DORA (Reglamento UE 2022/2554) aplica desde enero 2025 a bancos, fintech, aseguradoras y sus proveedores TIC críticos del sector financiero.
¿A quién aplica DORA en España?
Tres bloques. Entidades financieras: bancos comerciales y de inversión, sociedades gestoras de fondos, aseguradoras, reaseguradoras, EDE (entidades dinero electrónico), plataformas de financiación participativa, fintech autorizadas. Proveedores TIC críticos: las que el ESA designe como críticos (cloud hyperscalers, plataformas de pago, proveedores SaaS sectoriales). Auditores TIC del sector: con requisitos específicos de competencia.
¿Qué tiene que hacer una entidad para cumplir DORA?
Cinco pilares. (1) Marco de gestión del riesgo TIC documentado, aprobado por el órgano de administración. (2) Sistema de gestión y reporting de incidentes TIC graves al supervisor en 4 horas. (3) Programa de pruebas de resiliencia operativa: pentest, red team al menos cada 3 años. (4) Gestión específica del riesgo de terceros TIC (contratos, due diligence, monitorización continua). (5) Compartición de información de ciberamenazas con las autoridades.
¿Cuál es la diferencia entre DORA y NIS2?
DORA es específico del sector financiero y de sus proveedores TIC. NIS2 es transversal a sectores críticos (energía, agua, sanidad, alimentación, etc.). Una entidad financiera está sometida a DORA (lex specialis) y NO a NIS2 para la misma materia. Una empresa de fabricación, agua o energía está sometida solo a NIS2. Hay zonas de solapamiento controlado entre ambos.
Caso real: una EDE española prepara DORA a contrarreloj
Una entidad de dinero electrónico (EDE) con sede en Madrid, 95 empleados y un volumen procesado de 380 M€ anuales detectó en julio de 2024 que su marco de gestión del riesgo TIC no resistía una inspección DORA. Su sistema de reporting de incidentes dependía de hojas de cálculo, no tenía contratos de proveedores TIC alineados con el Reglamento y nunca había ejecutado un red team. El consejo de administración asumió el proyecto como prioridad regulatoria.
El presupuesto de adecuación se cerró en 168.000 € repartidos así: 54.000 € en consultoría de marco de riesgo TIC y políticas; 38.000 € en una plataforma de gestión y reporting de incidentes integrada con el supervisor; 41.000 € en pruebas de resiliencia (pentest anual más un TLPT — Threat-Led Penetration Testing — de alcance reducido); 22.000 € en renegociación de 14 contratos con proveedores TIC, incluidos dos hyperscalers cloud; y 13.000 € en formación del órgano de administración y del personal clave. El proyecto se ejecutó en 6 meses, con go-live del marco en diciembre de 2024, justo antes de la fecha de aplicación.
El retorno no fue solo evitar sanciones. La entidad usó la certificación de su resiliencia como argumento comercial en dos licitaciones con grandes clientes corporativos que exigían proveedores de pago DORA-ready, y redujo su prima de ciberseguro un 11 % al demostrar pruebas de resiliencia documentadas. El coste de no actuar se estimó en una exposición sancionadora de hasta 1,9 M€ más la pérdida de licencia operativa en el peor escenario.
Los 5 pilares de DORA: plazos y entidades afectadas
El Reglamento UE 2022/2554 se articula en cinco bloques de obligaciones. Esta tabla resume qué exige cada pilar, su plazo de referencia y a qué entidades impacta con mayor intensidad.
| Pilar DORA | Exigencia clave | Plazo / frecuencia | Entidades más afectadas |
|---|---|---|---|
| 1. Gestión del riesgo TIC | Marco documentado y aprobado por el órgano de administración; mapa de funciones críticas | Vigente desde 17-ene-2025; revisión anual | Todas las entidades financieras |
| 2. Gestión de incidentes TIC | Clasificación, notificación inicial al supervisor y reportes intermedio y final | Notificación inicial: 4 horas tras clasificar como grave | Bancos, EDE, plataformas de pago |
| 3. Pruebas de resiliencia | Pentest y escaneos periódicos; TLPT para entidades significativas | Pruebas básicas anuales; TLPT cada 3 años | Entidades significativas designadas |
| 4. Riesgo de terceros TIC | Registro de información, contratos con cláusulas mínimas, due diligence y monitorización | Registro de información: reporte anual al supervisor | Entidades con dependencia de cloud y SaaS |
| 5. Compartición de información | Intercambio voluntario de inteligencia de ciberamenazas | Voluntario y continuo | Todo el sector financiero |
A los proveedores TIC designados como críticos (CTPP) por las autoridades europeas de supervisión se les aplica además un régimen de vigilancia directa, con un lead overseer asignado y capacidad de imponer multas coercitivas de hasta el 1 % de su volumen de negocios medio diario.
Checklist de adecuación a DORA
Hoja de ruta de 12 pasos para una entidad financiera que parte de cero o con cumplimiento parcial:
- Confirmar el alcance: verificar si la entidad es financiera, proveedor TIC o auditor, y mapear las funciones esenciales o importantes.
- Designar un responsable de resiliencia operativa digital y asignar la rendición de cuentas al órgano de administración.
- Realizar un análisis de brechas (gap analysis) frente a los cinco pilares y las normas técnicas de regulación (RTS) asociadas.
- Documentar y aprobar el marco de gestión del riesgo TIC, incluida la política de continuidad de negocio y recuperación.
- Inventariar todos los activos TIC y clasificar los que soportan funciones críticas o importantes.
- Implantar un proceso de gestión de incidentes con criterios de clasificación de gravedad alineados con los umbrales DORA.
- Configurar el canal y las plantillas de notificación al supervisor para cumplir el plazo de 4 horas en incidentes graves.
- Construir el registro de información de proveedores TIC y reportarlo anualmente a la autoridad competente.
- Renegociar los contratos TIC para incluir las cláusulas mínimas obligatorias: acceso, auditoría, subcontratación, salida.
- Planificar el programa de pruebas de resiliencia: pentest anual y, si procede, TLPT cada tres años.
- Formar al órgano de administración y al personal clave en riesgo TIC y resiliencia.
- Establecer la revisión periódica del marco y el ciclo de mejora continua con auditoría interna.
5 errores comunes al implantar DORA
- Tratar DORA como un proyecto de IT y no de gobernanza. Si el órgano de administración no aprueba ni supervisa el marco, la entidad incumple el pilar 1 aunque la parte técnica esté impecable. Consecuencia: requerimiento del supervisor y exposición sancionadora.
- Ignorar el plazo de 4 horas para la notificación inicial. Muchas entidades preparan el reporte final pero no tienen un proceso ágil para la notificación temprana. Consecuencia: notificación fuera de plazo registrada como incumplimiento formal.
- No actualizar los contratos con proveedores TIC. Seguir con contratos cloud antiguos sin cláusulas de auditoría, subcontratación y salida deja a la entidad sin cobertura. Consecuencia: hallazgo en inspección y dependencia no gestionada de un tercero crítico.
- Confundir un pentest comercial con un TLPT. Las entidades significativas necesitan pruebas dirigidas por amenazas con metodología reconocida; un escaneo genérico no cumple. Consecuencia: prueba no válida y repetición del ejercicio bajo presión regulatoria.
- Olvidar el registro de información de terceros. No mantener actualizado el registro y no reportarlo anualmente es uno de los incumplimientos más fáciles de detectar para el supervisor. Consecuencia: requerimiento inmediato y deterioro reputacional ante la autoridad.
Fuentes oficiales
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.