Reglamento DORA (I): desafíos en la digitalización del sector financiero

19 de marzo de 2025

Como es sabido, la transformación digital en el sector financiero ha adquirido un papel central en la evolución de la economía global y, por ende, también en la nacional. En España, esta transformación se ha reforzado recientemente por el Anteproyecto de Ley de Digitalización y Modernización del sector financiero, que busca armonizar la innovación tecnológica con un marco regulador sólido.

En esta serie de artículos, analizaremos en detalle los aspectos clave de este anteproyecto, sus implicaciones, los avances y desafíos que enfrenta el sector financiero, y el impacto del Reglamento DORA en la mejora de la seguridad, resiliencia y modernización del sector.

La digitalización en el sector Financiero

El avance de las tecnologías digitales ha permitido lograr una mayor eficiencia operativa en las entidades financieras. La automatización de procesos, el crecimiento de los servicios digitales y la búsqueda de una mejor experiencia de usuario son un buen ejemplo de ello, sin embargo, estos mismos avances plantean nuevos retos en ciberseguridad y esto implica, a su vez, retos en cuanto a planteamientos regulatorios.

Ciberresiliencia: un pilar fundamental

Uno de los ejes del anteproyecto es el de la implementación del Reglamento DORA (siglas en inglés de Digital Operational Resilience Act) que, como sabemos, exige a diversas entidades del sector financiero la adopción de medidas frente a ciberataques, gestión de riesgos y notificación de incidentes, así como a otros organismos el crear mecanismos de supervisión e incluso sanciones por posibles incumplimientos. El objetivo es evitar, en la medida de lo posible, la indisponibilidad de los servicios financieros y el de establecer también responsabilidades de seguridad.

Un marco sancionador para garantizar la resiliencia digital de las entidades

Introduciéndonos más en las distintas cuestiones que marca el anteproyecto, podemos ver que este introduce sanciones enfocadas a la seguridad digital y operativa de las entidades financieras.

Por un lado, las multas se clasificarán según la gravedad de la infracción. Se podrán imponer sanciones por incumplimientos en aspectos como la gestión de incidentes, la falta de adaptación al propio Reglamento DORA, o la ausencia de protección adecuada en las infraestructuras. También se sancionará a empresas que incumplan el requisito de capacitación y formación en materia de ciberseguridad del personal.

Finalmente, se establece la responsabilidad de los Directivos y Administradores en las entidades, introduciendo medidas correctivas obligatorias y/o sanciones personales.

Siguiendo con este marco sancionador, y debido a que este anteproyecto aún debe ser aprobado, daremos solo algunos ejemplos sobre las multas o sanciones anteriormente expuestas.

Sanciones por incumplimientos en la gestión de incidentes:

Falta de notificación de incidentes. Multas que podrían llegar a los 2 millones de euros.
Clasificación incorrecta de incidentes. La ausencia de protocolos adecuados podría derivar en sanciones que tienen en cuenta el porcentaje de volumen de negocios actual.
Ausencia de planes de recuperación, que podría llevar a la suspensión temporal de operaciones.

Sanciones por falta de adaptación al Reglamento DORA:

Deficiencias en la supervisión de proveedores TIC. La subcontratación de servicios sin garantías de seguridad adecuadas puede acarrear sanciones de hasta el 5% de la facturación anual.
Incumplimiento en la implementación de pruebas de resiliencia. Se pueden imponer sanciones a las entidades que no realicen simulacros o pruebas periódicas.
Falta de estrategia de Gestión de Riesgos TIC. La entidad que no implemente un marco de gestión de riesgos adecuado podría afrontar sanciones económicas y deberá aplicar medidas correctivas en caso necesario.

El papel del Banco de España y la CNMV

Estas instituciones tendrán la responsabilidad de garantizar que las entidades implementen las medidas necesarias y de imponer las sanciones en caso de posibles infracciones. No obstante, el anteproyecto también prevé mecanismos de cooperación entre reguladores nacionales e internacionales.

En todo caso, las entidades podrán establecer cambios bajo la supervisión del Banco de España o la CNMV, y algunas sanciones podrían agravarse en caso de reincidencia.

Desafíos que se presentan a las entidades financieras

La implementación de los requisitos del Reglamento DORA puede presentar diversos desafíos, como los costes que tendrán que asumir las entidades para evitar este tipo de sanciones, o la necesidad de realizar auditorías frecuentes para garantizar un alto nivel de cumplimiento.

Hacia un sector financiero más resiliente

El anteproyecto de Ley de Digitalización y Modernización del Sector Financiero en España establece un régimen sancionador riguroso para garantizar la ciberresiliencia del sector financiero y de las entidades afectadas por el Reglamento DORA. Para reforzar la seguridad y resiliencia, este anteproyecto contempla desde sanciones económicas significativas hasta medidas correctivas obligatorias. En consecuencia, estas medidas fortalecerán también la confianza del público en los servicios ofrecidos por las entidades financieras.

Ante todo, y para finalizar, con este marco regulador España busca garantizar un entorno más seguro y estable para empresas y consumidores. Sin embargo, al tratarse de un anteproyecto, este texto es una propuesta inicial y conviene destacar que aún no ha sido aprobado, por lo que su contenido puede verse modificado durante su tramitación parlamentaria.

Por tanto, solo después de su aprobación podremos conocer la versión final y todas sus implicaciones, aunque sí es cierto que, aun sujeto a posibles cambios, podemos hacernos ya una idea acerca de las multas o sanciones que podrían imponerse en caso de incumplimiento de los requisitos del DORA.

■ MÁS DE ESTA SERIE