DORA explicado: impacto en la compra de software en el sector financiero
DORA entra en vigor el 17 de enero de 2025 y cambia fundamentalmente cómo las organizaciones financieras compran y contratan software. Esto es todo lo que necesitas saber sobre los cinco pilares, los requisitos contractuales y el impacto en la gestión de proveedores.
- 1 de febrero de 2025
- 5 min
- DORA – Ley de resiliencia operativa digital
DORA, la Ley de Resiliencia Operativa Digital, entra en vigor el 17 de enero de 2025 en todos los Estados miembros de la UE. Para las organizaciones financieras y sus proveedores de TIC supone un cambio fundamental: la resiliencia digital deja de ser solo un asunto interno de TI y se convierte en una obligación empresarial regulada, con supervisión y sanciones.
¿Qué es DORA?
DORA es un reglamento de la UE, no una directiva, lo que significa que es legislación aplicable directamente, que regula la resiliencia operativa digital del sector financiero. El reglamento forma parte del Digital Finance Package y se aplica a 20 categorías de entidades financieras, desde bancos y aseguradoras hasta fintechs y proveedores de servicios criptográficos.
Los cinco pilares de DORA
DORA estructura sus requerimientos en torno a cinco áreas clave:
Gestión de riesgos TIC: Un marco integral para identificar, clasificar y controlar los riesgos TIC
Notificación de incidentes: Los incidentes importantes de TIC deben notificarse a los supervisores en plazos estrictos
Pruebas de resiliencia digital: Pruebas periódicas de penetración y escenarios de resiliencia para sistemas críticos
Gestión de riesgos de terceros: Obligaciones contractuales, registros de proveedores y análisis de riesgos por concentración
Intercambio de información: Compartir proactivamente información sobre amenazas dentro del sector
¿Qué significa DORA para la compra de software?
El cuarto pilar, la gestión de riesgos de terceros, tiene un impacto directo en cómo las organizaciones financieras compran y contratan software:
Requisitos contractuales mínimos: Cada contrato TIC debe incluir cláusulas sobre SLA, notificación de incidentes, derechos de auditoría, plan de salida, ubicación de datos y continuidad
Registro de proveedores TIC: Es obligatorio disponer de un registro actualizado y completo de todos los proveedores TIC, accesible para los supervisores
Riesgo por concentración: Se debe evaluar y reportar la dependencia excesiva de un solo proveedor (por ejemplo, un único proveedor de la nube)
Subcontratistas: También los proveedores de tus proveedores entran dentro del alcance de DORA
SoftVaro ayuda a las organizaciones financieras a mapear su ecosistema de software y a hacer que sus contratos cumplan con DORA.
Preguntas frecuentes
Las preguntas más frecuentes sobre este tema.
¿A quién se aplica DORA?
DORA se aplica a bancos, aseguradoras, fondos de inversión, entidades de pago, proveedores de servicios criptográficos, fondos de pensiones y a todos los proveedores TIC que prestan servicios críticos a estas entidades.
¿Se aplica DORA también a mi proveedor de software?
Sí. Si proporcionas software o servicios TIC a una entidad financiera que está bajo el ámbito de DORA, como proveedor TIC estás obligado a cumplir con los requisitos contractuales de DORA que la entidad financiera te imponga. Los proveedores TIC críticos pueden estar también directamente sujetos a supervisión europea.
¿Cuáles son las sanciones por incumplimiento de DORA?
Las sanciones pueden llegar hasta el 2% de la facturación anual global. Para los proveedores TIC críticos bajo supervisión directa de la UE se aplican sanciones adicionales.
¿Listo para ahorrar en software?
SoftVaro negocia por ti la mejor oferta con más de 4.000 proveedores. Independiente, transparente, en menos de 24 horas.