DORA: ¿Una regulación europea que transformará la resiliencia digital global?
¿Qué es DORA y por qué debería importarnos en América Latina?
El Reglamento de Resiliencia Operativa Digital (DORA) es una legislación de la Unión Europea (UE), en vigor desde enero de 2023, con aplicación obligatoria a partir del 17 de enero de 2025. Su objetivo principal es garantizar que las entidades financieras y sus proveedores tecnológicos puedan prevenir, resistir y recuperarse ante incidentes cibernéticos y tecnológicos de gran escala.
Aunque DORA es una regulación europea, su impacto no se limita a las fronteras de la UE. Al igual que ocurrió con el Reglamento General de Protección de Datos (RGPD), este marco podría convertirse en una referencia internacional, con implicaciones directas e indirectas para América Latina.
Es probable que DORA inspire normativas locales o influya en prácticas del sector financiero en la región. Existen tres razones principales para ello:
- Interconexión con el sistema financiero europeo: Bancos latinoamericanos con filiales, corresponsales o acuerdos con entidades europeas estarán obligados a cumplir con aspectos de DORA, directa o contractualmente.
- Efecto extraterritorial: DORA aplica a empresas de cualquier país que presten servicios TIC críticos a entidades reguladas en la UE, lo cual incluye a muchos proveedores y consultoras latinoamericanas.
- Tendencia a la armonización normativa: Como ocurrió con el RGPD, algunos países podrían usar DORA como punto de partida para fortalecer sus propios marcos regulatorios de ciberseguridad financiera.
Comparación entre DORA y RGPD: ¿Qué nos enseña la historia?
| Aspecto | RGDP | DORA |
|---|---|---|
|
Enfoque principal |
Protección de datos personales |
Resiliencia operativa digital |
|
A quién aplica |
Empresas que procesan datos de ciudadanos de la UE |
Entidades financieras y proveedores TIC |
|
Impacto extraterritorial |
Muy alto (se aplica fuera de la UE) |
Alto (proveedores críticos también están sujetos) |
|
Adopción en Latam |
Varios países adaptaron sus leyes (Ej: Ley 1581 en Colombia) |
Aún en evaluación, pero con alta probabilidad |
|
Multas |
Hasta el 4% de ingresos globales |
Sanciones financieras y regulatorias importantes |
El RGPD sirvió como un modelo global de protección de datos. DORA podría seguir un camino similar, pero enfocado en continuidad, ciberseguridad y gestión de terceros
¿Qué exige DORA?
DORA impone obligaciones a entidades financieras y proveedores tecnológicos en cinco frentes críticos:
- Gestión integral de riesgos TIC: Integración de ciberseguridad, continuidad de negocio y recuperación ante desastres.
- Gestión y notificación de incidentes: Clasificación y reporte obligatorio de eventos disruptivos significativos.
- Pruebas de resiliencia digital: Simulacros avanzados como pruebas de penetración de tipo TLPT (Threat-Led Penetration Testing).
- Supervisión de terceros: Auditorías, cláusulas específicas en contratos, y visibilidad sobre subcontratistas.
- Monitoreo a proveedores críticos: Vigilancia directa por autoridades europeas si el proveedor es estratégico.
¿Cómo se puede preparar América Latina?
Aunque DORA no sea obligatoria en la región, prepararse proactivamente ofrece múltiples beneficios:
- Fortalece la resiliencia operativa y reputación corporativa.
- Mejora el acceso a mercados internacionales, especialmente europeos.
- Aumenta la madurez de la ciberseguridad y la continuidad del negocio.
- Permite una gestión más estratégica de proveedores tecnológicos.
Adoptar voluntariamente los principios de DORA puede dar una ventaja competitiva a bancos, aseguradoras y consultoras latinoamericanas.
DORA representa un cambio de paradigma en la ciberresiliencia financiera. Aunque nace en Europa, su alcance e influencia están siendo sentidos a nivel global, y América Latina no es la excepción.
Así como el RGPD impulsó cambios estructurales en las leyes de privacidad en todo el mundo, DORA puede convertirse en el catalizador para fortalecer la infraestructura digital del sector financiero regional, impulsar una mejor gestión de riesgos y mejorar la confianza en tecnologías emergentes.
Prepararse para DORA, incluso sin obligación directa, no es solo cumplimiento, es visión estratégica.
