Entidades financieras
Análisis de brechas DORA
"Evaluamos el grado de cumplimiento actual frente a los requisitos del Reglamento DORA e identificamos las brechas prioritarias para tu plan de adecuación."
Servicios DORA
Cumple con el Reglamento DORA (Digital Operational Resilience Act) con asesoramiento especializado: análisis de brechas, gestión de riesgos TIC, requisitos de terceros proveedores, pruebas de resiliencia y notificación de incidentes para entidades financieras sujetas al Reglamento (UE) 2022/2554.
Gestión de riesgos TIC
Marco de gestión de riesgos TIC
"Diseñamos e implantamos el marco de gestión de riesgos de tecnologías de la información y comunicación exigido por DORA: políticas, controles, roles y procedimientos."
Terceros proveedores
Gestión de proveedores TIC críticos
"Revisamos contratos con proveedores TIC, identificamos los críticos, adaptamos cláusulas a los requisitos DORA y establecemos el registro de información exigido por el regulador."
Incidentes y resiliencia
Notificación de incidentes y TLPT
"Implementamos los procedimientos de clasificación y notificación de incidentes TIC y coordinamos las pruebas de penetración basadas en amenazas (TLPT) exigidas por DORA."
Servicios DORA para entidades financieras
Análisis de brechas DORA
Evaluación del nivel de cumplimiento actual frente a los cinco pilares del Reglamento DORA: identificación de carencias, priorización de acciones y hoja de ruta de adecuación.
Marco de gestión de riesgos TIC
Diseño e implantación del marco de gestión de riesgos TIC conforme al artículo 6 DORA: políticas, clasificación de activos, controles de seguridad y procedimientos de continuidad.
Gestión y notificación de incidentes TIC
Implementación del proceso de clasificación, gestión y notificación de incidentes TIC graves a las autoridades competentes (Banco de España, CNMV, DGSFP) conforme a DORA.
Gestión de proveedores TIC y contratos
Revisión y adaptación de contratos con proveedores TIC a los requisitos DORA: cláusulas obligatorias, registro de información, clasificación de proveedores críticos (CTPPs) y due diligence.
Pruebas de resiliencia operativa digital
Coordinación de las pruebas de resiliencia exigidas por DORA: pruebas básicas anuales y pruebas de penetración basadas en amenazas (TLPT) para entidades significativas.
Formación y concienciación DORA
Programas de formación especializados para consejos de administración, equipos de TI, cumplimiento y operaciones sobre los requisitos y obligaciones del Reglamento DORA.
¿Por qué es urgente cumplir con DORA?
Obligación legal desde enero de 2025: el Reglamento DORA es de aplicación directa en toda la UE desde el 17 de enero de 2025. Las entidades financieras sujetas que no cumplan están expuestas a sanciones administrativas significativas.
Amplio ámbito de aplicación: DORA afecta a bancos, aseguradoras, gestoras de fondos, empresas de inversión, entidades de pago, proveedores de criptoactivos (MiCA) y sus proveedores TIC críticos.
Riesgos de la cadena de suministro TIC: una brecha en un proveedor cloud o de software puede generar incidentes que la entidad financiera está obligada a notificar a las autoridades supervisoras en plazos muy estrictos.
Responsabilidad del órgano de gobierno: DORA atribuye a la alta dirección la responsabilidad directa de aprobar, supervisar y revisar el marco de gestión de riesgos TIC. La ignorancia no exime de responsabilidad.
Daño reputacional y operativo: un incidente TIC grave sin los procedimientos DORA implantados puede derivar en interrupciones del servicio, pérdida de clientes, sanciones supervisoras y cobertura mediática negativa.
Todo sobre los servicios DORA
¿Qué es el Reglamento DORA?
El Reglamento DORA (Digital Operational Resilience Act), Reglamento (UE) 2022/2554, es la norma europea que establece los requisitos de resiliencia operativa digital para las entidades financieras. Entró en aplicación el 17 de enero de 2025 y es directamente aplicable en todos los Estados miembro de la UE sin necesidad de transposición.
Su objetivo es garantizar que las entidades financieras puedan prevenir, responder y recuperarse de todo tipo de perturbaciones e incidentes relacionados con las tecnologías de la información y la comunicación (TIC), estableciendo un marco armonizado a nivel europeo.
DORA no es una recomendación: es una obligación legal con régimen sancionador. Las entidades que no cumplan están expuestas a sanciones administrativas y a la responsabilidad personal de su alta dirección.
¿A qué entidades se aplican los servicios DORA?
El ámbito de aplicación de DORA es muy amplio. Están sujetas entidades de crédito (bancos), empresas de servicios de inversión, entidades de pago y de dinero electrónico, gestoras de fondos de inversión (SGIIC, AIFM), entidades aseguradoras y reaseguradoras, fondos de pensiones, proveedores de servicios de criptoactivos (CASP bajo MiCA), plataformas de financiación participativa y sus proveedores TIC críticos.
El Reglamento introduce además la figura de los Proveedores Terceros Críticos de TIC (CTPPs), que quedan sujetos a supervisión directa por parte de las Autoridades Supervisoras Europeas (ESAs).
Si tu entidad opera en el sector financiero en la UE, es muy probable que esté sujeta a DORA. La primera acción es determinar el nivel de aplicación (proporcionalidad) y los requisitos concretos aplicables.
¿Cuáles son los cinco pilares de DORA?
Los servicios DORA se articulan en torno a los cinco pilares del Reglamento, que representan las áreas de cumplimiento obligatorio para las entidades financieras.
Los cinco pilares del Reglamento DORA:
- Gestión de riesgos TIC: marco, políticas, clasificación de activos y controles de seguridad.
- Gestión, clasificación y notificación de incidentes TIC graves a las autoridades supervisoras.
- Pruebas de resiliencia operativa digital: pruebas básicas anuales y TLPT para entidades significativas.
- Gestión del riesgo de terceros proveedores TIC: contratos, registro, due diligence y CTPPs.
- Intercambio de información e inteligencia sobre ciberamenazas entre entidades financieras.
Cada pilar tiene requisitos específicos y plazos de implementación. Un plan de adecuación DORA bien estructurado aborda los cinco de forma coordinada y proporcional al tamaño y perfil de riesgo de la entidad.
Gestión de riesgos TIC bajo DORA
El artículo 6 de DORA exige a las entidades financieras disponer de un marco de gestión de riesgos TIC documentado, aprobado por el órgano de gobierno y revisado al menos anualmente. Este marco debe cubrir la identificación, protección, detección, respuesta y recuperación frente a riesgos TIC.
Elementos clave del marco de riesgos TIC:
- Inventario y clasificación de activos TIC según su criticidad para el negocio.
- Política de seguridad de la información y procedimientos de control de acceso.
- Plan de continuidad de negocio TIC y plan de recuperación ante desastres (DRP).
- Procedimientos de gestión de cambios, parches y vulnerabilidades.
La alta dirección no puede delegar la responsabilidad: DORA exige que el órgano de administración apruebe, supervise y sea responsable directo del marco de riesgos TIC.
DORA y la gestión de proveedores TIC terceros
Uno de los aspectos más novedosos y exigentes de DORA es el régimen de gestión del riesgo de proveedores TIC terceros, regulado en el Capítulo V del Reglamento. Las entidades deben disponer de una política de gestión del riesgo de terceros TIC y mantener un registro actualizado de todos sus contratos con proveedores TIC.
Los contratos con proveedores TIC que soporten funciones críticas o importantes deben incluir cláusulas obligatorias específicas: descripción del servicio, niveles de servicio (SLA), derechos de auditoría, portabilidad de datos, plan de salida y notificación de subcontrataciones.
Los proveedores TIC designados como críticos (CTPPs) por las ESAs quedan sujetos a un marco de supervisión directa. Las entidades que los contraten deben adaptar sus relaciones contractuales y de supervisión a este nuevo estatus regulatorio.
Notificación de incidentes TIC bajo DORA
DORA establece un régimen armonizado de notificación de incidentes TIC graves a las autoridades competentes: Banco de España, CNMV o DGSFP según el tipo de entidad. Los plazos son estrictos: notificación inicial en 4 horas desde la clasificación del incidente como grave, informe intermedio a las 72 horas y informe final en el plazo de un mes.
La entidad debe disponer de un proceso documentado para detectar, clasificar y gestionar los incidentes TIC conforme a los criterios establecidos en los estándares técnicos de regulación (RTS) desarrollados por EBA, ESMA y EIOPA.
La falta de notificación en plazo de un incidente TIC grave es, en sí misma, una infracción del Reglamento DORA susceptible de sanción administrativa. Contar con el proceso implantado antes de que ocurra el incidente es la única garantía real.
¿Cuánto tiempo lleva implantar los servicios DORA?
El plazo de implantación de los servicios DORA varía significativamente según el tamaño de la entidad, su madurez en ciberseguridad previa y el alcance de las brechas identificadas en el análisis inicial.
Para entidades pequeñas o medianas con un nivel de madurez básico, un proyecto de adecuación DORA completo puede requerir entre seis y doce meses. Para entidades significativas o con infraestructuras TIC complejas, el proyecto puede extenderse más, especialmente en lo relativo a las pruebas TLPT y la adaptación de contratos con proveedores críticos.
Dado que DORA es de aplicación desde enero de 2025, las entidades que aún no han iniciado su proceso de adecuación deben actuar con urgencia para reducir su exposición regulatoria y reputacional.
Explora más servicios relacionados
Los servicios DORA se integran con otras áreas clave de cumplimiento normativo, ciberseguridad y regulación financiera. Descubre los servicios que complementan tu adecuación.
Corporate Compliance
Programas integrales de cumplimiento normativo para entidades financieras: canal de denuncias, código ético y controles internos alineados con DORA y NIS2.
Servicios PBC/FT
Cumplimiento en prevención de blanqueo de capitales para entidades financieras: evaluación de riesgos, KYC digital y auditorías.
Informe Experto Externo
Informes independientes de evaluación del cumplimiento DORA para presentación ante el regulador o el consejo de administración.
Criptoactivos y Blockchain
Asesoramiento regulatorio para proveedores de servicios de criptoactivos (CASP) sujetos a MiCA y, por tanto, también al ámbito de aplicación de DORA.
Medidas de prevención de delitos
Compliance penal para entidades financieras: canal de denuncias, código ético y controles internos complementarios al marco DORA.
Licencia CASP
Obtención de la licencia CASP bajo MiCA y adecuación simultánea a los requisitos DORA aplicables a proveedores de servicios de criptoactivos.
Consultoría en blanqueo de capitales
Diseño de sistemas PBC/FT integrados con los controles TIC y de seguridad exigidos por DORA para entidades financieras.
Due Diligence
Análisis de cumplimiento normativo integral para operaciones corporativas que incluyen entidades financieras sujetas a DORA.
Checklist: ¿tu entidad necesita servicios DORA?
Marca los supuestos que aplican a tu organización. Cuantos más coincidan, mayor es la urgencia de iniciar tu proceso de adecuación al Reglamento DORA.
0 de 10 supuestos
Marca los supuestos que aplican a tu entidad.
Guía completa sobre el Reglamento DORA
Todo lo que necesitas saber para entender y cumplir con DORA: qué es, a quién se aplica, sus cinco pilares, el régimen de terceros proveedores TIC, las sanciones y los errores más frecuentes en los proyectos de adecuación.
01
¿Qué es DORA y por qué es diferente a otras normas de ciberseguridad?
El Reglamento DORA (Digital Operational Resilience Act) es la primera norma europea que establece un marco armonizado y completo de resiliencia operativa digital específicamente para el sector financiero. A diferencia de NIS2, que tiene un alcance sectorial más amplio, DORA está diseñado exclusivamente para entidades financieras y sus proveedores TIC críticos, con requisitos mucho más detallados y un régimen supervisor específico.
DORA no sustituye a NIS2: ambas normas coexisten, aunque DORA prevalece como lex specialis para las entidades financieras en lo que respecta a la gestión de riesgos TIC. Esto significa que una entidad financiera que cumple con DORA se considera en principio alineada con los requisitos equivalentes de NIS2.
02
Ámbito de aplicación y principio de proporcionalidad
DORA es aplicable a más de veinte tipos de entidades financieras reguladas en la UE. Sin embargo, el Reglamento incorpora el principio de proporcionalidad: las entidades pequeñas y no interconectadas (microempresas y entidades de menor tamaño y complejidad) tienen acceso a un régimen simplificado para algunos requisitos, especialmente en lo relativo al marco de gestión de riesgos TIC y las pruebas de resiliencia.
La determinación de si tu entidad puede acogerse al régimen simplificado requiere un análisis previo de los criterios establecidos en los RTS de EBA, ESMA y EIOPA. Este análisis debe quedar documentado y, en muchos casos, comunicado al supervisor.
03
El régimen de proveedores TIC terceros críticos (CTPPs)
Una de las innovaciones más relevantes de DORA es el establecimiento de un régimen de supervisión directa por las Autoridades Supervisoras Europeas (EBA, ESMA, EIOPA) sobre los Proveedores Terceros Críticos de TIC (CTPPs). Estos son designados mediante un proceso formal por las ESAs en función de su impacto sistémico sobre el sector financiero europeo.
Para las entidades financieras que contratan servicios con CTPPs, DORA establece obligaciones adicionales: adaptación de los contratos al pliego de condiciones del CTPP, participación en las inspecciones supervisoras y planes de salida documentados en caso de que el proveedor pierda su designación o incumpla los requisitos regulatorios.
Los principales proveedores cloud (Microsoft Azure, Amazon AWS, Google Cloud) están entre los candidatos naturales a ser designados CTPPs. Las entidades que los utilizan para funciones críticas deben prepararse para las implicaciones contractuales y operativas de esta designación.
04
Pruebas de resiliencia operativa: básicas y TLPT
DORA distingue dos niveles de pruebas de resiliencia. Las pruebas básicas deben realizarse al menos anualmente por todas las entidades sujetas: incluyen evaluaciones de vulnerabilidades, análisis de brechas, revisiones de seguridad de la red y pruebas de escenarios. Su resultado debe documentarse y las deficiencias identificadas deben corregirse en plazos establecidos.
Las pruebas de penetración basadas en amenazas (TLPT) son obligatorias para las entidades significativas con periodicidad mínima de tres años. Se basan en inteligencia de amenazas real y deben ser ejecutadas por proveedores certificados. En España, el Banco de España y la CNMV participan en la coordinación de estas pruebas conforme al marco TIBER-EU.
05
Régimen sancionador de DORA en España
DORA establece el marco sancionador mínimo, pero delega en los Estados miembro la fijación de las sanciones concretas. En España, la transposición del régimen sancionador de DORA se articula a través de las modificaciones en las leyes sectoriales (Ley 10/2014 para entidades de crédito, TRLMV para empresas de servicios de inversión, LOSSEAR para aseguradoras).
Las infracciones muy graves relacionadas con DORA pueden dar lugar a sanciones de hasta el 2% del volumen de negocios anual total de la entidad, o hasta el 1% del volumen de negocios diario promedio durante el período de infracción. Para las personas físicas en posiciones de responsabilidad, las sanciones pueden incluir también inhabilitación.
06
Errores frecuentes en proyectos de adecuación DORA
El error más habitual es tratar DORA como un proyecto exclusivamente de TI: el Reglamento tiene dimensiones jurídicas, contractuales, de gobierno corporativo y de cumplimiento normativo que requieren la participación activa del departamento legal, compliance y la alta dirección, no solo del equipo tecnológico.
Otro error frecuente es subestimar el trabajo contractual con proveedores TIC: adaptar todos los contratos relevantes a los requisitos DORA, especialmente cuando hay decenas de proveedores activos, es una tarea de gran envergadura que requiere coordinación entre legal, compras y TI durante meses.
Finalmente, no documentar el proceso de adecuación es un error crítico: DORA no solo exige cumplir, sino poder demostrar el cumplimiento ante el supervisor en cualquier momento. La trazabilidad documental de cada decisión, política y prueba realizada es tan importante como el cumplimiento sustantivo.