¿Qué es el reglamento DORA y cómo afecta a las criptomonedas?

Cómo funciona DORA 

DORA no es solo una exploradora de una serie de dibujos animados. Su objetivo es poner en marcha una serie de elementos para la seguridad de las redes y sistemas de información de las entidades financieras. Esto incluye a bancos, aseguradoras, empresas de inversión y proveedores de servicios de criptoactivos. ¿Cómo lo hace? Pues con una serie de reglas: 

• Gestión de riesgos tecnológicos: Identificar y mitigar riesgos relacionados con las tecnologías de la información y la comunicación (TIC). 

• Pruebas periódicas: No vale con decir «mis sistemas van de lujo». Hay que hacer evaluaciones regulares de los sistemas para garantizar su resiliencia. 

• Planes de contingencia: Establecer protocolos para responder eficazmente a ciberincidentes. Es decir, tener un plan B, C y hasta D para reaccionar rápido. 

• Supervisión de terceros: Si trabajas con terceros para tus sistemas, también tienes que vigilar que controlar y gestionar los riesgos asociados a proveedores externos de servicios TIC. 

Estas medidas quieren que todas las empresas financieras sigan las mismas reglas para protegerse de ciberataques y, además, que cumplir con las normas sea más fácil en toda la Unión Europea. 

Cómo afecta al sector cripto 

El mundo de las criptomonedas siempre ha sido algo así como el salvaje oeste: emocionante y con pocas reglas claras. Pero con la llegada del Reglamento DORA, esto cambia. Ahora, los exchanges, wallets, proveedores de servicios de criptoactivos y hasta las plataformas DeFi tienen que tomarse muy en serio la seguridad digital. ¿Y esto en qué se traduce? Vamos a desgranarlo. 

1. Seguridad al máximo nivel 

Antes, muchas plataformas cripto podían permitirse ser un poco más “relajadas” con la seguridad. Pero con DORA, esto se acabó. Ahora, tienen que blindar sus sistemas para proteger los fondos y los datos de los usuarios. Esto incluye: 

• Sistemas de protección avanzados para evitar hackeos o robos de criptomonedas. 

• Controles de acceso más estrictos, como autenticación en dos pasos (2FA) y cifrado de datos. 

• Monitorización constante para detectar ataques o fallos antes de que se conviertan en un problema. 

Vamos, que si antes la seguridad era importante, ahora es obligatoria. 

2. Auditorías y pruebas continuas 

DORA exige que las empresas cripto hagan revisiones constantes de sus sistemas. No basta con decir “todo va bien”, hay que demostrarlo. ¿Cómo? 

• Pruebas de estrés: Simulan ataques para comprobar si los sistemas aguantan. 

• Auditorías periódicas: Revisiones internas y externas para asegurar que todo funciona correctamente. 

• Actualizaciones constantes: No puedes quedarte con el antivirus de hace tres años; toca actualizarse. 

3. Gestión de incidentes 

¿Y si algo falla? DORA obliga a las empresas a tener un plan claro para actuar. Si ocurre un ciberataque, un robo o una caída del sistema, la empresa no puede quedarse de brazos cruzados. Deben: 

• Detectar y reaccionar rápido para minimizar daños. 

• Informar a las autoridades competentes de cualquier incidente grave. Nada de esconder la cabeza como el avestruz. 

• Comunicar a los usuarios si sus datos o activos pueden estar en riesgo. 

4. Control sobre proveedores externos 

Muchos exchanges y plataformas cripto utilizan servicios de terceros para alojar sus webs, gestionar bases de datos o mantener sus sistemas. DORA dice: «Ojo con a quién contratas». Las empresas ahora tienen que: 

• Evaluar a sus proveedores y asegurarse de que también cumplen con los requisitos de seguridad. 

• Firmar acuerdos donde quede claro cómo se manejan los riesgos tecnológicos. 

• Supervisar constantemente a estos proveedores para que no se conviertan en el eslabón débil de la cadena. 

5. Costes de adaptación 

No vamos a engañarnos, adaptarse a DORA puede suponer un gasto importante para algunas empresas cripto. Implementar medidas de seguridad, hacer auditorías y formar al equipo no es barato. Pero piensa en esto: invertir ahora en seguridad puede ahorrarte problemas (y dinero) en el futuro. 

Relación de la Ley DORA con otras normativas (MiCA, DAC8) 

La ley DORA no está sola en esto. Viene acompañada de otras normativas que buscan poner orden en el mundo financiero y cripto. Como: 

• MiCA (Markets in Crypto-Assets): Es como el manual de instrucciones para los criptoactivos. Regula cómo se gestionan, quién puede ofrecerlos y cómo deben proteger a los usuarios. 

• DAC8: Esta normativa quiere que las plataformas cripto informen a Hacienda sobre los movimientos de sus usuarios. Sí, ya no se podrá ir tan de incógnito. 

Entre DORA, MiCA y DAC8 han montado un escudo para proteger a los usuarios y evitar sustos en el sector financiero. Vamos, que si pensabas que el mundo cripto era un vacío legal… pues ya no va a ser tanto. 

Cómo cumplir con DORA y no llevarte sustos 

Cumplir con el Reglamento DORA puede parecer complicado, pero con un enfoque claro y organizado, es más fácil de lo que crees. El primer paso es hacer una evaluación completa de los sistemas tecnológicos de tu empresa para identificar posibles riesgos y puntos débiles. ¿Tus sistemas están protegidos contra ciberataques? ¿Tienes protocolos claros para reaccionar si algo falla? 

Una vez identificados los riesgos, es fundamental implementar medidas de seguridad robustas. Esto implica actualizar sistemas, usar cifrado de datos, establecer controles de acceso más estrictos y mantener copias de seguridad. Además, no basta con instalar medidas de protección; DORA exige que pongas a prueba tus sistemas de forma regular.  

Otra parte clave es tener un plan de acción claro para gestionar incidentes. DORA obliga a las empresas a reaccionar rápidamente y a informar a las autoridades si ocurre algún problema de seguridad. Esto incluye tener responsables asignados dentro del equipo y canales de comunicación bien definidos para actuar sin perder tiempo. No se trata solo de prevenir, sino de saber cómo responder de forma efectiva. 

Además, si trabajas con proveedores tecnológicos externos, DORA también te hace responsable de supervisarlos. Debes asegurarte de que estos proveedores cumplen con los mismos estándares de seguridad que tú. Si ellos fallan, tú también puedes tener problemas, así que más vale prevenir. 

Te ayudamos a cumplir con DORA 

¿Todo esto te suena a demasiado lío? No te preocupes, en TaxDown te echamos un cable. Te ayudamos a entender y cumplir con DORA sin que te explote la cabeza. Con nosotros, tu empresa estará lista para cualquier auditoría, ciberataque o susto tecnológico.

En TaxDown no solo ayudamos te podemos ayudar con la Declaración de la renta, también estamos al día con las nuevas normativas europeas que afectan a los criptoactivos. Contamos con un equipo de expertos que conoce al detalle cómo implementar los requisitos de DORA y adaptarlos a la realidad de tu negocio. ¿A qué esperas?