DORA: què implica la nova llei de resilència digital per a bancs i assegurances (i els seus proveïdors)

S’ha acabat la fragilitat digital

El sector financer i assegurador opera avui en un entorn on les interrupcions tecnològiques ja no són una possibilitat remota, sinó un risc permanent. Incidents de ciberseguretat, caigudes de proveïdors o fallades en serveis externs poden paralitzar operacions crítiques en qüestió de minuts. Per respondre a aquesta realitat, la Unió Europea ha aprovat el Digital Operational Resilience Act (DORA), en vigor des del 17 de gener de 2025.

DORA introdueix un canvi profund d’enfocament. Ja no es tracta només de prevenir atacs o fallades, sinó de demostrar resilència operativa: la capacitat de resistir, respondre i recuperar-se d’incidents tecnològics sense interrompre serveis essencials. Aquesta exigència afecta directament a bancs, assegurances i empreses d’inversió, però també, de forma molt rellevant, als seus proveïdors tecnològics.

El taló d’Aquil·les: la gestió del risc de tercers

Un dels pilars de DORA és la gestió del risc TIC de tercers (Third Party Risk Management). La normativa parteix d’un principi clar: una entitat financera és responsable dels fallades operatius dels seus proveïdors crítics. Si un servei extern clau cau, la responsabilitat regulatòria no desapareix, es trasllada.

Això obliga a les entitats a:

• Avaluar rigorosament als seus proveïdors tecnològics.
• Assegurar que compleixen estàndards elevats de seguretat, disponibilitat i continuïtat de negoci.
• Comptar amb evidències objectives que acrediten aquestes garanties davant d’auditors i supervisors.

En aquest context, treballar amb serveis de confiança dissenyats amb la seguretat i la disponibilitat per defecte redueix de forma directa el risc operacional. Una infraestructura robusta, amb processos auditables i evidències externes, simplifica el compliment de DORA i facilita les avaluacions periòdiques de proveïdors.

Traçabilitat forense i auditories: el valor de l’audit trail

DORA reforça de manera explícita les obligacions de registre, traçabilitat i investigació d’incidents. Quan ocorre una fallada rellevant, el regulador no només vol saber que s’ha resolt, sinó què va passar exactament, quan i amb quin impacte.

Aquí, la diferència entre un simple registre intern i una evidència certificada és crítica. Els rebuts d’evidències (audit trail) permeten reconstruir un procés complet de forma objectiva: enviament de comunicacions, acceptació de documents, moments exactes de signatura o lliurament i dades tècniques associades.

Aquest nivell de traçabilitat facilita:

• Anàlisis forenses posteriors a incidents.
• Respostes ràpides i documentades davant de requeriments regulatoris.
• Auditories més àgils, en disposar de proves immutables generades per un tercer de confiança.

Davant de sistemes que només emmagatzemen el document final, la certificació del procés complet aporta una capa addicional de seguretat jurídica i operativa alineada amb l’esperit de DORA.

Continuïtat de negoci: canals alternatius segurs

La resilència no es limita a protegir sistemes, sinó que també implica disposar de canals alternatius quan els principals fallen. Si una plataforma interna, un portal de clients o una aplicació mòbil queden fora de servei, l’entitat ha de seguir sent capaç de comunicar-se amb clients i contraparts de forma legal i verificable.

En aquest escenari, disposar d’un canal extern i certificat resulta clau. L’ús de comunicacions electròniques certificades permet:

• Notificar canvis contractuals, incidències o avisos regulatoris.
• Mantenir la validesa legal de les comunicacions fins i tot en situacions de crisi.
• Reduir la dependència de sistemes interns complexos en moments crítics.

Aquest enfocament encaixa plenament amb els plans de continuïtat de negoci i recuperació davant de desastres que exigeix DORA.

Integritat i conservació de les dades en el temps

Un altre aspecte central de la normativa és la protecció i integritat de les dades. No n’hi ha prou amb generar documents o evidències; cal garantir que es conserven de forma segura, íntegra i accessible durant els terminis exigits.

La custòdia prolongada d’evidències digitals compleix una doble funció. D’una banda, assegura el compliment dels requisits de retenció d’informació. De l’altra, protegeix l’entitat davant de canvis tecnològics interns, migracions de sistemes o substitució de proveïdors. Les proves clau segueixen estant disponibles, verificables i protegides, independentment de l’evolució de la infraestructura interna.

Preguntes freqüents (FAQ)

A qui aplica exactament la Llei DORA?
DORA aplica a bancs, assegurances, empreses d’inversió i altres entitats financeres, així com als proveïdors TIC que presten serveis crítics a aquestes organitzacions.

Per què els proveïdors tecnològics són clau en DORA?
Perquè la normativa considera que les fallades de tercers afecten directament a la resilència de l’entitat financera. Els proveïdors han de complir estàndards elevats i ser auditables.

Què aporta una evidència externa davant de logs interns?
Les evidències generades per un tercer de confiança ofereixen major objectivitat i força probatòria en auditories i requeriments regulatoris que els registres interns de la pròpia entitat.

DORA substitueix altres normatives com eIDAS o RGPD?
No. DORA complementa el marc existent, centrant-se en la resilència operativa digital. Conviu amb eIDAS, RGPD i altres regulacions sectorials.

Conclusió

La Llei DORA no és un tràmit més, sinó un filtre que eleva el nivell d’exigència tecnològica en el sector financer. Obliga a les entitats a revisar no només els seus sistemes interns, sinó també la solidesa i transparència dels seus proveïdors.

Assegurar que els processos de signatura i notificació compten amb evidències externes, traçabilitat completa i canals alternatius fiables redueix el risc operatiu i facilita el compliment regulatori. En un entorn on la resilència és obligatòria, l’evidència digital deixa de ser un detall tècnic per convertir-se en un actiu estratègic.