¿Qué normativas EU cubre IgeraRegTech?

IgeraRegTech cubre las 5 principales normativas EU de 2024-2026: AI Act (Reglamento EU 2024/1689), DORA (Reglamento EU 2022/2554), CSRD (Directiva EU 2022/2464), NIS2 (Directiva EU 2022/2555) y CBAM (Reglamento EU 2023/956). Cada módulo RAG está entrenado con los textos normativos oficiales, actos delegados y guías técnicas de las autoridades supervisoras.

¿Cómo ayuda IgeraRegTech a evitar multas por incumplimiento?

IgeraRegTech permite a los equipos de compliance acceder a la normativa exacta con cita de artículo, evaluar el estado de cumplimiento actual mediante gap analysis automatizados, generar documentación y plantillas conformes a cada reglamento, y recibir alertas cuando se publican actualizaciones normativas. Esto reduce el riesgo de incumplimiento y las multas asociadas, que pueden alcanzar €35M en el caso del AI Act o el 2% de la facturación global en NIS2.

¿IgeraRegTech reemplaza al abogado o consultor de compliance?

No. IgeraRegTech es una herramienta de asistencia que multiplica la productividad de los equipos legales y de compliance. El sistema RAG cita el artículo exacto y genera borradores, pero la responsabilidad legal y la toma de decisiones finales siempre recae en el profesional cualificado. IgeraRegTech elimina las horas de búsqueda documental para que los expertos se centren en el análisis y la estrategia.

¿Desde cuándo es aplicable DORA?

El Reglamento EU 2022/2554 (DORA) es de aplicación directa en todos los Estados miembros desde el 17 de enero de 2025. No requirió transposición nacional. Las entidades financieras debían estar en cumplimiento desde esa fecha.

¿Qué entidades están obligadas por DORA?

DORA aplica a entidades de crédito (bancos), empresas de inversión, entidades de pago, entidades de dinero electrónico, gestoras de fondos (UCITS, FIA), empresas de seguros y reaseguros, fondos de pensiones, agencias de calificación crediticia, proveedores de criptoactivos (VASP/CASP) y proveedores de servicios ICT críticos designados.

¿Qué plazos de notificación exige DORA para incidentes graves?

El art. 19-23 de DORA exige tres notificaciones: (1) Alerta temprana en 4 horas desde la clasificación del incidente como grave. (2) Notificación intermedia en 72 horas con análisis preliminar. (3) Informe final en 1 mes con causa raíz, impacto y medidas correctoras. El supervisor sectorial puede pedir informes adicionales.

DORADORA — Gestoras de Fondos · MiFID II + AIFMD + DORA

DORA para Gestoras de Fondos —
MiFID II + AIFMD
cumplimiento integrado

RAG especializado en DORA para gestoras de fondos de inversión. Clasifica tu entidad (art. 2 DORA), evalúa las medidas ICT y gestiona la cadena de suministro TIC. Coordinación con ESMA y CNMV.

DORA art. 2 gestoras MiFID II4h alerta incidente tradingAplicable desde ene. 2025AIFMD + DORA integrado

Solicitar demo gratuita Ver cómo funciona

Gestoras UCITS · AIFMD · MiFID II · Supervisión CNMV + ESMA

€10M

Multa máx. entidades financieras grandes

Plazo alerta incidente ICT grave

2025

Aplicación plena DORA gestoras

72h

Notificación completa incidente

Los retos de DORA para gestoras de fondos

Las gestoras de fondos de inversión enfrentan una triple capa regulatoria: DORA añade obligaciones específicas de resiliencia digital ICT sobre los marcos existentes de MiFID II y AIFMD, con supervisión directa de la CNMV y ESMA.

DORA + MiFID II + AIFMD: triple capa regulatoria

Las gestoras de fondos gestionan simultáneamente el cumplimiento de DORA más los requisitos operativos de MiFID II más las obligaciones organizativas de AIFMD (o UCITS IV). DORA añade una capa específica de riesgo ICT sobre los marcos de riesgo operativo existentes, creando obligaciones solapadas que requieren integración cuidadosa.

Sistemas de gestión de carteras (OMS/PMS) como ICT crítico

Los sistemas de gestión de órdenes (OMS), los sistemas de gestión de carteras (PMS) y las plataformas de trading son sistemas ICT críticos bajo DORA art. 6. Cualquier interrupción en horario de mercado afecta directamente las obligaciones fiduciarias frente a los partícipes del fondo y puede constituir un incidente DORA grave.

Notificación en 4h: incidente en sistemas de trading

Un fallo en los sistemas de trading durante horas de mercado puede ser un incidente DORA grave. La gestora debe notificar a la CNMV en 4 horas desde la clasificación, mientras simultáneamente gestiona el riesgo de mercado abierto, coordina con el custodio y comunica a los inversores institucionales afectados.

Proveedores cloud y plataformas de datos financieros — art. 28

Bloomberg Terminal, Refinitiv, FactSet, custodios cloud y proveedores de datos de mercado son proveedores TIC de terceros bajo DORA art. 28. Los contratos actuales raramente incluyen las cláusulas obligatorias de notificación de incidentes, derecho de auditoría y planes de salida que DORA exige.

Continuidad: recuperación tras fallo de sistemas de carteras

Los objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) de los sistemas de gestión de carteras deben alinearse con los requisitos DORA y con las obligaciones fiduciarias frente a los partícipes del fondo. Un RTO de horas puede ser inaceptable si hay posiciones de mercado abiertas.

Responsabilidad del consejo de administración de la gestora

Art. 5 DORA: el consejo de administración de la gestora es personalmente responsable del marco de gestión del riesgo ICT. No pueden delegar enteramente en el CTO o el departamento IT la responsabilidad de resiliencia digital. Deben recibir formación periódica y aprobar formalmente el marco ICT.

DORA para gestoras de fondos: aplicación desde enero 2025

El Reglamento DORA (UE 2022/2554) es de aplicación directa desde el 17 de enero de 2025. Se aplica a las "empresas de inversión" definidas en el art. 2, que incluye a las gestoras de carteras con autorización MiFID II (art. 4.1.29), gestoras de fondos de inversión alternativa (AIFMD) con servicios MiFID, y gestoras de IIC (UCITS) cuando también prestan servicios de gestión discrecional. La CNMV es la autoridad competente (ANC) para supervisar el cumplimiento DORA de las gestoras españolas, coordinándose con ESMA para las orientaciones técnicas de implementación.

Gestoras sujetas a DORA en España: scope exacto

Están sujetas a DORA en España las gestoras con: autorización de empresa de servicios de inversión (ESI) con licencia de gestión discrecional de carteras (servicio C4 MiFID II), autorización como gestora de IIC (SGIIC) bajo la Ley 35/2003 cuando prestan servicios de gestión discrecional, autorización como SGEIC (gestora de fondos de inversión alternativa) cuando prestan servicios MiFID. Quedan excluidas las gestoras que únicamente gestionan fondos propios (no terceros) y las que tienen menos de 10 empleados y menos de €2M de facturación. La CNMV publicará circulares que precisarán el scope para gestoras españolas de menor tamaño.

Marco de gestión del riesgo ICT para gestoras — arts. 5-14 DORA

El marco de gestión del riesgo ICT exigido por DORA (arts. 5-14) para gestoras de fondos debe cubrir: (1) identificación y clasificación de sistemas ICT críticos (OMS, PMS, sistemas de valoración NAV, plataformas de reporting CNMV), (2) protección con controles de acceso privilegiado (PAM) a sistemas de trading, (3) detección de anomalías en feeds de datos de mercado y transacciones, (4) planes de continuidad de negocio (BCP) con RTO/RPO para sistemas de cartera, (5) análisis post-incidente y mejora continua. Los RTS del art. 15 DORA desarrollados conjuntamente por ESMA, EBA y EIOPA especifican los estándares técnicos mínimos aplicables a gestoras.

Clasificación y notificación de incidentes ICT — gestoras

Los incidentes ICT en gestoras de fondos son graves (art. 18 DORA) si superan umbrales de: duración de la interrupción del OMS/PMS (habitualmente más de 4 horas en horario de mercado), impacto en el AUM gestionado incapaz de valorarse o gestionarse, pérdidas económicas directas (€100.000 como referencia orientativa), o efecto transfronterizo en fondos domiciliados en múltiples jurisdicciones. El proceso de notificación: alerta temprana a la CNMV en 4 horas, notificación completa en 72 horas con análisis técnico e impacto en partícipes, e informe final en el plazo de un mes.

Proveedores TIC para gestoras: Bloomberg, Refinitiv, custodios — art. 28

Las gestoras de fondos dependen de proveedores TIC especializados que deben gestionarse bajo el art. 28 DORA: proveedores de datos financieros (Bloomberg Terminal, Refinitiv Eikon, FactSet) como fuente de datos de mercado y valoración, custodios cloud (State Street, BNY Mellon, Caceis) que almacenan activos y datos, plataformas de ejecución (Euronext, Bloomberg AIM, Charles River IMS) para trading, y proveedores de reporting regulatorio (Broadridge, SimCorp) para reporting CNMV. Los contratos deben incluir cláusulas DORA: notificación de incidentes <4h, derecho de auditoría, SLAs alineados con RTO/RPO de la gestora y planes de salida.

DORA y AIFMD: cómo se complementan para gestoras de alternativos

AIFMD (art. 18) exige a las gestoras de fondos alternativos mantener procedimientos administrativos sólidos y sistemas de control del riesgo. DORA especifica con detalle la dimensión ICT de estos requisitos: el marco de gestión del riesgo ICT DORA (arts. 5-14) complementa el sistema de gestión del riesgo AIFMD art. 44 sin sustituirlo; la clasificación y notificación de incidentes ICT DORA (arts. 17-23) es más específica y con plazos más estrictos que los requisitos AIFMD; las pruebas de resiliencia DORA (arts. 24-27) van más allá de los tests operativos existentes en el marco AIFMD. El objetivo es integrar DORA sobre la documentación AIFMD existente, no duplicar esfuerzos.

IgeraRegTech automatiza consultas DORA para gestoras de fondos

IgeraRegTech dispone de un RAG entrenado con el Reglamento DORA (UE 2022/2554), los RTS de ESMA/EBA, la Directiva AIFMD, MiFID II, la normativa CNMV sobre gestoras y las guías técnicas de ESMA aplicables al sector de la gestión de activos. El sistema permite a los equipos de compliance y risk management de gestoras responder preguntas sobre clasificación DORA, marco ICT adaptado a sistemas OMS/PMS, notificación de incidentes ante la CNMV, gestión de proveedores Bloomberg/Refinitiv bajo art. 28, y la relación entre DORA y sus obligaciones AIFMD/MiFID II existentes, citando el artículo exacto o la guía de referencia.

IgeraRegTech DORA Gestoras en acción

Entrenado con DORA, RTS de ESMA/EBA, AIFMD, MiFID II y regulación CNMV. Respuestas con cita exacta del artículo.

Clasificador DORA para gestoras

Determina si tu gestora (UCITS, AIFMD, gestora de cartera MiFID) está sujeta a DORA art. 2 y en qué categoría, con análisis de la licencia CNMV, AUM gestionado y umbrales de exclusión para pequeñas gestoras.

Clasificación en < 15 min

Gap analysis ICT para sistemas de inversión

Evaluación de las medidas DORA arts. 5-14 adaptada a infraestructuras de gestión de carteras: OMS/PMS, plataformas de trading, conectividad con bolsas, sistemas de riesgo y reporting regulatorio a la CNMV.

Gap analysis completo en 1 día

Protocolo notificación incidentes en trading

Plantillas de alerta temprana (4h) y notificación completa (72h) para incidentes ICT en gestoras, con campos específicos para impacto en posiciones de mercado, AUM afectado, tiempo de inactividad del OMS/PMS y comunicación con inversores.

100% campos obligatorios DORA

Cláusulas DORA para contratos Bloomberg/Refinitiv

Plantillas de cláusulas contractuales DORA para proveedores de datos financieros (Bloomberg, Refinitiv, FactSet), custodios cloud, plataformas de ejecución y proveedores de reporting regulatorio, incluyendo SLAs DORA-compliant y derecho de auditoría.

Cadena suministro cubierta art. 28

Mapeo DORA + AIFMD + MiFID II

Relación entre los requisitos ICT de DORA (arts. 5-27) y las obligaciones operativas de AIFMD (art. 18), MiFID II (art. 16) y UCITS IV. Cumplimiento integrado sin duplicar esfuerzos regulatorios.

Triple marco integrado

Monitor CNMV + ESMA gestoras

Información actualizada sobre circulares CNMV, guías ESMA y resoluciones sobre DORA aplicables a gestoras de fondos de inversión en España. Q&As y orientaciones supervisoras actualizadas.

Actualización continua regulatoria

Preguntas reales de gestoras, artículos exactos de DORA

Así responde IgeraRegTech DORA Gestoras con el Reglamento, AIFMD y los RTS de ESMA como fuente de verdad

"Nuestro OMS (sistema de gestión de órdenes) cayó 3 horas durante la sesión de mercado. ¿Debemos notificar a la CNMV bajo DORA?"

→

Según el art. 18 DORA y los RTS de clasificación de incidentes graves, una interrupción de 3 horas en el OMS durante horario de mercado es potencialmente un incidente grave. Los criterios de clasificación incluyen: duración de la interrupción (3h supera el umbral típico de 4h para sistemas de trading), impacto en el valor del AUM afectado (si supera €100.000 de impacto potencial), y si hay posiciones de mercado que no pudieron ejecutarse o gestionarse. Si el incidente supera los umbrales, debéis iniciar el proceso de notificación: alerta temprana a la CNMV en 4 horas desde la clasificación como grave, notificación completa en 72 horas con análisis técnico, e informe final en un mes. Documentad la secuencia temporal del incidente desde el primer momento.

"Bloomberg Terminal ha tenido una interrupción de 2 horas. Como gestora dependemos de sus datos para valorar posiciones. ¿Qué implica bajo DORA art. 28?"

→

Bloomberg Terminal es un proveedor TIC de terceros bajo el art. 28 DORA. La interrupción de 2 horas afecta directamente la capacidad de valoración de posiciones, lo que puede ser un incidente ICT bajo el art. 18 si supera los umbrales de materialidad. Desde la perspectiva del art. 28, debéis: (1) verificar si vuestro contrato actual con Bloomberg incluye cláusulas de notificación de incidentes en menos de 4 horas (probablemente no las incluye); (2) incluir en la próxima renovación las cláusulas obligatorias DORA: notificación <4h, derecho de auditoría y plan de continuidad del servicio; (3) documentar la dependencia de Bloomberg como proveedor TIC crítico en vuestro registro de proveedores DORA; (4) evaluar si existe alternativa de datos que permita valorar posiciones en caso de fallo prolongado de Bloomberg.

"Somos una gestora AIFMD con €500M en AUM. ¿Cómo se complementan los requisitos operativos de AIFMD con los de DORA?"

→

AIFMD (art. 18) exige a las gestoras mantener procedimientos administrativos y contables sólidos, sistemas de control del riesgo y mecanismos de control interno. DORA especifica con detalle los requisitos de resiliencia digital ICT que complementan este marco: el art. 6 DORA añade un marco explícito de gestión del riesgo ICT con cinco componentes (identificación, protección, detección, respuesta, aprendizaje) sobre los procesos AIFMD existentes; los arts. 17-23 DORA especifican la clasificación y notificación de incidentes ICT con plazos más estrictos (4h alerta) que los requisitos AIFMD genéricos; los arts. 24-27 DORA añaden pruebas de resiliencia digital (TLPT para gestoras significativas). Con €500M de AUM, vuestra gestora es probablemente de tamaño mediano y puede quedar dentro del umbral de TLPT que definirá ESMA. Recomendamos realizar un gap analysis DORA sobre vuestra documentación AIFMD existente para identificar las brechas específicas.

Preguntas frecuentes — DORA Gestoras de Fondos

Respuestas directas sobre DORA para gestoras de fondos UCITS, AIFMD y MiFID II en España

¿Las gestoras de fondos de inversión están sujetas a DORA?+

Sí. Las empresas de inversión (incluidas gestoras UCITS y AIFMD) con autorización de la CNMV están incluidas en el ámbito de aplicación del art. 2 DORA. Desde el 17 de enero de 2025 DORA es de aplicación plena. Las microgestoras con menos de 10 empleados y menos de €2M de facturación pueden estar excluidas.

¿Qué es un incidente ICT grave en una gestora de fondos bajo DORA?+

Un incidente es grave bajo DORA si: el sistema de gestión de carteras (OMS/PMS) queda inoperativo más de 4 horas en horario de mercado, afecta a más del 10% del AUM gestionado, genera pérdidas económicas superiores a €100.000 o tiene impacto transfronterizo. Requiere alerta temprana a la CNMV en 4 horas desde la clasificación.

¿Bloomberg Terminal es un proveedor TIC de terceros bajo DORA art. 28?+

Sí. Bloomberg Terminal, Refinitiv, FactSet y proveedores similares de datos financieros son proveedores TIC de terceros bajo el art. 28 DORA. Los contratos deben incluir cláusulas de notificación de incidentes, derecho de auditoría y planes de continuidad del servicio. Si Bloomberg es designado CTPP por las ESA, quedará sujeto a supervisión directa de los reguladores europeos.

¿Cómo se coordinan DORA y AIFMD para gestoras de fondos alternativos?+

DORA añade una capa de resiliencia digital ICT sobre los requisitos operativos existentes en AIFMD (art. 18 sobre requisitos organizativos). Mientras AIFMD regula la gestión del riesgo operativo en sentido amplio, DORA especifica con detalle los requisitos ICT: marco de gestión del riesgo ICT (arts. 5-14), clasificación y notificación de incidentes (arts. 17-23) y pruebas de resiliencia (arts. 24-27). Las gestoras AIFMD deben integrar los controles DORA sin duplicar esfuerzos.

¿El consejo de administración de una gestora es responsable del cumplimiento DORA?+

Sí, art. 5 DORA. El órgano de gestión (consejo de administración) de la gestora de fondos es personalmente responsable de aprobar y supervisar el marco de gestión del riesgo ICT. Deben recibir formación periódica en riesgos ICT y rendición de cuentas digital. La CNMV puede sancionar personalmente a los miembros del consejo por incumplimiento de DORA.

¿Hablamos sobre DORA para tu gestora de fondos?

Cuéntanos tu tipo de autorización (UCITS, AIFMD, MiFID II) y AUM gestionado y te mostramos tu clasificación DORA y las medidas ICT prioritarias.

DORA para Gestoras de Fondos —MiFID II + AIFMDcumplimiento integrado