RegTech

Cumplimiento DORA para entidades financieras: guía completa ICT 2025

Gerard Maymó
17 de junio de 2026
12 min read
DORA ICT compliance guide for financial entities EU 2025

Última actualización: Enero 2026 | Autor: Albert Riba, Director de Estrategia Compliance en IgeraSolutions | Revisado por: Dra. Elena Vázquez, Consultora Senior en Regulación Financiera y Auditoría de Sistemas | Fuentes: Reglamento (UE) 2022/2554, ESAs RTS/ITS

¿Cómo lograr el cumplimiento DORA? Guía de resiliencia ICT 2025-2026

Respuesta directa: El cumplimiento DORA (Reglamento UE 2022/2554) obliga a las entidades financieras a unificar su gestión de riesgos de TIC, notificar incidentes graves, probar su resiliencia operativa y auditar a terceros proveedores antes de la fecha límite de aplicación. En este artículo, analizamos la hoja de ruta paso a paso para adaptar tu infraestructura y procesos a las exigencias de supervisión vigentes en 2025 y 2026.

En 30 segundos: El reglamento de resiliencia operativa digital (DORA) ya no es un proyecto de futuro; está plenamente vigente. Las entidades financieras que no automaticen el mapeo de sus políticas internas con las Normas Técnicas de Regulación (RTS) se enfrentan a sanciones de hasta el 1% de su volumen de negocios diario global. Esta guía detalla los 6 pasos críticos para asegurar la conformidad técnica y operativa sin colapsar el departamento de control interno.

La urgencia regulatoria: El impacto de DORA en el sector financiero

La entrada en vigor del Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), marca un antes y un después para las entidades de crédito, empresas de servicios de inversión, entidades de pago y proveedores de servicios de criptoactivos. A diferencia de las directivas anteriores, que permitían cierta flexibilidad en la transposición nacional, DORA es un reglamento de aplicación directa. Esto significa que las reglas de supervisión son idénticas en toda la Unión Europea.

El objetivo de esta norma es garantizar que el sector financiero pueda resistir, responder y recuperarse de cualquier perturbación operativa grave relacionada con las Tecnologías de la Información y la Comunicación (TIC). Para lograrlo, la norma se apoya en los estándares técnicos de regulación (RTS) y ejecución (ITS) desarrollados por las Autoridades de Supervisión Europeas (EBA, EIOPA y ESMA, agrupadas como las ESAs).

Dato de auditoría del sector: Según datos recopilados por las auditorías de control interno de IgeraRegTech en el primer semestre de 2025, el 64% de las entidades financieras medianas en España aún no tiene automatizada la correlación de sus políticas internas de TIC con los requisitos específicos de los RTS de DORA. Esto genera un riesgo crítico de discrepancia regulatoria durante las inspecciones del Banco de España o la CNMV.

DORA vs. NIS2: Diferencias clave en el marco de cumplimiento

Existe una confusión habitual entre el alcance de la Directiva NIS2 y el Reglamento DORA. Aunque ambas normativas persiguen elevar el nivel de ciberseguridad en la Unión Europea, el principio de lex specialis determina que DORA prevalece sobre NIS2 para el sector financiero. Las entidades financieras deben priorizar el cumplimiento de DORA, cuyas exigencias de gestión de riesgos de TIC y control de proveedores externos son considerablemente más detalladas y punitivas.

Criterio Reglamento DORA Directiva NIS2
Ámbito de aplicación Sector financiero exclusivo y sus proveedores críticos de TIC. Sectores altamente críticos (energía, transporte, salud, etc.).
Pruebas de Resiliencia Obligatoriedad de pruebas TLPT (Threat Led Penetration Testing) cada 3 años. Evaluaciones de seguridad generales sin obligación de TLPT estandarizado.
Supervisión de Terceros Registro de información obligatorio y contratos alineados con RTS específicos. Gestión de la cadena de suministro general.
Sanciones directas Multas coercitivas diarias de hasta el 1% de la facturación media mundial. Multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios.

Guía paso a paso para el cumplimiento DORA en 2025-2026

Para estructurar la adecuación técnica y organizativa sin incurrir en duplicidades operativas, se recomienda seguir esta hoja de ruta de seis pasos secuenciales.

Paso 1: Clasificar y mapear los activos de información críticos

El mapeo de activos críticos bajo DORA debe incluir todas las funciones empresariales críticas o importantes y sus dependencias de TIC. No puedes proteger lo que no sabes que tienes. Las entidades deben realizar un inventario exhaustivo que vincule los procesos de negocio (como la pasarela de pagos o la custodia de valores) con los sistemas de información, bases de datos y servidores físicos o en la nube que los soportan.

Este inventario debe actualizarse en tiempo real. Un error común es realizar auditorías anuales estáticas que quedan obsoletas ante cualquier despliegue de software en producción.

Paso 2: Implementar el marco de gestión de riesgos de TIC

El marco de gestión de riesgos de TIC exige políticas documentadas de seguridad de la información, cifrado de datos y control de accesos basados en privilegios mínimos. Conforme al RTS JC 2023 84, el órgano de administración de la entidad financiera (el Consejo de Administración) tiene la responsabilidad última y activa de este marco. Esto implica que los directivos deben recibir formación continua y aprobar explícitamente las tolerancias al riesgo de TIC.

La documentación debe detallar los mecanismos de detección rápida de actividades anomalas, estableciendo cortafuegos físicos y lógicos que impidan la propagación de incidentes de seguridad.

Paso 3: Establecer el proceso de notificación de incidentes graves de TIC

DORA obliga a reportar incidentes graves de TIC a las autoridades competentes en plazos estrictos de hasta 4 horas tras su clasificación. Esto requiere la creación de una matriz de severidad que evalúe de forma automática el número de usuarios afectados, la pérdida de datos, el impacto geográfico y la interrupción del servicio.

Las entidades deben coordinar sus equipos de Security Operations Center (SOC) con el área de cumplimiento normativo para asegurar que las plantillas de notificación preliminar, intermedia y final se envíen dentro de las ventanas temporales exigidas por las ITS de las ESAs.

Paso 4: Diseñar el programa de pruebas de resiliencia operativa digital (TLPT)

Las pruebas de penetración basadas en amenazas (TLPT) son obligatorias cada tres años para entidades financieras sistémicas. Estas pruebas, también conocidas como Red Teaming, deben simular ataques reales dirigidos contra las funciones críticas de la entidad. Los proveedores de pruebas externos deben estar certificados y cumplir con estrictos requisitos de confidencialidad.

Para las entidades no consideradas sistémicas, el reglamento exige pruebas de resiliencia más sencillas pero recurrentes, como análisis de vulnerabilidades, evaluaciones de configuraciones de red y simulacros de continuidad de negocio.

Paso 5: Evaluar y monitorizar el riesgo de terceros proveedores de TIC

La evaluación de proveedores de TIC exige contratos con cláusulas específicas de resolución, auditoría y localización de datos de procesamiento. Las entidades financieras ya no pueden externalizar servicios críticos sin asumir la corresponsabilidad de la seguridad del proveedor. Antes de firmar cualquier acuerdo de nivel de servicio (SLA), se debe realizar una gestión de riesgos de terceros exhaustiva.

Los contratos deben incluir de forma explícita el derecho de acceso, inspección y auditoría por parte de la entidad financiera y de las autoridades de supervisión competentes.

Paso 6: Crear el registro de información sobre acuerdos de terceros

El registro de información de DORA debe estructurarse conforme a las plantillas normalizadas de las ITS publicadas por las ESAs. Este registro consolidado debe listar todos los contratos de servicios de TIC, clasificando a los proveedores entre críticos y no críticos. Las entidades financieras deben estar preparadas para entregar este registro a su supervisor en cualquier momento que sea requerido.

La recopilación de estos datos suele ser un proceso manual ineficiente si no se cuenta con tecnologías de automatización documental.

La solución tecnológica: Automatización del cumplimiento con IgeraRegTech

El principal desafío del cumplimiento DORA no es técnico, sino documental y de gobernanza. Las entidades financieras se ven inundadas por miles de páginas de políticas internas, contratos con proveedores de la nube, informes de vulnerabilidades y normativas europeas en constante evolución. Intentar correlacionar de forma manual cada requisito de los RTS con la documentación interna es una receta segura para el error humano.

Aquí es donde entra en juego nuestra plataforma IgeraRegTech. Al implementar nuestra tecnología basada en Inteligencia Artificial con arquitectura RAG (Retrieval-Augmented Generation), tu equipo de cumplimiento puede consultar cualquier aspecto normativo y recibir respuestas inmediatas basadas exclusivamente en vuestros documentos internos autorizados.

IgeraRegTech no alucina. Cada respuesta incluye hipervínculos exactos al párrafo del contrato del proveedor de TIC, a la sección del plan de continuidad de negocio o al artículo del reglamento europeo correspondiente. Esto reduce el tiempo de preparación de auditorías de semanas a minutos, garantizando un control riguroso y auditable de la resiliencia operativa digital.

→ Prueba gratis 14 días IgeraRegTech

Errores comunes al interpretar el Reglamento DORA

Durante la implementación práctica del reglamento, los oficiales de cumplimiento suelen cometer errores metodológicos que elevan el riesgo de sanción:

  • Tratar DORA como un proyecto de TI exclusivo: DORA es una norma de gobernanza corporativa. Si el Consejo de Administración no comprende sus responsabilidades penales y operativas, la entidad suspenderá la auditoría de supervisión.
  • Ignorar el software en la sombra (Shadow IT): No registrar las herramientas SaaS que los empleados contratan de forma independiente sin supervisión del departamento de tecnología.
  • No definir umbrales de impacto realistas: Clasificar todos los incidentes como "graves" colapsará la comunicación con el regulador, mientras que infravalorar un incidente real puede acarrear sanciones severas.

Para mitigar estos riesgos, las organizaciones líderes están adoptando soluciones de RegTech para el sector financiero que integran la gestión de riesgos en el flujo de trabajo diario de los analistas de negocio.

¿Te preocupa no llegar a tiempo con las auditorías de DORA?

IgeraRegTech te permite mapear, auditar y contrastar tus contratos de proveedores de TIC y políticas internas de resiliencia de forma automatizada mediante RAG libre de alucinaciones.

→ Prueba gratis 14 días, sin tarjeta

Preguntas frecuentes sobre el cumplimiento DORA

¿Qué entidades financieras están obligadas al cumplimiento DORA?

Están obligadas casi todas las entidades del sector financiero regulado en la Unión Europea. Esto incluye bancos, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, proveedores de servicios de criptoactivos (bajo MiCA), gestoras de fondos alternativos, compañías de seguros y reaseguros, así como los proveedores externos de servicios de TIC que presten servicios críticos a estas entidades.

¿Cuáles son las sanciones por incumplir el reglamento DORA en España?

Las autoridades de supervisión (como el Banco de España, la CNMV y la DGSFP) pueden imponer multas coercitivas de hasta el 1% de la facturación media diaria mundial del ejercicio anterior para proveedores de TIC críticos. Para las entidades financieras, las sanciones se rigen por los marcos nacionales de disciplina del sector, pudiendo incluir la inhabilitación de directivos y multas multimillonarias.

¿Qué es una prueba TLPT bajo el marco de DORA?

Una TLPT (Threat Led Penetration Testing) es una prueba de penetración dirigida por amenazas que simula tácticas, técnicas y procedimientos de atacantes reales sobre los sistemas de producción críticos de una entidad. Es obligatoria al menos cada tres años para las entidades financieras que superen ciertos umbrales de tamaño y volumen transaccional definidos por las ESAs.

¿Cómo afecta DORA a los proveedores de servicios en la nube (CSP)?

Los proveedores de servicios en la nube (como AWS, Azure o Google Cloud) que sean designados como "críticos" por las ESAs quedarán bajo la supervisión directa de un Supervisor Principal europeo. Además, deberán adaptar sus contratos para permitir auditorías físicas y lógicas sin restricciones por parte de las entidades financieras clientes.

¿Qué debe incluir el registro de información de terceros de TIC?

El registro de información debe detallar la identidad del proveedor, los servicios prestados, si soporta una función crítica o importante, la fecha de inicio y vencimiento del contrato, la cadena de subcontratación autorizada y la localización geográfica del almacenamiento y procesamiento de los datos de la entidad financiera.

¿Cómo ayuda IgeraRegTech a acelerar el cumplimiento DORA?

IgeraRegTech utiliza tecnología de IA RAG para analizar instantáneamente tus políticas de ciberseguridad, planes de contingencia y contratos de proveedores de TIC. Al contrastarlos con los RTS y las ITS de DORA, identifica brechas de cumplimiento (gap analysis) de forma automatizada y redacta las justificaciones de control interno citando siempre la fuente documental interna exacta, eliminando las alucinaciones de la IA convencional.

Puntos clave para recordar

  • Gobernanza activa: El Consejo de Administración es legalmente responsable de la firma y supervisión del marco de gestión de riesgos de TIC.
  • Control de terceros riguroso: No se pueden externalizar servicios a proveedores que no cumplan con las cláusulas contractuales exigidas por las ITS de las ESAs.
  • Automatización necesaria: Gestionar el cumplimiento DORA mediante hojas de cálculo tradicionales genera ineficiencias críticas y eleva el riesgo de sanciones ante inspecciones de los supervisores.

Para asegurar que tu entidad financiera supera con éxito las exigencias de supervisión de 2025 y 2026, implementa herramientas tecnológicas que centralicen y automaticen el análisis de tu documentación de resiliencia operativa digital de forma inmediata.

#DORA compliance#DORA ICT risk management#DORA financial entities#digital operational resilience#DORA incident reporting#DORA third party ICT#EU 2022/2554#DORA 2025

COMPARTIR

Comparte el conocimiento con tu red