataques y fallos tecnológicos sin comprometer su actividad.

El objetivo de DORA no es solo reforzar la seguridad, sino garantizar que las empresas sean capaces de operar incluso en medio de una crisis digital.

¿Qué cambia con DORA?

Hasta ahora, la seguridad digital en el sector financiero seguía un enfoque muy heterogeneo: regulaciones fragmentadas, buenas prácticas opcionales y una dependencia excesiva de proveedores tecnológicos sin un marco claro de supervisión. DORA pone fin a esa incertidumbre con un marco común y obligatorio, estructurado en cinco pilares:

• Gestión del riesgo TIC: La ciberseguridad deja de ser un departamento aislado y pasa a ser una prioridad estratégica para toda la organización.
• Notificación rápida de incidentes: Las empresas deben reportar ciberataques y fallos tecnológicos en menos de 24 horas, lo que facilitará una respuesta coordinada.
• Pruebas de resiliencia digital: Ya no basta con reaccionar; ahora se exige realizar simulaciones de ciberataques y fallos tecnológicos de forma regular.
• Supervisión de proveedores tecnológicos: Muchas entidades dependen de terceros para sus infraestructuras críticas. Ahora deberán asegurarse de que estos cumplen con los estándares de seguridad adecuados.
• Supervisión centralizada: La UE podrá sancionar y restringir la actividad de empresas tecnológicas que no cumplan con los requisitos de seguridad para el sector financiero.

Un reto para los líderes tecnológicos

Para los CIOs, CISOs y directivos del sector, DORA es un desafío de primer nivel. La normativa no solo impone nuevas exigencias, sino que cambia la manera en la que se debe gestionar la seguridad digital dentro de la empresa.

En el corto plazo, muchas organizaciones deberán invertir en infraestructura, formación y procesos para cumplir con los requisitos. Pero en el fondo, el reto no es solo técnico, sino estratégico: DORA obliga a repensar cómo se protege la continuidad del negocio en un entorno donde las amenazas digitales evolucionan más rápido que las normativas.

Diversos análisis del sector indican que una gran parte de las empresas financieras aún no han completado sus planes de adaptación a DORA, lo que sugiere que muchas están subestimando el impacto de esta regulación. No basta con reaccionar a las amenazas cuando ocurren; ahora se exige un enfoque preventivo, sistemático y auditable.

¿Cómo prepararse?

DORA ya está en marcha, y las empresas que no se adapten corren el riesgo de quedar expuestas a sanciones y vulnerabilidades críticas. Para abordar esta transición con éxito, es importante seguir estos pasos:

• Evaluar el nivel actual de resiliencia digital
• Actualizar protocolos de respuesta a incidentes
• Implementar pruebas de resistencia periódicas
• Revisar contratos con proveedores tecnológicos
• Fomentar una cultura de ciberresiliencia

DORA no es solo una regulación más, sino un cambio de mentalidad en la manera en la que el sector financiero aborda la seguridad digital. Ya no se trata de protegerse del último ciberataque, sino de garantizar que la empresa pueda seguir operando pase lo que pase.