DORA se ha convertido en el eje regulatorio que define cómo las entidades financieras deben abordar la resiliencia operativa y la gestión criptográfica a medio y largo plazo.
En el sector financiero, DORA no es una sugerencia. Es ley.
El Digital Operational Resilience Act entra en vigor el 17 de enero de 2025, marcando un antes y un después en la forma en que las entidades gestionan la ciberresiliencia.
Y sí: la resistencia criptográfica cuántica forma parte de vuestras obligaciones de resiliencia operativa.
La nueva realidad regulatoria
📅 Entrada en vigor: enero de 2025
💶 Multas: hasta el 2 % de la facturación global anual
🎯 Supervisores nacionales y la Autoridad Bancaria Europea (EBA) con capacidad sancionadora directa.
DORA no solo exige cumplimiento: exige capacidad demostrable de resiliencia.
Entre sus requisitos clave destacan:
→ Identificación de activos y dependencias TIC críticas, incluyendo los sistemas de cifrado avanzado.
→ Gestión de riesgos de terceros, especialmente de proveedores que manejan criptografía o claves digitales.
→ Planes de continuidad y recuperación, preparados para escenarios de fallo durante la migración hacia la Criptografía Post-Cuántica (PQC).
→ Testing de resiliencia, con validación de infraestructura ante entornos cifrados cuántico-resistentes.
La trampa del tiempo
DORA exige tener planes y capacidad operativa real, no solo documentación.
Sin embargo, una migración completa hacia PQC puede requerir entre 5 y 10 años.
Si vuestra evaluación no ha comenzado, ¿cómo podréis demostrar ante vuestro supervisor que contáis con un plan tecnológico viable y realista?
Para los CISOs del sector financiero
Las auditorías DORA ya están incluyendo preguntas como:
✓ “¿Disponéis de un inventario criptográfico completo?”
✓ “¿Tenéis definido vuestro roadmap de migración PQC?”
✓ “¿Cómo gestionáis el riesgo cuántico en vuestra cadena de terceros?”
✓ “¿Habéis probado vuestra resiliencia ante un escenario de transición cuántica?”
Si alguna de estas respuestas hoy sigue siendo “no”, ya estáis en situación de incumplimiento.
El regulador ya está aquí – los ordenadores cuánticos aún no, pero las sanciones por falta de preparación son inmediatas.
⏰ La pregunta no es si debéis adaptaros, sino cuándo empezaréis vuestra evaluación PQC.
Y la respuesta correcta es: ahora.
Para cerrar desde una perspectiva estratégica, DORA debe entenderse como un catalizador para fortalecer capacidades reales de resiliencia y gobernanza tecnológica.
Explora otros análisis y publicaciones vinculadas a nuestras soluciones avanzadas aquí.