Entidades financieras
Análisis de brechas DORA
"Evaluamos el grado de cumplimiento actual frente a los requisitos del Reglamento DORA e identificamos las brechas prioritarias para tu plan de adecuación."
Servicios DORA
Cumple con el Reglamento DORA (Digital Operational Resilience Act) con asesoramiento especializado: análisis de brechas, gestión de riesgos TIC, requisitos de terceros proveedores, pruebas de resiliencia y notificación de incidentes para entidades financieras sujetas al Reglamento (UE) 2022/2554.
Consulta gratuita DORA
Te respondemos en menos de 24 h
Servicios
Servicios DORA para entidades financieras
Seis áreas de actuación para cubrir los cinco pilares del Reglamento DORA con un plan de adecuación proporcional al perfil de riesgo de tu entidad.
Gap Analysis
Análisis de brechas DORA
Evaluación del nivel de cumplimiento actual frente a los cinco pilares del Reglamento DORA: identificación de carencias, priorización de acciones y hoja de ruta de adecuación proporcional al tamaño y riesgo de la entidad.
Ver más →
Reglamento (UE) 2022/25545 pilaresProporcionalidad
Riesgos TIC
Marco de gestión de riesgos TIC
Diseño e implantación del marco de gestión de riesgos TIC conforme al artículo 6 DORA: políticas, clasificación de activos, controles de seguridad, plan de continuidad y revisión por el órgano de gobierno.
Ver más →
Art. 6 DORAContinuidad TICGobierno
Incidentes
Gestión y notificación de incidentes TIC
Implementación del proceso de clasificación, gestión y notificación de incidentes TIC graves a Banco de España, CNMV o DGSFP conforme a los plazos y criterios de DORA.
Ver más →
4h / 72h / 1 mesCNMV / BdE
Terceros TIC
Gestión de proveedores TIC y contratos
Revisión y adaptación de contratos con proveedores TIC a los requisitos DORA: cláusulas obligatorias, registro, clasificación de CTPPs y due diligence.
Ver más →
CTPPsSLA / continuidad
Pruebas TLPT
Pruebas de resiliencia operativa digital
Coordinación de pruebas de resiliencia DORA: pruebas básicas anuales y TLPT para entidades significativas conforme al marco TIBER-EU.
Ver más →
TLPTTIBER-EU
Formación
Formación y concienciación DORA
Programas de formación para consejos de administración, equipos TI, compliance y operaciones sobre los requisitos y obligaciones del Reglamento DORA.
Ver más →
Alta direcciónPor roles
Los cinco pilares
DORA en la práctica: cinco obligaciones reales
Gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia, terceros proveedores e intercambio de información: cada pilar tiene sus propios plazos, roles y evidencias exigibles.
Gestión de riesgos TIC
Marco de gestión de riesgos TIC
"Diseñamos e implantamos el marco de gestión de riesgos TIC exigido por DORA: políticas, controles, roles y procedimientos aprobados por el órgano de gobierno."
Terceros proveedores
Gestión de proveedores TIC críticos
"Revisamos contratos con proveedores TIC, identificamos los críticos, adaptamos cláusulas a los requisitos DORA y establecemos el registro de información exigido."
Incidentes y resiliencia
Notificación de incidentes y TLPT
"Implementamos los procedimientos de clasificación y notificación de incidentes TIC y coordinamos las pruebas TLPT exigidas por DORA para entidades significativas."
Por qué importa
¿Por qué es urgente cumplir con DORA?
DORA es de aplicación desde enero de 2025. Las entidades que no hayan iniciado su adecuación están expuestas a sanciones administrativas, responsabilidad de la alta dirección y daño reputacional ante el supervisor.
Obligación legal desde enero de 2025: el Reglamento DORA es de aplicación directa en toda la UE. Las entidades que no cumplan están expuestas a sanciones administrativas significativas y a la supervisión activa de Banco de España, CNMV o DGSFP.
Amplio ámbito de aplicación: DORA afecta a bancos, aseguradoras, gestoras de fondos, empresas de inversión, entidades de pago, proveedores de criptoactivos (MiCA) y sus proveedores TIC críticos (CTPPs).
Riesgos de la cadena de suministro TIC: una brecha en un proveedor cloud o de software puede generar incidentes que la entidad financiera está obligada a notificar en plazos muy estrictos (4 horas desde la clasificación).
Responsabilidad directa
Alta dirección
DORA atribuye al órgano de administración la responsabilidad de aprobar, supervisar y revisar el marco de riesgos TIC. La ignorancia no exime de responsabilidad.
Sanciones
Hasta 2% volumen negocios
Las infracciones muy graves pueden dar lugar a sanciones de hasta el 2% del volumen de negocios anual total, además de inhabilitación de directivos responsables.
Incidente sin proceso
Infracción automática
La falta de notificación en plazo de un incidente TIC grave es en sí misma una infracción del Reglamento DORA susceptible de sanción administrativa directa.
¿Tu entidad está preparada para DORA?
Un análisis de brechas inicial identifica en pocas semanas las carencias prioritarias, el régimen de proporcionalidad aplicable y el plan de adecuación más eficiente para tu entidad.
Preguntas frecuentes
DORA: dudas habituales
¿Qué es el Reglamento DORA?
El Reglamento DORA (Digital Operational Resilience Act), Reglamento (UE) 2022/2554, es la norma europea que establece los requisitos de resiliencia operativa digital para las entidades financieras. Entró en aplicación el 17 de enero de 2025 y es directamente aplicable en todos los Estados miembro sin necesidad de transposición.
Su objetivo es garantizar que las entidades financieras puedan prevenir, responder y recuperarse de todo tipo de perturbaciones e incidentes relacionados con las TIC. No es una recomendación: es una obligación legal con régimen sancionador.
¿A qué entidades se aplica DORA?
El ámbito de aplicación de DORA es muy amplio. Están sujetas entidades de crédito, empresas de servicios de inversión, entidades de pago y de dinero electrónico, gestoras de fondos (SGIIC, AIFM), aseguradoras y reaseguradoras, fondos de pensiones, proveedores de servicios de criptoactivos (CASP bajo MiCA), plataformas de financiación participativa y sus proveedores TIC críticos (CTPPs).
Si tu entidad opera en el sector financiero en la UE, es muy probable que esté sujeta a DORA. La primera acción es determinar el nivel de aplicación y el régimen de proporcionalidad.
¿Cuáles son los cinco pilares de DORA?
Los servicios DORA se articulan en torno a los cinco pilares del Reglamento, que representan las áreas de cumplimiento obligatorio:
- Gestión de riesgos TIC: marco, políticas, clasificación de activos y controles de seguridad.
- Gestión, clasificación y notificación de incidentes TIC graves a las autoridades supervisoras.
- Pruebas de resiliencia operativa digital: pruebas básicas anuales y TLPT para entidades significativas.
- Gestión del riesgo de terceros proveedores TIC: contratos, registro, due diligence y CTPPs.
- Intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras.
¿Qué exige DORA en gestión de riesgos TIC?
El artículo 6 de DORA exige un marco de gestión de riesgos TIC documentado, aprobado por el órgano de gobierno y revisado al menos anualmente. Debe cubrir identificación, protección, detección, respuesta y recuperación frente a riesgos TIC.
- Inventario y clasificación de activos TIC según su criticidad para el negocio.
- Política de seguridad de la información y control de acceso.
- Plan de continuidad de negocio TIC y plan de recuperación ante desastres (DRP).
- Procedimientos de gestión de cambios, parches y vulnerabilidades.
La alta dirección no puede delegar la responsabilidad: DORA exige que el órgano de administración apruebe y supervise directamente este marco.
¿Qué son los CTPPs y por qué importan?
Los Proveedores Terceros Críticos de TIC (CTPPs) son designados por las Autoridades Supervisoras Europeas (EBA, ESMA, EIOPA) en función de su impacto sistémico. Quedan sujetos a supervisión directa europea.
Los principales proveedores cloud (Microsoft Azure, Amazon AWS, Google Cloud) están entre los candidatos naturales. Las entidades que los contratan para funciones críticas deben adaptar contratos, participar en inspecciones y tener planes de salida documentados.
Los contratos con proveedores TIC que soporten funciones críticas deben incluir cláusulas obligatorias: descripción del servicio, SLA, derechos de auditoría, portabilidad de datos y plan de salida.
¿Qué plazos tiene la notificación de incidentes TIC?
DORA establece un régimen armonizado de notificación de incidentes TIC graves con plazos muy estrictos:
- 4 horas desde la clasificación del incidente como grave: notificación inicial al supervisor.
- 72 horas: informe intermedio con información actualizada del incidente.
- 1 mes: informe final con análisis de causas, impacto y medidas adoptadas.
La falta de notificación en plazo es en sí misma una infracción del Reglamento DORA susceptible de sanción. Contar con el proceso implantado antes de que ocurra el incidente es la única garantía real.
¿Cuánto tiempo lleva la adecuación a DORA?
El plazo varía según el tamaño de la entidad, su madurez en ciberseguridad y el alcance de las brechas identificadas:
- Entidades pequeñas o medianas con madurez básica: entre 6 y 12 meses para una adecuación completa.
- Entidades significativas o con infraestructuras complejas: el proyecto puede extenderse, especialmente en pruebas TLPT y adaptación contractual con proveedores críticos.
Dado que DORA es de aplicación desde enero de 2025, las entidades que aún no han iniciado su proceso deben actuar con urgencia para reducir su exposición regulatoria y reputacional.
¿Qué diferencia hay entre DORA y NIS2?
DORA y NIS2 coexisten, pero DORA prevalece como lex specialis para las entidades financieras en lo relativo a gestión de riesgos TIC. Una entidad financiera que cumple DORA se considera alineada con los requisitos equivalentes de NIS2.
A diferencia de NIS2, que tiene un alcance sectorial más amplio, DORA está diseñado exclusivamente para el sector financiero con requisitos mucho más detallados: plazos de notificación más estrictos, pruebas TLPT específicas y un régimen de supervisión de terceros proveedores sin equivalente en NIS2.
Guía operativa
Guía práctica: Reglamento DORA
DORA no es solo un proyecto de TI: tiene dimensiones jurídicas, contractuales, de gobierno corporativo y de cumplimiento normativo que requieren la participación activa del departamento legal, compliance y la alta dirección, no solo del equipo tecnológico.
El primer error: tratarlo como un proyecto de TI
DORA requiere la aprobación y supervisión activa del órgano de administración. Sin implicación de legal, compliance y alta dirección, el marco de riesgos TIC nace sin el respaldo de gobierno que el Reglamento exige.
El trabajo contractual: más complejo de lo que parece
Adaptar todos los contratos con proveedores TIC a los requisitos DORA, especialmente con decenas de proveedores activos, es una tarea de gran envergadura que requiere coordinación entre legal, compras y TI durante meses.
Documentar el proceso es tan importante como cumplir
DORA no solo exige cumplir: exige poder demostrar el cumplimiento ante el supervisor en cualquier momento. La trazabilidad documental de cada decisión, política y prueba realizada es esencial.
Plan de adecuación DORA en 6 pasos
- Análisis de brechas (Gap Analysis): evaluar el nivel de cumplimiento actual frente a los cinco pilares de DORA, identificar carencias prioritarias y determinar el régimen de proporcionalidad aplicable.
- Marco de gestión de riesgos TIC: diseñar y aprobar el marco conforme al artículo 6 DORA, incluyendo inventario de activos, políticas de seguridad, controles y plan de continuidad.
- Proceso de notificación de incidentes: diseñar e implantar el proceso de clasificación, gestión y notificación a Banco de España, CNMV o DGSFP en los plazos DORA (4h / 72h / 1 mes).
- Contratos con proveedores TIC: revisar y renegociar contratos para incluir cláusulas obligatorias DORA, crear el registro de contratos y clasificar los proveedores críticos (CTPPs).
- Pruebas de resiliencia: realizar pruebas básicas anuales y, para entidades significativas, coordinar las TLPT conforme al marco TIBER-EU.
- Documentación y formación: documentar todo el proceso para evidenciar el cumplimiento ante el supervisor y formar al órgano de administración y equipos clave.
Si quieres iniciar la adecuación DORA de tu entidad, consulta nuestros servicios de regulación fintech o el área de compliance fintech integral.
DORA en modo operativo
De la obligación al sistema: cómo se implanta DORA en la práctica
El Reglamento DORA no se cumple con un documento: es un conjunto de procesos vivos (gestión de riesgos TIC, notificación de incidentes, terceros proveedores y pruebas de resiliencia) que se demuestran con trazabilidad ante el supervisor.
1) Riesgos TICMarco de riesgos TIC: lo que más se improvisa
Sin un marco documentado, aprobado por el consejo y revisado anualmente, el resto del cumplimiento DORA no tiene base. Es la pieza que el supervisor revisa primero.
- Inventario y clasificación de activos
- Políticas de seguridad y control de acceso
- Plan de continuidad y recuperación (DRP)
2) IncidentesNotificación de incidentes: el reloj corre desde la clasificación
4 horas para la notificación inicial, 72 horas para el informe intermedio, 1 mes para el informe final. Sin proceso implantado, cualquier incidente grave es también una infracción de DORA.
- Proceso de clasificación documentado
- Canal de notificación al supervisor
- Registro de incidentes con trazabilidad
3) Terceros TICTerceros proveedores: el trabajo contractual que más retrasa
Adaptar contratos con todos los proveedores TIC, identificar CTPPs y documentar la due diligence es el bloque que más tiempo consume y el que más se subestima al inicio.
- Cláusulas obligatorias DORA en contratos
- Registro de proveedores TIC actualizado
- Plan de salida documentado por proveedor
4) PruebasPruebas de resiliencia: básicas y TLPT
Todas las entidades deben realizar pruebas básicas anuales. Las entidades significativas deben coordinar TLPT con proveedores certificados conforme al marco TIBER-EU, con periodicidad mínima de tres años.
Tip: el plan de remediación de deficiencias detectadas en las pruebas es tan importante como las propias pruebas para el supervisor.
Decisión rápidaProporcionalidad DORA: ¿qué aplica a tu entidad?
Pequeñas entidades
Régimen simplificado: marco TIC básico, pruebas básicas. Sin TLPT obligatorio. Análisis de proporcionalidad documentado.
Medianas entidades
Marco TIC completo, proceso de incidentes, contratos con cláusulas DORA y pruebas básicas anuales con plan de remediación.
Entidades significativas
Marco TIC completo + TLPT trienal + supervisión de CTPPs + participación en inspecciones supervisoras europeas.
Playbook DORA
DORA en la práctica
Gestión de riesgos TIC
Marco documentado, aprobado por el consejo, con inventario de activos, políticas de seguridad y plan de continuidad TIC revisado anualmente.
Política de riesgos TIC aprobada, inventario de activos, actas del consejo y registro de actualizaciones.
Notificación de incidentes
Proceso de clasificación, gestión y notificación a Banco de España / CNMV / DGSFP en plazos DORA (4h, 72h, 1 mes).
Procedimiento de notificación, registro de incidentes, informes enviados al supervisor y plan de remediación.
Pruebas de resiliencia
Pruebas básicas anuales para todas las entidades; TLPT trienal para entidades significativas conforme a TIBER-EU.
Informes de pruebas, plan de remediación de deficiencias y, para TLPT, certificación del proveedor y validación supervisora.
Terceros proveedores TIC
Política de gestión del riesgo de terceros, registro de contratos, cláusulas obligatorias DORA y due diligence de CTPPs.
Registro de proveedores TIC, contratos adaptados, informes de due diligence y planes de salida documentados.
Gobierno y formación
Órgano de administración responsable directo del marco TIC, con formación específica DORA y reporting periódico sobre el estado de la resiliencia operativa.
Actas de aprobación, programa de formación, evidencias de asistencia y reporting de KPIs de resiliencia al consejo.
Errores frecuentes en proyectos de adecuación DORA
Detéctalos antes de iniciar el proyecto para evitar retrabajos y exposición supervisora.
- Tratar DORA como un proyecto exclusivamente de TI, sin implicar a legal, compliance y alta dirección.
- Subestimar el trabajo contractual con proveedores TIC: adaptar decenas de contratos lleva meses.
- No documentar el proceso de adecuación: cumplir sin evidencias es tan malo como no cumplir.
- Ignorar el régimen de proporcionalidad y aplicar requisitos de entidades significativas a entidades pequeñas (o viceversa).
- No implantar el proceso de notificación de incidentes antes de que ocurra un incidente grave.
Diccionario operativo
Conceptos clave: Reglamento DORA
Si estás implantando los servicios DORA en tu entidad, estos términos aparecen en las políticas, en los contratos y en la relación con el supervisor. Entenderlos bien evita errores de interpretación que luego se pagan en el expediente.
DORABase
Digital Operational Resilience Act
Reglamento (UE) 2022/2554, de aplicación desde el 17 de enero de 2025. Marco armonizado de resiliencia operativa digital para entidades financieras en toda la UE.
Supervisor en España: Banco de España, CNMV, DGSFP.
Marco TICPilar 1
Marco de gestión de riesgos TIC
Sistema documentado de identificación, protección, detección, respuesta y recuperación frente a riesgos TIC. Debe ser aprobado y supervisado por el órgano de administración.
Evidencia: política aprobada + actas del consejo + revisión anual.
Incidente TIC gravePilar 2
Notificación obligatoria
Incidente TIC que supera los umbrales establecidos en los RTS de DORA. Debe notificarse al supervisor en 4 horas (inicial), 72 horas (intermedio) y 1 mes (final).
La falta de notificación en plazo es infracción autónoma.
TLPTPilar 3
Pruebas de penetración basadas en amenazas
Threat-Led Penetration Testing: pruebas avanzadas obligatorias para entidades significativas con periodicidad mínima de tres años, conforme al marco TIBER-EU.
Requiere proveedor certificado y validación supervisora.
CTPPsPilar 4
Proveedores Terceros Críticos de TIC
Proveedores TIC designados por EBA, ESMA o EIOPA en función de su impacto sistémico. Quedan sujetos a supervisión directa europea. Microsoft Azure, AWS y Google Cloud son candidatos naturales.
Las entidades que los contratan tienen obligaciones adicionales.
ProporcionalidadRégimen
Principio de proporcionalidad DORA
Las entidades pequeñas y no interconectadas pueden acogerse a un régimen simplificado para algunos requisitos. La determinación requiere análisis documentado conforme a los criterios de los RTS.
No es automático: debe analizarse y documentarse.
RTS / ITSTécnico
Estándares técnicos de regulación
Regulatory Technical Standards e Implementing Technical Standards desarrollados por EBA, ESMA y EIOPA que detallan los requisitos específicos de cada pilar del Reglamento DORA.
Los RTS son vinculantes y complementan el Reglamento.
TIBER-EUPruebas
Marco europeo de pruebas avanzadas
Framework del BCE para las pruebas de penetración basadas en amenazas (TLPT). En España, coordinado por Banco de España y CNMV. Base metodológica para las TLPT DORA.
Aplica a entidades significativas con TLPT obligatorio.
Gap AnalysisDiagnóstico
Análisis de brechas DORA
Evaluación inicial del grado de cumplimiento actual frente a los cinco pilares de DORA. Identifica carencias, determina el régimen de proporcionalidad y produce la hoja de ruta de adecuación.
Primer paso obligatorio antes de cualquier proyecto de adecuación.