DORA (Reglamento UE 2022/2554): guía de resiliencia operativa digital para empresas brasileñas que operan o atienden a la UE
Respuesta directa
El DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es el régimen europeo de resiliencia operativa digital aplicable desde el 17/01/2025. Vincula a las entidades financieras de la UE y a sus prestadores de servicios de TIC, incluso empresas fuera de la UE. Se organiza en cinco pilares: gestión de riesgo de TIC, gestión y reporte de incidentes, pruebas de resiliencia (incluido el TLPT), riesgo de terceros de TIC e intercambio de información.
Puntos clave
- ›El DORA es un reglamento de la UE de aplicación directa (sin necesidad de transposición nacional) y en vigor desde el 17 de enero de 2025, junto con sus estándares técnicos (RTS/ITS) elaborados por las ESAs.
- ›El alcance abarca cerca de veinte categorías de entidades financieras (bancos, aseguradoras, gestoras, instituciones de pago y, vía MiCA, prestadores de servicios de criptoactivos/CASP) y los prestadores terceros de servicios de TIC que las atienden.
- ›Una empresa brasileña de TIC (SaaS, nube, seguridad, procesamiento) no está regulada directamente por el DORA, pero es alcanzada por contrato: la entidad financiera europea debe trasladarle las exigencias contractuales y de auditoría.
- ›Los cinco pilares son: gestión de riesgo de TIC, gestión y reporte de incidentes, pruebas de resiliencia operativa digital (incluido el TLPT basado en amenazas), gestión de riesgo de terceros de TIC e intercambio de información sobre ciberamenazas.
- ›Los prestadores de TIC considerados críticos (CTPPs) quedan bajo la supervisión directa de un Lead Overseer de las ESAs, con facultades de inspección y recomendaciones vinculadas a penalidades periódicas.
- ›Adecuarse exige mapear las funciones críticas, contratos compatibles con el Artículo 30, un registro de información (Register of Information), reporte de incidentes en ventanas cortas y capacidad de soportar el pentest/TLPT del cliente europeo.
Qué es el DORA y por qué alcanza a empresas fuera de la UE
El Digital Operational Resilience Act es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, complementado por la Directiva (UE) 2022/2556. Por ser un reglamento, y no una directiva, tiene aplicabilidad directa en todos los Estados miembros, sin depender de una ley nacional de transposición. Fue publicado en diciembre de 2022, con fecha de aplicación fijada para el 17 de enero de 2025. El objetivo declarado es consolidar y armonizar, bajo un único régimen, las exigencias de resiliencia operativa digital que antes estaban dispersas en normas sectoriales europeas.
La lógica del DORA parte de una constatación simple: la estabilidad del sistema financiero europeo depende cada vez más de la continuidad de los sistemas de TIC, muchos de ellos operados por terceros. En lugar de tratar la seguridad de la información como un anexo de gobernanza, el reglamento eleva la resiliencia operativa digital a requisito prudencial, con obligaciones de directorio, métricas, pruebas y reporte. Resiliencia, en el vocabulario del DORA, es la capacidad de prevenir, resistir, contener y recuperarse de incidentes relacionados con las TIC, preservando la integridad y la continuidad de las funciones críticas.
El alcance extraterritorial no deriva de una cláusula explícita como la del RGPD, sino de la arquitectura de riesgo de terceros. Las entidades financieras europeas pasan a ser legalmente responsables de garantizar que sus prestadores de servicios de TIC, dondequiera que estén, cumplan requisitos contractuales mínimos, permitan la auditoría y el acceso, y soporten pruebas. Para una fintech, VASP o SaaS brasileño que vende a un banco, una aseguradora o un CASP regulado en la UE, esto significa que el DORA llega por la vía contractual, aun sin que la empresa esté física o jurídicamente en la Unión.
A quién se aplica el DORA: entidades financieras y prestadores de TIC
El Artículo 2 del reglamento enumera el universo de destinatarios. Son cerca de veinte categorías de entidades financieras, entre ellas instituciones de crédito, instituciones de pago y de dinero electrónico, empresas de inversión, aseguradoras y reaseguradoras, gestoras de fondos, agencias de calificación crediticia, infraestructuras de mercado y, en virtud del Reglamento MiCA (UE 2023/1114), los prestadores de servicios de criptoactivos (CASP) y emisores de tokens referenciados a activos. Las empresas brasileñas de cripto que pretendan actuar como CASP autorizado en la UE entran directamente en ese perímetro.
Junto a las entidades financieras, el DORA introduce una categoría propia: los prestadores terceros de servicios de TIC (ICT third-party service providers). La definición es amplia y cubre servicios digitales y de datos prestados de forma continuada, incluyendo computación en la nube, software, procesamiento de datos, centros de datos y servicios de seguridad gestionada. Estos prestadores no reciben obligaciones directas en el caso general, pero se convierten en objeto de las exigencias de gestión de riesgo de terceros impuestas a las entidades financieras, y deben aceptar cláusulas contractuales específicas.
Hay, sin embargo, un régimen de supervisión directa para los prestadores clasificados como críticos (Critical ICT Third-Party Providers, CTPPs). La designación la realizan las Autoridades Europeas de Supervisión (ESAs: EBA, EIOPA y ESMA) con base en criterios como el número de entidades financieras atendidas, la sustituibilidad y la importancia sistémica. Designado como crítico, el prestador pasa a responder a un Lead Overseer, que puede conducir investigaciones, inspecciones in situ y emitir recomendaciones, con posibilidad de aplicar penalidades periódicas hasta la regularización.
Para la mayoría de las empresas brasileñas de TIC, el escenario realista no es la designación como CTPP, sino la obligación indirecta: el cliente europeo trasladará, por contrato, los deberes de subcontratación, auditoría, localización de datos, planes de salida y cooperación en pruebas. Rechazar esas cláusulas equivale, en la práctica, a quedar fuera del mercado financiero europeo.
Los cinco pilares del DORA
El primer pilar es la gestión de riesgo de TIC (Capítulo II, Artículos 5 a 16). Exige un framework documentado, bajo la responsabilidad última del órgano de administración, que cubra la identificación de activos y funciones críticas, la protección y prevención, la detección, la respuesta y la recuperación, las políticas de backup y restauración, y el aprendizaje post-incidente. El directorio no puede delegar la responsabilidad: debe aprobar la estrategia, asignar presupuesto y mantener un conocimiento actualizado sobre los riesgos de TIC.
El segundo pilar trata de la gestión, clasificación y reporte de incidentes (Capítulo III). Las entidades deben tener un proceso para detectar, registrar y clasificar los incidentes relacionados con las TIC según criterios armonizados (impacto, duración, alcance geográfico, pérdidas de datos, criticidad de los servicios). Los incidentes graves deben comunicarse a la autoridad competente en ventanas definidas por los estándares técnicos, con notificación inicial, informe intermedio e informe final. Existe además la comunicación voluntaria de ciberamenazas significativas.
El tercer pilar es el de las pruebas de resiliencia operativa digital (Capítulo IV). Todas las entidades deben mantener un programa de pruebas proporcional al riesgo, con evaluaciones de vulnerabilidad, análisis de código, pruebas de penetración y ejercicios de continuidad. Las entidades significativas, identificadas por las autoridades, deben realizar Threat-Led Penetration Testing (TLPT) al menos cada tres años, siguiendo la metodología europea TIBER-EU, con pruebas basadas en inteligencia de amenazas reales. El TLPT abarca también a los prestadores de TIC que soportan funciones críticas.
El cuarto pilar cubre la gestión de riesgo de terceros de TIC (Capítulo V), con el Artículo 28 estableciendo principios generales y el Artículo 30 fijando el contenido contractual mínimo: descripción de los servicios, localización del procesamiento de datos, derechos de acceso y auditoría, requisitos de seguridad, condiciones de subcontratación, estrategias de salida y cooperación con las autoridades. El quinto pilar, el más liviano, incentiva el intercambio voluntario de información e inteligencia sobre ciberamenazas entre las entidades financieras, dentro de arreglos de confianza y en conformidad con la protección de datos.
Plazos, estándares técnicos y cadena normativa
La fecha de aplicación del DORA es el 17 de enero de 2025, conforme al Artículo 64. A partir de ese hito, las obligaciones son exigibles y las autoridades nacionales competentes pasan a supervisar el cumplimiento. No hay un período de adaptación adicional previsto en el texto; las entidades y los prestadores deberían tener los controles implementados en esa fecha.
El reglamento es un texto de principios, detallado por estándares técnicos vinculantes elaborados por las ESAs: normas técnicas de regulación (RTS) y normas técnicas de ejecución (ITS), adoptadas por la Comisión Europea como actos delegados y de ejecución. Esos estándares especifican, por ejemplo, el contenido de la política de gestión de riesgo de TIC, los criterios de clasificación de incidentes, las plantillas de reporte, el contenido del Register of Information y la metodología de TLPT. Seguir esa capa es esencial, porque es en ella donde se encuentran los requisitos concretos y auditables.
Un elemento operativo relevante es el Register of Information: cada entidad financiera debe mantener y reportar a las autoridades un registro estructurado de todos los acuerdos contractuales con prestadores de TIC, distinguiendo los que soportan funciones críticas o importantes. Ese registro alimenta la designación de prestadores críticos y la supervisión sistémica. En la práctica, un proveedor brasileño será inventariado en ese registro del cliente europeo, con un nivel de criticidad asignado.
Cómo se posiciona una empresa brasileña: regulada, prestadora o subcontratada
Antes de adecuarse, la empresa debe entender qué papel ocupa. Si es una fintech o un VASP que busca autorización para operar como entidad financiera en la UE, será destinataria directa del DORA y responderá por los cinco pilares en su totalidad. Si es un SaaS, proveedor de nube, seguridad gestionada o procesamiento que solo vende a entidades financieras europeas, será un prestador tercero de TIC, alcanzado por las obligaciones contractuales y de auditoría que el cliente le traslada.
El punto más sensible es la función crítica o importante. Si su servicio sostiene una función que, en caso de fallo, comprometería la continuidad o la conformidad de la entidad financiera, el contrato tendrá el conjunto completo de exigencias del Artículo 30, y hay probabilidad de que el cliente exija la participación en el TLPT y en las pruebas de continuidad. Los servicios no críticos enfrentan un conjunto contractual reducido, pero aun así formalizado. Identificar esa clasificación temprano evita sorpresas comerciales.
Para la mayoría de los prestadores brasileños, la estrategia eficaz es anticiparse: estructurar la postura de seguridad y la documentación de forma que las cláusulas del DORA ya tengan respaldo operativo. Esto transforma el cumplimiento de un obstáculo comercial en un diferencial competitivo, acortando el ciclo de debida diligencia y onboarding con clientes europeos. Es exactamente en ese punto donde se aplica el enfoque de Seguridad Normativa de Decripte: traducir los requisitos regulatorios en controles verificables y evidencias auditables.
Dónde actúa Decripte en la adecuación al DORA
Decripte apoya a las empresas brasileñas en los cuatro pilares más exigentes del DORA con servicios técnicos directos. En la gestión de riesgo de TIC, conducimos la identificación de activos y funciones críticas, la evaluación de riesgos y el diseño de controles alineados con el Capítulo II y las RTS aplicables, con la documentación que el directorio necesita para asumir la responsabilidad prevista en el reglamento.
En pruebas de resiliencia, ejecutamos evaluaciones de vulnerabilidad y pentest convencional y, para los casos sujetos a Threat-Led Penetration Testing, conducimos ejercicios basados en inteligencia de amenazas alineados con la lógica del TIBER-EU, en la posición de prestador de pruebas que la entidad financiera europea puede contratar. En respuesta a incidentes, ayudamos a montar el proceso de detección, clasificación y reporte exigido por el Capítulo III, con playbooks compatibles con las ventanas de notificación y con las plantillas de informe de las ESAs.
En la gestión de riesgo de terceros, actuamos del lado del prestador brasileño: revisamos la adherencia de la postura de seguridad a las cláusulas del Artículo 30, preparamos a la empresa para las auditorías y los derechos de acceso del cliente, y organizamos la documentación que alimenta el Register of Information del contratante europeo. El objetivo es que su empresa llegue a la mesa de negociación con el cumplimiento listo, en lugar de reactivo.
Cómo cumplir
- 1
Determine su papel y alcance
Defina si la empresa es una entidad financiera sujeta al DORA, un prestador tercero de TIC o un subcontratado de un prestador. Mapee qué clientes europeos son entidades financieras y cuáles de sus servicios sostienen funciones críticas o importantes para ellos. Ese encuadre determina la profundidad de toda la adecuación.
- 2
Mapee activos, funciones críticas y dependencias
Construya un inventario de activos de TIC, flujos de datos, subcontratados y dependencias que soportan los servicios vendidos a clientes europeos. Identifique los puntos únicos de fallo y la localización del procesamiento y almacenamiento de datos, información que el cliente necesitará para su Register of Information.
- 3
Estructure el framework de gestión de riesgo de TIC
Implemente políticas y controles que cubran identificación, protección, detección, respuesta, recuperación y backup, con la aprobación y supervisión del órgano de administración. Alinéelo con el Capítulo II del DORA y con las RTS, y produzca evidencias auditables: políticas versionadas, registros de riesgo y métricas.
- 4
Monte el proceso de gestión y reporte de incidentes
Defina la detección, el registro y la clasificación de incidentes según los criterios armonizados (impacto, duración, alcance, pérdida de datos). Cree playbooks que permitan apoyar al cliente europeo en las notificaciones inicial, intermedia y final, dentro de las ventanas de los estándares técnicos, y establezca canales de comunicación acordados contractualmente.
- 5
Prepárese para las pruebas y el TLPT
Establezca un programa continuo de evaluación de vulnerabilidades y pentest. Para los servicios que sostienen funciones críticas, prepare a la empresa para participar en el Threat-Led Penetration Testing conducido bajo la metodología TIBER-EU, garantizando entornos, alcance y cláusulas que autoricen la prueba sin violar otros compromisos.
- 6
Ajuste los contratos al Artículo 30
Revise los contratos con clientes financieros europeos para acomodar los derechos de acceso y auditoría, los requisitos de seguridad, las reglas de subcontratación, la localización de datos, las estrategias de salida y la cooperación con las autoridades. Negocie condiciones viables antes de que el cliente imponga un modelo unilateral.
- 7
Consolide la gobernanza y las evidencias continuas
Centralice la documentación de cumplimiento, mantenga actualizado el registro de subcontratados y establezca revisiones periódicas y post-incidente. Trate el cumplimiento como un diferencial comercial: un paquete de evidencias listo acorta la debida diligencia del cliente europeo y sostiene las renovaciones.
Preguntas frecuentes
¿El DORA se aplica a empresas brasileñas?
No directamente, en la mayoría de los casos. El DORA regula a las entidades financieras de la UE y a los prestadores de TIC designados como críticos. Una empresa brasileña de TIC que atiende a entidades financieras europeas es alcanzada por la vía contractual: el cliente europeo está obligado a trasladar las exigencias de seguridad, auditoría y cooperación en pruebas. En cambio, una fintech o VASP brasileña autorizada a operar como entidad financiera en la UE queda sujeta directamente.
¿Desde cuándo está en vigor el DORA?
El reglamento entró en aplicación el 17 de enero de 2025, conforme al Artículo 64. A partir de esa fecha las obligaciones son exigibles y supervisadas por las autoridades nacionales competentes. Los estándares técnicos (RTS e ITS) elaborados por las ESAs detallan los requisitos concretos y deben seguirse continuamente.
¿Qué es el TLPT y quién debe hacerlo?
El TLPT (Threat-Led Penetration Testing) es una prueba de penetración basada en inteligencia de amenazas reales, conducida según la metodología europea TIBER-EU. Es obligatorio para las entidades financieras identificadas como significativas por las autoridades, al menos cada tres años, y abarca a los prestadores de TIC que soportan funciones críticas. Por ello, un proveedor crítico puede ser llamado a participar en el TLPT del cliente.
¿Las empresas de cripto están dentro del alcance del DORA?
Sí, cuando están reguladas bajo el MiCA (Reglamento UE 2023/1114). Los prestadores de servicios de criptoactivos (CASP) y los emisores de tokens referenciados a activos pasan a integrar el universo de entidades financieras del DORA. Una VASP brasileña que busque autorización para operar como CASP en la UE deberá cumplir los cinco pilares.
¿Qué cambia en los contratos con clientes europeos?
El Artículo 30 fija un contenido contractual mínimo para los acuerdos de TIC: descripción de los servicios, localización del procesamiento de datos, derechos de acceso y auditoría, requisitos de seguridad, reglas de subcontratación, estrategias de salida y cooperación con las autoridades. Para los servicios que sostienen funciones críticas, el conjunto es completo; para los demás, es más reducido, pero aun así formalizado.
¿Cuáles son los plazos de reporte de incidentes?
El DORA exige la notificación de incidentes graves en tres momentos: notificación inicial, informe intermedio e informe final, con plazos definidos por los estándares técnicos de las ESAs. La clasificación sigue criterios armonizados como el impacto, la duración, el alcance geográfico, la pérdida de datos y la criticidad de los servicios afectados. También existe la comunicación voluntaria de ciberamenazas significativas.
¿Qué es el Register of Information?
Es un registro estructurado que cada entidad financiera debe mantener y reportar a las autoridades, que contiene todos los acuerdos contractuales con prestadores de TIC e indica cuáles soportan funciones críticas o importantes. Ese registro alimenta la designación de prestadores críticos y la supervisión. Un proveedor brasileño será inventariado en ese registro por el cliente europeo.
¿Cómo ayuda Decripte en la adecuación al DORA?
Decripte actúa en la gestión de riesgo de TIC, en las pruebas de resiliencia (pentest y ejercicios alineados con la lógica del TLPT/TIBER-EU), en la estructuración de la respuesta y el reporte de incidentes y en la preparación para las exigencias contractuales y de auditoría del Artículo 30. El enfoque de Seguridad Normativa traduce los requisitos regulatorios en controles verificables y evidencias auditables para acelerar la debida diligencia del cliente europeo.
Fuentes
Decripte implementa el cumplimiento — sin que montes un equipo interno.
Diagnóstico de adecuación, controles técnicos auditables, pentest y documentación para el regulador/auditor. O empieza gratis viendo lo que ya está expuesto.
