El reglamento DORA (Digital Operational Resilience Act) es una normativa europea que tiene como objetivo garantizar que todas las entidades financieras dentro de la Unión Europea sean resilientes frente a incidentes operativos digitales Estos incluyen ciberataques, fallos tecnológicos o interrupciones provocadas por proveedores críticos de servicios externos.

En términos simples, DORA obliga a las entidades financieras y tecnológicas a demostrar que pueden resistir, responder y recuperarse ante cualquier amenaza digital, protegiendo la estabilidad del sistema financiero europeo.

Aprobado oficialmente en enero de 2023, entró en plena aplicación el 17 de enero de 2025, momento en el cual las autoridades de supervisión comenzarán las auditorías de cumplimiento en cada país miembro.

Objetivos y propósito del reglamento DORA

El reglamento DORA tiene como principal objetivo establecer un marco común de ciberresiliencia para todo el ecosistema financiero europeo. Sus principales objetivos son:

  • Fortalecer la resiliencia digital frente a interrupciones tecnológicas o ciberataques.
  • Unificar los criterios de supervisión en todos los países de la UE bajo un estándar común.
  • Garantizar la continuidad operativa incluso ante fallos en proveedores externos críticos.
  • Reducir el riesgo sistémico derivado de la dependencia de tecnología y terceros.
  • Aumentar la transparencia y la coordinación entre entidades, autoridades y reguladores.

Los cinco pilares del reglamento DORA

El reglamento DORA se estructura en cinco pilares fundamentales que definen los requisitos mínimos para las entidades financieras y sus proveedores tecnológicos:

1. Gestión del riesgo TIC (Information and Communication Technology Risk Management)

DORA exige que todas las entidades gestionen de forma integral sus riesgos tecnológicos, incluyendo infraestructuras, software, datos y comunicaciones.

Esto implica definir políticas de seguridad, clasificar los activos críticos, aplicar medidas preventivas y disponer de planes de contingencia actualizados.

En entornos IBM z/OS mainframe, esto significa contar con controles automatizados que monitoricen semanalmente el estado de seguridad, privilegios RACF, cifrado de datos y exposición de servicios, algo que plataformas como Bsecure DataPASS permiten hacer de forma continua y auditada.

2. Gestión de incidentes y notificación

Las organizaciones deben establecer procedimientos de detección, clasificación y comunicación de incidentes.

Cualquier incidente grave de ciberseguridad o interrupción tecnológica debe notificarse a las autoridades competentes en un plazo máximo determinado.

DORA busca garantizar que los supervisores financieros tengan una visión inmediata del impacto operativo y puedan coordinar una respuesta rápida a nivel europeo.

El IBM z/OS mainframe debe también contar con protocolos sólidos de gestión de incidentes, incluyendo:

  • Recopilación y reporte automatizado de logs utilizando herramientas como RACF.
  • Detección en tiempo real de anomalías o violaciones.
  • Notificación oportuna de los problemas a las autoridades supervisoras.

3. Pruebas de resiliencia digital

Este pilar obliga a realizar pruebas periódicas de ciberresiliencia, tanto técnicas como operativas, para comprobar que los sistemas pueden resistir ataques o interrupciones reales.

Entre las pruebas recomendadas se incluyen:

  • Test de penetración avanzada (Threat-Led Penetration Testing, TLPT).
  • Ejercicios de recuperación ante desastres (Disaster Recovery Tests).
  • Simulaciones de crisis (Table-Top Exercises).

En el caso de los mainframes IBM zSeries, estas pruebas deben incluir la verificación de la seguridad RACF, integridad del SYSPLEX, y disponibilidad de servicios CICS, DB2 o MQ bajo escenarios de fallo controlado.

4. Gestión de riesgos de terceros proveedores TIC

Las entidades deben evaluar y controlar los riesgos derivados de los proveedores externos, especialmente los que prestan servicios esenciales como cloud, ciberseguridad, desarrollo o infraestructura.

DORA introduce la obligación de mantener un registro detallado de todos los proveedores críticos, y exige que los contratos incluyan cláusulas específicas sobre resiliencia, auditoría y terminación de servicios.

Para muchas entidades, esto incluye también a proveedores de seguridad especializados en mainframe, donde el acceso remoto y la gestión de auditorías deben cumplir con requisitos de cifrado, autenticación y trazabilidad.

5. Intercambio de información y cooperación

El último pilar promueve el intercambio de inteligencia sobre ciberamenazas (Cyber Threat Intelligence, CTI) entre las organizaciones financieras, autoridades y proveedores tecnológicos.

El objetivo es mejorar la capacidad colectiva de detección y respuesta ante ataques a gran escala, fomentando una cultura de seguridad colaborativa en el ecosistema europeo.

¿A quién afecta DORA y quién está implicado?

DORA afecta a todas las entidades financieras dentro de la Unión Europea, incluyendo:

  • Bancos y cajas de ahorro.
  • Compañías de seguros y reaseguros.
  • Sociedades de inversión y gestoras de fondos.
  • Proveedores de servicios de pago.
  • Infraestructuras de mercado financiero (bolsas, cámaras de compensación).
  • Proveedores tecnológicos críticos (incluidos servicios mainframe, cloud o ciberseguridad).

Esto significa que tanto las entidades supervisadas como sus proveedores tecnológicos deben demostrar que cumplen con los cinco pilares de DORA y mantienen una resiliencia digital documentada y verificable.

Sanciones por incumplimiento de DORA

El incumplimiento de DORA puede conllevar sanciones económicas significativas, suspensión de actividades o incluso pérdida de autorización para operar en la UE.

Aunque la cuantía exacta dependerá de cada país, los reguladores podrán imponer multas proporcionales a la gravedad del incumplimiento y exigir planes correctivos inmediatos.

Además, las entidades que no puedan demostrar medidas eficaces de continuidad operativa o supervisión de terceros podrían ser consideradas no conformes con los estándares de resiliencia, afectando su reputación y relaciones con clientes e inversores.

Conclusión: DORA y la nueva era de la resiliencia digital

El reglamento DORA marca un punto de inflexión en la ciberseguridad financiera europea, estableciendo la obligación de pasar de la reacción a la resiliencia proactiva.

Las entidades que operan con entornos IBM z/OS o mainframe deben asegurar que su infraestructura cumple los cinco pilares mediante auditorías continuas, trazabilidad de riesgos y validaciones automáticas de seguridad.

En Bsecure – The Mainframe & Security Company, ayudamos a las organizaciones a demostrar y mantener el cumplimiento de DORA y NIS2 mediante nuestras soluciones DataPASS (auditoría continua) y DataPASS HUB (modelo para partners).

Para ampliar información, visita nuestro artículo:
👉 Cómo automatizar el cumplimiento de DORA en entornos mainframe IBM z/OS