Reglamento de Resiliencia Operativa Digital

¿Quiénes deben cumplir con el Reglamento de Resiliencia Operativa Digital (DORA)?

Inicio / ¿Quiénes deben cumplir con el Reglamento de Resiliencia Operativa Digital (DORA)?

El Reglamento de Resiliencia Operativa Digital (DORA) es la normativa de la Unión Europea que busca reforzar la seguridad informática, cerrar brechas de ciberseguridad y fortalecer, como su título expresa, la resiliencia operativa en empresas del sector financiero.

Reciba asesoramiento de un consultor experto de ISOTools sin compromiso

El Reglamento de Resiliencia Operativa Digital entró en vigor en enero de 2023, pero tiene aplicación práctica para las empresas obligadas a partir de este 2025. DORA permitirá a las organizaciones del sector resistir, responder y recuperarse ante la presencia de una amenaza, una irrupción o una vulneración de sus sistemas informáticos y de comunicaciones.

Qué empresas deben cumplir con el Reglamento de Resiliencia Operativa Digital

La Regulación DORA es una normativa diseñada para cumplir objetivos en empresas del sector financiero. El Reglamento de Resiliencia Operativa Digital establece tres grupos de empresas obligadas. Sin embargo, es importante determinar que no todas tienen las mismas obligaciones.

Es interesante observar que uno de esos tres grupos se enfoca en organizaciones que no necesariamente pertenecen al sector financiero, pero sí guardan una relación tangencial con organizaciones financieras.

Qué organizaciones están obligadas a cumplir con el Reglamento de Resiliencia Operativa Digital

El Reglamento de Resiliencia Operativa Digital se aplica para la mayoría de las organizaciones del sector financiero que operan en la Unión Europea y que se dividen en dos grupos de acuerdo con su tamaño. El tercer grupo de empresas obligadas a cumplir el Reglamento DORA son las que proveen servicios TIC externos para organizaciones financieras. Los tres grupos son los siguientes:

1. Entidades financieras de gran tamaño obligadas con DORA

Y que tienen a su cargo el cumplimiento de los requisitos plenos. Se trata de todas las organizaciones que desarrollan las siguientes actividades en cualquiera de los países de la Unión Europea:

  • Entidades de crédito.
  • Entidades de pago.
  • Proveedores de servicios de información de cuentas.
  • Entidades que gestionan dinero electrónico.
  • Inversionistas.
  • Criptomonedas y criptoactivos.
  • Bancos centrales y depositarios de valores.
  • Organizaciones de contrapartida central.
  • Centros de negociación.
  • Registros de operaciones.
  • Fondos de inversión alternativos.
  • Sociedades de gestión.
  • Proveedores de servicios de información de datos.
  • Aseguradoras y reaseguradoras.
  • Organizaciones intermediarias o comisionistas de seguros, de reaseguros o de seguros complementarios.
  • Organizaciones de pensiones de empleo.
  • Agencias calificadoras de crédito.
  • Administradores de puntos de referencia críticos.
  • Proveedores de servicios de financiación participativa.
  • Repositorios de titulaciones.

2. Organizaciones financieras de menor tamaño

Las organizaciones de este segmento tienen menos obligaciones de cumplimiento con el Reglamento de Resiliencia Operativa Digital. Ellas deben cumplir con el marco simplificado de Gestión de Riesgos TIC, del que habla el artículo 16 de DORA. Este grupo lo conforman las siguientes empresas:

  • Pequeñas empresas de inversión no interconectadas.
  • Entidades de pago pequeñas, exentas por decisión de los Estados miembros, de acuerdo con lo determinado por la Directiva UE 2015/2366
  • Entidades de crédito definidas en la Directiva 2013/36/UE que no han sido excluidas por los estados miembros de DORA.
  • Entidades de dinero electrónico pequeñas exentas por decisión de los estados miembros, de acuerdo con la Directiva 2009/110/CE.
  • Organizaciones de previsión de jubilación profesional de menor tamaño.

3. Proveedores de servicios TIC externos

Este grupo de empresas deben cumplir con la normativa DORA, específicamente con los requisitos que aparecen en el Capítulo V sobre gestión de riesgos de terceros que prestan servicios de TIC. Los proveedores de servicios tecnológicos deben cumplir, además, con cada una de sus obligaciones contractuales únicas. Para algunos de estos proveedores, los requisitos pueden ser mucho más exigentes, de acuerdo con la calificación de riesgo de los servicios que presta.

Software ISO 27001

El Software ISO 27001 es una solución tecnológica creada a partir de Inteligencia Artificial para digitalizar la gestión de Sistemas de Seguridad de la Información y establecer un marco de trabajo en el que se elimine la posibilidad de error humano.

La plataforma ayuda a resolver las necesidades reales de las empresas que trabajan para garantizar la seguridad de su información y para cumplir con reglamentos como RGPD o DORA. Si deseas obtener una visión completa e integral sobre el aporte que esta plataforma puede hacer a tu organización y sus ventajas, contacta con un asesor aquí.

RECIBA ASESORAMIENTO SIN COMPROMISO
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

CTN
¿Qué son los CTN o Comités Técnicos de Normalización de normas ISO?
21 febrero, 2025

La normalización es un proceso fundamental para garantizar la calidad, seguridad y eficiencia de productos, servicios y sistemas...

Ver más
Cumplimiento De La IA
Gestión del cumplimiento de la IA con la norma ISO 42001
18 febrero, 2025

La gestión del cumplimiento de la IA entra en una nueva era con la publicación de la norma…

Ver más
ISO 27701
Claves de la certificación en ISO 27701
17 febrero, 2025
La norma ISO/IEC 27701 surge como una extensión de la ISO/IEC 27001 para establecer un marco sólido de gestión de la información de...
Ver más
Día Mundial De La Energía
10 formas de celebrar el Día mundial de la energía 2025 con la norma ISO 50001
14 febrero, 2025

La energía es un recurso fundamental para el desarrollo de la sociedad y el funcionamiento de las empresas. Sin embargo, su...

Ver más

Volver arriba