La Directiva CER y DORA son dos regulaciones importantes de la UE centradas en hacer que las organizaciones sean más resilientes de diferentes maneras. Pero, ¿cómo saber cuál se aplica a su negocio? Y si una (o ambas) lo hacen, ¿qué medidas debe tomar ahora mismo para cumplir?

¿Qué son CER y DORA?

A grandes rasgos, tanto CER como DORA tienen como objetivo impulsar la resiliencia, pero abordan diferentes tipos de riesgos en diferentes industrias:

  • La Directiva de Resiliencia de Entidades Críticas (CER) se refiere a la resiliencia física de las organizaciones en sectores críticos. Se centra en las amenazas físicas, como el terrorismo, los desastres naturales y las interrupciones de la cadena de suministro.
  • La Ley de Resiliencia Operacional Digital (DORA) se dirige específicamente al sector financiero y se centra en la resiliencia digital. Garantiza que las instituciones financieras, así como sus socios tecnológicos, estén preparadas para los riesgos cibernéticos, como la piratería y los fallos del sistema.

CER y DORA enfatizan la necesidad de una sólida ciberseguridad y resiliencia para los servicios críticos en la UE. Estas leyes ayudan a mantener los sistemas estables y seguros frente a amenazas graves.

Entonces, ¿está afectado?

¿Cuál de estas regulaciones se aplica a su negocio? Aquí le explicamos cómo averiguarlo:

    • Energía
    • Transporte
    • Banca
    • Infraestructura del mercado financiero
    • Salud
    • Producción, procesamiento y distribución de alimentos a gran escala
    • Agua potable
    • Aguas residuales
    • Infraestructura digital
    • Administración pública
    • Espacio
  • DORA, por otro lado, es específica para el sector financiero, incluyendo:
    • Entidades bancarias
    • Empresas de inversión
    • Compañías de seguros
    • Proveedores de servicios de TIC para estas instituciones

Si trabaja en una institución financiera y opera en un sector crítico, como la banca, ambas regulaciones pueden aplicarse a usted. Además, aunque CER y DORA cubren diferentes dominios (físico vs. digital), se superponen cuando se trata de gestionar los riesgos de terceros. Ambos requieren que evalúe cuán resilientes son sus proveedores, no solo su propio negocio.

¿Cuál es la diferencia entre CER y DORA?

Si bien los dos marcos tienen objetivos similares, también difieren en algunos aspectos. Aquí se comparan en cuanto a alcance y requisitos:

Directiva CER DORA
Enfoque Resiliencia física de la infraestructura crítica Resiliencia digital y gestión de las TIC
Sectores 11 sectores críticos Sector financiero
Principales riesgos abordados Amenazas físicas Amenazas cibernéticas
Organismo clave de aplicación Reguladores nacionales en cada país de la UE Autoridades Europeas de Supervisión (AES) y reguladores financieros nacionales

Sanciones por incumplimiento

 Las autoridades nacionales pueden imponer multas o revocar licencias Fuertes sanciones financieras y acciones de cumplimiento regulatorio
Requisito Directiva CER DORA
Evaluaciones de riesgos Obligatorias cada cuatro años, cubriendo los riesgos físicos para las operaciones Monitoreo y pruebas continuas y obligatorias de los riesgos de las TIC
Notificación de incidentes Los incidentes de seguridad física deben ser reportados a las autoridades nacionales Los incidentes relacionados con la ciberseguridad y las TIC deben ser reportados a los reguladores financieros
Notificación de incidentes Las entidades deben desarrollar estrategias de continuidad para la infraestructura física crítica Las empresas deben garantizar la plena resiliencia operativa digital, incluyendo redundancias del sistema
Riesgo de terceros y de la cadena de suministro Los proveedores críticos deben ser evaluados por su resiliencia en seguridad física Supervisión obligatoria de los proveedores de TIC de terceros, incluyendo los servicios en la nube

¿Qué debe hacer ahora?

Ya sea que esté cumpliendo con DORA, preparándose para CER o ambos, aquí hay cinco pasos para adelantarse a los acontecimientos:

1. Confirme si está afectado.

  • Si está en un sector crítico, CER se aplica a usted.
  • Si está en el sector financiero, DORA se aplica a usted.

Si aún no está seguro, consulte con sus equipos de cumplimiento o legales para confirmarlo.

2. Identifique a las partes interesadas adecuadas.

Estas regulaciones impactarán en múltiples departamentos. Deberá involucrar a equipos de gestión de riesgos, gestión de la continuidad del negocio (BCM), TI, cumplimiento y gestión de riesgos de terceros (TPRM). Más específicamente, involucrarán a:

  • CER: Equipos de gestión de riesgos empresariales (ERM), BCM y gestión de la cadena de suministro.
  • DORA: Equipos de riesgo, ciberseguridad, TI y cumplimiento.

3. Realice un análisis de deficiencias.

Evalúe dónde sus sistemas actuales no cumplen con los requisitos de cualquiera de las regulaciones. Concéntrese en las siguientes áreas:

  • Evaluaciones de riesgos físicos (CER)
  • Monitoreo continuo de las TIC y pruebas de los sistemas digitales (DORA)
  • Evaluaciones de proveedores externos (ambos)

4. Intégrese entre los equipos.

Para agilizar el cumplimiento de CER y/o DORA, integre sus funciones de gobierno, riesgo y cumplimiento (GRC) con sus esfuerzos de BCM y resiliencia.

  • Sistemas compartidos: Implemente un software unificado de GRC y resiliencia para rastrear las evaluaciones de riesgos, los riesgos de terceros, los incidentes y el estado de cumplimiento en ambos dominios. Esto asegura que los datos de ERM, TPRM y cumplimiento estén todos conectados y proporcionen una única fuente de verdad.
  • Alineación regular: Programe reuniones multifuncionales regulares entre los equipos de riesgo, cumplimiento, TI, ciberseguridad y BCM. Esto mantiene a todos alineados sobre el progreso, los plazos y las áreas de mejora.

5. Cree una hoja de ruta de cumplimiento.

DORA entró en vigor en 2025. CER, por otro lado, tiene un cronograma de cumplimiento con plazos que comienzan en 2026 y continúan hasta 2027. Comenzar con anticipación ayudará a su negocio a evitar una prisa de última hora.

Cómo ayuda el software de gestión de riesgos

Mantenerse al día con las nuevas regulaciones puede ser desalentador, pero las herramientas adecuadas pueden simplificar el proceso. Aquí le mostramos cómo el software de gestión de riesgos puede reforzar su cumplimiento:

  • Centralice todos sus datos de riesgo: Obtenga la imagen completa de su cumplimiento con ambas regulaciones teniendo sus datos de riesgo (físicos, digitales, de terceros y más) en un solo lugar.
  • Realice análisis de deficiencias y monitoreo continuo: Con DORA, esto es fundamental para la gestión continua de riesgos de las TIC, mientras que para CER, ayuda a rastrear y evaluar la resiliencia de la seguridad física.
  • Automatice la presentación de informes y el seguimiento de incidentes: Ambas regulaciones requieren la notificación oportuna de incidentes; el software automatiza ese proceso, asegurando que los incidentes se rastreen y se informen rápidamente.
  • Colabore entre equipos: El cumplimiento requiere la participación de múltiples equipos, y una plataforma de gestión de riesgos permite a todas las partes interesadas colaborar en la misma plataforma y garantiza la alineación.
  • Gestione su riesgo de terceros: Una plataforma de software puede evaluar y monitorear la resiliencia de sus proveedores en todos los sistemas físicos y digitales.

DORA ya está en vigor y los plazos de CER se acercan rápidamente. Ahora es el momento de evaluar su postura de riesgo, alinear a sus equipos y asegurarse de que su estrategia de cumplimiento esté establecida. Al comprender qué regulaciones se aplican a usted, qué acciones tomar y cómo agilizar el proceso, puede asegurarse de que su organización cumpla con las normas y sea resiliente.

Para obtener más información sobre la resiliencia, lea GRC: La guía definitiva, y aprenda más sobre cómo operacionalizar estas regulaciones en su negocio descargando nuestras hojas informativas de la Directiva CER y DORA.