Tras un año desde la implementación obligatoria del Reglamento DORA en el marco normativo europeo, la Fundación Borredá y Red Seguridad hemos coorganizado en Madrid la II Jornada DORA, un encuentro de referencia sectorial. La apertura institucional estuvo liderada por nuestra presidenta, Ana Borredá, y la directora de Red Seguridad, Yolanda Duro. Durante su intervención, se puso de relieve que este marco normativo trasciende el mero cumplimiento técnico. En palabras de Ana Borredá:
«El Reglamento DORA es el reflejo de qué está pasando en el mundo; es un cambio de era marcado por la interdependencia»
Lejos de ser una mera lista de requisitos obligatorios de control, las aportaciones de las máximas autoridades supervisoras (como el Banco de España, el Incibe y la Dirección General de Seguros y Fondos de Pensiones) junto a los CISOs de las principales entidades del país, nos permiten sintetizar las grandes claves doctrinales para afrontar con éxito el despliegue normativo actual.
VIDEO COMPLETO DE LA JORNADAEl cambio de enfoque: Del cumplimiento técnico al valor estratégico
Una de las conclusiones transversales del encuentro es la profunda transformación interna que ha provocado la legislación en la gobernanza corporativa. La resiliencia digital ha dejado de ser un asunto relegado exclusivamente a los departamentos tecnológicos para escalar posiciones en el organigrama y situarse firmemente en la agenda de la alta dirección.
El Reglamento Dora ha obligado a las organizaciones a adaptar y sistematizar sus cuadros de mando y sus informes de riesgos. De este modo, la ciberseguridad se consolida como un elemento diferenciador capaz de aportar valor directo al negocio al identificar con precisión las actividades críticas de la empresa y reforzar la fiabilidad institucional.
El desafío prioritario del riesgo de terceros en la cadena de suministro
La gestión del riesgo derivado de la fuerte dependencia de proveedores tecnológicos externos (TIC) y de grandes infraestructuras en la nube se ha destapado como la barrera operativa más compleja. Siete de cada diez incidentes con impacto operativo involucran directamente a proveedores de servicios, mientras que más de la mitad de las brechas en Europa tienen su origen en la cadena de suministro.
Frente a la concentración de proveedores y la falta de trazabilidad en los contratos, los expertos coinciden en la urgencia de aplicar las siguientes estrategias de mitigación:
- Modelos de gestión en etapas: Desplegar soluciones automatizadas GRC que cubran de forma integral
- Esquemas de certificación unificados: Fomentar el uso de «pasaportes» o plataformas de calificación compartida (como el Esquema Nacional de Seguridad o PINAKES).
- Proporcionalidad con terceros: Diseñar marcos que respeten la diversidad de perfiles de riesgo sin asfixiar la agilidad comercial de organizaciones de menor tamaño o startups.
Mitigación de puntos ciegos y optimización del reporting
A pesar de los avances metodológicos logrados durante este periodo de transición, el sector alerta de que siguen produciéndose incidentes tecnológicos en terceros que no se comunican adecuadamente a las entidades. Para revertir esta situación, se considera prioritario avanzar hacia relaciones contractuales mucho más transparentes basadas en alianzas sólidas y auditorías sobre el terreno para los proveedores esenciales.
VIDEO COMPLETO DE LA JORNADAAdopción de inteligencia artificial y revisión de arquitecturas
El impacto regulatorio del Reglamento DORA está impulsando una renovación técnica profunda. Las entidades se encuentran en pleno proceso de revisión de sus arquitecturas y diseño de entornos más resilientes para garantizar la continuidad del negocio en caso de crisis.
En este sentido, la adopción segura y competitiva de tecnologías avanzadas como la inteligencia artificial y las herramientas XDR de detección proactiva están marcando la diferencia.
Avanzando hacia una hoja de ruta de resiliencia compartida
La principal lección que nos deja este análisis sectorial es la necesidad de operativizar diariamente las pruebas de rendimiento y las evaluaciones de resiliencia, transformando el marco normativo en un hábito organizativo. Consolidar el cumplimiento exige una cultura corporativa fundamentada en el intercambio ágil de información y la transparencia.
Conoce otras citas sectoriales en nuestra sección de Eventos de la Fundación Borredá.
