Regulación financiera · UE · 2025

DORA 2025: Guía Completa de Cumplimiento para Entidades Financieras

Qué es el Reglamento DORA, a qué entidades aplica, sus 5 pilares de cumplimiento, plazos de notificación de incidentes y cómo prepararse para la supervisión del BCE y Banco de España.

Ene 2025

Fecha de aplicación obligatoria

4h

Plazo máx. notificación incidente grave

20+

Tipos de entidades financieras cubiertas

Fuente: Reglamento (UE) 2022/2554 · EBA RTS 2024 · Banco de España

Respuesta directa

DORA (Reglamento (UE) 2022/2554) obliga a los bancos, fintech, aseguradoras y gestoras de fondos a implantar un marco de resiliencia operativa digital desde enero de 2025. Sus 5 pilares son: gestión del riesgo TIC, notificación de incidentes (4h para incidentes graves), pruebas de resiliencia, gestión de proveedores TIC y compartición de inteligencia sobre amenazas. El incumplimiento puede derivar en sanciones de hasta el 10% de la facturación anual.

Preguntas frecuentes

¿Qué es el Reglamento DORA y cuándo entró en vigor?

DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativo a la resiliencia operativa digital del sector financiero. DORA fue publicado en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022 y entró en vigor el 17 de enero de 2023. La fecha de aplicación obligatoria es el 17 de enero de 2025, dando 24 meses a las entidades para adaptarse. Desde esa fecha, las autoridades competentes nacionales (Banco de España, CNMV, DGS) y europeas (BCE, EBA, ESMA, EIOPA) pueden iniciar procesos de supervisión y sanción. DORA deroga y reemplaza los requisitos parciales anteriores en materia de riesgo TIC establecidos en la Directiva de Requisitos de Capital (CRD), la Directiva Solvencia II y el Reglamento EMIR, unificando y elevando el estándar.

¿A qué entidades financieras aplica DORA?

DORA aplica a un amplio espectro de entidades financieras: (1) Entidades de crédito (bancos, cajas rurales, cooperativas de crédito). (2) Entidades de pago y dinero electrónico. (3) Empresas de servicios de inversión (ESIs), gestoras de fondos (SGIIC), gestoras de pensiones. (4) Entidades de contrapartida central (CCPs) y depositarios centrales de valores. (5) Compañías de seguros y reaseguros. (6) Proveedores de servicios de criptoactivos (bajo MiCA). (7) Plataformas de financiación colectiva (crowdfunding). (8) Agencias de calificación crediticia. Importante: DORA también aplica a los proveedores críticos de servicios TIC que sirven a estas entidades (cloud providers, proveedores de software core banking, etc.). Quedan excluidas las microempresas con menos de 10 empleados y €2M de facturación, aunque el regulador puede incluirlas si se considera que su función es sistémica.

¿Cuáles son los 5 pilares de cumplimiento de DORA?

DORA establece 5 pilares de cumplimiento: (1) Gestión del riesgo TIC (Capítulo II, arts. 5-16): marco de gobernanza con responsabilidad del órgano de administración, identificación y clasificación de activos TIC, políticas de seguridad, gestión de incidentes TIC, continuidad de negocio para TIC, planes de comunicación. (2) Gestión, clasificación y notificación de incidentes TIC (Capítulo III, arts. 17-23): clasificación de incidentes según su gravedad, notificación a la autoridad competente en 4 horas para incidentes graves, reporte final en 1 mes. (3) Pruebas de resiliencia operativa digital (Capítulo IV, arts. 24-27): pruebas anuales básicas para todas las entidades; para entidades sistémicas, pruebas de penetración basadas en amenazas (TIBER-EU) al menos cada 3 años. (4) Gestión del riesgo de terceros proveedores TIC (Capítulo V, arts. 28-44): registro de contratos con proveedores, due diligence, cláusulas contractuales obligatorias, marco de supervisión de proveedores críticos. (5) Intercambio de información sobre ciberamenazas (Capítulo VI, arts. 45-46): participación en acuerdos de intercambio de información entre entidades financieras.

¿Qué plazos de notificación de incidentes establece DORA?

DORA establece un sistema de notificación en tres fases para incidentes graves: (1) Notificación inicial: en 4 horas desde que la entidad clasifica el incidente como grave (o en todo caso en 24 horas desde que la entidad toma conocimiento del incidente). Contenido mínimo: descripción del incidente, impacto estimado, medidas iniciales adoptadas. (2) Informe intermedio: en 72 horas desde la notificación inicial. Contenido: actualización del impacto real, causa probable, indicadores de compromiso (IoC) si se sospecha ciberataque, medidas mitigadoras aplicadas. (3) Informe final: en 1 mes desde la notificación inicial (o antes si el incidente se resuelve antes). Contenido: análisis forense, causa raíz, impacto total, medidas correctoras implementadas, lecciones aprendidas. Los umbrales que convierten un incidente en "grave" incluyen: impacto en más del 5% de los clientes, pérdidas económicas superiores al 0,1% del capital de nivel 1, afectación a sistemas críticos durante más de 2 horas.

¿Qué es el ICT Risk Register y qué debe contener según DORA?

El Registro de Riesgos TIC (ICT Risk Register) es uno de los documentos centrales exigidos por DORA (art. 8). Debe contener: (1) Inventario de activos TIC: todos los sistemas, aplicaciones, infraestructuras de hardware y software relevantes para los procesos de negocio de la entidad, clasificados según su criticidad. (2) Dependencias de terceros: para cada activo TIC externo, identificación del proveedor, tipo de servicio, concentración de riesgo (si el mismo proveedor TIC da servicio a múltiples funciones críticas). (3) Evaluación de riesgos: por cada activo, probabilidad e impacto de los principales escenarios de riesgo (indisponibilidad, corrupción de datos, acceso no autorizado, fallo de proveedor crítico). (4) Controles: medidas de mitigación implementadas y residual risk para cada riesgo identificado. (5) Plan de tratamiento: acciones pendientes de implementar con responsable y plazo. El ICT Risk Register debe ser revisado y aprobado por el órgano de administración al menos una vez al año y tras cualquier incidente grave.

¿Qué obligaciones tiene el órgano de administración bajo DORA?

DORA (art. 5) atribuye al órgano de administración (consejo de administración o equivalente) responsabilidad directa e ineludible en la gestión del riesgo TIC. Las obligaciones específicas son: (1) Aprobar y revisar periódicamente la política de gestión del riesgo TIC de la entidad. (2) Aprobar y revisar la estrategia de resiliencia operativa digital. (3) Supervisar la implementación del marco DORA y recibir informes periódicos del CISO o del responsable TIC. (4) Definir la tolerancia al riesgo TIC de la entidad (risk appetite). (5) Asignar presupuesto suficiente para las medidas de seguridad TIC. (6) Asegurar que los miembros del consejo tienen formación adecuada en riesgo TIC (art. 5.4: formación regular y obligatoria). Las autoridades supervisoras pueden evaluar la idoneidad de los miembros del consejo en materia TIC como parte de los procesos de supervisión prudencial.

¿Qué cláusulas contractuales obliga DORA a incluir en los contratos con proveedores TIC?

DORA (art. 30) establece cláusulas mínimas obligatorias en todos los contratos con proveedores TIC que den soporte a funciones críticas o importantes: (1) Descripción precisa y completa de todos los servicios y funciones TIC prestados. (2) Localización de los datos (incluyendo subcontratistas y jurisdicciones donde pueden estar almacenados o procesados). (3) Disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad de los datos. (4) Derechos de acceso, inspección y auditoría de la entidad financiera y de las autoridades competentes sobre el proveedor. (5) Niveles de servicio (SLAs) con indicadores cuantitativos de disponibilidad, tiempos de respuesta y restauración. (6) Estrategias de salida (exit plans): cómo se transferirá el servicio o los datos en caso de terminación del contrato, plazos y condiciones. (7) Obligaciones de notificación del proveedor en caso de incidentes que puedan afectar a la entidad. La EBA, ESMA y EIOPA han publicado estándares técnicos regulatorios (RTS) con el detalle exacto de estas cláusulas.

¿Cuáles son las multas y sanciones por incumplimiento de DORA?

El régimen sancionador de DORA distingue entre entidades financieras y proveedores críticos TIC: Para entidades financieras: DORA no establece multas máximas directamente en el reglamento; remite a las autoridades nacionales, que pueden imponer las sanciones previstas en cada directiva sectorial aplicable (CRD6, Solvencia II, PSD3). El Banco de España y la CNMV pueden imponer sanciones de hasta el 10% de la facturación anual para infracciones muy graves. Para proveedores TIC críticos designados por la UE: las autoridades supervisoras (EBA, ESMA, EIOPA) pueden imponer multas de hasta €1% de la facturación diaria media mundial del proveedor por cada día de incumplimiento, durante un período máximo de 6 meses. Más allá de las multas, el riesgo reputacional de un incidente TIC notificable bajo DORA (comunicado públicamente según el art. 14) puede ser significativamente mayor que la sanción económica.

¿Cómo deben prepararse las fintech y neo-bancos para DORA?

Las fintech y neo-bancos tienen características específicas que hacen la implementación de DORA diferente a la de un banco tradicional: (1) Arquitectura cloud-native: la mayoría operan en cloud (AWS, GCP, Azure). DORA exige cláusulas contractuales específicas con los cloud providers y auditoría de la concentración de riesgo en un único proveedor. (2) Dependencia de terceros TIC: las fintech suelen tener más dependencias de APIs de terceros (Banking-as-a-Service, KYC providers, etc.). Cada una requiere el contrato DORA-compliant. (3) Recursos limitados para compliance: a diferencia de los bancos, muchas fintech no tienen equipo de compliance dedicado. Herramientas como IgeraRegtech permiten escalar el cumplimiento sin multiplicar el headcount. (4) Velocidad de desarrollo: los ciclos de despliegue rápidos (CI/CD) deben incorporar controles de seguridad TIC como parte del pipeline. (5) Pruebas de penetración: las fintech sobre umbrales sistémicos deben realizar pruebas TIBER-EU — un ejercicio costoso (€50.000-€200.000) que requiere planificación.

¿Cómo puede IgeraRegtech ayudar con el cumplimiento de DORA?

IgeraRegtech tiene el texto completo del Reglamento DORA, las RTS/ITS técnicas de la EBA, ESMA y EIOPA, y las guías de supervisión del Banco de España indexadas con embeddings semánticos. Esto permite: (1) Consultas de interpretación en lenguaje natural: "¿tenemos que notificar este incidente en 4 horas o en 24?" — el sistema cita el artículo exacto del reglamento y el umbral aplicable. (2) Generación del ICT Risk Register inicial con plantilla DORA-compliant. (3) Checklist dinámico de cumplimiento: qué artículos aplican a cada tipo de entidad y qué documentos son necesarios. (4) Alertas de cambios normativos: cuando la EBA publica nuevas guías o modifica los RTS, el sistema genera alerta con el impacto en el perfil de la entidad. (5) Preparación para auditorías supervisoras: el sistema simula las preguntas típicas de una inspección del Banco de España en materia DORA.

Los 5 pilares DORA en resumen

  1. 1

    Gestión del riesgo TIC

    Marco de gobernanza aprobado por el consejo, inventario de activos, ICT Risk Register.

  2. 2

    Notificación de incidentes

    4h para notificación inicial de incidentes graves. Informe final en 1 mes.

  3. 3

    Pruebas de resiliencia

    Pruebas anuales básicas; pruebas TIBER-EU cada 3 años para entidades sistémicas.

  4. 4

    Gestión de proveedores TIC

    Contratos DORA-compliant, registro de proveedores críticos, cláusulas de exit.

  5. 5

    Intercambio de inteligencia

    Participación en plataformas de intercambio de información sobre ciberamenazas.

Automatiza el cumplimiento DORA con IgeraRegtech

ICT Risk Register, checklist DORA, alertas de cambios normativos y preparación de auditorías — desde €299/mes.

Ver IgeraRegtech →