DORA: lo que su RSSI no le contó.

Una lectura práctica del Digital Operational Resilience Act para las entidades financieras europeas y sus proveedores críticos de TIC. Cinco pilares, qué hacer primero, la realidad de la sala de auditoría.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll pillars

La perspectiva de Cyber Academy

DORA (Regulation (EU) 2022/2554) es el reglamento de la UE que impone un marco unificado de resiliencia operativa digital a las entidades financieras y a sus proveedores terceros críticos de TIC. Aplicable desde el 17 de enero de 2025. Cinco pilares: gestión del riesgo de TIC, notificación de incidentes, pruebas de resiliencia incluyendo pruebas de penetración basadas en amenazas, riesgo de terceros de TIC, intercambio de información. Lex specialis sobre NIS 2 en materias de TIC.

TL;DR

  • 1Se aplica a unas 20 categorías de entidades financieras más los proveedores terceros críticos de TIC designados, desde el 17 de enero de 2025.
  • 2Cinco pilares. El registro de terceros (Pilar 4) y las pruebas de resiliencia (Pilar 3, incluyendo TLPT para las entidades significativas) son los más operativos y los más auditados.
  • 3Para las entidades significativas, pruebas de penetración basadas en amenazas cada tres años, supervisadas por la autoridad nacional conforme a TIBER-EU.
  • 4Los proveedores terceros críticos de TIC son supervisados directamente por las Autoridades Europeas de Supervisión (ESAs). Su riesgo de concentración ahora importa a nivel de la UE.
  • 5Combine con ISO 22301 para el BCMS, ISO 27001 para la gestión del riesgo de TIC, y Lead Operational Resilience Manager para la capa orientada al supervisor.

La mayoría de las entidades financieras no empezaron DORA desde cero. Tenían un ISMS, un plan de continuidad de negocio, una política de externalización, y un inventario de terceros que eran en su mayoría contratos de compras. DORA no descarta eso. Lo reformula, eleva el listón en dos pilares en particular, y desplaza la conversación de "¿tiene usted un control?" a "¿puede demostrar que su servicio sigue funcionando cuando un proveedor de TIC falla?". Esta página trata sobre esa brecha: cómo aterrizan realmente los cinco pilares en las operaciones, qué abre primero un supervisor, y dónde pierden tiempo los equipos.

Los cinco pilares, y quién es auditado en cada uno

El reglamento se construye sobre cinco pilares. No tienen el mismo peso en la práctica. El Pilar 1 es fundamental pero familiar para cualquiera que opere un ISMS. Los Pilares 3 y 4 son donde se concentra la atención supervisora, porque producen evidencia difícil de falsificar y fácil de poner a prueba. La tabla siguiente es la versión que utilizamos para informar a un consejo: qué exige cada pilar, y quién dentro de la entidad acaba más expuesto cuando el regulador pide pruebas.

Los cinco pilares de DORA: requisito y la función más auditada en cada uno
PilarQué exigeMás auditado en él
1. Gestión del riesgo de TICUn marco de gobernanza documentado: mapeo de activos y dependencias, identificación de riesgos, controles de protección y detección, respuesta y recuperación, con la propiedad del consejo y una función responsable designada.CISO / RSSI y el órgano de dirección, que debe demostrar una supervisión activa, no delegación.
2. Gestión y notificación de incidentes de TICClasificar los incidentes relacionados con las TIC según criterios armonizados, y luego notificar los incidentes graves a la autoridad competente en el calendario inicial / intermedio / final.La respuesta a incidentes y el SOC, más quien sea responsable de las notificaciones regulatorias.
3. Pruebas de resiliencia operativa digitalUn programa de pruebas basado en el riesgo; para las entidades significativas, pruebas de penetración basadas en amenazas (TLPT) sobre sistemas de producción en vivo al menos cada tres años.Las pruebas de seguridad, el red team, y los responsables de negocio de los sistemas incluidos en el alcance.
4. Riesgo de terceros de TICUn registro de todos los acuerdos con terceros de TIC, cláusulas contractuales sobre auditoría, salida y subcontratación, y análisis del riesgo de concentración.Compras, gestión de proveedores y el área jurídica, que deben presentar el registro y los contratos cuando se les requiera.
5. Intercambio de informaciónMecanismos voluntarios para intercambiar inteligencia sobre ciberamenazas entre entidades financieras.La inteligencia de amenazas; el pilar más ligero y rara vez un hallazgo por sí solo.

Qué hacer primero

El error es empezar por la actualización de políticas, porque ese es el trabajo cómodo. Empiece en cambio por los dos artefactos que un supervisor puede pedir por escrito y que más tardan en construirse correctamente: el registro de terceros de TIC y el mapeo de las funciones críticas o importantes a los activos y proveedores de TIC que las sustentan. Todo lo demás depende de ese mapeo. No puede delimitar el alcance de las pruebas de resiliencia, no puede clasificar la gravedad de los incidentes, y no puede razonar sobre el riesgo de concentración hasta que sepa qué funciones son críticas y de qué dependen.

Una secuencia viable para los primeros 90 días:

  1. Defina sus funciones críticas o importantes. Esta es una decisión de negocio, no de seguridad. Determina el alcance de casi todas las demás obligaciones.
  2. Mapee cada función crítica a los servicios de TIC, internos y externalizados, de los que depende. Este es su grafo de dependencias.
  3. Construya el registro de terceros a partir de ese grafo, no a partir de la hoja de cálculo de compras. El registro debe describir los acuerdos que sustentan funciones, incluidos los subcontratistas de la cadena.
  4. Cierre primero las brechas contractuales que DORA exige (derechos de auditoría, estrategias de salida, transparencia de la subcontratación, cooperación en incidentes) sobre los acuerdos que sustentan funciones críticas.
  5. Solo entonces formalice el marco de gestión del riesgo de TIC y el programa de pruebas, porque ambos tienen ya un alcance definido contra el cual trabajar.

El registro de terceros de TIC (Pilar 4) en la práctica

El registro no es una lista de proveedores. Es un conjunto estructurado de registros de información que la entidad mantiene y que las autoridades competentes recopilan, en una plantilla definida, para ver la concentración de TIC en todo el sector financiero. Eso cambia cómo se construye. Un campo que es "suficientemente bueno" para uso interno se convierte en un problema de calidad de datos cuando se agrega a nivel nacional y de la UE. Tres cosas causan la mayor parte del dolor.

Primero, la unidad es el acuerdo contractual, no el proveedor. Un mismo proveedor puede situarse detrás de varios acuerdos, y un mismo acuerdo puede sustentar varias funciones. Está describiendo un grafo de muchos a muchos, y aplanarlo en una fila por proveedor no sobrevivirá a la revisión.

Segundo, tiene que seguir la cadena. El registro debe capturar los subcontratistas que efectivamente sustentan una función crítica o importante, lo que significa que su visibilidad sobre el proveedor tiene que llegar más allá de su contraparte directa. Si su contrato no le da el derecho a saber quién es el cuarto tercero, esa es una brecha contractual que cerrar, no un campo que dejar en blanco.

Tercero, el indicador de criticidad de función en cada acuerdo es el campo del que todo lo demás depende. Marque demasiado como crítico y ahogará sus propias pruebas y remediación contractual; marque demasiado poco y subestimará el riesgo de concentración y engañará al supervisor. Acierte la evaluación de criticidad una vez, a nivel de función, y deje que se propague.

Pruebas de penetración basadas en amenazas (Pilar 3): cómo es realmente la sala

El TLPT es el pilar que sorprende a la gente, porque no se parece a una prueba de penetración rutinaria. Está dirigido por inteligencia, se ejecuta contra sistemas de producción en vivo, está delimitado a las funciones críticas o importantes, y se realiza conforme a la metodología TIBER-EU con la autoridad nacional involucrada. Las entidades significativas lo ejecutan al menos en un ciclo de tres años. Está más cerca de un ejercicio de red team supervisado que de un escaneo de vulnerabilidades, y el entregable que importa no es la lista de hallazgos; es la evidencia de que la detección y la respuesta funcionaron, o el relato honesto de por qué no lo hicieron.

Tres realidades que los equipos subestiman:

  • El alcance lo determinan las funciones críticas, no lo que es conveniente probar. Si una función abarca un proveedor externalizado, ese proveedor puede tener que estar dentro del alcance, lo que significa que la cooperación del proveedor tiene que asegurarse contractualmente por adelantado.
  • Por lo general no se avisa al blue team. El valor está en probar la detección y la respuesta reales, así que un TLPT del que se haya advertido a los defensores ha perdido la mayor parte de su sentido. Eso tiene consecuencias organizativas que se planifican, no se descubren a mitad del ejercicio.
  • Los probadores y los proveedores de inteligencia de amenazas deben cumplir requisitos de competencia e independencia, y la autoridad revisa el proceso. No puede simplemente reetiquetar el pentest anual del año pasado como TLPT.

Si su entidad está por debajo del umbral de significatividad, no ejecutará TLPT, pero aun así debe un programa de pruebas basado en el riesgo: evaluaciones de vulnerabilidad, pruebas basadas en escenarios, y pruebas de resiliencia de la vía de recuperación. El curso Lead Operational Resilience Manager está construido en torno exactamente a esta capa de pruebas y evidencia orientada al supervisor, y el curso DORA Lead Manager cubre cómo se gobierna el programa completo de extremo a extremo.

DORA como lex specialis sobre NIS 2 para los bancos

Los bancos, y la mayoría de las demás entidades financieras, caen dentro del ámbito tanto de NIS 2 como de DORA. Los dos se solapan en gran medida en el riesgo de TIC, la notificación de incidentes y la seguridad de la cadena de suministro, lo que plantea el temor evidente de hacerlo todo dos veces. DORA lo resuelve: en las materias de TIC que rige, DORA es lex specialis. La norma específica desplaza a la general. Allí donde DORA establece la obligación de gestión del riesgo de TIC y de notificación de incidentes, una entidad financiera sigue DORA, y las autoridades competentes no deberían aplicar el requisito equivalente de NIS 2 por encima de ella para la misma materia de TIC.

Lo que esto no significa: no desactiva por completo NIS 2 para una entidad financiera, y no cambia cuál es su autoridad competente para las materias no relacionadas con las TIC. La decisión práctica para un banco es mapear cada obligación a su instrumento rector: la resiliencia operativa de TIC, la notificación de incidentes y el riesgo de terceros de TIC se rigen por DORA; cualquier cosa fuera de DORA es un alcance que evalúa por separado. Documente ese mapeo. Es la respuesta a la pregunta de "¿está contando dos veces o de menos?" que tanto los examinadores como los auditores plantean.

Errores comunes y dónde construir la competencia

Los fallos recurrentes no son exóticos. El registro se construye por proveedor en lugar de por acuerdo y se rompe en cuanto la subcontratación importa. La criticidad de las funciones críticas la evalúa el área de TI en lugar del negocio, de modo que el alcance de todo lo que viene después es erróneo. Los umbrales de clasificación de incidentes se redactan pero nunca se prueban contra un incidente real, de modo que el primer evento grave se convierte en el primer ensayo del calendario de notificación. Y la continuidad de negocio se trata como un proyecto ISO 22301 separado en lugar de como el músculo de recuperación que las pruebas de DORA están destinadas a ejercitar.

Ese último punto importa: DORA no reemplaza un sistema de gestión de continuidad de negocio, lo presupone. Los objetivos de recuperación y la vía de recuperación probada que le da un BCMS son lo que las pruebas de resiliencia validan. Construya el BCMS correctamente con el curso ISO 22301 Lead Implementer, y se convierte en el sustrato sobre el que se apoyan las obligaciones de resiliencia operativa en lugar de un archivador paralelo que nadie abre.

Si parte del reglamento en sí, el curso DORA Foundation da a todo el equipo una lectura compartida y exacta de los cinco pilares y del ámbito antes de que nadie toque el registro o el programa de pruebas. A partir de ahí, el curso DORA Lead Manager es la capa de implementación y gobernanza para las personas que serán propietarias del marco, y el curso Lead Operational Resilience Manager es para la función que tiene que presentarse ante el supervisor y demostrar que la resiliencia es real, no documentada.

Frequently asked questions

01¿Quién está dentro del ámbito de DORA?

Alrededor de 20 categorías de entidades financieras: entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, entidades de contrapartida central, centros de negociación, depositarios centrales de valores, empresas de seguros y de reaseguros, intermediarios, proveedores de servicios de criptoactivos, proveedores de servicios de información sobre cuentas, gestores de fondos de inversión alternativos, sociedades de gestión, proveedores de servicios de suministro de datos, agencias de calificación crediticia, administradores de índices de referencia cruciales, proveedores de servicios de financiación participativa, registros de titulizaciones.

Más un régimen separado para los proveedores terceros críticos de TIC (CTPPs) designados por las ESAs sobre la base de una evaluación de criticidad. Los CTPPs se enfrentan a una supervisión directa por un Foro de Supervisión Conjunto dirigido por una ESA.

02¿Qué es el TLPT y quién lo necesita?

El Threat-Led Penetration Testing es un ejercicio de red team supervisado por el regulador exigido a las entidades financieras significativas conforme a DORA. Construido sobre el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Cada tres años como mínimo.

El TLPT está dirigido por inteligencia (perfil de amenaza elaborado por un equipo de inteligencia separado), se dirige a funciones críticas o importantes de la entidad, y es supervisado por la autoridad nacional. Dura varios meses, es costoso, y es la prueba más rigurosa a la que se enfrentará un CISO financiero.

03¿Cómo interactúa DORA con NIS 2 para los bancos?

DORA es lex specialis en materias de TIC. Allí donde DORA se aplica, prevalece sobre NIS 2 para las disposiciones relativas a las TIC. Para las materias de NIS 2 no relacionadas con las TIC (seguridad física, ciertos aspectos de gobernanza, alcance de la formación), NIS 2 sigue aplicándose en paralelo.

En la práctica, un banco dentro del ámbito de ambos aplica DORA en su totalidad para el riesgo de TIC, la notificación de incidentes, las pruebas de resiliencia y el riesgo de terceros de TIC, mientras consulta NIS 2 para la línea de base de gobernanza de ciberseguridad restante.

04¿Qué va en el registro de terceros de TIC?

El Article 28 más las RTS de la EBA sobre subcontratación y sobre el registro de información especifican los campos. Cada acuerdo contractual con un proveedor de servicios de TIC se registra con: naturaleza de los servicios, criticidad, cadena de subcontratación visible para la entidad, ubicación de los servicios, ubicación de los datos, SLAs de rendimiento, estrategia de salida, mecanismos de gobernanza.

El registro es el documento que la autoridad de supervisión pide primero. La mayoría de las entidades financieras subestiman la carga de mantenimiento; un registro desactualizado se trata como un hallazgo.

05¿Cuál es la relación entre DORA e ISO 22301?

DORA no exige la certificación ISO 22301 pero las obligaciones de BCM y de recuperación ante desastres del reglamento (Articles 11-12) se corresponden casi uno a uno con un BCMS conforme a ISO 22301. La mayoría de las entidades que ya operan un BCMS 22301 añaden la capa de pruebas y notificación específica de DORA sin reconstruir los cimientos.

Ediciones que convierten la lectura en una certificación.

Pilar leído. ¿Qué sigue?

Cada pilar enlaza con la edición que lo convierte en una certificación. Explora el catálogo o háblanos para un itinerario personalizado.