RegTech · DORA · Entitats Financeres · 2026
DORA per a Entitats Financeres: Guia de Compliment 2026
El Reglament (UE) 2022/2554 (DORA) és obligatori des de gener 2025. Qui ha de complir, els 5 pilars, terminis de notificació d'incidents, gestió de tercers TIC i automatització amb IgeraRegtech.
Gen 2025
Data d'aplicació obligatòria de DORA
4 hores
Termini màxim de notificació inicial d'incident important
10%
Sanció màxima — % de facturació neta anual del grup
Font: Reglament (UE) 2022/2554 (DORA) · Reglaments Delegats ESA · Supervisors: Banc d'Espanya · CNMV · DGSFP
Resposta directa
DORA és obligatori per a totes les entitats financeres de la UE des del 17 de gener de 2025. 5 pilars: gestió risc TIC, incidents (4h/72h/1mes), proves de resiliència (TLPT cada 3 anys per a entitats significatives), tercers proveïdors TIC (clàusules art. 30), i intercanvi d'informació. Multes: fins al 10% de facturació del grup.
Preguntes freqüents
Qui ha de complir DORA a Espanya?
El Reglament (UE) 2022/2554 (DORA) és d'aplicació directa a totes les entitats financeres regulades per la normativa de la UE: entitats de crèdit (bancs, caixes), empreses d'inversió i gestores de fons d'inversió (incloses gestores de patrimoni), entitats de pagament i de diner electrònic (fintech), empreses d'assegurances i reassegurances, proveïdors de serveis de criptoactius (CASP sota MiCA), plataformes de finançament alternatiu (crowdlending, crowdfunding), i agències de qualificació creditícia. Les microempreses (menys de 10 empleats i menys de €2M de facturació) reben un règim simplificat en alguns articles.
Quins són els 5 pilars de DORA?
DORA s'estructura en 5 pilars de resiliència operativa digital: (1) Gestió del risc TIC (Capítol II): marc de gestió del risc TIC documentat, polítiques de seguretat, gestió d'actius TIC, continuïtat del negoci, plans de resposta i recuperació. (2) Gestió, classificació i notificació d'incidents TIC (Capítol III): registre de tots els incidents, classificació d'incidents importants, notificació a les autoritats en 3 fases (4h inicial, 72h intermèdia, 1 mes final). (3) Proves de resiliència operativa digital (Capítol IV): proves anuals bàsiques per a totes les entitats; Threat-Led Penetration Testing (TLPT) cada 3 anys per a entitats significatives. (4) Gestió del risc de tercers proveïdors TIC (Capítol V): registre de proveïdors, clàusules contractuals obligatòries (art. 30), supervisió de proveïdors crítics designats per les ESA. (5) Acords d'intercanvi d'informació sobre ciberamenaces (Capítol VI): participació voluntària.
Quins són els terminis de notificació d'incidents TIC sota DORA?
El Capítol III de DORA i les RTS de notificació (Reglament Delegat (UE) 2024/1772) estableixen tres notificacions obligatòries per a incidents TIC importants: Notificació inicial: en un màxim de 4 hores des de la classificació de l'incident com a important. Contingut: tipus d'incident, sistemes afectats, nombre de clients potencialment afectats, impacte econòmic estimat. Notificació intermèdia: en un màxim de 72 hores des de la classificació inicial. Contingut: causa arrel (si es coneix), mesures adoptades, state of play. Notificació final: en un termini màxim d'1 mes des de la resolució de l'incident. Contingut: anàlisi post-incident completa, impacte real, lliçons apreses, mesures correctores implantades. Les notificacions es fan a l'autoritat competent principal (Banc d'Espanya per a entitats de crèdit, CNMV per a empreses d'inversió, DGSFP per a asseguradores) via la plataforma específica habilitada per cada supervisor.
Quines clàusules contractuals obligatòries exigeix DORA als contractes amb proveïdors TIC?
L'article 30 de DORA estableix que tots els contractes amb proveïdors TIC que donen suport a funcions crítiques o importants han d'incloure obligatòriament: descripció completa i actualitzable dels serveis prestats, localització geogràfica dels serveis i de les dades, disposicions sobre disponibilitat, autenticitat, integritat i confidencialitat de les dades, dret d'auditoria de l'entitat financera i de les autoritats supervisores sobre el proveïdor, requisits de continuïtat del servei i plans d'exit (pla de sortida), obligació del proveïdor de notificar incidents o vulnerabilitats que puguin afectar l'entitat, disposicions sobre subcontractació (el proveïdor ha de notificar qualsevol subcontractació de funcions crítiques), i penalitzacions per incompliment dels SLA acordats. Els contractes existents signats abans de gener 2025 han de revisar-se i adaptar-se a aquests requisits.
Quines sancions preveu DORA?
DORA no estableix un règim de sancions directes a nivell del Reglament — delega als estats membres i als supervisors europeus (ESA) la facultat sancionadora. A Espanya, les sancions per incompliment de DORA es tramiten pels supervisors competents (Banc d'Espanya, CNMV, DGSFP) en virtut de les seves lleis habilitadores: Sancions molt greus: fins al 10% de la facturació neta total anual del grup. Per a persones físiques (directius): fins a €5M. Sancions greus: fins al 2% de la facturació neta. Mesures correctives: els supervisors poden exigir la correcció de deficiències en el marc de gestió del risc TIC, la revisió de contractes amb tercers, o la realització de proves de resiliència específiques. A més, les ESA (EBA, ESMA, EIOPA) supervisen directament els proveïdors TIC crítics (cloud, etc.) designats i poden imposar-los mesures correctives i multes de fins a l'1% de la facturació diària global durant un màxim de 6 mesos.
Com funcionen les proves de resiliència operativa digital (TLPT)?
Les proves de resiliència es divideixen en dos nivells: Proves bàsiques (totes les entitats): tests de vulnerabilitat, escaneig de xarxes, anàlisi de gaps de seguretat, proves de rendiment de sistemes crítics, proves d'escenaris de continuïtat del negoci. Han de realitzar-se almenys anualment. Threat-Led Penetration Testing (TLPT): proves avançades que simulen ciberatacs reals basats en intel·ligència sobre amenaces actuals (red teaming). Obligatòries per a entitats significatives designades pels supervisors, cada 3 anys. Les TLPT es realitzen per equips externs especialitzats acreditats i amb coordinació amb el supervisor. El marc TIBER-EU (implementat pel BCE i Banc d'Espanya) és el model de referència per a les TLPT a Europa. Els resultats de les proves han de documentar-se i les deficiències identificades han de corregir-se en plans d'acció amb terminis.
Qui supervisa els proveïdors TIC crítics sota DORA?
DORA estableix un marc de supervisió directa per a proveïdors TIC crítics que donen servei a moltes entitats financeres de la UE simultàniament (principalment grans proveïdors cloud: AWS, Azure, Google Cloud, IBM, Oracle). Les Autoritats Europees de Supervisió (ESA) — EBA (banca), ESMA (valors), EIOPA (assegurances) — designen conjuntament els proveïdors TIC crítics i nomena supervisors principals (Lead Overseers) per a cadascun. El supervisor principal pot: sol·licitar informació i documentació al proveïdor, realitzar inspeccions in situ, imposar recomanacions de millora vinculants, i en casos greus, multar amb fins a l'1% de la facturació diària global durant 6 mesos. Les entitats financeres que contracten proveïdors TIC crítics han de tenir en compte les recomanacions del supervisor principal i reflectir-les en les seves relacions contractuals.
Com pot IgeraRegtech ajudar amb el compliment de DORA?
IgeraRegtech ofereix eines específiques per al compliment de DORA: (1) Registre de tercers proveïdors TIC: inventari automatitzat de tots els proveïdors TIC, classificació de criticitat, estat dels contractes i gaps vs art. 30. (2) Plantilles de notificació d'incidents: formularis preconfigurarts per a les 3 fases de notificació (4h/72h/1mes) adaptats a cada supervisor (Banc d'Espanya, CNMV, DGSFP). (3) Anàlisi de gaps DORA: avaluació del grau de compliment actual vs els requisits dels 5 pilars. (4) Gestió de contractes: alertes per a renovació/revisió de contractes TIC que necessiten clàusules DORA (art. 30). (5) Actualització normativa: quan les ESA publiquen noves RTS/ITS de desenvolupament de DORA, el sistema alerta i indica quins processos afecta. Preu: Starter €299/mes, Professional €599/mes. Prova gratuïta 14 dies.
Automatitza el compliment DORA amb IgeraRegtech
Registre de tercers TIC, plantilles de notificació d'incidents i anàlisi de gaps DORA. Prova gratuïta 14 dies.
Veure IgeraRegtech →