Digital Operational Resilience Act

Subject matter

Este Reglamento establece requisitos uniformes para las entidades financieras sobre gestión de riesgos TIC, notificación de incidentes y pruebas de resiliencia digital. Las empresas deben implementar medidas robustas para proteger sus sistemas, informar incidentes significativos y gestionar activamente los riesgos de terceros proveedores TIC.

Scope

Este Reglamento se aplica a una amplia gama de entidades financieras y proveedores de servicios TIC, incluyendo bancos, gestores de fondos y proveedores de criptoactivos, imponiendo obligaciones prácticas de ciberseguridad. Se establecen exclusiones específicas para ciertas pymes y entidades de menor tamaño.

Definitions

Las entidades financieras deben garantizar la resiliencia operativa digital, gestionando activamente los riesgos de las tecnologías de la información y los incidentes de seguridad. Esto incluye la protección de sistemas, datos y la continuidad de los servicios, incluso ante interrupciones.

Proportionality principle

Las entidades financieras deben aplicar las normativas de ciberseguridad de forma proporcional a su tamaño, perfil de riesgo y complejidad operativa. Las autoridades competentes evaluarán esta proporcionalidad al revisar los marcos de gestión de riesgos TIC.

Governance and organisation

Las entidades financieras deben establecer un marco de gobernanza y control interno para gestionar eficazmente el riesgo TIC, con la alta dirección asumiendo la responsabilidad última y aprobando políticas clave para garantizar la disponibilidad, autenticidad, integridad y confidencialidad de los datos.

ICT risk management framework

Las entidades financieras deben implementar un marco de gestión de riesgos de las TIC integral y documentado, que incluya estrategias, políticas y procedimientos para proteger sus activos de información y TIC. Este marco debe ser revisado anualmente y auditado internamente para garantizar la resiliencia operativa digital y la minimización de impactos de riesgos.

ICT systems, protocols and tools

Las entidades financieras deben emplear y actualizar sistemas, protocolos y herramientas de TIC que sean proporcionales a su operativa, fiables, con capacidad suficiente para procesar datos y resilientes ante condiciones adversas, garantizando así la gestión del riesgo.

Identification

Las entidades deben mantener un inventario exhaustivo y actualizado de activos TIC, funciones de negocio y dependencias con terceros, realizando revisiones de clasificación y escenarios de riesgo al menos anualmente. Es obligatorio ejecutar evaluaciones de riesgo ante cambios significativos en la infraestructura y realizar análisis específicos sobre la vulnerabilidad de los sistemas heredados (legacy).

Protection and prevention

Las entidades financieras deben implementar políticas y procedimientos robustos para la gestión de riesgos de TI, asegurando la protección continua de sus sistemas, la integridad y confidencialidad de los datos, y la resiliencia operativa mediante controles de acceso, autenticación fuerte y gestión de cambios.

Detection

Las entidades financieras deben implementar mecanismos robustos para detectar rápidamente actividades anómalas, fallos en la red y posibles puntos únicos de fallo, probándolos regularmente. Estos sistemas deben permitir múltiples capas de control, definir umbrales de alerta y asignar recursos suficientes para monitorizar la actividad del usuario y las incidencias, especialmente ciberataques.

Response and recovery

Las entidades financieras deben implementar una política integral de continuidad del negocio TIC, incluyendo planes de respuesta y recuperación, para asegurar la continuidad de funciones críticas, responder eficazmente a incidentes y minimizar daños. Estas políticas y planes deben ser probados periódicamente, especialmente ante ataques cibernéticos y cambios sustanciales en los sistemas.

Backup policies and procedures, restoration and recovery procedures and methods

Las entidades financieras deben establecer políticas y procedimientos documentados para copias de seguridad, restauración y recuperación de datos, asegurando la continuidad del negocio y la integridad de la información. Se exige la realización periódica de pruebas y la segregación de sistemas para la restauración, con requisitos adicionales de redundancia y sitios secundarios para ciertas entidades.

Learning and evolving

Las entidades financieras deben establecer procesos para recopilar y analizar información sobre vulnerabilidades y amenazas, así como realizar revisiones post-incidente para identificar mejoras. Es crucial incorporar lecciones aprendidas de pruebas y incidentes reales en la gestión de riesgos ICT y asegurar la capacitación continua del personal en ciberseguridad y resiliencia operativa digital.

Communication

Las entidades financieras deben establecer planes de comunicación de crisis para informar de incidentes o vulnerabilidades críticas de TIC a clientes, contrapartes y al público. Esto incluye políticas de comunicación interna y externa, diferenciando la información según el rol del personal, y designando a una persona responsable de la comunicación pública y mediática.

Further harmonisation of ICT risk management tools, methods, processes and policies

Las autoridades supervisoras europeas desarrollarán estándares técnicos regulatorios para armonizar la gestión de riesgos TIC, detallando políticas de seguridad, gestión de accesos, detección de incidentes, continuidad del negocio y planes de respuesta. Las empresas deberán adaptar sus marcos de gestión de riesgos a estas nuevas especificaciones para garantizar la seguridad y resiliencia de sus operaciones.

Simplified ICT risk management framework

Las entidades financieras de menor tamaño deben implementar un marco simplificado de gestión de riesgos TIC que garantice la continuidad del negocio mediante planes de recuperación, monitoreo continuo y pruebas periódicas de seguridad. Es obligatorio documentar estos procesos, identificar dependencias de terceros y mantener programas de formación en ciberseguridad para empleados y directivos.

ICT-related incident management process

Las entidades financieras deben implementar un proceso robusto de gestión de incidentes de TIC para detectar, gestionar y notificar incidentes y amenazas significativas. Esto incluye registrar todos los incidentes, identificar causas raíz, asignar responsabilidades claras y establecer planes de comunicación y respuesta para mitigar impactos y asegurar la continuidad del servicio.

Classification of ICT-related incidents and cyber threats

Las entidades financieras deben implementar procesos internos para clasificar incidentes y amenazas TIC basándose en criterios de impacto como la afectación a clientes, duración, alcance geográfico y pérdida de datos. Esta clasificación es esencial para identificar incidentes 'mayores' y amenazas 'significativas' sujetos a reporte obligatorio, siguiendo los umbrales de materialidad definidos en los estándares técnicos europeos.

Reporting of major ICT-related incidents and voluntary notification of significant cyber threats

Las entidades financieras deben notificar obligatoriamente los incidentes TIC graves a la autoridad competente mediante plantillas normalizadas e informar sin demora a los clientes afectados cuando existan impactos financieros o amenazas significativas. Se establece además la posibilidad de reportar voluntariamente amenazas de ciberseguridad relevantes para el sistema financiero.

Harmonisation of reporting content and templates

Las entidades financieras deberán adoptar formularios, plantillas y procedimientos estandarizados para el reporte de incidentes TIC graves y la notificación de amenazas cibernéticas significativas. Estas obligaciones, detalladas en normas técnicas (RTS e ITS), imponen plazos estrictos y contenidos específicos de reporte que se ajustarán según el tamaño y perfil de riesgo de cada organización.

Centralisation of reporting of major ICT-related incidents

Las empresas deben monitorizar el desarrollo del futuro centro único de notificación (EU Hub) que centralizará y simplificará el reporte de incidentes graves de TIC a nivel europeo. Esta iniciativa busca reducir las cargas administrativas y los costes operativos mediante la unificación de los canales de comunicación con las autoridades competentes.

Supervisory feedback

Las entidades financieras deben gestionar proactivamente sus incidentes TIC manteniendo la responsabilidad plena de sus consecuencias, independientemente del feedback o guías técnicas que reciban de las autoridades tras la notificación. Es fundamental integrar la inteligencia sobre amenazas y las estadísticas anuales proporcionadas por los supervisores para mejorar las evaluaciones de vulnerabilidades y las estrategias de mitigación.

Operational or security payment-related incidents concerning credit institutions, payment institutions, account information service providers, and electronic money institutions

Las entidades financieras y de pago deben integrar la gestión y notificación de incidentes operativos o de seguridad relacionados con pagos en sus marcos de resiliencia digital. Esta obligación exige aplicar los procedimientos de reporte armonizados a cualquier incidente grave que afecte a la prestación de servicios de pago ante las autoridades competentes.

General principles

Las entidades financieras deben integrar la gestión de riesgos de terceros en su marco general, manteniendo la responsabilidad plena del cumplimiento y la obligación de supervisar sus contratos. Es imperativo mantener un registro actualizado de todos los servicios TIC contratados, definir una estrategia formal para proveedores críticos y reportar periódicamente a las autoridades competentes.

Preliminary assessment of ICT concentration risk at entity level

Las entidades deben evaluar formalmente el riesgo de concentración y la sustituibilidad de proveedores antes de contratar servicios TIC para funciones críticas o importantes. Es obligatorio analizar los riesgos de subcontratación en terceros países, el impacto legal de una posible insolvencia del proveedor y asegurar que la complejidad de la cadena de suministro no impida la supervisión ni la recuperación de datos.

Key contractual provisions

Las empresas deben formalizar por escrito todos los contratos con proveedores TIC, detallando niveles de servicio (SLA), condiciones de subcontratación y ubicaciones de procesamiento de datos. Es obligatorio incluir cláusulas sobre seguridad de la información, asistencia ante incidentes y derechos de recuperación de datos en caso de resolución o insolvencia. Para servicios críticos, se deben añadir métricas de rendimiento cuantitativas y derechos de auditoría para garantizar la resiliencia operativa.

Designation of critical ICT third-party service providers

Las entidades financieras deben identificar a sus proveedores TIC con impacto sistémico o baja sustituibilidad, ya que las autoridades europeas los designarán como críticos (CTPP) bajo criterios de dependencia y riesgo operativo. Esta designación implica una supervisión directa reforzada, obligando a las empresas a monitorizar estrechamente su concentración de servicios y planes de salida.

Structure of the Oversight Framework

Este art?culo define la estructura del marco europeo de supervisi?n de proveedores terceros TIC cr?ticos. Establece c?mo se coordinan las autoridades europeas para supervisar riesgos sist?micos derivados de servicios tecnol?gicos cr?ticos.

Tasks of the Lead Overseer

Las empresas proveedoras de servicios TIC críticos deben implementar y mantener marcos robustos de gestión de riesgos, seguridad, continuidad y gobernanza, ya que serán evaluadas exhaustivamente por el Supervisor Principal bajo DORA. Las entidades financieras, por su parte, deben asegurar que sus proveedores cumplen con estos estrictos requisitos para mitigar riesgos.

Operational coordination between Lead Overseers

Las empresas proveedoras de servicios TIC críticos deben anticipar una supervisión coordinada y consistente por parte de múltiples reguladores europeos. Estos reguladores emplearán un protocolo común para sus actividades de supervisión, garantizando una metodología unificada y eficiente en la evaluación del cumplimiento.

Powers of the Lead Overseer

Las empresas proveedoras de servicios TIC críticos deben estar preparadas para una supervisión intensiva por parte del Lead Overseer, lo que implica proporcionar información, someterse a inspecciones e implementar recomendaciones sobre seguridad, calidad y términos de servicio. Es crucial gestionar cuidadosamente los acuerdos de subcontratación, especialmente con terceros países, ya que el Lead Overseer tiene la potestad de restringirlos si representan un riesgo claro y grave para la estabilidad financiera o el cumplimiento normativo.

Exercise of the powers of the Lead Overseer outside the Union

Los proveedores de servicios TIC críticos ubicados fuera de la UE deben estar preparados para inspecciones directas de los Supervisores Principales europeos, previo consentimiento y coordinación con las autoridades locales del tercer país. Esta disposición obliga a los proveedores extracomunitarios a aceptar la supervisión de la UE para garantizar la resiliencia operativa de las entidades financieras europeas a las que prestan servicio.

Request for information

Los proveedores críticos de servicios TIC (CTPP) están obligados a facilitar toda la documentación operativa, técnica y de subcontratación que el Director de Supervisión solicite, ya sea mediante petición simple o decisión formal. El incumplimiento de los plazos o la entrega de información incorrecta puede derivar en sanciones económicas periódicas, manteniendo la empresa la responsabilidad total sobre la veracidad de los datos aportados.

General investigations

Los proveedores críticos de servicios TIC (CTPP) están obligados a colaborar plenamente en las investigaciones del Supervisor Principal, facilitando acceso a registros, datos y personal bajo riesgo de multas coercitivas. Las empresas deben garantizar la disponibilidad inmediata de documentación técnica y la comparecencia de sus representantes ante requerimientos formales de supervisión.

Inspections

Los proveedores críticos de servicios TIC (CTPP) están obligados a permitir inspecciones presenciales y remotas del Supervisor Principal, facilitando el acceso total a sus instalaciones, sistemas y registros bajo apercibimiento de multa. El incumplimiento o la oposición a estas auditorías puede acarrear sanciones económicas periódicas y la rescisión obligatoria de los contratos con sus clientes del sector financiero.

Ongoing oversight

Los proveedores críticos de servicios TIC (CTPP) deben facilitar las inspecciones de equipos conjuntos de supervisión y aplicar las recomendaciones derivadas de estas investigaciones en un plazo de tres meses. Las entidades financieras clientes serán notificadas de dichas recomendaciones, lo que exige una gestión proactiva de certificaciones y auditorías para demostrar el cumplimiento operativo.

Harmonisation of conditions enabling the conduct of the oversight activities

Este artículo mandata el desarrollo de normas técnicas que estandarizan la información y formatos que los proveedores TIC críticos deben reportar, incluyendo sus acuerdos de subcontratación. Las empresas deben prepararse para cumplir con estos requisitos de transparencia y facilitar las actividades de supervisión e inspección de las autoridades europeas.

Follow-up by competent authorities

Las empresas proveedoras de servicios TIC críticos deben responder a las recomendaciones del supervisor en 60 días, justificando cualquier desviación, bajo riesgo de divulgación pública. Las entidades financieras, por su parte, deben integrar activamente estos riesgos en su gestión de terceros y sus contratos, ya que las autoridades pueden exigir la suspensión o terminación de servicios si no se abordan adecuadamente.

Oversight fees

Las empresas proveedoras de servicios TIC críticas deben prepararse para asumir tasas de supervisión obligatorias que cubrirán los costes de su evaluación regulatoria. Estas tasas, que serán proporcionales a su facturación, serán definidas en detalle por la Comisión Europea antes del 17 de julio de 2024, estableciendo el importe y la forma de pago.

International cooperation

Las empresas deben anticipar que la cooperación internacional entre reguladores financieros europeos y de terceros países en materia de riesgo de terceros TIC, así como el desarrollo de mejores prácticas, influirá directamente en las expectativas regulatorias y en la supervisión de sus propias estrategias de ciberseguridad y gestión de riesgos.

Information-sharing arrangements on cyber threat information and intelligence

Las entidades financieras pueden y deben considerar compartir información sobre ciberamenazas dentro de comunidades de confianza para fortalecer su resiliencia operativa digital. Es crucial que estos acuerdos protejan la confidencialidad y los datos personales, y que se notifique a las autoridades competentes la participación o cese en ellos.

General requirements for the performance of digital operational resilience testing

Este art?culo fija los requisitos generales para las pruebas de resiliencia operativa digital. Obliga a las entidades financieras a probar de forma proporcional sus capacidades TIC, controles, procesos y respuesta ante escenarios adversos.

Testing of ICT tools and systems

Las empresas deben implementar un programa de pruebas de resiliencia operativa digital que incluya evaluaciones de vulnerabilidad, pruebas de penetración y análisis de seguridad de red. Es crucial adaptar la intensidad y el tipo de pruebas a la criticidad de las funciones y activos, gestionando los recursos de forma equilibrada.

Advanced testing of ICT tools, systems and processes based on TLPT

Las entidades financieras designadas deben realizar pruebas de penetración basadas en amenazas (TLPT) cada tres años sobre sus funciones críticas en entornos de producción, incluyendo sistemas externalizados. Es obligatorio coordinar la participación de proveedores TIC terceros y aplicar controles de riesgo rigurosos para evitar impactos en la continuidad del negocio durante el testeo.

Requirements for testers for the carrying out of TLPT

Las entidades financieras deben seleccionar probadores de TLPT acreditados, con seguros de responsabilidad civil y experiencia técnica demostrada, garantizando contractualmente la protección de datos confidenciales. El uso de personal interno exige autorización previa de la autoridad competente y la contratación externa obligatoria de la inteligencia de amenazas para evitar conflictos de interés.

Competent authorities

Las entidades financieras deben identificar a su autoridad supervisora específica según su sector de actividad para garantizar el cumplimiento de las obligaciones de resiliencia operativa digital. Esta designación asegura que cada empresa tenga un interlocutor regulatorio claro para la gestión de reportes, auditorías y supervisión continua bajo el marco de DORA.

Cooperation with structures and authorities established by Directive (EU) 2022/2555

Las empresas del sector financiero que también sean entidades esenciales o importantes bajo NIS2, o proveedores críticos de servicios TIC, deben anticipar una supervisión coordinada y unificada por parte de las autoridades europeas. Esto implica que las inspecciones, investigaciones e intercambio de información entre reguladores serán más fluidos, exigiendo un cumplimiento robusto en ambos marcos normativos.

Cooperation between authorities

Las empresas deben asegurar una gestión robusta y transparente de sus proveedores críticos de servicios TIC, ya que las autoridades reguladoras europeas cooperarán activamente e intercambiarán información detallada sobre los riesgos y las medidas aplicadas por estos terceros.

Financial cross-sector exercises, communication and cooperation

Las empresas del sector financiero deben anticipar un aumento en las expectativas regulatorias de ciberseguridad y la adopción de mejores prácticas coordinadas a nivel europeo. Es crucial estar preparadas para escenarios de crisis transfronterizos y la posible participación en ejercicios que fortalezcan la resiliencia sistémica.

Administrative penalties and remedial measures

Las empresas deben estar preparadas para inspecciones y solicitudes de información por parte de las autoridades competentes, que poseen amplias facultades de investigación y sanción. El incumplimiento de la normativa puede acarrear medidas correctivas obligatorias, sanciones administrativas significativas, multas y la publicación de la infracción, afectando también a los miembros de la dirección.

Exercise of the power to impose administrative penalties and remedial measures

Las empresas deben ser conscientes de que las autoridades pueden imponer sanciones y medidas correctivas por incumplimientos de ciberseguridad, considerando factores como la intencionalidad, la gravedad, la duración y la cooperación. Es crucial prevenir incidentes y, en caso de ocurrir, colaborar activamente para mitigar posibles multas y demostrar un compromiso con el cumplimiento.

Criminal penalties

Este art?culo permite a los Estados miembros establecer sanciones penales por incumplimientos de DORA cuando proceda bajo derecho nacional. La entidad debe tratarlo como un riesgo regulatorio adicional dentro de su programa de cumplimiento.

Notification duties

Este art?culo regula las obligaciones de notificaci?n entre Estados miembros, autoridades competentes y la Comisi?n. Su objetivo es asegurar transparencia y coordinaci?n sobre medidas, sanciones y reglas nacionales vinculadas a DORA.

Publication of administrative penalties

Este art?culo establece criterios para publicar sanciones administrativas. Las entidades deben considerar el impacto reputacional de los incumplimientos, adem?s de la sanci?n econ?mica o supervisora.

Professional secrecy

Este art?culo impone deberes de secreto profesional a autoridades y personas que reciban informaci?n bajo DORA. Protege informaci?n sensible obtenida durante supervisi?n, inspecciones, cooperaci?n o reporting regulatorio.

Data Protection

Este art?culo confirma que el tratamiento de datos personales bajo DORA debe cumplir GDPR y el marco europeo de protecci?n de datos. Las medidas de resiliencia, reporting e intercambio de informaci?n deben incorporar privacidad desde el dise?o.

Exercise of the delegation

Este art?culo regula el ejercicio de poderes delegados de la Comisi?n para desarrollar determinados aspectos t?cnicos de DORA. Es relevante para seguir actos delegados y cambios regulatorios que concreten obligaciones operativas.

Review clause

Este art?culo establece la revisi?n futura de DORA. Permite evaluar la aplicaci?n del Reglamento y proponer ajustes, por lo que las entidades deben mantener vigilancia regulatoria continua.

Amendments to Regulation (EC) No 1060/2009

Este art?culo modifica el Reglamento (CE) 1060/2009 para alinear el r?gimen de agencias de calificaci?n crediticia con DORA. Afecta al encaje de obligaciones TIC y resiliencia digital en ese sector.

Amendments to Regulation (EU) No 648/2012

Las Entidades de Contrapartida Central (CCPs) y los Registros de Operaciones (Trade Repositories) están ahora legalmente obligados a alinear sus sistemas TIC, políticas de continuidad de negocio y planes de recuperación ante desastres con los requisitos del Reglamento DORA. Esto garantiza una gestión robusta del riesgo digital y la resiliencia operativa para la continuidad de sus servicios esenciales.

Amendments to Regulation (EU) No 909/2014

Las empresas del sector financiero, especialmente los Depositarios Centrales de Valores (CSDs), deben fortalecer su resiliencia operativa digital, identificando y minimizando riesgos internos y externos mediante herramientas, procesos y políticas TIC conformes a la Regulación DORA. Esto implica establecer planes robustos de continuidad de negocio y recuperación ante desastres, asegurando la recuperación oportuna de sistemas críticos y transacciones. Además, es esencial gestionar activamente los riesgos que plantean los participantes clave y los proveedores de servicios externos.

Amendments to Regulation (EU) No 600/2014

Este art?culo modifica el Reglamento (UE) 600/2014 para integrar referencias y obligaciones vinculadas a resiliencia operativa digital. Es relevante para entidades sujetas al marco de mercados de instrumentos financieros.

Amendment to Regulation (EU) 2016/1011

Las empresas que administran índices de referencia críticos deben implementar procedimientos administrativos y contables sólidos, mecanismos de control interno y evaluación de riesgos efectivos. Es crucial que establezcan controles y salvaguardias para sus sistemas TIC, en estricta conformidad con el Reglamento DORA.

Entry into force and application

Las empresas deben prepararse activamente para cumplir con la nueva normativa europea de ciberseguridad, ya que su aplicación será obligatoria a partir del 17 de enero de 2025. Es crucial revisar y adaptar los sistemas y procesos internos antes de esta fecha para asegurar la conformidad y evitar sanciones.