Contexto normativo

Reglamento (UE) 2022/2554 — aplicable desde el 17 de enero de 2025

DORA (Digital Operational Resilience Act) unifica y eleva el estándar de resiliencia operativa digital para más de 20 tipos de entidades financieras en la UE. El Banco de España, la CNMV y la Dirección General de Seguros son las autoridades supervisoras en España.

CIFRA CLAVE

10% de la facturación anual

Multa máxima por incumplimiento grave de DORA (entidades financieras, según Banco de España / CNMV). Fuente: Reglamento (UE) 2022/2554 art. 50; CRD6.

Resumen de obligaciones por pilar

• Pilar 1 — Gestión del riesgo TIC: Marco de gobernanza aprobado por el consejo. ICT Risk Register. Inventario de activos. Políticas de seguridad.
• Pilar 2 — Notificación de incidentes: Alerta inicial en 4h para incidentes graves. Informe intermedio en 72h. Informe final en 1 mes.
• Pilar 3 — Pruebas de resiliencia: Tests anuales básicos. Pruebas TIBER-EU cada 3 años para entidades sistémicas.
• Pilar 4 — Gestión de terceros TIC: Contratos con cláusulas DORA. Registro de proveedores críticos. Exit plans.
• Pilar 5 — Intercambio de inteligencia: Participación en plataformas de información sobre ciberamenazas.

CHECKLIST BÁSICO DORA — Fintech española (simplificado)

✅ ICT Risk Register aprobado por consejo

✅ Política de gestión de incidentes TIC documentada

✅ Contratos cloud (AWS/GCP/Azure) revisados con cláusulas art. 30 DORA

❌ Exit plan para proveedor cloud crítico — PENDIENTE

❌ Tests de penetración anuales documentados — PENDIENTE

Automatiza el cumplimiento DORA con IgeraRegtech

ICT Risk Register, checklist DORA, alertas de cambios y preparación de auditorías. Desde €299/mes.

Publicado: Junio 2026 · Fuente: Reglamento (UE) 2022/2554; EBA RTS 2024; Banco de España · Autor: Gerard Maymó, CEO Igera Solutions · Ver guía completa: /faq/dora-2025