Datos Rápidos

• El 96% de las empresas financieras de EMEA admiten que no están listas para cumplir con DORA.
• La Ley de Resiliencia Operativa Digital (DORA) será exigible a partir de enero de 2025.
• El 41% de las organizaciones reportan un aumento del estrés en los equipos de TI y seguridad debido a DORA.
• Más de un tercio tiene mayores dificultades para gestionar los riesgos de proveedores tecnológicos externos.
• El 20% aún no ha asegurado el presupuesto necesario para las mejoras exigidas por DORA.

Grietas en la fortaleza: el sector financiero ante el ajuste de cuentas de DORA

Imagina el sector financiero europeo como una fortaleza medieval, a la que de repente se le exige resistir una nueva generación de máquinas de asedio - ciberataques más astutos y persistentes que nunca. Nueve meses después de que la Ley de Resiliencia Operativa Digital (DORA) entrara en vigor, una amplia encuesta de Veeam revela una verdad preocupante: casi todos los bancos, aseguradoras y casas de inversión están corriendo para reforzar sus murallas digitales, y la mayoría está lejos de estar preparada.

DORA, implementada por la UE en enero de 2025, fue diseñada como respuesta a años de amenazas cibernéticas crecientes y fallos informáticos de alto perfil. Su objetivo: obligar a las instituciones financieras a demostrar que no solo pueden repeler a los hackers, sino también mantener el negocio en funcionamiento ante cualquier desastre digital, desde ransomware hasta caídas en la nube. En teoría, DORA establece un nuevo estándar de oro para la resiliencia operativa. En la práctica, está dejando al descubierto vulnerabilidades profundas.

Estrés, costes y la presión del cumplimiento

La encuesta de Veeam-Censuswide dibuja un panorama contundente. Aunque el 94% de las empresas afirman que DORA es ahora una prioridad máxima, el 96% admite que no cumple con sus requisitos. Los equipos de TI y ciberseguridad sienten la presión: el 41% reporta un aumento del estrés y la presión, y el 37% enfrenta costes crecientes por parte de proveedores tecnológicos. Más preocupante aún, el 20% de las organizaciones no ha asegurado los presupuestos necesarios para cumplir con los nuevos mandatos.

Algunas de las mayores brechas son básicas pero críticas. Casi una cuarta parte no ha comenzado a realizar pruebas regulares de su capacidad para seguir operando durante una crisis, ni ha implementado sistemas sólidos para reportar incidentes. Más de una quinta parte no puede garantizar que sus copias de seguridad sean seguras y recuperables. ¿El mayor desafío? El riesgo de terceros: el 34% afirma que gestionar la compleja red de proveedores externos es su mayor dolor de cabeza, debido a cadenas de suministro opacas y redes digitales extensas.

Lecciones del pasado y el camino por delante

El dilema de DORA recuerda a reformas regulatorias pasadas - como la carrera por cumplir con el RGPD en 2018, cuando las empresas se apresuraron a revisar sus prácticas de privacidad de datos. Pero la ciberseguridad es un objetivo en constante movimiento. El sector financiero ya ha experimentado el caos de los ataques de ransomware - como la infame brecha de Accellion en 2021, que afectó a bancos de todo el mundo. Con DORA, las apuestas son aún mayores: el incumplimiento podría traducirse en fuertes multas, ruina reputacional y, en el peor de los casos, un caos operativo duradero.

Las implicaciones para el mercado son enormes. A medida que las amenazas cibernéticas se vuelven más sofisticadas y aumentan las tensiones geopolíticas, los reguladores europeos dejan claro que no tolerarán eslabones débiles. Voces de la industria, como Alessio di Benedetto de Veeam, advierten que el respaldo tradicional ya no es suficiente. Ahora, las empresas deben adoptar una “resiliencia radical” - integrando copias de seguridad, recuperación rápida y protección de datos hermética en la nube híbrida, plataformas SaaS e incluso sistemas basados en contenedores como Kubernetes.

Repensar la resiliencia: más allá del cumplimiento, hacia la supervivencia

DORA es más que una lista de verificación; es un llamado a la acción. Para las instituciones financieras, el reto no es solo aprobar auditorías - es garantizar que, cuando llegue el próximo asedio digital, sus datos y operaciones puedan recuperarse al instante. En un mundo donde las interrupciones y los ataques son la norma, la verdadera resiliencia significa tener no solo un foso, sino un puente levadizo que pueda alzarse en segundos.

El mensaje es claro: quienes inviertan en ciberseguridad avanzada y traten la resiliencia operativa como un pilar estratégico estarán mejor posicionados para sobrevivir - y prosperar - en la nueva era de las finanzas digitales.