El reglamento DORA (Digital Operational Resilience Act) ya está aquí. La nueva normativa europea pone orden y responsabilidad en un entorno financiero hiperconectado y vulnerable. Dicen que es la ley para la resiliencia operativa digital, una reglamentación de los servicios financieros en la UE para el mantenimiento de la ciberseguridad.
En los últimos años, el sector financiero europeo ha vivido una transformación digital acelerada. Pagos electrónicos, servicios financieros en la nube, intermediarios 100% digitales… Todo ha contribuido a una mayor eficiencia, pero también ha expuesto a bancos, aseguradoras y otros actores financieros a un riesgo creciente: el operativo digital.
La normativa DORA (Reglamento (UE) 2022/2554) nace para poner orden y responsabilidad en este escenario. Y lo hace con una premisa clara: no hay estabilidad financiera sin seguridad digital.
Lejos de ser una carga, DORA es una oportunidad. Obliga a las entidades a conocer mejor sus sistemas, a probarlos, a planificar su continuidad y a controlar de verdad a sus proveedores tecnológicos. Todo ello en un marco común, armonizado a nivel europeo, que facilita el control y la colaboración entre supervisores.
La clave está en entender que la seguridad no es una opción, es un deber. Y que la regulación no es un obstáculo, sino una guía para no desviarse en un entorno donde un fallo técnico puede tener efectos sistémicos.
No olvidemos que los incidentes TIC no conocen fronteras. Como señala el propio reglamento, un ciberataque localizado puede propagarse en cuestión de horas a través de cadenas de suministro o proveedores críticos, generando desconfianza y daños en cascada.
Por eso, DORA también empodera a las autoridades. Refuerza sus capacidades de supervisión, exige canales de notificación comunes y establece un marco sancionador firme. Porque, seamos claros: todos somos tan buenos como nos lo permiten ser. Y sin un sistema que fiscalice y penalice el incumplimiento, las buenas intenciones se diluyen.
La madurez digital no es solo cuestión de tecnología. Es también de gobernanza, de cultura y de responsabilidad. Por eso, el órgano de dirección de cada entidad tendrá que implicarse de verdad, supervisando planes, presupuestos, formaciones y pruebas. DORA ha dejado claro que la ciberseguridad no puede delegarse ni improvisarse.
En definitiva, DORA es una norma ágil, clara y proporcionada. Se adapta al tamaño de cada entidad, tiene en cuenta a las microempresas y está pensada para hacer del riesgo digital una prioridad compartida.
Hoy, cumplir con DORA no es solo evitar sanciones. Es ser competitivo, ser fiable, ser responsable. Porque en un mercado que se construye sobre la confianza, proteger es crecer.
Ricardo Barrasa, director de Compliance & Risk de CORRECTA DIGITAL.
