Regulación Fintech · Resiliencia operativa

Qué es DORA: el reglamento de resiliencia operativa digital

El Reglamento (UE) 2022/2554 obliga a las entidades financieras y a sus proveedores tecnológicos a resistir, responder y recuperarse de los incidentes informáticos. Esto es lo que exige y a quién.

Fig. 1 — DORA unifica en una sola norma las obligaciones de resiliencia digital de todo el sector financiero.

Un fallo informático ya no es solo un problema técnico: para el sector financiero es ahora un incumplimiento regulatorio. DORA convierte la resiliencia digital en una obligación legal con cinco bloques de requisitos y supervisión europea.

DORA (siglas de Digital Operational Resilience Act) es la norma europea que armoniza cómo las entidades financieras gestionan el riesgo tecnológico. Afecta de lleno al ecosistema fintech y se integra en el conjunto de la regulación fintech que ya se exige a las entidades reguladas. Vamos a verlo en claro: qué es, desde cuándo se aplica, a quién y qué obliga a hacer.

Qué es DORA (Reglamento UE 2022/2554)

DORA es el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. Su objetivo es que un incidente relacionado con las tecnologías de la información y la comunicación (TIC) —un fallo técnico o un ciberataque— no derive en una disrupción grave: por eso exige gobernanza del riesgo, registro y notificación de incidentes, pruebas periódicas, control del riesgo de terceros y mecanismos de intercambio de información.

Al ser un reglamento y no una directiva, es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional. Se complementa con la Directiva (UE) 2022/2556, que ajusta otras normas sectoriales para encajar con DORA.

Fuente normativa Reglamento (UE) 2022/2554 (DORA)

Texto oficial del Reglamento sobre la resiliencia operativa digital del sector financiero, publicado en el Diario Oficial de la Unión Europea: eur-lex.europa.eu — Reglamento (UE) 2022/2554 .

Desde cuándo se aplica

DORA entró en vigor el 16 de enero de 2023, pero concedió un periodo de adaptación de dos años. Es plenamente aplicable y exigible desde el 17 de enero de 2025. Desde esa fecha, las entidades afectadas deben poder demostrar cumplimiento de los requisitos centrales del reglamento.

No es un plazo futuro

DORA ya está en vigor y es exigible. Las entidades que aún no han adaptado su marco de riesgo TIC, sus contratos con proveedores y su sistema de notificación de incidentes están operando en situación de incumplimiento.

A quién afecta: el ámbito de aplicación

DORA se aplica a una veintena larga de categorías de entidades financieras y, además, a los proveedores terceros de servicios TIC de los que estas dependen. Estas son las principales:

Tipo de entidad Ejemplos
Entidades de crédito Bancos
Entidades de pago y de dinero electrónico EP, EDE / EMI
Empresas de servicios de inversión Sociedades y agencias de valores, gestoras de carteras
Gestoras de fondos SGIIC, gestoras de capital riesgo
Seguros Aseguradoras y mediadores
Infraestructuras de mercado ECC, depositarios centrales, centros de negociación
Criptoactivos Proveedores de servicios de criptoactivos (CASP)
Proveedores terceros de servicios TIC Nube, software, datos… (incluidos los críticos)

Para muchas fintech esto significa que DORA se suma a su licencia: una entidad de pago o de dinero electrónico, un proveedor de open banking como los que comparamos al hablar de AISP y PISP o un proveedor de servicios de criptoactivos están todos dentro del ámbito de DORA.

Los cinco pilares de DORA

Toda la norma se ordena en cinco bloques de obligaciones. Son el mapa de cualquier proyecto de cumplimiento de DORA:

Fig. 2 · Los cinco pilares
Los cuatro primeros pilares son obligaciones plenas; el quinto (intercambio de información) se articula de forma voluntaria dentro de comunidades de confianza.

Proveedores TIC críticos (CTPP) y la vigilancia directa

Una de las grandes novedades de DORA es que no se limita a las entidades financieras: alcanza también a sus proveedores terceros de servicios TIC (nube, software, procesamiento de datos). Y a los que se designan como críticos —los llamados CTPP— se les aplica un régimen de vigilancia directa por parte de las Autoridades Europeas de Supervisión, con un supervisor principal asignado.

Esa vigilancia puede llegar a imponer multas coercitivas de hasta el 1% del volumen de negocios medio diario del proveedor crítico. Para las entidades financieras, la lectura práctica es que ya no basta con cumplir ellas mismas: deben asegurarse de que sus contratos y su cadena de proveedores tecnológicos resisten el escrutinio de DORA.

El contrato con tu proveedor TIC importa

DORA exige cláusulas mínimas en los contratos con proveedores tecnológicos (niveles de servicio, derechos de acceso y auditoría, planes de salida). Revisar y renegociar esos contratos es una de las tareas más urgentes —y más olvidadas— de la adaptación.

DORA frente a NIS2: no son lo mismo

DORA se confunde a menudo con la Directiva NIS2 de ciberseguridad. Comparten objetivo —elevar la resiliencia digital— pero tienen ámbito y naturaleza distintos. Para una entidad financiera, la regla general es que DORA prevalece como norma sectorial específica:

Fig. 3 · DORA vs NIS2
DORA es un reglamento sectorial y directamente aplicable; NIS2 es una directiva transversal que requiere transposición nacional.
§ § §

Quién supervisa DORA en España

A nivel europeo, las Autoridades Europeas de Supervisión (la EBA para banca, la ESMA para mercados y la EIOPA para seguros) coordinan el marco y vigilan a los proveedores TIC críticos. A nivel nacional, la supervisión se reparte según el tipo de entidad: en España, el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones (DGSFP), cada uno sobre las entidades de su competencia.

Para la entidad, esto se traduce en una obligación clara: el cumplimiento de DORA debe poder acreditarse ante su supervisor habitual. Encaja, por tanto, dentro de su sistema de corporate compliance, conectado con el resto de obligaciones de la entidad.

Información oficial Resumen oficial de DORA — EUR-Lex

Síntesis del Reglamento sobre la resiliencia operativa digital del sector financiero, con su contexto dentro del paquete de finanzas digitales de la UE: eur-lex.europa.eu — resumen de DORA .

Cómo prepararse: por dónde empezar

La adaptación a DORA no es un proyecto puramente técnico: es jurídico, organizativo y tecnológico a la vez. Un orden de trabajo razonable:

  1. Diagnóstico de aplicabilidad. Confirmar que la entidad está en el ámbito de DORA y con qué intensidad (el principio de proporcionalidad module algunas exigencias según tamaño y perfil de riesgo).
  2. Marco de gestión del riesgo TIC. Documentarlo y que lo apruebe el órgano de administración; aquí entronca con el mapa de riesgos de la organización.
  3. Inventario y contratos de proveedores TIC. Identificar dependencias críticas y revisar las cláusulas contractuales exigidas por DORA.
  4. Sistema de notificación de incidentes. Procedimientos para detectar, clasificar y comunicar los incidentes TIC graves al supervisor.
  5. Programa de pruebas de resiliencia. Planificar las pruebas periódicas y, en su caso, el TLPT.

Errores frecuentes

  • Tratarlo como un proyecto solo de IT. DORA exige decisiones del órgano de administración y soporte jurídico-contractual, no únicamente medidas técnicas.
  • Olvidar la cadena de proveedores. El riesgo de terceros TIC es uno de los pilares; ignorar los contratos de nube o software es un punto débil clásico.
  • Confundir DORA con NIS2 y aplicar el marco equivocado o duplicar esfuerzos sin coordinarlos.
  • Asumir que "no aplica". El ámbito es muy amplio; muchas fintech, gestoras y CASP están dentro sin haberlo identificado.

Acertar en el diagnóstico inicial evita rehacer el proyecto a mitad de camino. La adaptación a DORA, bien planteada, ordena de paso buena parte del gobierno tecnológico de la entidad.

Regulación Fintech · DORA

¿Tu entidad está dentro del ámbito de DORA?

Hacemos el diagnóstico de aplicabilidad, diseñamos el marco de gestión del riesgo TIC, revisamos los contratos con tus proveedores tecnológicos y montamos el sistema de notificación de incidentes y el programa de pruebas para acreditar el cumplimiento ante tu supervisor.

Solicitar asesoramiento

Seguir profundizando

Fintech

Servicios DORA

Acompañamiento en la adaptación a DORA: diagnóstico, marco de riesgo TIC, contratos de proveedores y notificación de incidentes.

Compliance

Corporate compliance

Sistema de cumplimiento normativo donde encaja la resiliencia operativa digital junto al resto de obligaciones de la entidad.

Fintech

Regulación fintech

Visión de conjunto del marco regulatorio aplicable a entidades de pago, dinero electrónico, criptoactivos y demás actores fintech.