Qué es DORA: el reglamento de resiliencia operativa digital
El Reglamento (UE) 2022/2554 obliga a las entidades financieras y a sus proveedores
tecnológicos a resistir, responder y recuperarse de los incidentes informáticos. Esto
es lo que exige y a quién.
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura12 min
CategoríaRegulación Fintech
Fig. 1 — DORA unifica en una sola norma las obligaciones de resiliencia digital de todo el sector financiero.
Un fallo informático ya no es solo un problema técnico: para el sector financiero es
ahora un incumplimiento regulatorio. DORA convierte la resiliencia digital en una
obligación legal con cinco bloques de requisitos y supervisión europea.
DORA (siglas de Digital Operational Resilience Act) es la norma europea que
armoniza cómo las entidades financieras gestionan el riesgo tecnológico. Afecta de
lleno al ecosistema fintech y se integra en el conjunto de la
regulación fintech
que ya se exige a las entidades reguladas. Vamos a verlo en claro: qué es, desde cuándo
se aplica, a quién y qué obliga a hacer.
Qué es DORA (Reglamento UE 2022/2554)
DORA es el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022, sobre
la resiliencia operativa digital del sector financiero. Su objetivo es que un incidente
relacionado con las tecnologías de la información y la comunicación (TIC) —un fallo
técnico o un ciberataque— no derive en una disrupción grave: por eso exige gobernanza
del riesgo, registro y notificación de incidentes, pruebas periódicas, control del
riesgo de terceros y mecanismos de intercambio de información.
Al ser un reglamento y no una directiva, es directamente aplicable en
todos los Estados miembros sin necesidad de transposición nacional. Se complementa con
la Directiva (UE) 2022/2556, que ajusta otras normas sectoriales para encajar con DORA.
Fuente normativaReglamento (UE) 2022/2554 (DORA)
Texto oficial del Reglamento sobre la resiliencia operativa digital del sector
financiero, publicado en el Diario Oficial de la Unión Europea:
eur-lex.europa.eu — Reglamento (UE) 2022/2554
.
Desde cuándo se aplica
DORA entró en vigor el 16 de enero de 2023, pero concedió un periodo
de adaptación de dos años. Es plenamente aplicable y exigible desde el 17 de
enero de 2025. Desde esa fecha, las entidades afectadas deben poder demostrar
cumplimiento de los requisitos centrales del reglamento.
No es un plazo futuro
DORA ya está en vigor y es exigible. Las entidades que aún no han adaptado su marco
de riesgo TIC, sus contratos con proveedores y su sistema de notificación de
incidentes están operando en situación de incumplimiento.
A quién afecta: el ámbito de aplicación
DORA se aplica a una veintena larga de categorías de entidades financieras y, además,
a los proveedores terceros de servicios TIC de los que estas dependen. Estas son las
principales:
Tipo de entidad
Ejemplos
Entidades de crédito
Bancos
Entidades de pago y de dinero electrónico
EP, EDE / EMI
Empresas de servicios de inversión
Sociedades y agencias de valores, gestoras de carteras
Gestoras de fondos
SGIIC, gestoras de capital riesgo
Seguros
Aseguradoras y mediadores
Infraestructuras de mercado
ECC, depositarios centrales, centros de negociación
Toda la norma se ordena en cinco bloques de obligaciones. Son el mapa de cualquier
proyecto de cumplimiento de DORA:
Fig. 2 · Los cinco pilares
Los cuatro primeros pilares son obligaciones plenas; el quinto (intercambio de
información) se articula de forma voluntaria dentro de comunidades de confianza.
Proveedores TIC críticos (CTPP) y la vigilancia directa
Una de las grandes novedades de DORA es que no se limita a las entidades financieras:
alcanza también a sus proveedores terceros de servicios TIC (nube,
software, procesamiento de datos). Y a los que se designan como
críticos —los llamados CTPP— se les aplica un régimen de
vigilancia directa por parte de las Autoridades Europeas de
Supervisión, con un supervisor principal asignado.
Esa vigilancia puede llegar a imponer multas coercitivas de hasta el 1% del volumen de
negocios medio diario del proveedor crítico. Para las entidades financieras, la lectura
práctica es que ya no basta con cumplir ellas mismas: deben asegurarse de que sus
contratos y su cadena de proveedores tecnológicos resisten el escrutinio de DORA.
El contrato con tu proveedor TIC importa
DORA exige cláusulas mínimas en los contratos con proveedores tecnológicos
(niveles de servicio, derechos de acceso y auditoría, planes de salida). Revisar y
renegociar esos contratos es una de las tareas más urgentes —y más olvidadas— de la
adaptación.
DORA frente a NIS2: no son lo mismo
DORA se confunde a menudo con la Directiva NIS2 de ciberseguridad. Comparten objetivo
—elevar la resiliencia digital— pero tienen ámbito y naturaleza distintos. Para una
entidad financiera, la regla general es que DORA prevalece como norma
sectorial específica:
Fig. 3 · DORA vs NIS2
DORA es un reglamento sectorial y directamente aplicable; NIS2 es una directiva
transversal que requiere transposición nacional.
§ § §
Quién supervisa DORA en España
A nivel europeo, las Autoridades Europeas de Supervisión (la EBA para banca, la ESMA
para mercados y la EIOPA para seguros) coordinan el marco y vigilan a los proveedores
TIC críticos. A nivel nacional, la supervisión se reparte según el tipo de entidad: en
España, el Banco de España, la CNMV y la Dirección General de Seguros y Fondos
de Pensiones (DGSFP), cada uno sobre las entidades de su competencia.
Para la entidad, esto se traduce en una obligación clara: el cumplimiento de DORA debe
poder acreditarse ante su supervisor habitual. Encaja, por tanto, dentro de su sistema
de corporate compliance,
conectado con el resto de obligaciones de la entidad.
Información oficialResumen oficial de DORA — EUR-Lex
Síntesis del Reglamento sobre la resiliencia operativa digital del sector financiero,
con su contexto dentro del paquete de finanzas digitales de la UE:
eur-lex.europa.eu — resumen de DORA
.
Cómo prepararse: por dónde empezar
La adaptación a DORA no es un proyecto puramente técnico: es jurídico, organizativo y
tecnológico a la vez. Un orden de trabajo razonable:
Diagnóstico de aplicabilidad. Confirmar que la entidad está en el
ámbito de DORA y con qué intensidad (el principio de proporcionalidad module
algunas exigencias según tamaño y perfil de riesgo).
Marco de gestión del riesgo TIC. Documentarlo y que lo apruebe el
órgano de administración; aquí entronca con el
mapa de riesgos
de la organización.
Inventario y contratos de proveedores TIC. Identificar dependencias
críticas y revisar las cláusulas contractuales exigidas por DORA.
Sistema de notificación de incidentes. Procedimientos para detectar,
clasificar y comunicar los incidentes TIC graves al supervisor.
Programa de pruebas de resiliencia. Planificar las pruebas
periódicas y, en su caso, el TLPT.
Errores frecuentes
Tratarlo como un proyecto solo de IT. DORA exige decisiones del
órgano de administración y soporte jurídico-contractual, no únicamente medidas
técnicas.
Olvidar la cadena de proveedores. El riesgo de terceros TIC es uno
de los pilares; ignorar los contratos de nube o software es un punto débil clásico.
Confundir DORA con NIS2 y aplicar el marco equivocado o duplicar
esfuerzos sin coordinarlos.
Asumir que "no aplica". El ámbito es muy amplio; muchas fintech,
gestoras y CASP están dentro sin haberlo identificado.
Acertar en el diagnóstico inicial evita rehacer el proyecto a mitad de camino. La
adaptación a DORA, bien planteada, ordena de paso buena parte del gobierno tecnológico
de la entidad.
Regulación Fintech · DORA
¿Tu entidad está dentro del ámbito de DORA?
Hacemos el diagnóstico de aplicabilidad, diseñamos el marco de gestión del riesgo TIC,
revisamos los contratos con tus proveedores tecnológicos y montamos el sistema de
notificación de incidentes y el programa de pruebas para acreditar el cumplimiento ante
tu supervisor.