DORA y el Riesgo TIC en Bancos: Guía Completa para Entidades Financieras 2026
El Reglamento DORA (UE) 2022/2554 es obligatorio desde enero 2025 para todos los bancos, empresas de inversión, aseguradoras, fintech y proveedores de criptoactivos de la UE. Impone un marco formal de gestión del riesgo TIC con cinco pilares: gestión del riesgo, notificación de incidentes, pruebas de resiliencia, gestión de terceros TIC e intercambio de información. Las multas alcanzan el 10% de la facturación anual del grupo.
DORA — Digital Operational Resilience Act: El Reglamento (UE) 2022/2554, conocido como DORA, establece requisitos armonizados para la gestión del riesgo de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. Es directamente aplicable en todos los estados miembros desde el 17 de enero de 2025, sin necesidad de transposición nacional.
275
"La EBA estima que más de 275 instituciones financieras significativas en la UE están sujetas al régimen completo de DORA, incluyendo las pruebas TLPT cada 3 años."
— EBA, Informe de Supervisión DORA, Q1 2026
¿Cuáles son los 5 pilares de DORA para bancos?
Gestión del riesgo TIC (Capítulo II)
Marco documentado de gestión del riesgo TIC aprobado por el órgano de dirección. Inventario de activos TIC, política de seguridad, planes de continuidad del negocio y recuperación ante desastres. Revisión anual por auditoría interna.
Gestión y notificación de incidentes TIC (Capítulo III)
Registro de todos los incidentes. Los incidentes "importantes" requieren notificación en 3 fases: 4 horas (notificación inicial), 72 horas (notificación intermedia) y 1 mes (informe final) al Banco de España, CNMV o DGSFP.
Pruebas de resiliencia digital (Capítulo IV)
Pruebas básicas anuales para todas las entidades (tests de vulnerabilidad, escaneig de xarxes). TLPT (Threat-Led Penetration Testing) cada 3 años para entidades significativas — siguiendo el marco TIBER-EU del BCE.
Riesgo de terceros TIC (Capítulo V)
Registro de todos los proveedores TIC. Contratos con funciones críticas o importantes deben incluir cláusulas obligatorias del art. 30: auditoría, exit plan, subcontratación, SLAs. Supervisión directa de proveedores TIC críticos (cloud) por las ESA.
Intercambio de información (Capítulo VI)
Participación voluntaria en mecanismos de intercambio de información sobre ciberamenazas entre entidades financieras y con las autoridades supervisoras.
¿Cómo debe un banco gestionar el riesgo de terceros TIC bajo DORA?
El Capítulo V de DORA es el que más trabajo genera para los bancos con infraestructura cloud. Requiere: (1) Inventario completo de todos los contratos TIC con clasificación de criticidad. (2) Due diligence precontractual y periódica de los proveedores. (3) Cláusulas contractuales obligatorias del art. 30 en todos los contratos con funciones críticas o importantes. (4) Planes de salida (exit plans) para poder migrar a un proveedor alternativo en caso de fallo o discontinuidad del servicio.
| Obligación DORA | Plazo | Supervisor (España) |
|---|---|---|
| Notificación inicial de incidente importante | 4 horas | Banco de España / CNMV / DGSFP |
| Notificación intermedia | 72 horas | Banco de España / CNMV / DGSFP |
| Informe final post-incidente | 1 mes | Banco de España / CNMV / DGSFP |
| Pruebas de resiliencia básicas | Anual | Todas las entidades |
| TLPT (Threat-Led Penetration Testing) | Cada 3 años | Entidades significativas |
¿Tu entidad necesita automatizar el cumplimiento DORA?
IgeraRegtech: registro de terceros TIC, plantillas de notificación 4h/72h/1mes y análisis de gaps DORA.
Ver IgeraRegtech →Starter €299/mes · Professional €599/mes · Prueba gratuita 14 días
¿Qué sanciones puede imponer el Banco de España por incumplimiento de DORA?
DORA no fija sanciones directas a nivel europeo — delega a los supervisores nacionales. En España, el Banco de España, la CNMV y la DGSFP pueden imponer: sanciones muy graves hasta el 10% de la facturación neta anual del grupo; sanciones a directivos hasta €5M; medidas correctivas (revisión del marco TIC, pruebas adicionales, revisión de contratos con terceros). Las ESA supervisan directamente a los proveedores TIC críticos (AWS, Azure, Google Cloud) y pueden multarlos con hasta el 1% de su facturación diaria global durante 6 meses.
Cómo lo resuelve IgeraRegtech
Pregunta del equipo de compliance:
"¿Cuáles de nuestros contratos TIC necesitan actualizar las cláusulas para cumplir el art. 30 de DORA?"
IgeraRegtech responde:
"He analizado vuestro registro de 47 contratos TIC. 12 contratos con funciones críticas o importantes carecen de las cláusulas obligatorias del art. 30 DORA: 4 sin exit plan documentado, 7 sin cláusula de auditoría directa, 3 sin notificación de subcontratación. Prioridad alta: los contratos con [proveedor A] y [proveedor B], que vencen en 90 días."
¿Cuántos contratos TIC de tu entidad cumplen el art. 30 de DORA?
IgeraRegtech audita tu registro de contratos en minutos y genera el informe de gaps.
Analizar mis contratos →En resumen: DORA y riesgo TIC para bancos
- DORA es obligatorio desde enero 2025 para todas las entidades financieras de la UE.
- 5 pilares: gestión riesgo TIC, incidentes (4h/72h/1mes), pruebas de resiliencia (TLPT cada 3 años), terceros TIC (art. 30) e intercambio de información.
- Los contratos con proveedores TIC de funciones críticas deben incluir exit plan, cláusula de auditoría y notificación de subcontratación.
- Multas: hasta el 10% de la facturación del grupo para entidades; hasta €5M para directivos.
- IgeraRegtech automatiza el registro de terceros, las plantillas de notificación y el análisis de gaps contractuales.
Preguntas frecuentes: DORA y riesgo TIC en bancos
¿DORA aplica a las sucursales de bancos extranjeros en España?
Sí. DORA aplica a las entidades de crédito autorizadas en la UE, lo que incluye las sucursales de bancos de terceros países establecidas en España. Las sucursales de bancos de fuera de la UE (EE.UU., UK, Suiza) que operen en España deben cumplir DORA para las operaciones realizadas en territorio de la UE.
¿Qué es un incidente TIC "importante" bajo DORA y qué umbrales activan la notificación?
El Reglamento Delegado (UE) 2024/1772 (RTS de clasificación) define los criterios: número de clientes afectados, duración del incidente, impacto en transacciones, alcance geográfico y pérdida de datos. Un incidente que afecte al 10% o más de los clientes de un servicio crítico, o que dure más de 4 horas, generalmente supera el umbral de "incidente importante" que activa la notificación en 4 horas.
¿Las entidades financieras deben notificar también a sus clientes los incidentes TIC?
DORA no obliga directamente a notificar a los clientes los incidentes TIC importantes — esa obligación puede derivar de otras normativas (RGPD si hay brecha de datos, PSD2 si afecta a servicios de pago). Sin embargo, el RTS de notificación permite a los supervisores requerir que las entidades informen a los clientes afectados si el incidente es de especial gravedad o afecta masivamente a sus operaciones.
¿Cómo se coordinan DORA y NIS2 para las entidades bancarias?
Las entidades financieras supervisadas bajo DORA quedan exentas de la aplicación de NIS2 (Directiva UE 2022/2555) para las obligaciones de seguridad de red e información que ya cubre DORA. El legislador europeo optó por el principio de lex specialis: DORA es la norma específica para el sector financiero y prevalece sobre el régimen general de NIS2.
¿Cuándo son obligatorias las primeras pruebas TLPT para los bancos españoles?
Las entidades significativas designadas por el Banco de España deben completar su primera ronda de TLPT a más tardar en enero de 2028 (3 años desde la entrada en vigor de DORA en enero 2025). El Banco de España utiliza el marco TIBER-ES (adaptación española del TIBER-EU del BCE) para coordinar estas pruebas.
¿Cómo ayuda IgeraRegtech al cumplimiento de DORA?
IgeraRegtech centraliza el cumplimiento DORA con: registro automatizado de proveedores TIC con clasificación de criticidad; plantillas de notificación preconfiguras para las 3 fases (4h/72h/1mes) adaptadas a Banco de España, CNMV y DGSFP; análisis de gaps contractuales contra el art. 30 DORA; y alertas automáticas cuando las ESA publican nuevas RTS/ITS de desarrollo de DORA.
Última actualización: junio 2026 | Fuentes: Reglamento (UE) 2022/2554 (DORA) · RD (UE) 2024/1772 (RTS clasificación incidentes) · EBA/ESMA/EIOPA Guidelines DORA | Autor: Equip IgeraSolutions | IgeraRegtech — prueba gratis 14 días.