DORA (Reglamento de Resiliencia Operativa Digital)

DORA, el Digital Operational Resilience Act (Reglamento UE 2022/2554), regula desde el 17 de enero de 2025 la resiliencia operativa digital de bancos, aseguradoras, empresas de inversión, proveedores de criptoactivos y proveedores TIC terceros críticos en la Unión Europea.

Qué es DORA (Reglamento de Resiliencia Operativa Digital)?

DORA exige cinco pilares: marco de gestión del riesgo TIC, notificación armonizada de incidentes graves, pruebas de resiliencia incluidas las pruebas de penetración guiadas por amenaza (TLPT), gestión del riesgo de terceros TIC e intercambio voluntario de información sobre amenazas. ESMA, EIOPA y EBA supervisan directamente a los proveedores críticos, entre ellos varios grandes proveedores de nube y de modelos de IA.

Cómo se aplica DORA (Reglamento de Resiliencia Operativa Digital) en la IA empresarial?

Para los sistemas de IA en finanzas, todo proveedor que intervenga en pagos, gestión de activos, suscripción o detección de fraude entra en los contratos de terceros TIC DORA. Las cláusulas del artículo 30 son obligatorias (auditoría, salida, subcontratación, ubicación de los datos). El Banco de España y la CNMV esperan adaptación contractual completa para mediados de 2026. Los registros de externalización existentes deben incluir campos DORA: acceso a la función TIC, dependencia, sustituibilidad.