Desde su entrada en vigor en enero de 2025, la normativa DORA (“Digital Operational Resilience Act” por sus siglas en inglés) se ha consolidado como una pieza clave dentro del conjunto de medidas europeas enfocadas en las finanzas digitales.
Esta regulación establece un marco normativo integral para reforzar la resiliencia operativa de las tecnologías de la información y la ciberseguridad de las entidades financieras, incluidas las entidades tradicionales como bancos, aseguradoras y firmas de inversión, así como actores no tradicionales, como los proveedores de servicios de criptoactivos y las plataformas de financiación participativa.
A continuación, analizamos la importancia de la normativa DORA y, con el apoyo de los equipos de Cumplimiento y Seguridad del Powens Group, explicamos cómo la hemos incorporado en nuestra plataforma.
¿Qué es DORA?
DORA es una normativa europea diseñada para fortalecer la resiliencia operativa de las instituciones financieras y sus proveedores tecnológicos. Su objetivo es garantizar que las empresas (incluidas aquellas como Powens Group) puedan resistir, responder y recuperarse ante cualquier tipo de interrupción relacionada con las TIC, ya sea provocada por un ciberataque, un fallo técnico, un error interno o un incidente externo.
Los 5 pilares principales de la normativa DORA
La normativa DORA de la UE se articula en torno a cinco pilares fundamentales para lograr una resiliencia operativa robusta:
- Gestión de riesgos de las tecnologías de la información y la comunicación (TIC)
- Gestión, clasificación y notificación de incidentes relacionados con las TIC
- Pruebas de resiliencia operativa digital
- Gestión de riesgos de terceros
- Intercambio de información entre entidades financieras (sobre amenazas cibernéticas)
En conjunto, estos pilares constituyen la base para fortalecer la resiliencia, mitigar los riesgos tecnológicos y responder de forma coordinada y estandarizada a las amenazas digitales.
¿Por qué es importante la normativa DORA para las entidades de servicios financieros?
En un sector cada vez más dependiente de la tecnología y de sus proveedores, las entidades financieras son especialmente vulnerables a ciberataques emergentes, fallos de sistemas y otras interrupciones digitales. La normativa DORA aborda directamente este reto, al garantizar la continuidad operativa frente a estos riesgos. Esto permite a las entidades adoptar medidas más eficaces y reforzar sus sistemas de gestión del riesgo tecnológico. Claire Jeandel, Head of Compliance de Powens Group, lo resume así:
“Las entidades financieras deben garantizar su capacidad para resistir, responder y recuperarse ante perturbaciones relacionadas con las TIC. La normativa DORA anima a estas instituciones a integrar la resiliencia digital en una estrategia global a nivel empresarial, con implicaciones concretas en materia de gobernanza.”
Además, la DORA simplifica el cumplimiento normativo para aquellas empresas que operan en varios países. Al ofrecer un marco armonizado para todas las entidades financieras europeas, independientemente de su tamaño, gracias a la aplicación del principio de proporcionalidad, elimina solapamientos y vacíos que existían anteriormente entre regulaciones nacionales.
¿Cuáles son los posibles efectos de la DORA para las entidades de dinero electrónico (EMI)?
Para las entidades reguladas, los efectos son numerosos y relevantes.
La resiliencia digital debe incorporarse como parte central de la estrategia global de la empresa, con un impacto directo en la gobernanza y en la gestión de riesgos. La normativa DORA establece un conjunto de reglas y estándares destinados a mitigar los riesgos tecnológicos, exigiendo un enfoque proactivo en la gestión de los mismos para garantizar la continuidad operativa en caso de incidente.
De acuerdo con los cinco pilares de DORA, los principales impactos incluyen:
- Gobernanza y supervisión: el Comité Ejecutivo (“ExCom”) debe dedicar tiempo específico a cuestiones relacionadas con las TIC, como la gestión de riesgos, la gobernanza y la notificación de incidentes.
- Estructuras formales: creación de comités específicos con participación de equipos operativos y órganos de dirección, centrados en la supervisión de las TIC.
- Refuerzo de políticas y procesos: actualización y fortalecimiento de los procesos existentes relacionados con la gestión de riesgos tecnológicos.
- Pruebas de resiliencia: ampliación del plan anual de pruebas e implementación de ejercicios obligatorios de resiliencia operativa digital.
- Gestión de incidentes: mejora de los protocolos de gestión de incidentes, incluyendo la notificación al regulador, la resolución y el análisis post incidente.
- Gestión de riesgos de terceros:
- Revisión de los contratos actuales con proveedores TIC e incorporación de cláusulas conforme a la normativa DORA.
- Evaluación de los riesgos asociados a servicios TIC externalizados que respalden funciones críticas.
Notificación anual al regulador nacional sobre todos los servicios TIC externalizados. - Establecimiento de comités directivos con cada proveedor TIC que respalde funciones críticas.
- Intercambio de información sobre amenazas: participación en grupos de trabajo para compartir información sobre ciberamenazas con otras entidades del sector financiero.
¿Cómo implementamos la normativa DORA en Powens?
En Powens, la implementación de la normativa DORA ha sido mucho más que un ejercicio de cumplimiento. La hemos abordado como una oportunidad estratégica para fortalecer nuestras operaciones y proteger nuestro ecosistema. Como señala Jonathan Signorino, Chief Information Security Officer (CISO) de Powens Group:
“Comenzamos por mapear todos los requisitos y controles de DORA, alineándolos con nuestro marco interno. A cada control se le asigna un responsable claro, un proceso definido y evidencias específicas para respaldar el cumplimiento continuo. Este enfoque nos proporciona una visibilidad total y una responsabilidad compartida en todos los equipos, garantizando que la resiliencia operativa esté integrada en cada capa de la organización”.
También hemos puesto un fuerte énfasis en la concienciación y la formación. DORA no es solo un asunto de seguridad: forma parte de la mentalidad general de la empresa. En Powens, la hemos incorporado al día a día a través de talleres, documentación interna y apoyo a cada equipo para que comprenda su papel en el mantenimiento de la resiliencia operativa.
Al tratar DORA como un marco dinámico —y no como una simple lista de verificación— aseguramos una mejora continua y una preparación real ante los retos del entorno. De este modo, el cumplimiento se convierte en un motor de confianza, madurez y eficiencia.
¿Cómo garantiza DORA la confianza de nuestros clientes y socios?
“DORA representa un compromiso compartido con la resiliencia y la fiabilidad en todo el ecosistema financiero. Para nosotros, es la piedra angular de cómo ganamos y mantenemos la confianza”. — Jonathan Signorino, CISO de Powens
Con la implementación de DORA, en Powens no solo cumplimos con las exigencias regulatorias: también reforzamos de forma proactiva nuestra capacidad para afrontar riesgos operativos, cibernéticos y de terceros. Nuestros clientes y socios pueden confiar en que nuestros sistemas se prueban de forma continua, nuestros procesos son transparentes y nuestra gobernanza es robusta y auditable.
Esta transparencia y rigurosidad se traducen directamente en confianza: saber que sus datos, operaciones y experiencias como cliente están protegidos, incluso bajo presión.
En última instancia, la normativa DORA nos ayuda a consolidar lo que realmente significa la confianza: coherencia, preparación y responsabilidad. Gracias a ella, no solo garantizamos el cumplimiento normativo, sino también la resiliencia y la construcción de relaciones a largo plazo basadas en la fiabilidad y los valores compartidos.
¿Quiere saber cómo Powens puede ayudar a tu empresa a alinearse con la normativa DORA? Contáctanos hoy mismo para iniciar la conversación.
