...

Reglamento DORA: Nuevos estándares de seguridad para proveedores de servicios cripto

¿Estabas al tanto de que el 17 de enero entró en vigor el nuevo reglamento DORA? Pues si no es así, o si no tienes muy en claro que significa el nuevo reglamento -ya vigente en España-, esta guía que preparamos en CLCripto es tan necesaria como interesante. 

Reglamento DORA: la nueva frontera de la Seguridad Digital en el Universo Cripto

Bienvenidos, tripulantes del ciberespacio financiero. Como ya anunciamos en la introducción de la nota, la Unión Europea lanzó en 2023 un marco normativo: DORA (Digital Operational Resilience Act) y, a partir del 17 de enero del 2025, entró en vigor con nuevas modificaciones en España.

 

Sí, suena a robot de una misión intergaláctica, pero en realidad es el Reglamento de Resiliencia Operativa Digital DORA, una normativa que redefine los estándares de seguridad para el sector financiero y, en particular, para los proveedores de servicios cripto.

¿Qué es el Reglamento DORA y por qué nos afecta a todos?

El nombre del reglamento DORA proviene, entonces, de las siglas Digital Operational Resilience Act. Ahora bien, ¿En qué consiste este reglamento?

En un sistema financiero que depende cada vez más de la tecnología y los datos, la seguridad es un aspecto a considerar con especial atención para no quedar varados en un agujero negro de ciberataques. 

DORA nace con el propósito de fortalecer la resistencia digital de bancos, aseguradoras, fintechs y, sí, exchanges y proveedores de servicios cripto.

La idea es clara: si el sistema financiero es la nave nodriza de la economía, DORA es el escudo deflector que protege contra ataques cibernéticos, fallos técnicos y demás meteoritos tecnológicos.

¿Cuáles son los objetivos del reglamento DORA?

La normativa DORA, que se encuentra en vigencia desde el 17 de enero del 2025 en España y que afecta a proveedores de activos digitales y también a bancos, aseguradoras y empresas de inversión, trae consigo una serie de objetivos en un mundo financiero cada vez más digital:

 

    • Blindar la seguridad digital en todas las entidades supervisadas.
    • Establecer criterios DORA para la gestión del riesgo tecnológico.
    • Asegurar que bancos y plataformas cripto tengan protocolos sólidos en caso de incidentes digitales.
    • Hacer obligatoria la notificación de ataques cibernéticos en tiempo real.
    • Adoptar un enfoque proactivo de la seguridad.

 

Además, adaptarse al reglamento DORA será obligatorio para solicitar la licencia MiCA en el 2025. 

 

MiCA (Markets in Crypto-Assets), Reglamento (UE) 2023/1114, es una normativa europea, aprobada por el Parlamento Europeo y el Consejo, que establece un marco regulatorio común para los mercados de criptoactivos en toda la Unión Europea (UE).

Los criterios DORA: La NASA de la seguridad en criptomonedas

Continuando esta metáfora entre el espacio exterior y el universo de las criptomonedas que elegimos para la guía, es válido realizar la comparación entre los criterios DORA y la NASA (La Administración Nacional de Aeronáutica y el Espacio de los Estados Unidos).

 

El Reglamento DORA no es solo una declaración de intenciones; es un manual técnico con reglas concretas que todos los jugadores del ecosistema financiero deben cumplir. Su implementación requiere un esfuerzo detallado en gestión de riesgos, supervisión de proveedores y medidas de ciberseguridad avanzadas.

 

En este sentido, los criterios DORA son los requisitos que exige cumplir el reglamento para operar en el sector cripto y bancario

 

No olvides que en CLCripto, la consultora legal más grande de España, encontrarás servicio de asesoría cripto para tu empresa y así cumplir con el reglamento para 2025.

 

A continuación, los criterios más importantes de acuerdo a la normativa que entró en vigor el último 17 de enero:

 

Un marco de gestión de riesgos TIC

DORA exige que todas las entidades financieras, incluyendo bancos, exchanges y fintechs, desarrollen marcos integrales de gestión del riesgo de las TIC. Esto implica:

  • Identificación de activos críticos: Cada entidad debe analizar qué partes de su infraestructura son esenciales para su operación​.
  • Análisis de riesgos regulares: Se deben llevar a cabo revisiones periódicas para detectar vulnerabilidades y anticipar posibles amenazas.
  • Estrategias de mitigación: Se requiere implementar planes para responder ante eventos disruptivos como ataques cibernéticos, fallos tecnológicos o pandemias​.

Cabe mencionar que, según el reglamento, los marcos deben ser documentados y revisados al menos una vez al año y cada vez que ocurra un incidente relevante​.

Supervisión de proveedores de servicios digitales

Si tu plataforma usa servicios de terceros (como nodos blockchain, proveedores de hosting o soluciones de ciberseguridad), necesitas trazar toda la cadena de subcontratación.

Hay tres factores en los que hacer énfasis:

  • Registro de proveedores: Se debe llevar un listado detallado de todos los contratos en vigor, identificando qué funciones dependen de ellos​.
  • Seguimiento de riesgos de terceros: Se requiere supervisión activa sobre los proveedores esenciales para la operativa financiera​.
  • Cláusulas contractuales claras: DORA exige que los contratos con proveedores especifiquen procesos y protocolos de seguridad, aunque todavía hay dudas sobre cómo definir estos términos​.

Uno de los problemas más relevantes que trajo la aplicación del reglamento es que muchas empresas aún no han logrado completar este registro porque la plantilla oficial solo estuvo disponible en diciembre, dejando poco margen para su implementación​.

Pruebas de resiliencia digital

Uno de los criterios más interesantes. El reglamento DORA exige que las plataformas simulen ataques y pruebas de estrés para evaluar su capacidad de respuesta ante eventos críticos.

Tipos de pruebas exigidas:

Pruebas básicas y avanzadas

Incluyen desde simulaciones de ataques hasta evaluaciones en tiempo real​.

Evaluaciones tras cambios en la infraestructura

Si hay modificaciones en redes, sistemas o procesos, se debe realizar una prueba de seguridad​.

Planes de recuperación en caso de incidente

Se debe contar con estrategias para limitar daños y restaurar la operatividad rápidamente​.

Las pruebas de estrés y las simulaciones de ataque deben realizarse, como mínimo, una vez al año y ser ejecutadas por terceros independientes​.

Notificación obligatoria de ciberincidentes 

Si hay un hackeo, brecha de seguridad o fallo crítico, las empresas deben informar de inmediato a las autoridades competentes.

Criterio a seguir:

  • Notificación de ciberincidentes graves: Obligatorio reportar eventos significativos a los reguladores​.
  • Intercambio de información sobre ciberamenazas: Se fomenta la colaboración entre entidades financieras para prevenir ataques futuros​.
  • Canales oficiales de reporte: La Sede Electrónica de la DGSFP habilitará un sistema específico para la notificación de incidentes​.

En este sentido, La Unión Europea aún no ha determinado cuáles proveedores TIC serán considerados "críticos" y requerirán medidas adicionales de supervisión​.

Auditorías internas periódicas

El reglamento DORA establece también que las empresas deben someterse a revisiones constantes para asegurar el cumplimiento de los estándares de seguridad.

  • Obligación de auditorías anuales
    • Mínimo una vez al año para evaluar la seguridad digital de la entidad​.
  • Documentación exhaustiva
    • Las entidades deben mantener registros detallados de sus auditorías, informes de riesgos y medidas correctivas​.
  • Supervisión externa
    • Se requiere que terceros independientes realicen parte de estas auditorías​.

El reglamento DORA no está exento del debate y de la polémica. En la actualidad, muchas empresas acusan falta de claridad en la normativa y retrasos en la publicación de los estándares técnicos (RTS), lo que dificulta su cumplimiento​.

Cumplir el reglamento DORA no es opcional, es obligatorio

En resumen, la Unión Europea no quiere más satélites flotando sin rumbo. Por ello, todos los actores del ecosistema deberán cumplir de forma obligatoria con los estándares de seguridad establecidos por el DORA

 

Es así que las empresas cripto deben adaptarse rápidamente, ya que el cumplimiento de DORA es obligatorio para obtener la licencia MiCA​.

 

Con este objetivo en mente, las plataformas deben actualizar sus protocolos, asegurándose de notificar incidentes, realizar auditorías y probar sus sistemas regularmente.

El impacto del Reglamento DORA en la industria cripto en España

Aquí entramos en una parte interesante. DORA en banca y en criptomonedas no es solo un conjunto de normas: es un cambio total de paradigma

Para el 2025 y con el nuevo reglamento, los proveedores de servicios de criptomonedas deben cumplir con requisitos de seguridad similares a los de los bancos tradicionales.

Puntos interesantes para el ecosistema cripto:

  • Sin cumplir DORA, las empresas cripto no podrán obtener la licencia MiCA (otro reglamento europeo relevante en el sector).
  • Los exchanges y wallets deberán justificar sus medidas de ciberseguridad ante los reguladores.
  • Los inversores ganan protección, ya que el Reglamento DORA evita que hacks o caídas tecnológicas dejen a miles sin acceso a sus activos.

En palabras más simples y un breve resumen del reglamento DORA: se acabó la era de la desregulación y de la libertad en criptomonedas, conocido como “el salvaje oeste” cripto. Ahora, si una plataforma quiere operar en la Unión Europea, debe probar que su seguridad tiene el suficiente respaldo.

Conclusión sobre el reglamento DORA: Asesórate con CLCripto

El reglamento DORA llega para cambiar las reglas del juego en el ecosistema cripto, con la intención de aumentar los estándares de seguridad de los proveedores y regularizar la actividad.

 

Para ajustar tu empresa o para entender en qué afecta a tu inversión cripto la entrada en vigencia de los nuevos criterios DORA en España, no hay mejor opción que la asesoría cripto de CLCripto. 

 

Si necesitas un equipo con amplia experiencia y formado por asesores fiscales profesionales en criptomonedas, ya sabes donde buscarlo. Contacta con CLCripto: somos tu asesoría fiscal de criptomonedas.

Preguntas frecuentes acerca del reglamento DORA

¿Desde cuándo es obligatorio el cumplimiento de DORA?

El Reglamento DORA entró en vigor el 17 de enero de 2025, pero se otorgó un período de adaptación de dos años. Las empresas deben cumplir completamente con DORA antes del 17 de enero de 2027 para evitar sanciones.

¿Qué sanciones pueden recibir las empresas que no cumplan con DORA?

Las entidades que no cumplan con los requisitos de DORA se enfrentan a:

  • Multas millonarias por incumplimiento de ciberseguridad.
  • Suspensión de licencias y cierre definitivo para operar en la UE.
  • Investigaciones regulatorias y mayor supervisión de sus actividades.

¿Cómo se relaciona DORA con MiCA en el ecosistema cripto?

DORA y MiCA (Markets in Crypto-Assets) son dos regulaciones complementarias:

  • DORA: Se enfoca en la ciberseguridad y resiliencia digital de empresas financieras.
  • MiCA: Regula el mercado de criptoactivos, estableciendo normas para tokens y exchanges.
Para obtener la licencia MiCA, es obligatorio cumplir con DORA. Si una empresa cripto quiere operar legalmente en la UE, necesita cumplir ambas normativas.

¿Cómo afecta DORA a los inversores en criptomonedas?

Para los inversores cripto, DORA representa mayor seguridad y transparencia. Entre sus beneficios:

  • Menos riesgo de hackeos en exchanges y wallets.
  • Plataformas más confiables y auditadas.
  • Protección ante fallos tecnológicos de empresas financieras.

¿Qué empresas de criptomonedas deben cumplir con DORA?

Todas las empresas que ofrecen servicios financieros relacionados con activos digitales deben cumplir con el DORA, como:

  • Exchanges de criptomonedas (Binance, Kraken, etc.).
  • Wallets y plataformas DeFi.
  • Proveedores de infraestructura blockchain.
  • Empresas fintech con servicios cripto.

Deja un comentario

Servicios
Asesorías
Pase Tripulante
Curso
Zoom
Blog
Quienes Somos
Contacto
CLCRIPTO Teléfono 876 036 892
CLCRIPTO correo electrónico info@clcripto.com
Logotipo de NextGeneration EU Logotipo del Plan de Recuperación, Transformación y Resiliencia Logotipo W3C. Accesibilidad nivel AA

Media Partners:

Logotipo de Funontheride Logotipo de Territorio Bitcoin