El 17 de enero de 2025 comenzó oficialmente a aplicarse el Reglamento DORA, un marco normativo europeo concebido para reforzar la capacidad del sector financiero de afrontar los riesgos tecnológicos derivados de la creciente digitalización. Su finalidad es clara: asegurar que bancos, aseguradoras y entidades de servicios de inversión puedan mantener la continuidad operativa incluso ante incidentes graves relacionados con las TIC.
DORA había entrado en vigor el 16 de enero de 2023, otorgando a los operadores dos años de adaptación antes de su plena aplicación. Con esta norma, que modifica varios Reglamentos europeos —1060/2009, 648/2012, 600/2014, 909/2014 y 2016/1011—, la Unión Europea pretende garantizar un entorno digital seguro y resiliente, reduciendo la dependencia tecnológica no gestionada y evitando posibles perturbaciones que puedan extenderse a otros sectores económicos. La Junta Europea de Riesgo Sistémico ya advirtió en 2020 que una gestión deficiente de los riesgos TIC puede desencadenar consecuencias graves en el conjunto del sistema financiero.
El Reglamento pone el foco en diversos ámbitos: gestión del riesgo tecnológico, evaluación de terceros proveedores, pruebas de resiliencia operativa, notificación obligatoria de incidentes relevantes, intercambio seguro de información y supervisión específica de proveedores tecnológicos críticos. Su objetivo es unificar y armonizar un mosaico normativo que hasta ahora resultaba desigual entre Estados miembros. Tal como destaca el Considerando 14, escoger la figura del Reglamento permite reducir la complejidad regulatoria, facilitar la convergencia supervisora y disminuir los costes de cumplimiento, especialmente para entidades con actividad transfronteriza.
La adaptación normativa no ha estado exenta de complejidad. De hecho, EIOPA retiró dos directrices y modificó un dictamen para evitar solapamientos, buscando construir un marco único para la resiliencia operativa digital en los sectores de seguros y pensiones.
Es importante tener presente que DORA afecta a todo el ecosistema financiero, aunque con matices según el tipo de operador. En este punto ha sido especialmente relevante el trabajo de ADECOSE y BIPAR, que promovieron una enmienda ante el Parlamento Europeo para excluir del Reglamento a las micro, pequeñas y medianas corredurías que no dependieran exclusivamente de sistemas automatizados de venta. Su argumento era claro: no podía imponerse a estas entidades el mismo nivel de obligaciones que a grandes aseguradoras. La propuesta prosperó y, desde noviembre de 2021, las corredurías de menos de 250 empleados quedaron exentas de un gran número de requisitos, tal como recoge el Considerando 43 del DORA.
La adaptación del sector asegurador ha sido especialmente desafiante. Según datos de ICEA de septiembre de 2024, solo un 1,2 % de las aseguradoras españolas afirmaba haber completado totalmente su adecuación al Reglamento, mientras que un 50 % situaba su avance entre el 50 % y el 75 %. Entre las principales dificultades señaladas destacan el escaso margen temporal, la falta de perfiles especializados y la necesidad de incrementar el presupuesto, contratar nuevos profesionales o introducir cambios organizativos.
También el supervisor ha debido reestructurarse. La DGSFP ha creado una división específica de supervisión tecnológica e innovación digital y ha superado una auditoría de seguridad conforme al Esquema Nacional de Seguridad. Además, ha habilitado una plataforma para la notificación de ciberincidentes y para realizar pruebas de preparación voluntarias, y ha reunido en su web toda la documentación relevante para facilitar la comprensión y aplicación del Reglamento: texto normativo, publicaciones de EIOPA, normas técnicas, protocolos de notificación y canales de consulta.
Conclusión
La creciente dependencia tecnológica del sistema financiero incrementa también su exposición a fallos y ataques que pueden comprometer su estabilidad y la confianza de usuarios y operadores. DORA nace precisamente para ofrecer un marco regulatorio adaptado a esta nueva realidad, capaz de aprovechar el potencial de las TIC sin dejar desprotegido a un sector esencial para la economía. Desde el Departamento de Derecho del Seguro de Belzuz Abogados, S.L.P., quedamos a disposición de quienes necesiten asesoramiento especializado en materia de responsabilidad civil y seguros.