Reglamento DORA (II): impacto en la gobernanza. El papel del órgano de dirección

2 de abril de 2025

Mucho se ha hablado ya del Reglamento DORA (Digital Operational Resilience Act) debido ya que obliga a las Entidades Financieras a adoptar medidas para garantizar su resiliencia operativa digital, y entre estas medidas, se encuentran también medias organizativas. En este sentido, un aspecto clave en el Reglamento es el de la documentación con la que estas entidades deben contar, abarcando desde políticas estratégicas hasta procedimientos operativos.

La pregunta que nos hacemos es la siguiente: ¿cómo gestionar la aprobación de la documentación generada? Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas.

Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas.

En esta serie de artículos, analizaremos en detalle los aspectos clave de este anteproyecto, sus implicaciones, los avances y desafíos que enfrenta el sector financiero, y el impacto del Reglamento DORA en la mejora de la seguridad, resiliencia y modernización del sector.

Tipos de documentación y su nivel de aprobación

Para entender mejor como puede afectar el Reglamento a la gobernanza dentro de las entidades, comenzamos distinguiendo varios tipos de documentos, siendo entre otros:

  • Políticas: Son directrices generales que establecen principios estratégicos. Deben ser aprobadas por la Alta Dirección o el Consejo de Administración.
  • Procedimientos: Detallan los pasos operativos para aplicar las políticas. Generalmente, su aprobación corresponde al CISO (Chief Information Security Officer), CIO (Chief Information Officer) o responsables de seguridad.
  • Planes y estrategias: Incluyen continuidad de negocio, resiliencia operativa o gestión de incidentes. Deben ser aprobados en algunos casos por la Alta Dirección debido a su impacto estratégico.
  • Registros y auditorías: Documentan la actividad y el cumplimiento normativo. Normalmente suelen ser gestionados y aprobados por responsables técnicos y departamentos de auditoría.
Definir el nivel de aprobación adecuado es esencial para garantizar una gobernanza efectiva y evitar el exceso de burocracia y la falta de control en decisiones críticas.

En cuanto a los niveles de aprobación, el Reglamento DORA establece en su Artículo 5 que el Órgano de Dirección es el responsable de aprobar el marco de gestión de riesgos TIC, incluidas las políticas principales.

Pero, además de esta mención, podemos distinguir otras, por ejemplo:

  • Indica que el Órgano de Dirección debe aprobar los planes de continuidad y recuperación establecidos en el artículo 11.
  • En cuanto a la gestión de terceros, establece que el Órgano de Dirección debe aprobar la política de proveedores TIC, revisando además los riesgos derivados de estos terceros, tal y como se indica en el artículo 28.

■ Por tanto, el papel del Órgano de dirección en la gestión documental se entiende muy importante, apuntalando así el impacto que el Reglamento DORA tiene en el gobierno de la Ciberseguridad y la resiliencia dentro de las entidades.

Ejemplos prácticos de niveles de aprobación

En vista de los niveles de aprobación que indica DORA, se podrían tomar como partida los siguientes documentos e intentar analizar cómo se podría aplicar en nuestra entidad:

Ejemplo 1: Gestión de riesgos TIC

  • Política de Gestión de Riesgos TIC → Órgano de Dirección
    • Se trata de un documento que define cómo la entidad gestiona los riesgos TIC. Tiene un alto impacto en la resiliencia operativa y debe contar con el respaldo de la dirección.
  • Procedimiento de Evaluación de Riesgos TIC → CISO / Responsable de Riesgos
    • Este documento detalla la metodología utilizada para evaluar los riesgos. Podríamos entender que, al ser operativo, su aprobación podría recaer en los responsables de su ejecución.

Ejemplo 2: Control de accesos

  • Política de Gestión de Accesos → Órgano de Dirección
    • Define los principios y normas generales sobre acceso a sistemas y datos críticos. Entendiendo que afectará de manera global dentro de la Entidad, se podría tomar como punto de partida que sea la Alta Dirección quien apruebe esta política.
  • Procedimiento de Control de Accesos → CISO / Responsable de Seguridad
    • Describe los pasos concretos para otorgar, modificar y revocar accesos, por lo que podría ser aprobado por la capa más operativa.

Ejemplo 3: Relación con proveedores TIC

  • Política de Supervisión de Proveedores TIC → Órgano de Dirección
    • Dado que los proveedores TIC pueden representar riesgos críticos, su supervisión debe ser aprobada a nivel estratégico.
  • Procedimiento de Evaluación de Proveedores TIC → Responsable de Terceros (si existe)
    • Este documento establece los controles específicos a aplicar en las evaluaciones periódicas.

Es evidente que, estos casos dependerán de la naturaleza de cada entidad, dado que no siempre ni en todas las entidades se contará con un elevado número de responsables técnicos.

Definir correctamente el nivel de aprobación no es solo un requisito normativo, sino que tiene un impacto directo en la gobernanza y la eficiencia operativa.

Impacto en la gobernanza y toma de decisiones

Introduciéndonos más en las distintas cuestiones que marca el anteproyecto, podemos ver que este introduce sanciones enfocadas a la seguridad digital y operativa de las entidades financieras.

Una vez vistos unos ejemplos de cómo se podría aplicar este requisito, podemos entender que, definir correctamente el nivel de aprobación no es solo un requisito normativo, sino que tiene un impacto directo en la gobernanza y la eficiencia operativa:

  • Equilibrio entre control y agilidad: Si el Órgano de Dirección aprobara cada procedimiento técnico, se ralentizaría la operativa diaria. Delegar su aprobación agiliza procesos sin perder el control estratégico.
  • Claridad en la responsabilidad: Cada nivel de la organización sabe qué decisiones le corresponden, evitando solapamientos o falta de supervisión. Esto facilita, por ejemplo, el cumplimiento normativo y la eficacia en la toma de decisiones.
  • Optimización de la estructura organizativa: Una correcta asignación de aprobaciones permite distribuir mejor las responsabilidades entre los niveles estratégicos y operativos, favoreciendo la especialización y eficiencia.
  • Cumplimiento normativo asegurado: Una estructura clara de aprobación ayuda a las entidades a demostrar su alineamiento con DORA en auditorías, minimizando el posible riesgo de sanciones.

Además, contar con el gobierno en la gestión documental bien definido facilita la adaptación a nuevas regulaciones, integrando mejoras sin necesidad de reestructurar todo el sistema de gestión documental.

Las políticas estratégicas deben ser aprobadas por el Órgano de Dirección, mientras que los procedimientos técnicos pueden ser gestionados por responsables operativos.

Conclusión: la estrategia clave en la gobernanza

DORA establece que las políticas y estrategias clave deben ser aprobadas por el Órgano de Dirección, mientras que los procedimientos técnicos podrán ser gestionados por responsables operativos. Esta diferenciación es clave para optimizar la gobernanza y la resiliencia operativa.

El quid de la cuestión está en que, sin una correcta asignación de responsabilidades en la aprobación documental, las organizaciones pueden enfrentarse a ineficiencias, solapamiento de funciones y falta de supervisión adecuada. Definir correctamente estos niveles de aprobación no solo ayuda a cumplir con DORA, sino que refuerza la estructura de control interno de la entidad y mejora la capacidad de respuesta ante riesgos TIC.

Por ello, es crucial que cada entidad revise y ajuste sus procesos documentales para asegurar que cumplen con la normativa y, al mismo tiempo, facilitar una gestión ágil y efectiva de la resiliencia operativa digital.

Una correcta asignación de responsabilidades en la aprobación documental no solo ayuda a cumplir con DORA, sino que refuerza la estructura de control interno de la entidad y mejora la capacidad de respuesta ante riesgos TIC.

Además, la implicación de la alta dirección refuerza la cultura de cumplimiento y responsabilidad dentro de la entidad. Cuando los directivos respaldan y aprueban documentos críticos, se fomenta un entorno donde todos los niveles de la organización comprenden la importancia de seguir los procedimientos establecidos, minimizando riesgos y mejorando la preparación ante auditorías y posibles incidentes. Esta implicación a la larga también acelera la toma de decisiones y la eficacia en su ejecución.

Finalmente, la supervisión directa de la alta dirección en la aprobación documental aumenta la credibilidad de la empresa ante reguladores, clientes y socios. Demuestra un compromiso real con la ciberseguridad, la continuidad de negocio y la gestión de riesgos, elementos esenciales en el Reglamento DORA.

Con una estructura documental sólida y bien aprobada desde arriba, la organización se fortalece, minimizando incertidumbres y mejorando su capacidad de adaptación a nuevas normativas y desafíos operativos.

La supervisión directa de la alta dirección en la aprobación documental refuerza la credibilidad de la empresa y demuestra un compromiso genuino con la ciberseguridad y la gestión de riesgos.

■ MÁS DE ESTA SERIE

Reglamento DORA (I): desafíos en la digitalización del sector financiero
Telefónica Tech
Reglamento DORA (I): desafíos en la digitalización del sector financiero
19 de marzo de 2025
El Reglamento DORA (III) Las Autoridades Europeas de Supervisión en DORA. Claves de su papel regulador
Telefónica Tech
El Reglamento DORA (III) Las Autoridades Europeas de Supervisión en DORA. Claves de su papel regulador
15 de abril de 2025

■ RELACIONADO

Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero
Telefónica Tech
Mastering DORA: Estrategias prácticas para garantizar la resiliencia operativa en el sector financiero
27 de marzo de 2025