Desde enero de 2025, el Reglamento de Resiliencia Operativa Digital (DORA) está plenamente en vigor. Para los bancos, las aseguradoras y las empresas de inversión, esto supone nuevas obligaciones en materia de resiliencia digital. Pero los cambios no afectan solo a las entidades financieras, sino que impactan directamente a todo proveedor de TI que preste servicios al sector financiero. Y no se trata de una amenaza futura abstracta, está ocurriendo ahora mismo.
Qué es DORA y por qué debería importarle
DORA es un reglamento de la UE que introduce un marco unificado para la gestión de riesgos de TIC en el sector financiero. A diferencia de directivas anteriores, DORA se dirige explícitamente también a terceros (proveedores de TI, proveedores de servicios en la nube y desarrolladores de software).
Si su empresa desarrolla software para un banco o una aseguradora, DORA le afecta. De forma bastante directa y concreta.
Requisitos que aparecen en las licitaciones
1. Gestión de riesgos de TIC
Las entidades financieras deben demostrar que sus proveedores tienen establecidos procesos de gestión de riesgos de TIC. En la práctica, las licitaciones ya incluyen preguntas como:
- ¿Tiene un ISMS (Information Security Management System)?
- ¿Cómo gestiona el patch management?
- ¿Cuáles son sus procesos de gestión de vulnerabilidades?
2. Pruebas de resiliencia digital
DORA exige pruebas periódicas de la resiliencia de los sistemas de TI. Los proveedores deben estar preparados para:
- Pruebas de penetración, incluido el TLPT (Threat-Led Penetration Testing)
- Pruebas de continuidad del negocio
- Escenarios de recuperación ante desastres
3. Notificación de incidentes
El nuevo régimen de notificación de incidentes de TIC implica que los proveedores deben contar con procesos claros para:
- La detección y clasificación de incidentes
- El escalado y la notificación al cliente dentro de los plazos establecidos
- La entrega de análisis de causa raíz
4. Gestión de terceros
Las entidades financieras deben mantener un registro de todos los proveedores de TIC y clasificarlos según su criticidad. Prepárese para:
- Cuestionarios de due diligence ampliados
- Requisitos de certificación (ISO 27001, SOC 2)
- Derecho a auditar sus sistemas y procesos
- Evaluaciones periódicas del desempeño del proveedor
5. Requisitos contractuales
DORA define con precisión lo que deben contener los contratos con proveedores de TIC:
- SLA con KPI medibles
- Estrategias de salida y planes de migración
- Obligaciones al finalizar la colaboración
Qué significa esto para las empresas de TI eslovacas
Muchas empresas de TI eslovacas suministran software a entidades financieras, ya sea directamente o como subcontratistas de integradores mayores. DORA sube el listón para todos los que forman parte de la cadena de suministro.
Las empresas que se preparen a tiempo para DORA tendrán negociaciones más fluidas con los bancos. Las que lo ignoren podrían enterarse, a través de una licitación, de que su oferta no cumplía las condiciones.
Cómo lo abordamos nosotros
En Rise.sk desarrollamos software para clientes de sectores regulados, incluido el financiero. El año pasado ayudamos a un cliente a superar una auditoría de cumplimiento de DORA. El mayor reto no fue técnico. La documentación de los procesos solo existía en la cabeza de las personas. Desde entonces, la documentación de seguridad es parte estándar de todos nuestros proyectos.
Cómo empezar
Si presta servicios de TI al sector financiero y quiere prepararse para DORA:
- Mapee los requisitos e identifique qué partes de DORA le aplican
- Implemente un ISMS. Si aún no tiene uno, empiece por la ISO 27001
- Prepare documentación para la gestión de incidentes, el BCP y la recuperación ante desastres
- Realice pruebas con regularidad, tanto de penetración como de resiliencia
¿Necesita ayuda para desarrollar software que cumpla los requisitos de DORA? Póngase en contacto con nosotros, podemos ayudarle con la documentación de seguridad y los procesos.