DORA: Resiliencia Operativa Digital para Entidades Financieras

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es de aplicación obligatoria desde el 17 de enero de 2025 para todas las entidades financieras supervisadas en la Unión Europea: bancos, aseguradoras, empresas de inversión, entidades de pago, entidades de dinero electrónico, gestoras de fondos y proveedores críticos de servicios TIC al sector financiero. DORA establece cuatro pilares de cumplimiento: gestión del riesgo TIC (con un marco documentado y aprobado por el órgano de dirección), notificación de incidentes TIC graves a los supervisores competentes (Banco de España, CNMV, DGSFP), pruebas de resiliencia operativa digital (incluyendo TLPT —Threat-Led Penetration Testing— para las entidades significativas), y gestión del riesgo de proveedores TIC terceros con contratos que incorporen las cláusulas obligatorias de los Regulatory Technical Standards (RTS) de ESMA y EBA.

Por que DORA exige cambios operativos reales, no solo documentación

El Reglamento DORA es de aplicación obligatoria desde enero de 2025 para bancos, entidades de pago, empresas de inversión, aseguradoras, fondos y otras entidades financieras. A diferencia de muchas normas de cumplimiento, la resiliencia operativa digital bajo DORA no se limita a imponer requisitos de documentación: exige cambios operativos reales. Las brechas más frecuentes identificadas en los primeros meses de aplicación afectan a los contratos con proveedores cloud — la mayoría de entidades medianas no habian incorporado las cláusulas obligatorias del artículo 30 — y a la capacidad de notificación de incidentes dentro de los plazos regulatorios de 4 y 24 horas.

Muchas entidades medianas han infraestimado la complejidad del cumplimiento, especialmente en la gestión de proveedores TIC críticos y en el inventario completo de activos tecnológicos críticos.

Como implementamos el marco de cumplimiento DORA

Nuestro equipo de especialistas realiza el gap analysis DORA estructurado frente a los cuatro pilares del Reglamento y los RTS publicados por EBA y ESMA. A partir del análisis, implementamos el marco de gestión del riesgo TIC conforme al artículo 6, establecemos el protocolo de notificación de incidentes con los plazos y formatos exigidos, y auditamos y adecuamos los contratos con proveedores TIC para incorporar las cláusulas obligatorias.

Trabajamos con los equipos jurídicos internos y con los responsables de IT para garantizar que el marco de cumplimiento es operativo, no solo documental. La coordinación con el equipo de gestión del riesgo de terceros y con los servicios de auditoría de ciberseguridad es un elemento central de nuestra metodología para garantizar que los controles funcionan en tiempo real.

Marco regulatorio DORA en España: Banco de España y CNMV

El Reglamento DORA (2022/2554) es de aplicación directa en toda la UE desde el 17 de enero de 2025. El Banco de España y la CNMV son las autoridades competentes para las entidades bajo su supervisión en España. Las sanciones aplicables se remiten a la normativa sectorial: para entidades de crédito, la Ley 10/2014 permite multas de hasta el mayor de 10% de la facturación neta anual, el doble del beneficio obtenido, o 10 millones de euros para personas jurídicas. DORA es lex specialis respecto a NIS2 para entidades financieras: las entidades sujetas a DORA quedan exentas de NIS2 en las materias que DORA regula, pero deben coordinar ambos marcos cuando tienen actividades tanto financieras como no financieras.

Los RTS y las guías publicados por EBA, ESMA y EIOPA detallan los requisitos de cada pilar del Reglamento y son la referencia técnica para la implementación.

Resultados que puedes esperar

• Gap analysis DORA estructurado aprobable por el órgano de gobierno
• Marco de gestión del riesgo TIC conforme al artículo 6 del Reglamento
• Contratos con proveedores cloud y TIC actualizados con las cláusulas obligatorias del artículo 30
• Protocolo de notificación de incidentes grave con los plazos de 4 horas y 24 horas operativos
• Programa de pruebas de resiliencia digital incluyendo TLPT cuando aplique
• Registro completo de acuerdos con proveedores TIC conforme al artículo 28

El primer pilar de DORA es el marco de gestión del riesgo TIC. Para muchas entidades medianas, este nivel de gobernanza TIC es nuevo: existia una gestión operativa de la tecnología pero no el marco formal que DORA requiere. Nuestro trabajo de implementación parte siempre de lo que ya existe para construir sobre ello, evitando duplicidades. El mapa de riesgos de cumplimiento integra DORA junto con el resto del universo regulatorio aplicable a la entidad.