Guillem Alsina Gonzàlez
El pasado 1 de enero de 2025 marcó la puesta en marcha de la Ley de Resiliencia Operativa Digital (DORA) y, medio año más tarde, el 96% de las entidades financieras encuestadas en la región EMEA admite que su resiliencia de datos sigue siendo insuficiente para cumplirla. Este dato procede de un estudio realizado por Censuswide para Veeam Software entre responsables de TI de entidades de Reino Unido, Francia, Alemania y Países Bajos.
La normativa DORA, diseñada para reforzar las defensas frente a ciberamenazas y fallos de las TIC, ha escalado rápidamente en la agenda corporativa: el 94% de los participantes asegura que hoy prioriza DORA mucho más que en el mes anterior a su aplicación, y un 40% la sitúa como su principal reto de resiliencia digital.
Mientras que la mitad de los encuestados ya ha incorporado los requisitos al programa general de continuidad, un 39% la mantiene como foco independiente para acelerar la adaptación.
La adopción apresurada ha dejado efectos colaterales: cuatro de cada diez compañías identifican un incremento del estrés y la carga de trabajo en los equipos de TI y seguridad, y más de un tercio denuncia mayores costes repercutidos por sus proveedores tecnológicos. Además, un 22% advierte de que la proliferación normativa puede frenar la innovación y la competencia, y uno de cada cinco todavía no ha obtenido los recursos presupuestarios necesarios para desplegar todos los controles.
Pese a la prioridad concedida, persisten carencias en funciones críticas, como las pruebas de recuperación y la notificación de incidentes, que un 24% de las organizaciones todavía no ha implantado. El mismo porcentaje no dispone de un responsable formal del proyecto DORA, y el 21% carece de mecanismos para verificar la integridad de las copias de seguridad o garantizar una restauración segura de los datos. Esta situación refleja la brecha que separa la planificación estratégica del cumplimiento efectivo de la norma.
La supervisión del riesgo de terceros se erige como el requisito más complejo: el 34% de los encuestados lo considera el mayor desafío, pese a que sólo uno de cada cinco no lo ha implementado todavía. Entre las causas se citan la limitada visibilidad sobre las operaciones externas y la magnitud de las cadenas de suministro tecnológicas, lo que ha llevado a varias entidades a reclamar directrices más claras.
Desde Veeam subrayan que el camino hacia la resiliencia operativa continúa abierto; junto con McKinsey, esta firma presentó a principios de año un Modelo de Madurez de Resiliencia de Datos (DRMM) basado en experiencias de más de 500 líderes de TI, seguridad y operaciones, el cual permite evaluar de forma integrada la preparación frente a incidentes y trazar una hoja de ruta que, según la firma, facilita el alineamiento con DORA y otras exigencias regulatorias.
El mensaje que se desprende del estudio es claro: la normativa está logrando que las entidades revisen su resiliencia de manera holística, pero convertir esa voluntad en capacidades tangibles sigue siendo la asignatura pendiente.
