¿Qué es el reglamento DORA y cuál es su objetivo?

El reglamento DORA (Digital Operational Resilience Act) es la normativa europea que establece un marco común para garantizar la resiliencia operativa digital en el sector financiero. Su objetivo es que entidades financieras y proveedores TIC puedan resistir, responder y recuperarse ante incidentes tecnológicos o ciberataques sin afectar a la continuidad del servicio.

¿A quién aplica la normativa DORA?

La normativa DORA aplica a bancos, aseguradoras, gestoras de fondos, empresas de inversión y otros actores del sector financiero, pero también a sus proveedores de servicios TIC . Esto incluye cualquier tercero que procese datos o participe en funciones críticas, lo que amplía significativamente el perímetro de cumplimiento.

¿Qué exige el reglamento DORA a las empresas?

El reglamento DORA establece cinco grandes bloques de obligaciones: Gestión del riesgo TIC Notificación de incidentes Pruebas de resiliencia operativa Gestión del riesgo de terceros Intercambio de información sobre ciberamenazas En la práctica, obliga a las empresas a documentar, auditar y controlar toda su infraestructura digital y cadena de proveedores .

¿Por qué los proveedores externos son clave en la normativa DORA?

Uno de los pilares de la normativa DORA es la gestión del riesgo de terceros TIC , ya que muchos incidentes provienen de proveedores externos. De hecho, el reglamento exige identificar, monitorizar y contractualizar a todos los proveedores que intervienen en servicios críticos, incluyendo su cadena de subcontratación.

¿Cuándo entra en vigor el reglamento DORA y qué implica su cumplimiento?

El reglamento DORA es aplicable desde el 17 de enero de 2025 y, al ser un reglamento europeo, es de aplicación directa en todos los Estados miembros. Su cumplimiento implica que las organizaciones deben demostrar, con evidencia auditable, que gestionan correctamente los riesgos digitales y que sus proveedores cumplen los mismos estándares.

Reglament DORA: què han de saber les entitats financeres

El reglament DORA, oficialment el Reglament (UE) 2022/2554 sobre resiliència operativa digital, va entrar en aplicació el 17 de gener de 2025 amb un mandat clar: les entitats financeres i tots els seus proveïdors tecnològics rellevants han de poder demostrar que operen sota estàndards de seguretat, traçabilitat i control auditables.

El que molts despatxos i entitats financeres encara no han processat és que aquest perímetre inclou els seus proveïdors de traducció.

Què és el reglament DORA ia qui afecta

DORA és la normativa europea que harmonitza els requisits de resiliència operativa digital per al sector financer.

S'aplica a bancs, asseguradores, gestores de fons, empreses d'inversió, plataformes de negociació i, de manera crítica, a tots els proveïdors de serveis TIC que els donin suport, des de grans infraestructures cloud fins a proveïdors més especialitzats que, fins ara, ningú considerava part del mapa de risc tecnològic.

La normativa DORA no prohibeix l'externalització de serveis. El que estableix és que qualsevol proveïdor extern que accedeixi, processi o gestioni informació en el context d'una funció rellevant ha de ser governat: identificat, auditat, contractualitzat i supervisat.

Per què els serveis de traducció entren al perímetre DORA

La pregunta que molts responsables de compliment s'estan fent, tard, és la següent: què passa quan la informació sensible d'un client financer surt cap a un proveïdor lingüístic?

La resposta, sota el marc de la normativa DORA, és incòmoda si aquest proveïdor no opera sota les condicions adequades.

Quan un despatx com Uría Menéndez, un banc o una asseguradora encarrega la traducció d'un contracte de finançament, un informe regulatori o una due diligence, està transferint informació altament sensible a un tercer.

Si aquest tercer utilitza plataformes de traducció automàtica públiques, ChatGPT, DeepL en versió estàndard, Google Translate, el contingut pot quedar retingut, indexat o incorporat a l'entrenament de models externs. Sense contracte de processament. Sense traçabilitat. Sense control.

Això no és només un problema de privadesa: sota DORA és un risc TIC de tercers no governat.

Els riscos concrets que el reglament DORA posa sobre la taula

El reglament DORA identifica la gestió de riscos de tercers com un dels seus cinc pilars fonamentals. Per als proveïdors de traducció, els punts de fallada més freqüents són els següents.

Ús d'eines no controlades. La majoria de proveïdors lingüístics tradicionals utilitzen eines de traducció automàtica en els seus fluxos de treball sense que el client sàpiga quins són, sota quines condicions operen ni què passa amb les dades processades. Plataformes públiques sense versió enterprise no tenen les garanties contractuals que DORA exigeix als proveïdors de serveis TIC.

Falta de traçabilitat. DORA requereix que les entitats financeres puguin demostrar qui va accedir a quina informació, quan i sota quines condicions. Un proveïdor de traducció sense registres auditables d'accés, processament i lliurament no pot suportar aquest requisit.

Opacitat a la cadena de subproveïdors. L'article 28 del reglament DORA exigeix el mapeig de dependències a la cadena de subministrament TIC. Si el proveïdor de traducció subcontracta lingüistes freelance que treballen en els seus propis entorns amb les seves pròpies eines, aquesta cadena és invisible —i per tant inauditable.

Absència de resiliència operativa. Què passa si el proveïdor lingüístic falla al mig d'un procés regulatori crític? Sense SLAs definits, sense plans de continuïtat i sense infraestructura redundant, el risc operatiu recau sobre l'entitat contractant.

El nou estàndard: el paper de la traducció en el risc digital

La normativa DORA obliga les entitats financeres i els seus assessors a replantejar com avaluen els seus proveïdors lingüístics. Les preguntes rellevants ja no són només «tradueixen bé?» o «quant cobren per paraula?». Són:

Està aquest proveïdor inclòs al nostre registre d'acords amb tercers de TIC? Pot ser auditat? La seva cadena de subcontractació està identificada i contractualitzada? Quines tecnologies fa servir i sota quines condicions? Disposa d'un pla de continuïtat operativa?

Per a moltes entitats, la resposta honesta avui és que no ho saben. I això, sota el reglament DORA, és un buit de compliment.

Com respon ATLS al marc de la normativa DORA

ATLS ha construït el seu model de servei pensant precisament en aquestes preguntes. La integració dels serveis lingüístics dins un marc de governança tecnològica no és per a ATLS una resposta reactiva al reglament DORA: és la direcció en què fa anys que evoluciona com a proveïdor especialitzat en entorns jurídics i financers.

A la pràctica, això significa entorns de traducció tancats i controlats, sense exposició a plataformes públiques. Tecnologia de traducció automàtica en modalitat enterprise, amb possibilitat de motors dedicats o desplegament en cloud europeu.

Traçabilitat completa de cada projecte: qui va intervenir, en quina fase, amb quina eina, quan. Cadena de proveïdors identificada i alineada contractualment amb els mateixos estàndards de confidencialitat i seguretat que el client exigeix internament. SLAs definits, monitoritzats i amb capacitat de reporting auditable.

I sobretot, el que cap solució purament tecnològica pot garantir: revisió humana especialitzada en continguts jurídics i financers, amb glossaris validats i memòries de traducció que asseguren consistència terminològica al llarg del temps i entre documents relacionats.

DORA com a avantatge competitiu per a les entitats que actuen primer

El reglament DORA no és només una càrrega de compliment. Per a les entitats i despatxos que ho aborden de forma proactiva, representa una oportunitat de diferenciació: demostrar clients financers i reguladors que cada baula de la seva cadena de servei, inclosos els proveïdors lingüístics, està governat sota els mateixos criteris que apliquen als seus proveïdors tecnològics crítics.

La diferència entre un proveïdor de traducció convencional i un alineat amb el reglament DORA no està en la qualitat de l'output. Està a la infraestructura, els processos, la traçabilitat i la capacitat de retre comptes quan algú ho exigeixi.

Converteix el teu partner de traducció en un actiu de compliance

Si la teva empresa ja està treballant en l'adaptació al reglament DORA, hi ha una pregunta clau que no pots deixar sense respondre:
estan els teus proveïdors lingüístics dins del teu perímetre de risc TIC… o fora de control?

A ATLS ajudem a despatxos i entitats financeres a integrar la traducció dins del seu marc de governança, amb traçabilitat, control tecnològic i compliment real.

Contacta amb nosaltres

Preguntes freqüents sobre reglament DORA

Què és el reglament DORA i quin és el seu objectiu?

El reglament DORA (Digital Operational Resilience Act) és la normativa europea que estableix un marc comú per garantir la resiliència operativa digital al sector financer. El seu objectiu és que entitats financeres i proveïdors TIC puguin resistir, respondre i recuperar-se davant d'incidents tecnològics o ciberatacs sense afectar la continuïtat del servei.

A qui aplica la normativa DORA?

La normativa DORA aplica a bancs, asseguradores, gestores de fons, empreses d'inversió i altres actors del sector financer, però també els seus proveïdors de serveis TIC. Això inclou qualsevol tercer que processi dades o participi en funcions crítiques, cosa que amplia significativament el perímetre de compliment.

Què exigeix el reglament DORA a les empreses?

El reglament DORA estableix cinc grans blocs d'obligacions:
Gestió del risc TIC
Notificació d'incidents
Proves de resiliència operativa
Gestió del risc de tercers
Intercanvi d'informació sobre ciberamenaces
A la pràctica, obliga les empreses a documentar, auditar i controlar tota la seva infraestructura digital i cadena de proveïdors.

Per què els proveïdors externs són clau en la normativa DORA?

Un dels pilars de la normativa DORA és la gestió del risc de tercers TIC, ja que molts incidents provenen de proveïdors externs. De fet, el reglament exigeix identificar, monitoritzar i contractualitzar tots els proveïdors que intervenen en serveis crítics, incloent la seva cadena de subcontractació.

Quan entra en vigor el reglament DORA i què implica el seu compliment?

El reglament DORA és aplicable des del 17 de gener de 2025 i, com que és un reglament europeu, és aplicable directament a tots els Estats membres. El seu compliment implica que les organitzacions han de demostrar, amb evidència auditable, que gestionen correctament els riscos digitals i que els seus proveïdors compleixen els mateixos estàndards.

Anabel Ruiz