DORA (Ley de Resiliencia Operativa Digital de la UE): Qué es y cómo afecta a los usuarios de CoinW
DORA (Ley de Resiliencia Operativa Digital de la UE): Qué es y cómo afecta a los usuarios de CoinW
Resumen: DORA —Reglamento (UE) 2022/2554— aplica en toda la Unión Europea desde el 17 de enero de 2025. Obliga a las entidades financieras (incluidos los CASP autorizados bajo MiCA) a establecer una gestión sólida de riesgos TIC, realizar pruebas de resiliencia, notificar incidentes importantes y supervisar a los proveedores tecnológicos críticos. Para los usuarios de CoinW, esto se traduce en una mayor protección ante interrupciones o ciberataques, una comunicación más clara y una mayor continuidad de los servicios.
1) Qué es DORA
El Reglamento de Resiliencia Operativa Digital (DORA) establece un marco único para la gestión de riesgos TIC en el sector financiero de la UE. Su objetivo es prevenir incidentes, resistir interrupciones y recuperarse de ellas rápidamente. Se aplica directamente en todos los Estados miembros, armonizando cómo las empresas gestionan riesgos tecnológicos, prueban capacidades críticas y supervisan proveedores externos.
Referencia legal: Reglamento (UE) 2022/2554 (DORA). Consulta también la página de EIOPA.
2) Fechas clave y alcance
| Fecha | Evento |
|---|---|
| 14 dic 2022 | DORA aprobado por los colegisladores de la UE. |
| 27 dic 2022 | Publicado en el Diario Oficial (OJEU L 333). |
| 17 ene 2025 | DORA entra en aplicación en toda la UE. |
Quién está incluido
- Bancos, aseguradoras, empresas de inversión, plataformas de negociación, CCP/CSD, instituciones de pago y dinero electrónico, etc.
- Proveedores de servicios de criptoactivos (CASP) autorizados bajo MiCA y emisores de tokens referenciados a activos (ARTs).
- Proveedores externos críticos de TIC bajo supervisión europea.
Definición clave
“TIC” abarca tecnologías de la información y comunicación, incluidos servicios en la nube, software, redes y seguridad.
3) Requisitos principales del DORA
Gestión de riesgos TIC
- Gobernanza con responsabilidad a nivel directivo.
- Controles: inventario de activos, parches, copias de seguridad y configuraciones seguras.
- Planes de continuidad y recuperación ante desastres (BCP/DRP).
Notificación de incidentes
- Clasificación de incidentes y notificación a autoridades para los graves.
- Revisión posterior y registro de incidentes.
Pruebas de resiliencia
- Evaluaciones periódicas, gestión de vulnerabilidades y pruebas de penetración (TLPT).
- Ejercicios para validar la capacidad de recuperación y comunicación.
Supervisión de terceros
- Cláusulas contractuales con derechos de auditoría, localización de datos y métricas de resiliencia.
- Evaluaciones de concentración y supervisión de proveedores TIC críticos.
4) Qué significa para los usuarios de CoinW
Mayor continuidad del servicio
CoinW aplicará estándares más altos de disponibilidad, redundancia y recuperación ante posibles fallos o ciberataques.
Notificaciones más claras
Se ofrecerán actualizaciones y comunicaciones más transparentes ante incidentes relevantes de TIC.
Mayor seguridad en las cuentas
Mejoras en la autenticación multifactor (MFA), monitorización de riesgos y controles antifraude.
Ecosistema de proveedores más seguro
Supervisión reforzada de proveedores en la nube y servicios críticos, con cláusulas de seguridad más estrictas.
5) Relación con MiCA, GDPR y NIS2
- MiCA regula la conducta de mercado y la autorización de los servicios de criptoactivos, mientras que DORA establece las reglas de resiliencia operativa y gestión de riesgos TIC.
- GDPR sigue aplicándose para la protección de datos personales, mientras que DORA refuerza la continuidad y la gestión de incidentes.
- NIS2 cubre la ciberseguridad general; DORA actúa como norma específica (lex specialis) para el sector financiero.
6) Preguntas frecuentes (FAQ)
¿Aplica DORA a CoinW fuera de la UE?
DORA se aplica a las entidades que operan o prestan servicios en la UE. Si CoinW atiende usuarios europeos, las obligaciones de DORA aplican a sus actividades relevantes.
¿Habrá interrupciones por las pruebas exigidas por DORA?
Algunas pruebas de resiliencia pueden requerir mantenimiento planificado. CoinW notificará con antelación cualquier posible interrupción.
¿Cómo controla DORA a los proveedores externos?
Exige contratos con derechos de auditoría, planes de salida y métricas de resiliencia. Los proveedores TIC críticos estarán bajo supervisión europea.
¿Incluye DORA la protección de datos personales?
No directamente. DORA se centra en la resiliencia operativa, mientras que la protección de datos personales sigue regulada por el GDPR.
7) Fuentes oficiales y lecturas recomendadas
- EUR-Lex: Reglamento (UE) 2022/2554 (DORA)
- EIOPA: Guía sobre DORA
- DGSFP (España): Información oficial sobre DORA
- INCIBE: ¿Qué es el Reglamento DORA?
- IMF: Nota técnica sobre riesgos cibernéticos y resiliencia operativa
- Consejo de la UE: Nota de prensa sobre MiCA
- IBM Think: Tema DORA en IBM Think
Te podría gustar
Guía completa de la Web 4.0
La Web 4.0 representa la profunda simbiosis entre inteligencia y descentralización, redefiniendo las criptomonedas como la savia programable y el protocolo esencial de coordinación de una era digital autónoma.
El gigante invisible de Wall Street: ¿Quién es Jane Street?
En la jungla indomable de las criptomonedas, los titanes de Wall Street no solo juegan el juego: reescriben las reglas; cuando los algoritmos aprietan el gatillo con precisión quirúrgica, lo que llamamos “volatilidad” no es más que una inevitabilidad calculada.