Tabla de Contenidos
¿Qué es el Reglamento DORA?
El Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero, más conocido como DORA, es una normativa europea que entró en vigor el 17 de enero de 2025. Su objetivo es reforzar la capacidad de las entidades financieras, incluidas aseguradoras y distribuidores de seguros, para prevenir, resistir, recuperarse y responder ante cualquier tipo de incidente informático o ciberataque.
Esta normativa forma parte del conjunto de medidas impulsadas por la Unión Europea para proteger la estabilidad financiera en un entorno cada vez más digitalizado y dependiente de sistemas tecnológicos.
¿A quién afecta esta regulación?
El Reglamento DORA afecta a una amplia gama de entidades, tanto grandes como pequeñas, del ecosistema financiero. Entre ellas:
- Entidades aseguradoras y reaseguradoras.
- Corredurías de seguros.
- Agencias de suscripción.
- Empresas de servicios de inversión.
- Proveedores externos de servicios TIC.
En el caso del sector asegurador, también impacta en los intermediarios que hagan uso de plataformas tecnológicas, sistemas de gestión online, herramientas de firma digital o canales de contratación digital.
Obligaciones clave que introduce DORA
A partir de su aplicación, las organizaciones deberán adaptarse a cinco grandes pilares de cumplimiento:
- Gestión del riesgo TIC: establecer marcos y políticas de gobernanza para identificar, evaluar y mitigar los riesgos tecnológicos.
- Clasificación y notificación de incidentes: reportar los incidentes graves de forma estructurada a la autoridad competente, incluyendo los que afecten a la continuidad del servicio.
- Pruebas de resiliencia operativa digital: implementar test periódicos, simulaciones de ciberataques, auditorías y validaciones de seguridad.
- Gestión de terceros TIC: controlar y supervisar a los proveedores tecnológicos clave mediante cláusulas contractuales, auditorías y seguimiento de dependencias críticas.
- Intercambio de información entre entidades: se fomenta el intercambio de buenas prácticas e inteligencia sobre ciber amenazas para mejorar la respuesta global del sector.
¿Qué deben hacer los mediadores y aseguradoras?
El Reglamento DORA exige a todos los actores del mercado una revisión completa de sus procesos tecnológicos. Para corredores, agentes y pequeñas corredurías, esto implica:
- Evaluar sus plataformas de gestión y contratación.
- Establecer controles sobre backups, cifrado, autenticación y acceso seguro.
- Supervisar a los proveedores tecnológicos externos.
- Involucrar a la dirección en las decisiones de ciberseguridad.
Las aseguradoras deberán también definir comités de riesgo tecnológico y actualizar sus planes de continuidad de negocio en base a ciber escenarios.
¿Por qué es importante anticiparse?
Adaptarse al Reglamento DORA no es una tarea rápida. Requiere implicación de todas las áreas de la organización, evaluación de recursos, y en muchos casos, rediseño de procesos tecnológicos y formativos. Las entidades que comiencen pronto tendrán ventaja competitiva al demostrar compromiso con la seguridad digital.
Además, cumplir con DORA refuerza la confianza de los clientes, reduce la exposición a sanciones y mejora la reputación corporativa.
Más información oficial y recursos
La Dirección General de Seguros y Fondos de Pensiones ha habilitado una sección específica con documentos explicativos, fichas resumen y recursos de utilidad sobre DORA, disponibles en: https://dgsfp.mineco.gob.es/
