El sector financer ha patit més de 20.000 ciberatacs en dues dècades, amb pèrdues acumulades superiors a 12.000 milions de dòlars, segons el Fons Monetari Internacional (FMI). El mateix organisme adverteix en el seu Global Financial Stability Report del 2024 que la magnitud de les pèrdues extremes s'ha quadruplicat des del 2017, fins arribar als 2.500 milions de dòlars. En aquest context neix el Reglament DORA, en vigor des del 17 de gener del 2025: una norma europea concebuda precisament perquè un error en els sistemes de tecnologies de la informació i la comunicació (TIC) no es converteixi en una crisi sistèmica que arrossegui tot el sistema financer.
Si la vostra entitat és un banc, una asseguradora, una gestora, una entitat de pagament o un proveïdor tecnològic que dona servei a alguna d'elles, el compliment de DORA ja no és opcional. Aquesta guia explica què és la norma, a qui afecta, els seus cinc pilars, les dates i els terminis que cal tenir marcats en vermell i un full de ruta pràctic per arribar-hi a temps.
Què és el Reglament DORA i per què importa al sector financer
El Reglament DORA —acrònim anglès de Digital Operational Resilience Act— és el Reglament (UE) 2022/2554 del Parlament Europeu i del Consell, de 14 de desembre del 2022, sobre la resiliència operativa digital del sector financer. A diferència d'una directiva, que cada Estat membre ha de transposar a la seva legislació nacional, un reglament és d'aplicació directa a tots els països de la Unió Europea. Això significa que des del 17 de gener del 2025 les seves obligacions són exigibles per igual a Espanya, Alemanya, França o Itàlia, sense marge d'interpretació local que les dilueixi.
La lògica de DORA és senzilla d'enunciar i exigent d'implantar: l'estabilitat d'una entitat financera ja no depèn només de la seva solvència o de la seva liquiditat, sinó també de la seva capacitat per resistir, respondre i recuperar-se d'incidents relacionats amb les TIC. Un atac de ransomware que paralitzi els sistemes de pagaments, una caiguda prolongada del proveïdor de núvol que allotja el nucli bancari o un error en cadena d'un proveïdor crític poden tenir un impacte sistèmic equivalent al d'una crisi de capital.
Les dades avalen aquesta preocupació. L'agència europea de ciberseguretat ENISA va analitzar 488 incidents cibernètics notificats públicament que van afectar el sector financer europeu entre el gener del 2023 i el juny del 2024, segons el seu informe Threat Landscape: Finance Sector publicat el febrer del 2025. Els bancs van ser les entitats més afectades, concentrant un 46 % dels incidents (301 casos). La conclusió regulatòria és clara: la resiliència digital s'ha de gestionar amb el mateix rigor que qualsevol altre risc financer.
DORA harmonitza i eleva el llistó a tota la UE. Abans de la seva entrada en vigor, les exigències de ciberseguretat estaven repartides en guies sectorials, recomanacions de supervisors nacionals i normes disperses. Ara existeix un marc únic, vinculant i supervisat per les Autoritats Europees de Supervisió (les ESA: EBA per a banca, EIOPA per a assegurances i ESMA per a mercats).
A qui s'aplica DORA: entitats financeres i proveïdors TIC crítics
L'abast del Reglament DORA és deliberadament ampli. No es limita als grans bancs: cobreix pràcticament tot l'ecosistema financer regulat i, per primera vegada amb caràcter vinculant, arriba també als proveïdors tecnològics que presten servei a aquestes entitats.
Entitats financeres dins del perímetre
DORA s'aplica, entre d'altres, a les categories d'entitats financeres següents:
- Entitats de crèdit (bancs) i entitats de pagament.
- Empreses de serveis d'inversió i gestores de fons.
- Companyies d'assegurances i reassegurances, i mediadors d'assegurances.
- Entitats de diner electrònic i proveïdors de serveis de criptoactius.
- Infraestructures de mercat: dipositaris centrals de valors, entitats de contrapartida central i centres de negociació.
- Proveïdors de serveis de finançament participatiu i agències de qualificació creditícia.
El principi de proporcionalitat matisa la intensitat de les obligacions: les microempreses i determinades entitats petites apliquen un règim simplificat de gestió del risc TIC, mentre que les entitats grans i sistèmiques suporten el conjunt complet de requisits, incloses les proves avançades de penetració.
Proveïdors tercers de TIC: la gran novetat
La peça més innovadora de DORA és que estén la seva mirada als proveïdors tercers de serveis TIC: empreses de programari, serveis gestionats, centres de dades i, molt especialment, els grans proveïdors de computació en el núvol. La dependència del sector financer respecte d'un grapat d'hiperescaladors de núvol és precisament un dels riscos de concentració que la norma vol vigilar.
Per als proveïdors considerats crítics, DORA crea una figura inèdita: el proveïdor tercer de TIC crític (CTPP, per les seves sigles en anglès), sotmès a la supervisió directa d'un supervisor principal designat entre les ESA. El novembre del 2025, les Autoritats Europees de Supervisió van publicar, a través del seu Comitè Conjunt, la primera llista oficial de 19 proveïdors tercers de TIC crítics designats a l'empara de l'article 31 del Reglament. Cadascun queda sota el paraigua d'un supervisor principal —EBA, EIOPA o ESMA— amb poders d'inspecció, requeriment d'informació i sanció.
I les sancions tenen dents. D'acord amb l'article 35 del Reglament DORA, el supervisor principal pot imposar a un proveïdor crític multes coercitives periòdiques de fins a l'1 % del volum de negocis mitjà diari mundial del proveïdor per cada dia d'incompliment, durant un màxim de sis mesos. Per a un hiperescalador global, aquest percentatge diari es tradueix en xifres que cap consell d'administració pot ignorar.
La conseqüència pràctica per a les entitats financeres és clara: la responsabilitat no s'externalitza. Tot i que delegueu serveis crítics en un tercer, continueu sent responsables davant el vostre supervisor de la resiliència de tota la cadena. Per això la gestió contractual i de riscos de proveïdors TIC s'ha convertit en un àrea prioritària, molt lligada al treball d'automatització i control que tractem als nostres serveis d'automatització del compliment per a fintech.
Quins són els 5 pilars del Reglament DORA?
El Reglament DORA s'estructura al voltant de cinc pilars que, en conjunt, cobreixen el cicle complet de la resiliència operativa digital: prevenir, detectar, respondre, recuperar i aprendre. Conèixer-los és el primer pas per traduir la norma en un pla de treball concret.
| Pilar | Articles | Objectiu central |
|---|---|---|
| 1. Gestió del risc TIC | Arts. 5-16 | Marc de governança, identificació, protecció i recuperació davant riscos TIC |
| 2. Gestió i notificació d'incidents TIC | Arts. 17-23 | Classificar i notificar incidents greus a l'autoritat competent en terminis fixats |
| 3. Proves de resiliència operativa digital (incl. TLPT) | Arts. 24-27 | Verificar periòdicament la robustesa dels sistemes, incloses proves avançades de penetració |
| 4. Gestió del risc de tercers TIC | Arts. 28-30 | Controlar la dependència de proveïdors externs i la concentració de risc |
| 5. Intercanvi d'informació sobre amenaces | Arts. 45-49 | Compartir intel·ligència sobre ciberamenaces entre entitats de forma voluntària |
Pilar 1: gestió del risc TIC
És la columna vertebral de DORA. Exigeix un marc de governança sòlid en el qual l'òrgan de direcció assumeix la responsabilitat última de la gestió del risc TIC; no es pot delegar íntegrament al departament tècnic. Inclou la identificació d'actius, la protecció i prevenció, la detecció d'anomalies, les polítiques de continuïtat de negoci i els plans de resposta i recuperació.
Pilar 2: gestió i notificació d'incidents TIC
Obliga a establir un procés per detectar, gestionar, classificar i notificar els incidents relacionats amb les TIC. Els incidents classificats com a greus activen obligacions de notificació a l'autoritat competent en terminis molt ajustats, que detallem a la secció següent.
Pilar 3: proves de resiliència operativa digital
Totes les entitats han de sotmetre els seus sistemes a un programa periòdic de proves (anàlisi de vulnerabilitats, avaluacions de seguretat, proves de continuïtat). Les entitats més significatives han d'anar més enllà i executar proves de penetració guiades per amenaces (TLPT, Threat-Led Penetration Testing), que simulen atacs reals sobre sistemes en producció.
Pilar 4: gestió del risc de tercers TIC
Estableix els requisits contractuals mínims que han d'incloure els acords amb proveïdors TIC —drets d'accés, auditoria i inspecció, estratègies de sortida, nivells de servei— i crea el marc de supervisió directa dels proveïdors crítics.
Pilar 5: intercanvi d'informació sobre amenaces
Promou, amb caràcter voluntari, que les entitats comparteixin entre si intel·ligència i informació sobre ciberamenaces dins de comunitats de confiança, per reforçar la defensa col·lectiva del sector.
Dates clau: en vigor des del 17 de gener del 2025
A diferència d'altres normes amb llargs períodes transitoris, DORA va fixar una data única i rotunda. El Reglament (UE) 2022/2554 es va publicar el desembre del 2022 i va establir un període d'adaptació de dos anys. Des del 17 de gener del 2025 les seves obligacions són plenament exigibles. No hi ha una segona fase: qui no estava a punt en aquesta data incorre des d'aleshores en incompliment.
A partir d'aquí, el calendari el marquen les fites de desenvolupament i supervisió:
- 17 de gener del 2025: plena aplicació del Reglament. Totes les entitats del perímetre han de tenir implantat el seu marc de gestió del risc TIC, el seu procés de notificació d'incidents i el seu registre d'acords amb proveïdors TIC.
- Al llarg del 2025: entrada en aplicació de les normes tècniques de desenvolupament (RTS i ITS) elaborades per les ESA, que concreten aspectes com la classificació d'incidents i les plantilles de notificació.
- Novembre del 2025: publicació per les ESA de la primera llista oficial de 19 proveïdors tercers de TIC crítics designats, que inicien la seva relació amb el supervisor principal corresponent.
El missatge per a qui encara va amb retard és que la finestra de gràcia ja s'ha tancat. La prioritat ara no és debatre si DORA s'aplica, sinó tancar les bretxes existents abans que un incident o una inspecció les posi al descobert.
Notificació d'incidents greus: terminis de 4 hores, 72 hores i 1 mes
Si hi ha una obligació de DORA que convé memoritzar literalment, és el règim de notificació d'incidents greus. Els terminis estan definits en les normes tècniques de regulació (RTS) elaborades conjuntament per EBA, ESMA i EIOPA i recollides en el Reglament Delegat (UE) 2025/302. El procés s'articula en tres informes successius:
- Notificació inicial: s'ha d'enviar a l'autoritat competent tan aviat com sigui possible, dins de les 4 hores des que l'incident es classifica com a greu i, en tot cas, com a màxim 24 hores després de tenir-ne coneixement.
- Informe intermedi: en un termini de 72 hores des de la notificació inicial, amb la informació actualitzada sobre l'estat de l'incident i les mesures adoptades.
- Informe final: en un termini màxim d'un mes, amb l'anàlisi de causa arrel, l'impacte real i les accions correctores implantades per evitar la recurrència.
| Informe | Termini | Contingut |
|---|---|---|
| Notificació inicial | 4 h des que es classifica com a greu (màx. 24 h des del coneixement) | Alerta primerenca de l'incident greu |
| Informe intermedi | 72 h des de la notificació inicial | Estat actualitzat i mesures en curs |
| Informe final | 1 mes | Causa arrel, impacte i accions correctores |
Complir aquests terminis no és només una qüestió de bona voluntat: exigeix tenir operativa una capacitat de detecció i classificació gairebé en temps real. Quatre hores és un marge molt curt si l'equip de seguretat descobreix la incidència, n'avalua la gravetat, escala internament i prepara la notificació de forma manual. D'aquí que l'automatització de la detecció, la classificació i els fluxos de notificació sigui un dels projectes amb major retorn per a les entitats subjectes a DORA.
Cal subratllar la coherència amb altres marcs europeus. Les entitats que ja hagin treballat en la seva adaptació a la directiva de ciberseguretat per a sectors essencials partiran amb avantatge, perquè molts controls són comuns; ho expliquem a la nostra guia de serveis de compliment de la directiva NIS2. DORA és, de fet, la lex specialis del sector financer davant el marc general de NIS2.
Com preparar-se per complir DORA: full de ruta pràctic
La pregunta que rebem amb més freqüència no és què exigeix DORA, sinó per on començar. Aquest és un full de ruta en sis fases que ordena el treball segons l'impacte i la dependència entre tasques.
1. Diagnòstic i anàlisi de bretxes (gap analysis)
Abans d'invertir, mesureu. Compareu la vostra situació actual respecte dels cinc pilars i documenteu cada bretxa amb el seu nivell de criticitat. El resultat és un mapa de calor que prioritza l'esforç i evita gastar recursos on ja compliu.
2. Governança i responsabilitat de l'òrgan de direcció
DORA exigeix que el consell o l'òrgan de direcció assumeixi formalment la supervisió del risc TIC. Això es tradueix en polítiques aprovades al màxim nivell, assignació clara de responsabilitats i formació específica dels administradors. La resiliència digital deixa de ser un assumpte exclusivament tècnic per convertir-se en una responsabilitat de govern corporatiu.
3. Inventari i registre de proveïdors TIC
Construïu i manteniu actualitzat el registre d'informació de tots els acords contractuals amb proveïdors de serveis TIC, identificant quins suporten funcions essencials o importants. Sense aquest inventari és impossible gestionar el risc de tercers ni respondre a un requeriment del supervisor.
4. Revisió contractual i estratègies de sortida
Renegocieu els contractes amb proveïdors per incorporar les clàusules mínimes que exigeix DORA: drets d'auditoria i inspecció, nivells de servei, ubicació del tractament de dades i, de manera destacada, estratègies de sortida documentades que permetin migrar el servei sense interrupcions crítiques si el proveïdor falla.
5. Capacitat de detecció i notificació d'incidents
Implanteu o reforçeu les eines i els processos que us permetin detectar, classificar i notificar incidents greus dins dels terminis de 4 i 72 hores i un mes. Aquí l'automatització marca la diferència entre complir i arriscar-se a la sanció.
6. Programa de proves de resiliència
Definiu un calendari de proves periòdiques i, si la vostra entitat és de les significatives, planifiqueu les proves de penetració guiades per amenaces (TLPT). Documenteu els resultats, els plans de remediació i el seu seguiment.
Un consell de camp: abordeu DORA com un programa plurianual amb govern propi, no com un projecte d'un sol lliurament. La supervisió és contínua i la norma és viva, amb noves RTS i designacions de proveïdors crítics que aniran apareixent.
Resum del full de ruta
| Fase | Focus | Resultat esperat |
|---|---|---|
| 1. Diagnòstic | Gap analysis davant els 5 pilars | Mapa de bretxes prioritzat |
| 2. Governança | Responsabilitat de l'òrgan de direcció | Polítiques aprovades i rols definits |
| 3. Inventari TIC | Registre de proveïdors i funcions | Registre d'informació actualitzat |
| 4. Contractes | Clàusules DORA i estratègies de sortida | Contractes conformes i plans de sortida |
| 5. Incidents | Detecció i notificació en termini | Flux operatiu de 4 h / 72 h / 1 mes |
| 6. Proves | Programa de testing i TLPT | Calendari i evidències de remediació |
Conclusió: convertir el compliment en resiliència real
El Reglament DORA no és un mer exercici de paperassa regulatòria. El seu objectiu de fons —que un error TIC no escali fins a convertir-se en una crisi financera sistèmica— s'alinea amb l'interès propi de qualsevol entitat: continuar operant quan alguna cosa va malament. Les xifres del FMI i d'ENISA deixen clar que els incidents cibernètics al sector financer no són una hipòtesi, sinó una realitat quotidiana i creixent. Complir DORA, ben entès, és invertir en continuïtat de negoci i en confiança del client.
La diferència entre les entitats que arriben amb comoditat i les que arriben a remolc sol estar en haver començat per un bon diagnòstic i en haver automatitzat els processos crítics —detecció, classificació i notificació d'incidents— en lloc d'intentar resoldre'ls manualment sota la pressió del rellotge.
A Technova Partners ajudem entitats financeres i els seus proveïdors tecnològics a recórrer aquest full de ruta de cap a cap: del gap analysis a l'automatització dels fluxos de compliment. Si voleu una avaluació ràpida del vostre punt de partida, comenceu pel nostre diagnòstic gratuït de ciberseguretat i compliment, que també cobreix les sinergies amb DORA. I quan vulgueu dissenyar un pla a mida, parleu amb el nostre equip: us ajudem a transformar una obligació regulatòria en un avantatge operatiu real.
