El sector financiero ha sufrido mas de 20.000 ciberataques en dos decadas, con perdidas acumuladas superiores a 12.000 millones de dolares, segun el Fondo Monetario Internacional (FMI). El mismo organismo advierte en su Global Financial Stability Report de 2024 que el tamano de las perdidas extremas se ha mas que cuadruplicado desde 2017, hasta alcanzar los 2.500 millones de dolares. En ese contexto nace el Reglamento DORA, en vigor desde el 17 de enero de 2025: una norma europea concebida precisamente para que un fallo en los sistemas de tecnologias de la informacion y la comunicacion (TIC) no se convierta en una crisis sistemica que arrastre a todo el sistema financiero.
Si tu entidad es un banco, una aseguradora, una gestora, una entidad de pago o un proveedor tecnologico que da servicio a cualquiera de ellas, el cumplimiento de DORA ya no es opcional. Esta guia explica que es la norma, a quien afecta, sus cinco pilares, las fechas y plazos que debes tener marcados en rojo y una hoja de ruta practica para llegar a tiempo.
Que es el Reglamento DORA y por que importa al sector financiero
El Reglamento DORA —siglas en ingles de Digital Operational Resilience Act— es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. A diferencia de una directiva, que cada Estado miembro debe transponer a su legislacion nacional, un reglamento es de aplicacion directa en todos los paises de la Union Europea. Esto significa que desde el 17 de enero de 2025 sus obligaciones son exigibles por igual en Espana, Alemania, Francia o Italia, sin margen de interpretacion local que las diluya.
La logica de DORA es sencilla de enunciar y exigente de implantar: la estabilidad de una entidad financiera ya no depende solo de su solvencia o de su liquidez, sino tambien de su capacidad para resistir, responder y recuperarse de incidentes relacionados con las TIC. Un ataque de ransomware que paralice los sistemas de pagos, una caida prolongada del proveedor de nube que aloja el core bancario o un fallo en cadena de un proveedor critico pueden tener un impacto sistemico equiparable al de una crisis de capital.
Los datos respaldan esa preocupacion. La agencia europea de ciberseguridad ENISA analizo 488 incidentes ciberneticos notificados publicamente que afectaron al sector financiero europeo entre enero de 2023 y junio de 2024, segun su informe Threat Landscape: Finance Sector publicado en febrero de 2025. Los bancos fueron las entidades mas afectadas, concentrando un 46 % de los incidentes (301 casos). La conclusion regulatoria es directa: la resiliencia digital debe gestionarse con el mismo rigor que cualquier otro riesgo financiero.
DORA armoniza y eleva el liston en toda la UE. Antes de su entrada en vigor, las exigencias de ciberseguridad estaban repartidas en guias sectoriales, recomendaciones de supervisores nacionales y normas dispersas. Ahora existe un marco unico, vinculante y supervisado por las Autoridades Europeas de Supervision (las ESAs: EBA para banca, EIOPA para seguros y ESMA para mercados).
A quien aplica DORA: entidades financieras y proveedores TIC criticos
El alcance del Reglamento DORA es deliberadamente amplio. No se limita a los grandes bancos: cubre practicamente todo el ecosistema financiero regulado y, por primera vez con caracter vinculante, alcanza tambien a los proveedores tecnologicos que prestan servicio a esas entidades.
Entidades financieras dentro del perimetro
DORA aplica, entre otras, a las siguientes categorias de entidades financieras:
- Entidades de credito (bancos) y entidades de pago.
- Empresas de servicios de inversion y gestoras de fondos.
- Companias de seguros y reaseguros, y mediadores de seguros.
- Entidades de dinero electronico y proveedores de servicios de criptoactivos.
- Infraestructuras de mercado: depositarios centrales de valores, entidades de contrapartida central y centros de negociacion.
- Proveedores de servicios de financiacion participativa y agencias de calificacion crediticia.
El principio de proporcionalidad matiza la intensidad de las obligaciones: las microempresas y determinadas entidades pequenas aplican un regimen simplificado de gestion del riesgo TIC, mientras que las entidades grandes y sistemicas soportan el conjunto completo de requisitos, incluidas las pruebas avanzadas de penetracion.
Proveedores terceros de TIC: la gran novedad
La pieza mas innovadora de DORA es que extiende su mirada a los proveedores terceros de servicios TIC: empresas de software, servicios gestionados, centros de datos y, muy especialmente, los grandes proveedores de computacion en la nube. La dependencia del sector financiero respecto de un punado de hiperescalares de nube es precisamente uno de los riesgos de concentracion que la norma quiere vigilar.
Para los proveedores considerados criticos, DORA crea una figura inedita: el proveedor tercero de TIC critico (CTPP, por sus siglas en ingles), sometido a la supervision directa de un supervisor principal designado entre las ESAs. En noviembre de 2025, las Autoridades Europeas de Supervision publicaron, a traves de su Joint Committee, la primera lista oficial de 19 proveedores terceros de TIC criticos designados al amparo del articulo 31 del Reglamento. Cada uno queda bajo el paraguas de un supervisor principal —EBA, EIOPA o ESMA— con poderes de inspeccion, requerimiento de informacion y sancion.
Y las sanciones tienen dientes. Conforme al articulo 35 del Reglamento DORA, el supervisor principal puede imponer a un proveedor critico multas coercitivas periodicas de hasta el 1 % del volumen de negocios medio diario mundial del proveedor por cada dia de incumplimiento, durante un maximo de seis meses. Para un hiperescalar global, ese porcentaje diario se traduce en cifras que ningun consejo de administracion puede ignorar.
La consecuencia practica para las entidades financieras es clara: la responsabilidad no se externaliza. Aunque delegues servicios criticos en un tercero, sigues siendo responsable ante tu supervisor de la resiliencia de toda la cadena. Por eso la gestion contractual y de riesgos de proveedores TIC se ha convertido en un area prioritaria, muy ligada al trabajo de automatizacion y control que abordamos en nuestros servicios de automatizacion de cumplimiento para fintech.
Cuales son los 5 pilares del Reglamento DORA?
El Reglamento DORA se estructura en torno a cinco pilares que, en conjunto, cubren el ciclo completo de la resiliencia operativa digital: prevenir, detectar, responder, recuperar y aprender. Conocerlos es el primer paso para traducir la norma en un plan de trabajo concreto.
| Pilar | Articulos | Objetivo central |
|---|---|---|
| 1. Gestion del riesgo TIC | Arts. 5-16 | Marco de gobernanza, identificacion, proteccion y recuperacion frente a riesgos TIC |
| 2. Gestion y notificacion de incidentes TIC | Arts. 17-23 | Clasificar y notificar incidentes graves a la autoridad competente en plazos tasados |
| 3. Pruebas de resiliencia operativa digital (incl. TLPT) | Arts. 24-27 | Testar periodicamente la robustez de los sistemas, incluidas pruebas avanzadas de penetracion |
| 4. Gestion del riesgo de terceros TIC | Arts. 28-30 | Controlar la dependencia de proveedores externos y la concentracion de riesgo |
| 5. Intercambio de informacion sobre amenazas | Arts. 45-49 | Compartir inteligencia sobre ciberamenazas entre entidades de forma voluntaria |
Pilar 1: gestion del riesgo TIC
Es la columna vertebral de DORA. Exige un marco de gobernanza solido en el que el organo de direccion asume la responsabilidad ultima de la gestion del riesgo TIC; no se puede delegar enteramente en el departamento tecnico. Incluye la identificacion de activos, la proteccion y prevencion, la deteccion de anomalias, las politicas de continuidad de negocio y los planes de respuesta y recuperacion.
Pilar 2: gestion y notificacion de incidentes TIC
Obliga a establecer un proceso para detectar, gestionar, clasificar y notificar los incidentes relacionados con las TIC. Los incidentes clasificados como graves activan obligaciones de notificacion a la autoridad competente en plazos muy ajustados, que detallamos en la siguiente seccion.
Pilar 3: pruebas de resiliencia operativa digital
Todas las entidades deben someter sus sistemas a un programa periodico de pruebas (analisis de vulnerabilidades, evaluaciones de seguridad, pruebas de continuidad). Las entidades mas significativas deben ir mas alla y ejecutar pruebas de penetracion guiadas por amenazas (TLPT, Threat-Led Penetration Testing), que simulan ataques reales sobre sistemas en produccion.
Pilar 4: gestion del riesgo de terceros TIC
Establece los requisitos contractuales minimos que deben incluir los acuerdos con proveedores TIC —derechos de acceso, auditoria e inspeccion, estrategias de salida, niveles de servicio— y crea el marco de supervision directa de los proveedores criticos.
Pilar 5: intercambio de informacion sobre amenazas
Promueve, con caracter voluntario, que las entidades compartan entre si inteligencia e informacion sobre ciberamenazas dentro de comunidades de confianza, para reforzar la defensa colectiva del sector.
Fechas clave: en vigor desde el 17 de enero de 2025
A diferencia de otras normas con largos periodos transitorios, DORA fijo una fecha unica y rotunda. El Reglamento (UE) 2022/2554 se publico en diciembre de 2022 y establecio un periodo de adaptacion de dos anos. Desde el 17 de enero de 2025 sus obligaciones son plenamente exigibles. No hay una segunda fase: quien no estaba listo en esa fecha incurre desde entonces en incumplimiento.
A partir de ahi, el calendario lo marcan los hitos de desarrollo y supervision:
- 17 de enero de 2025: plena aplicacion del Reglamento. Todas las entidades del perimetro deben tener implantado su marco de gestion del riesgo TIC, su proceso de notificacion de incidentes y su registro de acuerdos con proveedores TIC.
- A lo largo de 2025: entrada en aplicacion de las normas tecnicas de desarrollo (RTS e ITS) elaboradas por las ESAs, que concretan aspectos como la clasificacion de incidentes y las plantillas de notificacion.
- Noviembre de 2025: publicacion por las ESAs de la primera lista oficial de 19 proveedores terceros de TIC criticos designados, que inician su relacion con el supervisor principal correspondiente.
El mensaje para quien aun va con retraso es que la ventana de cortesia ya se cerro. La prioridad ahora no es debatir si DORA aplica, sino cerrar las brechas existentes antes de que un incidente o una inspeccion las ponga al descubierto.
Notificacion de incidentes graves: plazos de 4, 72 horas y 1 mes
Si hay una obligacion de DORA que conviene memorizar literalmente, es el regimen de notificacion de incidentes graves. Los plazos estan definidos en las normas tecnicas de regulacion (RTS) desarrolladas conjuntamente por EBA, ESMA y EIOPA y recogidas en el Reglamento Delegado (UE) 2025/302. El proceso se articula en tres informes sucesivos:
- Notificacion inicial: debe enviarse a la autoridad competente lo antes posible, dentro de las 4 horas desde que el incidente se clasifica como grave y, en todo caso, como maximo 24 horas despues de tener conocimiento del incidente.
- Informe intermedio: en un plazo de 72 horas desde la notificacion inicial, con la informacion actualizada sobre el estado del incidente y las medidas adoptadas.
- Informe final: en un plazo maximo de un mes, con el analisis de causa raiz, el impacto real y las acciones correctoras implantadas para evitar la recurrencia.
| Informe | Plazo | Contenido |
|---|---|---|
| Notificacion inicial | 4 h tras clasificarlo como grave (max. 24 h tras conocerlo) | Alerta temprana del incidente grave |
| Informe intermedio | 72 h desde la notificacion inicial | Estado actualizado y medidas en curso |
| Informe final | 1 mes | Causa raiz, impacto y acciones correctoras |
Cumplir estos plazos no es solo una cuestion de buena voluntad: exige tener operativa una capacidad de deteccion y clasificacion casi en tiempo real. Cuatro horas es muy poco margen si el equipo de seguridad descubre la incidencia, evalua su gravedad, escala internamente y prepara la notificacion de forma manual. De ahi que la automatizacion de la deteccion, la clasificacion y los flujos de notificacion sea uno de los proyectos con mayor retorno para las entidades sujetas a DORA.
Conviene subrayar la coherencia con otros marcos europeos. Las entidades que ya hayan trabajado en su adaptacion a la directiva de ciberseguridad para sectores esenciales partiran con ventaja, porque muchos controles son comunes; lo explicamos en nuestra guia de servicios de cumplimiento de la directiva NIS2. DORA es, de hecho, la lex specialis del sector financiero frente al marco general de NIS2.
Como prepararse para cumplir con DORA: hoja de ruta practica
La pregunta que recibimos con mas frecuencia no es que exige DORA, sino por donde empezar. Esta es una hoja de ruta en seis fases que ordena el trabajo segun el impacto y la dependencia entre tareas.
1. Diagnostico y analisis de brechas (gap analysis)
Antes de invertir, mide. Compara tu situacion actual frente a los cinco pilares y documenta cada brecha con su nivel de criticidad. El resultado es un mapa de calor que prioriza el esfuerzo y evita gastar recursos donde ya cumples.
2. Gobernanza y responsabilidad del organo de direccion
DORA exige que el consejo o el organo de direccion asuma formalmente la supervision del riesgo TIC. Esto se traduce en politicas aprobadas al maximo nivel, asignacion clara de responsabilidades y formacion especifica de los administradores. La resiliencia digital deja de ser un asunto exclusivamente tecnico para convertirse en una responsabilidad de gobierno corporativo.
3. Inventario y registro de proveedores TIC
Construye y manten actualizado el registro de informacion de todos los acuerdos contractuales con proveedores de servicios TIC, identificando cuales soportan funciones esenciales o importantes. Sin este inventario es imposible gestionar el riesgo de terceros ni responder a un requerimiento del supervisor.
4. Revision contractual y estrategias de salida
Renegocia los contratos con proveedores para incorporar las clausulas minimas que exige DORA: derechos de auditoria e inspeccion, niveles de servicio, ubicacion del tratamiento de datos y, de forma destacada, estrategias de salida documentadas que permitan migrar el servicio sin interrupciones criticas si el proveedor falla.
5. Capacidad de deteccion y notificacion de incidentes
Implanta o refuerza las herramientas y procesos que te permitan detectar, clasificar y notificar incidentes graves dentro de los plazos de 4 y 72 horas y un mes. Aqui la automatizacion marca la diferencia entre cumplir y arriesgarse a la sancion.
6. Programa de pruebas de resiliencia
Define un calendario de pruebas periodicas y, si tu entidad esta entre las significativas, planifica las pruebas de penetracion guiadas por amenazas (TLPT). Documenta resultados, planes de remediacion y su seguimiento.
Un consejo de campo: aborda DORA como un programa plurianual con gobierno propio, no como un proyecto de una sola entrega. La supervision es continua y la norma esta viva, con nuevas RTS y designaciones de proveedores criticos que iran apareciendo.
Resumen de la hoja de ruta
| Fase | Foco | Resultado esperado |
|---|---|---|
| 1. Diagnostico | Gap analysis frente a los 5 pilares | Mapa de brechas priorizado |
| 2. Gobernanza | Responsabilidad del organo de direccion | Politicas aprobadas y roles definidos |
| 3. Inventario TIC | Registro de proveedores y funciones | Registro de informacion actualizado |
| 4. Contratos | Clausulas DORA y estrategias de salida | Contratos conformes y planes de salida |
| 5. Incidentes | Deteccion y notificacion en plazo | Flujo operativo de 4 h / 72 h / 1 mes |
| 6. Pruebas | Programa de testing y TLPT | Calendario y evidencias de remediacion |
Conclusion: convertir el cumplimiento en resiliencia real
El Reglamento DORA no es un mero ejercicio de papeleo regulatorio. Su objetivo de fondo —que un fallo TIC no escale hasta convertirse en una crisis financiera sistemica— se alinea con el interes propio de cualquier entidad: seguir operando cuando algo va mal. Las cifras del FMI y de ENISA dejan claro que los incidentes ciberneticos en el sector financiero no son una hipotesis, sino una realidad cotidiana y creciente. Cumplir con DORA, bien entendido, es invertir en continuidad de negocio y en confianza del cliente.
La diferencia entre las entidades que llegan con holgura y las que llegan a remolque suele estar en haber empezado por un buen diagnostico y haber automatizado los procesos criticos —deteccion, clasificacion y notificacion de incidentes— en lugar de intentar resolverlos manualmente bajo la presion del reloj.
En Technova Partners ayudamos a entidades financieras y a sus proveedores tecnologicos a recorrer esta hoja de ruta de extremo a extremo: del gap analysis a la automatizacion de los flujos de cumplimiento. Si quieres una evaluacion rapida de tu punto de partida, empieza por nuestro diagnostico gratuito de ciberseguridad y cumplimiento, que tambien cubre las sinergias con DORA. Y cuando quieras disenar un plan a medida, habla con nuestro equipo: te ayudamos a transformar una obligacion regulatoria en una ventaja operativa real.
