Compliance financiero 2025-2026: DORA, NIS2, MiCA y AML

Q: ¿Qué entidades están sujetas a DORA y desde cuándo es aplicable?

El Reglamento DORA (Reglamento UE 2022/2554 sobre la resiliencia operativa digital del sector financiero) es aplicable desde el 17 de enero de 2025. Su ámbito subjetivo es extraordinariamente amplio: entidades de crédito, empresas de servicios de inversión, gestoras de fondos (UCITS y FIA), empresas de seguros y reaseguros, plataformas de negociación, entidades de contrapartida central, registros de operaciones, proveedores de servicios de criptoactivos bajo MiCA, entidades de dinero electrónico y proveedores de servicios de pago. Los proveedores terceros de servicios TIC considerados críticos —principalmente proveedores de nube e infraestructura— están también sujetos a supervisión directa de las ESAs. Las entidades de pequeño tamaño tienen requisitos proporcionados, pero ninguna está completamente exenta.

Q: ¿Cuáles son los cinco pilares del cumplimiento DORA?

DORA se estructura en cinco pilares: (1) Gestión del riesgo TIC — marco de gobernanza con responsabilidad a nivel de consejo, identificación y clasificación de activos TIC críticos, planes de continuidad y recuperación ante desastres; (2) Gestión de incidentes TIC — clasificación obligatoria, notificación de incidentes graves a las autoridades competentes (CNMV, Banco de España) en plazos estrictos (notificación inicial en 4 horas, informe intermedio en 72 horas, informe final en un mes); (3) Pruebas de resiliencia operativa digital — pruebas de penetración avanzadas (TLPT) al menos cada tres años para entidades significativas; (4) Gestión del riesgo de terceros TIC — registro detallado, diligencia debida y cláusulas contractuales obligatorias para proveedores TIC; y (5) Intercambio de información sobre ciberamenazas entre entidades financieras.

Q: ¿Cómo afecta NIS2 a las entidades financieras y cómo interactúa con DORA?

La Directiva NIS2 (transpuesta en España por la Ley 11/2022 de seguridad de las redes y sistemas de información y su posterior desarrollo reglamentario) establece requisitos de seguridad de redes y sistemas de información para entidades esenciales e importantes. Las entidades financieras son en su mayoría entidades esenciales bajo NIS2. Sin embargo, para las entidades sujetas a DORA, este reglamento actúa como lex specialis: los requisitos de DORA sustituyen a los de NIS2 en lo que respecta a la seguridad de redes y sistemas de información en el sector financiero. Las entidades financieras NO necesitan cumplir con NIS2 de forma duplicada si ya cumplen con DORA, pero sí deben verificar que la supervisión de DORA sea efectiva en su caso concreto, pues puede haber lagunas según el tipo de entidad y la autoridad competente nacional.

Q: ¿Qué cambios introduce la Sexta Directiva AML respecto del régimen actual?

La Sexta Directiva AML (Directiva UE 2024/1640) y el nuevo Reglamento AML (Reglamento UE 2024/1624), adoptados en mayo de 2024 y con transposición antes del 10 de julio de 2027, refuerzan significativamente el marco de prevención del blanqueo. Las principales novedades son: creación de la Autoridad Europea de Lucha contra el Blanqueo de Capitales y Financiación del Terrorismo (AMLA), con sede en Frankfurt y supervisión directa de entidades financieras de alto riesgo; extensión del ámbito de sujetos obligados a proveedores de servicios de criptoactivos bajo MiCA, agentes inmobiliarios y asesores de inversión; diligencia debida reforzada para clientes de alto riesgo; ampliación de los beneficiarios finales computados al 15% de participación (antes 25%); y requisitos armonizados sobre sanciones —mínimo de 10 millones de euros o el 10% del volumen de negocio para infracciones graves.

Q: ¿Qué obligaciones impone MiCA a los proveedores de servicios de criptoactivos en España?

El Reglamento MiCA (Markets in Crypto-Assets, Reglamento UE 2023/1114) es aplicable en España en su totalidad desde el 30 de diciembre de 2024. Los proveedores de servicios de criptoactivos (CASP) deben obtener autorización de la CNMV para operar en España, salvo que cuenten con pasaporte europeo de otro Estado miembro. Las obligaciones principales incluyen: requisitos de capital mínimo (entre 50.000 y 150.000 euros según el tipo de servicio), salvaguardia de los activos de los clientes, publicación de libro blanco del criptoactivo, gestión de conflictos de interés, información precontractual detallada, sistemas de gestión de quejas, y obligaciones reforzadas de prevención del blanqueo como sujetos obligados bajo el Reglamento AML. Los emisores de tokens referenciados a activos (ART) y tokens de dinero electrónico (EMT) tienen requisitos adicionales de reserva y supervisión prudencial.

Q: ¿A qué entidades financieras aplica el reporting ESG obligatorio en 2025-2026?

La Directiva CSRD (Corporate Sustainability Reporting Directive, Directiva UE 2022/2464) ha ampliado progresivamente el universo de entidades sujetas a información de sostenibilidad bajo los estándares ESRS. En el ejercicio 2024 (reporting en 2025), son sujetas las entidades de interés público con más de 500 empleados que ya estaban sujetas a la NFRD. En el ejercicio 2025 (reporting en 2026), se incorporan todas las grandes empresas —incluyendo entidades financieras— con más de 250 empleados, balance superior a 25 millones de euros o cifra de negocios superior a 50 millones. Las entidades de crédito y aseguradoras tienen además obligaciones sectoriales específicas bajo los estándares ESRS sectoriales para el sector financiero. El Reglamento SFDR añade requisitos de divulgación de sostenibilidad para gestoras de activos en sus productos financieros.

Q: ¿Cuáles son las principales novedades de PSD3 para las entidades de pago?

La propuesta de PSD3 (actualmente en proceso legislativo europeo, con aprobación esperada en 2025 y transposición en 2027) introduce varias novedades relevantes: refuerzo de la autenticación reforzada de clientes (SCA) con mayor proporcionalidad por tipo de transacción; nueva categoría de entidades de pago híbridas (acceso directo a sistemas de pago para entidades no bancarias); requisitos reforzados de open banking y acceso a datos de pago; mayor regulación del fraude en pagos con responsabilidad compartida entre proveedor de pago y cliente; y convergencia con el nuevo Reglamento de Servicios de Pago (PSR), que sustituirá la parte directamente aplicable de PSD2. Las entidades de pago autorizadas bajo PSD2 necesitarán revisión de sus marcos de cumplimiento cuando PSD3/PSR entre en vigor.

Q: ¿Cómo debe estructurar una entidad financiera su función de compliance ante esta avalancha regulatoria?

Ante la complejidad y volumen del marco regulatorio 2025-2026, las entidades financieras necesitan una función de compliance estructurada en torno a: (1) un mapa regulatorio actualizado que identifique todas las normas aplicables y sus plazos de implementación; (2) un comité de compliance con representación de las áreas de negocio, riesgo, TIC y legal; (3) programas de formación diferenciados por nivel de exposición regulatoria —consejo, dirección, operaciones—; (4) sistemas de gestión documental que acrediten el cumplimiento ante supervisores; (5) planes de prueba y verificación para DORA; y (6) relaciones fluidas con las autoridades supervisoras (CNMV, Banco de España, DGSFP). La externalización de funciones específicas de compliance a asesores especializados —especialmente para regulaciones nuevas como DORA o MiCA— puede ser la opción más eficiente para entidades medianas.

El sector financiero español afronta en 2025-2026 el período de mayor densidad regulatoria de las últimas dos décadas. La combinación de DORA, NIS2, la nueva arquitectura AML europea, MiCA para criptoactivos, los requisitos ESG bajo CSRD y la inminente PSD3 configura un paisaje de compliance sin precedentes en complejidad y alcance. Esta guía analiza los retos principales y sus implicaciones prácticas para entidades financieras, gestoras, proveedores de servicios de pago y empresas del sector.

DORA: La revolución de la resiliencia operativa digital

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) entró en plena aplicación el 17 de enero de 2025. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse de cualquier perturbación operacional grave relacionada con las tecnologías de la información y comunicación (TIC).

El ámbito de aplicación es extraordinariamente amplio: entidades de crédito, empresas de servicios de inversión, gestoras de fondos, aseguradoras, plataformas de negociación, entidades de contrapartida central, proveedores de servicios de criptoactivos bajo MiCA y proveedores de servicios de pago. Los proveedores TIC terceros considerados críticos están sujetos a supervisión directa de las Autoridades Supervisoras Europeas (ESAs).

Los cinco pilares del marco DORA exigen: un marco de gobernanza del riesgo TIC con responsabilidad explícita del consejo de administración; un sistema de clasificación y notificación de incidentes TIC graves (4 horas para notificación inicial, 72 horas para informe intermedio, un mes para informe final); pruebas periódicas de resiliencia incluyendo pruebas de penetración avanzadas (TLPT) cada tres años; gestión rigurosa del riesgo de proveedores TIC terceros con cláusulas contractuales obligatorias; e intercambio de información sobre ciberamenazas entre entidades.

NIS2 e interacción con DORA

La Directiva NIS2 transpuesta en España establece requisitos de seguridad para entidades esenciales e importantes en sectores críticos. Para las entidades financieras, DORA actúa como lex specialis y sustituye a NIS2 en materia de seguridad de redes y sistemas. Sin embargo, las entidades deben verificar caso a caso que la cobertura de DORA es completa, ya que pueden existir lagunas según el tipo de actividad y la autoridad supervisora competente.

Las sanciones bajo NIS2 para entidades esenciales alcanzan hasta 10 millones de euros o el 2% del volumen de negocio global, mientras DORA prevé sanciones de hasta 1% del volumen de negocio diario promedio durante el año anterior por cada día de incumplimiento.

La nueva arquitectura AML europea: Sexta Directiva y AMLA

La arquitectura de prevención del blanqueo de capitales experimenta su reforma más profunda desde 2015. El paquete legislativo adoptado en mayo de 2024 —Directiva 2024/1640 (Sexta Directiva AML), Reglamento 2024/1624 (Reglamento AML) y Reglamento 2024/1620 (AMLA)— crea una nueva Autoridad Europea Anti-Blanqueo (AMLA) con sede en Frankfurt y poderes de supervisión directa sobre las entidades financieras de mayor riesgo en toda la UE.

Las implicaciones prácticas para las entidades financieras incluyen: actualización de las políticas de diligencia debida con el nuevo umbral de beneficiario real al 15%; extensión del perímetro de sujetos obligados a proveedores MiCA; requisitos armonizados de formación del personal expuesto; nuevos umbrales de sanciones mínimas armonizadas en toda la UE; y preparación para posible supervisión directa de AMLA para entidades de alto perfil de riesgo.

MiCA: El nuevo régimen para criptoactivos

El Reglamento MiCA, en plena aplicación desde diciembre de 2024, impone por primera vez un marco regulatorio armonizado para los mercados de criptoactivos en la UE. Los proveedores de servicios de criptoactivos (CASP) que operen en España deben obtener autorización de la CNMV o acreditar pasaporte europeo desde otro Estado miembro.

Las exigencias de capital mínimo (50.000-150.000 euros según tipo de servicio), las obligaciones de custodia de activos de clientes con segregación, los requisitos de libro blanco de criptoactivos y la sujeción como nuevos sujetos obligados AML constituyen las cargas más significativas para el sector cripto. Las empresas que operaban en el vacío regulatorio previo deben haber adaptado sus modelos de negocio o arriesgan cese de actividad.

ESG Reporting: la sostenibilidad como obligación regulatoria

La CSRD (Corporate Sustainability Reporting Directive) amplía progresivamente el universo de entidades obligadas a publicar información de sostenibilidad bajo los estándares ESRS. Las entidades financieras con más de 250 empleados están sujetas desde el ejercicio 2025.

Para el sector financiero, las obligaciones ESG tienen una doble dimensión: como entidades que deben reportar su propia sostenibilidad conforme a ESRS, y como actores que canalizan capital hacia actividades clasificadas según la Taxonomía Europea. El Reglamento SFDR añade obligaciones de divulgación sobre la integración de riesgos de sostenibilidad en los productos financieros gestionados.

El riesgo de greenwashing —presentación engañosa de las características de sostenibilidad de productos financieros— está siendo objeto de supervisión creciente por ESMA y los supervisores nacionales.

PSD3 y el futuro de los pagos

La propuesta de PSD3 y el nuevo Reglamento de Servicios de Pago (PSR) están en proceso legislativo con transposición prevista para 2027. Sus principales novedades incluyen el refuerzo de la autenticación reforzada de clientes, la regulación del fraude en pagos con responsabilidad compartida, el acceso directo a sistemas de pago para entidades no bancarias y la convergencia hacia un marco de open banking más potente.

Las entidades de pago autorizadas bajo PSD2 deben comenzar ahora el análisis de brechas respecto del nuevo marco para planificar las adaptaciones con suficiente anticipación.

Hoja de ruta para la función de compliance financiero

La respuesta eficiente a esta agenda regulatoria requiere una función de compliance con capacidad de gestionar múltiples marcos normativos simultáneamente. Las prioridades para 2025-2026 son: completar la implementación de DORA; revisar las políticas AML ante el nuevo Reglamento 2024/1624; obtener autorización MiCA si se opera en criptoactivos; preparar el primer informe CSRD si aplica; y monitorizar el avance legislativo de PSD3/PSR para anticipar adaptaciones.

La integración de los distintos marcos de compliance en una función unificada de gestión de riesgos —en lugar de silos separados por regulación— es la clave para la eficiencia y la capacidad de respuesta ante una supervisión creciente.

DORA NIS2 MiCA AML compliance-financiero ESG PSD3

← Volver a Insights

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias

DORA: La revolución de la resiliencia operativa digital

NIS2 e interacción con DORA

La nueva arquitectura AML europea: Sexta Directiva y AMLA

MiCA: El nuevo régimen para criptoactivos

ESG Reporting: la sostenibilidad como obligación regulatoria

PSD3 y el futuro de los pagos

Hoja de ruta para la función de compliance financiero

Servicios Relacionados

Cumplimiento DORA (Resiliencia Operativa Digital)

Prevención de Blanqueo (PBC)

Cumplimiento NIS2

Glosario

Due diligence

Artículos relacionados

CSRD: el reporting de sostenibilidad se extiende a las grandes empresas en 2026

Sector salud: privacidad e IA en 2025

Sector financiero: panorama de compliance 2024

Le interesa saber más?

Configuración de cookies