DORA explicado: impacto en la compra de software en el sector financiero
DORA entra en vigor el 17 de enero de 2025 y cambia fundamentalmente cómo las organizaciones financieras compran y contratan software. Esto es todo lo que necesitas saber sobre los cinco pilares, los requisitos contractuales y el impacto en la gestión de proveedores.
- 1 de febrero de 2025
- 5 min
- DORA – Ley de Resiliencia Operativa Digital
DORA, la Ley de Resiliencia Operativa Digital, entra en vigor el 17 de enero de 2025 en todos los Estados miembros de la UE. Para las organizaciones financieras y sus proveedores de TI, hay un cambio fundamental: la resiliencia digital ya no es solo un asunto interno de TI, sino una obligación empresarial regulada con supervisión y sanciones.
¿Qué es DORA?
DORA es un reglamento de la UE, no una directiva, sino una ley directamente aplicable que regula la resiliencia operativa digital del sector financiero. El reglamento forma parte del Paquete de Finanzas Digitales y se aplica a 20 categorías de entidades financieras, desde bancos y aseguradoras hasta fintechs y proveedores de servicios criptográficos.
Los cinco pilares de DORA
DORA estructura sus requisitos alrededor de cinco áreas clave:
Gestión de riesgos TIC: Un marco integral para identificar, clasificar y controlar los riesgos TIC
Reporte de incidentes: Los incidentes TIC importantes deben ser reportados a los reguladores en plazos estrictos
Pruebas de resiliencia digital: Pruebas periódicas de penetración y escenarios de resiliencia para sistemas críticos
Gestión del riesgo de terceros: Obligaciones contractuales, registros de proveedores y análisis de riesgos de concentración
Intercambio de información: Compartir proactivamente información sobre amenazas dentro del sector
¿Qué significa DORA para la compra de software?
El cuarto pilar, la gestión del riesgo de terceros, tiene un impacto directo en cómo las organizaciones financieras compran y contratan software:
Requisitos contractuales mínimos: Cada contrato TIC debe incluir cláusulas sobre SLA, notificación de incidentes, derechos de auditoría, planes de salida, ubicación de datos y continuidad
Registro de proveedores TIC: Es obligatorio mantener un registro actualizado y completo de todos los proveedores TIC y debe estar disponible para los reguladores
Riesgo de concentración: Se debe evaluar y reportar la dependencia excesiva de un único proveedor (por ejemplo, un solo proveedor de nube)
Subcontratistas: También los proveedores de tus proveedores están dentro del alcance de DORA
SoftVaro ayuda a las organizaciones financieras a mapear su ecosistema de software y a hacer que los contratos cumplan con DORA.
Preguntas frecuentes
Las preguntas más frecuentes sobre este tema.
¿A quién se aplica DORA?
DORA se aplica a bancos, aseguradoras, instituciones de inversión, instituciones de pago, proveedores de servicios criptográficos, fondos de pensiones y todos los proveedores TIC que ofrecen servicios críticos a estas entidades.
¿DORA también se aplica a mi proveedor de software?
Sí. Si provees software o servicios TIC a una entidad financiera sujeta a DORA, como proveedor TIC estás obligado a cumplir con los requisitos contractuales de DORA que dicha entidad te imponga. Los proveedores TIC críticos también pueden estar sujetos a supervisión directa de la UE.
¿Cuáles son las sanciones por incumplimiento de DORA?
Las sanciones pueden llegar hasta el 2% de la facturación anual global. Para los proveedores TIC críticos sujetos a supervisión directa de la UE, existen sanciones adicionales.
¿Listo para ahorrar en software?
SoftVaro negocia por ti el mejor trato con más de 4.000 proveedores. Independiente, transparente, en 24 horas.