Marco de Gestión del Riesgo ICT bajo DORA 2026: Guía Completa para Entidades Financieras
Desde el 17 de enero de 2025, toda entidad financiera en la UE debe mantener un marco documentado de gestión del riesgo ICT bajo el Reglamento DORA. Los artículos 6–16, junto con tres Reglamentos Delegados (RTS), especifican exactamente qué políticas, funciones, herramientas y evidencias esperarán encontrar los supervisores en una inspección.
Marco de gestión del riesgo ICT (DORA Art. 6): Conjunto de estrategias, políticas, procedimientos y herramientas que la entidad financiera debe establecer, implantar y mantener para identificar, clasificar, proteger, detectar, responder, recuperarse y aprender de los riesgos relacionados con las TIC. El órgano de administración (consejo de administración o equivalente) es responsable directo de aprobar y supervisar este marco.
Los 5 componentes del marco ICT bajo DORA
Gobernanza y organización (Art. 5–6)
El órgano de administración aprueba la estrategia ICT, asigna presupuesto adecuado y garantiza personal cualificado. El CISO (o función equivalente) reporta directamente al órgano de administración al menos una vez al año.
Gestión de activos ICT (Art. 8)
Inventario completo y actualizado de todos los activos hardware y software, clasificados por criticidad. El RTS 2024/1774 especifica los campos mínimos del registro y la frecuencia de revisión (al menos anualmente).
Protección y prevención (Art. 9)
Controles mínimos: segmentación de red, MFA para cuentas privilegiadas, cifrado en tránsito y en reposo (AES-256), gestión de parches con SLAs definidos por criticidad, y política de seguridad de la información aprobada por el órgano de administración.
Detección (Art. 10)
Mecanismos para detectar rápidamente actividades ICT anómalas, incluyendo en puntos de acceso de terceros. Generalmente requiere un SIEM con umbrales de alerta definidos y proceso de escalada documentado.
Respuesta, recuperación y aprendizaje (Art. 11–13)
BCP y DRP documentados con objetivos RPO/RTO definidos, probados al menos anualmente. Revisiones post-incidente para todos los incidentes mayores, presentadas al órgano de administración en un plazo de 3 meses.
Documentación DORA lista para auditoría en 48 horas
IgeraRegtech genera las políticas ICT, el registro de activos, el BCP/DRP y el informe al órgano de administración — conforme a los RTS más recientes y pre-relleno con los datos de tu entidad.
Hacer gap analysis DORA gratisPublicado: junio 2026 · Fuentes: Reglamento (UE) 2022/2554 (DORA); RTS 2024/1774; RTS 2024/1773; ITS 2024/2956; Directrices conjuntas EBA/ESMA/EIOPA gestión riesgos TIC 2024 · Autor: Gerard Maymó, CEO Igera Solutions · IgeraRegtech