DORA: DIGITAL OPERATIONAL RESILENCE ACT. Reglamento de Resiliencia Operativa Digital
LISTA DE VERIFICACIÓN
Plazos Clave
Entró en vigor: Enero 2023.
Aplicación obligatoria: A partir de enero 2025.
Este checklist es un resumen general. Dependiendo del tipo de empresa y su exposición a riesgos digitales, algunos requisitos pueden requerir ajustes. Te recomiendo consultar el texto oficial del Reglamento (UE) 2022/2554 o buscar asesoría legal especializada.
1. Datos Generales de la Empresa
Nombre de la empresa
Sector de actividad
Ubicación, sede principal, filiales y jurisdicciones donde opera.
Estructura legal (filiales, subsidiarias, etc.)
Normativas y regulaciones aplicables
Clasificación según DORA (entidad financiera, proveedor crítico de TI, etc.).
Volumen de operaciones/datos gestionados (ej., transacciones anuales, datos de clientes).
2. Estructura Organizativa
Organigrama de la empresa con áreas relacionadas con TI, ciberseguridad y continuidad de negocio.
Responsables de seguridad y continuidad del negocio
Roles definidos:
Responsable de Cumplimiento DORA.
CISO (Chief Information Security Officer).
Equipo de respuesta a incidentes.
Comités de riesgos y TI (frecuencia de reuniones, actas).
Procedimientos de escalamiento de incidentes
Políticas documentadas:
Gestión de riesgos TI.
Resiliencia operativa.
3. Servicios Prestados por la Empresa
Descripción de servicios principales
Listado de servicios críticos (ej., procesamiento de pagos, gestión de datos financieros).
Dependencias tecnológicas de cada servicio (ej., APIs, cloud, terceros).
Clientes clave y sectores atendidos
Acuerdos de nivel de servicio (SLAs) con clientes/proveedores.
4. Seguridad y Arquitectura Informática
Políticas de seguridad de la información
Plan de continuidad del negocio y recuperación ante desastres
Procedimientos de gestión de incidentes
Auditorías de seguridad recientes
Pruebas de resistencia y evaluaciones de vulnerabilidades
Plan de respuesta ante ataques cibernéticos
A. Infraestructura
Diagrama de arquitectura de red (incluye cloud, híbrido, on-premise).
Inventario de activos críticos (hardware, software, bases de datos).
Sistemas de almacenamiento y backup (frecuencia, cifrado, ubicación).
B. Controles de Seguridad
Protección perimetral (firewalls, IDS/IPS).
Cifrado de datos (en tránsito y en reposo).
Autenticación MFA y gestión de identidades (IAM).
Monitorización continua (SIEM, logs centralizados).
C. Software y Comunicaciones
Inventario de software (licencias, versiones, parcheado).
Sistemas de comunicación internos/externos (email, mensajería segura).
Protocolos de seguridad para acceso remoto (VPN, Zero Trust).
5. Software y Sistemas de la Empresa
Inventario de software utilizado
Sistemas operativos y versiones
Aplicaciones críticas para la operación
Herramientas de gestión y monitoreo de riesgos TIC
Mecanismos de actualización y parches de seguridad
Listado de proveedores de TI críticos (ej., AWS, Azure, procesadores de pagos).
Contratos con cláusulas DORA:
Auditorías de seguridad.
Notificación de incidentes.
Resiliencia demostrable.
Evaluaciones periódicas de riesgos de proveedores.
6. Sistemas de Comunicación
Infraestructura de redes (LAN, WAN, VPN, etc.)
Proveedores de servicios de telecomunicaciones
Mecanismos de comunicación en caso de incidentes
Canales seguros de comunicación interna y externa
Protocolos de cifrado en las comunicaciones
Registro de incidentes reportados (fechas, gravedad, acciones tomadas).
Resultados de pruebas de resiliencia (ej., penetration tests, simulacros).
Planes de respuesta y recuperación (DRP, BCMP).
Documentación de capacitación en ciberseguridad para empleados.
7. Proveedores y Terceros Críticos
Listado de proveedores clave
Evaluación de riesgos de terceros
Contratos y acuerdos de nivel de servicio (SLA)
Políticas de continuidad del negocio de los proveedores
Estrategia de mitigación de riesgos asociados a terceros
Informes de auditorías recientes (ej., ISO 27001, SOC2).
Registros de reuniones con reguladores (ECB, ESMA, etc.).
Matriz de riesgos TI actualizada.
8. Cumplimiento Normativo y Auditorías
Certificaciones en seguridad y cumplimiento normativo
Controles implementados según DORA
Informes de auditorías internas y externas
Procedimientos para reportar incidentes a autoridades
Este checklist te ayudará a evaluar la organización de la empresa según los requerimientos del Reglamento DORA y su capacidad para garantizar la resiliencia operativa digital.
INTERCER
Soluciones en certificación, inspección y auditoria enfocadas a la optimización de los negocios.
NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.
INTERCER
Avda. del Conocimiento nº 34, Parque Tecnológico de Ciencias de la Salud , 18006 Granada, Spain
Copyright INTERCER. All rights reserved.
