DORA y el sector financiero español: checklist completo antes de la inspección del Banco de España

Pilar 1 — Gestión de riesgos TIC (arts. 5-16 DORA)

El marco de gestión de riesgos TIC debe estar documentado, aprobado por el órgano de dirección y revisado al menos anualmente. Incluye la identificación de activos TIC críticos, la evaluación continua de riesgos y la definición de estrategias de tolerancia al riesgo. Los RTS de la EBA (publicados en enero 2024) especifican el contenido mínimo del marco.

• ✅ Marco de gestión de riesgos TIC aprobado por el consejo de administración
• ✅ Inventario de activos TIC actualizado (hardware, software, datos, personal clave)
• ✅ Evaluación de riesgos TIC anual con metodología documentada
• ✅ Estrategia de resiliencia digital aprobada formalmente
• ✅ Política de gestión de activos TIC que incluye el ciclo de vida completo
• ✅ Procedimientos de parcheo y gestión de vulnerabilidades con plazos definidos

Pilar 2 — Notificación de incidentes TIC (arts. 17-23 DORA)

DORA establece un sistema de clasificación y notificación de incidentes TIC similar al de NIS2 pero específico para el sector financiero. Los incidentes graves deben notificarse a las autoridades competentes en plazos muy cortos. Los ITS de la EBA definen los umbrales y el formato de los informes.

Pilar 3 — Pruebas de resiliencia operativa digital (arts. 24-27 DORA)

Las entidades significativas deben realizar threat-led penetration testing (TLPT) al menos cada 3 años, siguiendo el marco TIBER-EU. Las entidades menos significativas pueden sustituirlo por pruebas de resiliencia básicas. El TLPT debe cubrir los sistemas TIC críticos que sustentan las funciones esenciales de la entidad.

• ✅ Plan de pruebas de resiliencia operativa documentado y aprobado
• ✅ Pruebas básicas anuales: escenarios de interrupción, recuperación ante fallos, tests de penetración
• ✅ Para entidades significativas: TLPT cada 3 años siguiendo TIBER-EU
• ✅ Los proveedores TIC críticos deben participar en las pruebas cuando sea necesario
• ✅ Resultados de las pruebas comunicados al órgano de dirección y a la autoridad supervisora

Pilar 4 — Gestión del riesgo de proveedores TIC (arts. 28-44 DORA)

Este pilar es el que más cambios requiere en la práctica. DORA exige un registro de todos los acuerdos contractuales con proveedores TIC, con distinción entre proveedores críticos y no críticos. Los contratos con proveedores críticos deben incluir cláusulas específicas sobre auditoría, localización de datos, planes de salida y subcontratación.

• ✅ Registro completo de todos los acuerdos con proveedores TIC (incluidos cloud, SaaS, outsourcing)
• ✅ Evaluación del nivel de criticidad de cada proveedor TIC (metodología documentada)
• ✅ Contratos con proveedores críticos revisados: incluyen cláusulas de auditoría, SLA mínimos, planes de salida
• ✅ Estrategia de salida documentada para cada proveedor TIC crítico
• ✅ Los proveedores TIC críticos notificados ante cambios relevantes en su cadena de subcontratación

Pilar 5 — Intercambio de información e inteligencia sobre ciberamenazas (art. 45 DORA)

DORA anima activamente al intercambio voluntario de información sobre amenazas, vulnerabilidades y técnicas de ataque entre entidades financieras. Este intercambio puede realizarse a través de grupos de confianza del sector (ISACs financieros). Aunque es voluntario, participar es una buena práctica que los supervisores valoran favorablemente.

• ✅ Política interna de intercambio de inteligencia sobre amenazas aprobada
• ✅ Participación o adhesión a grupos de intercambio de información del sector (ISAC financiero español o europeo)
• ✅ Procedimiento para anonimizar información confidencial antes de compartirla