IgeraRegTechDORA — Reglamento EU 2022/2554 · En vigor desde enero 2025

Resiliencia operacional
digital financiera —
sin improvisación

RAG especializado en DORA. Marco de gestión de riesgos ICT, protocolo de notificación 4h/72h y contratos con terceros para bancos, aseguradoras y fintechs. Ya en vigor desde enero 2025.

En vigor: 17 enero 2025Notificación: 4h alerta tempranaTLPT: cada 3 años
Solicitar demo gratuitaVer cómo funciona

Aplicación directa desde 17 enero 2025 · Sin periodo transitorio

4h
Plazo alerta temprana incidente grave
72h
Notificación intermedia obligatoria
22+
Tipos de entidades financieras
5
Pilares del marco DORA

Los retos de DORA para entidades financieras

DORA ya está en vigor. Las entidades que no han completado su marco de gestión de riesgos ICT están en incumplimiento.

Marco ICT a construir desde cero

DORA exige un marco completo de gestión de riesgos ICT (art. 5-16). Muchas entidades financieras no saben por dónde empezar ni qué políticas son obligatorias.

Notificaciones en plazos imposibles

4 horas para la alerta temprana, 72h para notificación intermedia. Sin un protocolo preparado, estos plazos son inalcanzables en una crisis real.

Registro de terceros ICT inabarcable

DORA exige un registro completo de todos los proveedores ICT con cláusulas contractuales obligatorias. Muchas entidades tienen decenas de proveedores sin documentar.

TLPT (Threat-Led Penetration Testing)

Las entidades significativas deben realizar pruebas TIBER-EU cada 3 años. La coordinación con las autoridades supervisoras es compleja y poco documentada.

Proveedores ICT críticos designados

Si tu proveedor cloud es designado CTPP por las ESAs, las obligaciones cambian. Muchas entidades no monitorizan este estado ni tienen planes de contingencia.

Supervisión multijurisdiccional

Para grupos bancarios con presencia en varios Estados miembros, la coordinación de la notificación de incidentes entre supervisores es un laberinto regulatorio.

IgeraRegTech DORA en acción

Entrenado con el Reglamento EU 2022/2554, RTS/ITS de las ESAs y guías del BCE sobre ciber-resiliencia.

Marco ICT completo

Genera políticas y procedimientos del marco de gestión de riesgos ICT (art. 5-16) adaptados a tu tipología de entidad.

Políticas conformes en 2 días

Protocolo de notificación 4h/72h

Plantillas de alerta temprana e informe intermedio para incidentes graves. Campos obligatorios según las RTS de las ESAs.

100% campos obligatorios

Registro proveedores ICT

Plantilla del registro de terceros ICT con todas las cláusulas contractuales obligatorias por tipo de servicio.

Registro conforme DORA

Análisis entidades obligadas

Determina si tu entidad está en el ámbito DORA y qué nivel de obligaciones aplica según tu tamaño y actividad.

Clasificación en < 10 min

Gap analysis DORA

Evaluación estructurada de los 5 pilares DORA: gestión riesgos ICT, incidentes, pruebas, terceros y compartición de info.

Gap análisis en 1 día

Simulacros de crisis ICT

Preguntas y escenarios para preparar al equipo ante incidentes reales. Cobertura de BCP, DRP y comunicación con supervisores.

Preparación crisis 24/7

Preguntas reales, artículos exactos

Así responde IgeraRegTech DORA con el Reglamento como fuente de verdad

"Hemos detectado un incidente que podría ser grave según DORA. ¿Qué hacemos en las próximas 4 horas?"

Art. 19.4 DORA: En las primeras 4 horas desde la clasificación como incidente grave, la alerta temprana debe incluir: (1) si el incidente es causado por un ataque de origen desconocido o malicioso, (2) si tiene impacto transfronterizo. La alerta debe enviarse a la autoridad competente (BdE para bancos españoles) a través del sistema de notificación designado. No se requiere análisis de causa raíz en esta fase.

"¿Qué cláusulas contractuales son obligatorias en los contratos con proveedores cloud según DORA?"

Art. 30 DORA establece cláusulas mínimas obligatorias: (1) descripción completa de los servicios ICT, (2) ubicaciones donde se procesan los datos, (3) indicadores de accesibilidad, disponibilidad, integridad y seguridad, (4) derechos de acceso, inspección y auditoría, (5) planes de continuidad del negocio del proveedor, (6) condiciones de resolución del contrato incluyendo períodos de transición mínimos. Las RTS de las ESAs (JC 2023/84) desarrollan estos requisitos.

"¿Qué entidades financieras están obligadas por DORA y cuáles tienen excepciones?"

Art. 2 DORA define las entidades obligadas. El art. 16 establece un régimen simplificado para microempresas (< 10 empleados y < €2M volumen negocio). Las entidades de crédito, empresas de inversión, entidades de pago, gestoras de fondos UCITS y FIA, y empresas de seguros por encima del umbral deben aplicar el marco completo. Las mutualidades de seguros con ciertos límites tienen exenciones nacionales.

¿Hablamos sobre DORA?

Cuéntanos tu tipología de entidad y te mostramos el estado de tu cumplimiento DORA.

Sin compromiso · 14 días gratis · Sin tarjeta de crédito