DORA · Reglamento del sector financiero de la UE

DORA: demostrar la resiliencia operativa digital en el sector financiero

El Reglamento de Resiliencia Operativa Digital (DORA, Reglamento (UE) 2022/2554) se aplica directamente en toda la UE desde el 17 de enero de 2025. Exige a las entidades financieras y a sus proveedores de servicios TIC no solo establecer la resiliencia operativa digital, sino demostrarla de forma continua — desde la gestión del riesgo TIC y la notificación de incidentes hasta un registro de información que cubra todos los contratos TIC. Esta página explica qué exige DORA, a quién se aplica (y a quién no), cómo funcionan conjuntamente los cinco pilares y cómo implementar los requisitos con Sightadel de forma estructurada y lista para auditoría.

¿Qué es DORA?

DORA es un reglamento de la UE y, por tanto, se aplica directamente — sin leyes de transposición nacional. Armoniza los requisitos de resiliencia operativa digital en todo el sector financiero europeo. En Alemania, BaFin es la autoridad de supervisión competente; a nivel de la UE, las tres autoridades de supervisión EBA, EIOPA y ESMA supervisan además directamente a los proveedores terceros TIC críticos.

La idea subyacente: las entidades financieras dependen hoy en gran medida de las TIC — tanto de sus propios sistemas como de proveedores de nube y proveedores de software. DORA traslada el foco de la mera adecuación de capital a si una entidad puede resistir, notificar y recuperarse de perturbaciones TIC graves. Para las entidades financieras, DORA es el régimen más específico frente a NIS2 (lex specialis): las organizaciones dentro del ámbito de DORA cumplen allí principalmente sus obligaciones de ciberseguridad.

El reglamento se desarrolla mediante normas técnicas de regulación y de ejecución (RTS/ITS) de las ESAs — por ejemplo, sobre el marco de gestión del riesgo TIC, la clasificación de incidentes y el registro de información.

¿A quién se aplica DORA — y a quién no?

DORA le aplica si …

… su organización pertenece a una de las aproximadamente 20 categorías de entidades financieras cubiertas por el reglamento. Entre ellas se incluyen, entre otras:

  • Entidades de crédito, entidades de pago y entidades de dinero electrónico.
  • Empresas de servicios de inversión, centros de negociación y gestoras de fondos.
  • Empresas de seguros y reaseguros, así como intermediarios de seguros de mayor tamaño.
  • Proveedores de servicios de criptoactivos conforme a MiCA.
  • Entidades de pensiones de empleo, agencias de calificación crediticia y proveedores de financiación participativa.

… o si usted presta servicios TIC a entidades financieras — por ejemplo, como proveedor de nube, de software o de centro de datos. Sus clientes deben acordar con usted disposiciones contractuales conformes a DORA (art. 30) e incluirle en su registro de información. Los proveedores terceros TIC designados como críticos están además sujetos a la supervisión directa de las ESAs.

DORA sigue el principio de proporcionalidad: el alcance y la profundidad de las medidas dependen del tamaño, el perfil de riesgo y la complejidad. A las microempresas y a determinadas categorías de entidades se les aplica un marco simplificado de gestión del riesgo TIC.

DORA no le aplica si …

… su organización no es ni una entidad financiera regulada ni un proveedor TIC de una de ellas. También existen algunas exenciones dentro del sector — por ejemplo, para intermediarios de seguros por debajo de ciertos umbrales de tamaño o entidades de pensiones de empleo muy pequeñas.

La salvedad: en cuanto una entidad financiera se encuentre entre sus clientes, los requisitos de DORA le alcanzan indirectamente a través de la gestión del riesgo de terceros de esta — incluso sin estar usted mismo supervisado.

Los cinco pilares de DORA

  • Gestión del riesgo TIC (art. 5–16). Un marco de gestión del riesgo documentado con una responsabilidad clara del órgano de dirección: identificación de funciones críticas, medidas de protección y detección, conceptos de copia de seguridad y recuperación.
  • Gestión y notificación de incidentes relacionados con las TIC (art. 17–23). Los incidentes deben registrarse, clasificarse según criterios uniformes y los incidentes graves notificarse a la autoridad dentro de plazos establecidos — con un informe inicial, intermedio y final.
  • Pruebas de resiliencia operativa digital (art. 24–27). Un programa de pruebas basado en el riesgo para todas las entidades; para las entidades designadas, además, pruebas de penetración basadas en amenazas (TLPT) al menos cada tres años.
  • Gestión del riesgo de terceros TIC (art. 28–44). Evaluación y supervisión de todos los proveedores TIC, disposiciones contractuales obligatorias (art. 30), estrategias de salida — y el registro de información que cubre todos los acuerdos contractuales, que debe facilitarse al supervisor a solicitud y con periodicidad anual.
  • Intercambio de información (art. 45). Intercambio voluntario de información sobre ciberamenazas entre entidades financieras.

El reto típico en la implementación de DORA

  • El registro de información como obra permanente. Mantener cientos de contratos TIC, cadenas de subcontratistas y funciones críticas en hojas de cálculo es propenso a errores — y la presentación al supervisor vence cada año.
  • Plazos de notificación sin un proceso rodado. Si un incidente es notificable se decide conforme a criterios de clasificación definidos — bajo presión de tiempo. Sin procedimientos y responsabilidades preparados, cada perturbación se convierte en un proyecto de crisis.
  • Trabajo duplicado junto a normas existentes. Gran parte de lo que exige DORA ya existe en un SGSI ISO 27001 o en evidencias C5 — pero se documenta por separado en lugar de vincularse.

Cómo Sightadel simplifica la implementación de DORA

Sightadel es el portal de cumplimiento dentro de la Pervigon Security Suite. Representa los requisitos de DORA a lo largo de los cinco pilares como un catálogo estructurado al que asigna medidas, responsables y evidencias — incluidos el registro de información y los procesos de incidentes.

Más rápido para empezar. El catálogo de DORA, incluidas las especificaciones RTS, está integrado en el portal. Asigna las medidas existentes y ve de inmediato dónde quedan brechas por pilar.
Un registro de información sin mantenimiento de hojas de cálculo. Los proveedores TIC, los contratos, las funciones críticas y los subcontratistas se registran de forma centralizada y se mantienen actualizados. La presentación anual se convierte en la recuperación de un estado mantenido, no en una carrera de última hora.
Procesos de incidentes con plazos. Los criterios de clasificación, los canales de notificación y los plazos de los informes inicial, intermedio y final se modelan como un proceso — con responsables y recordatorios listos antes de que ocurra el caso real.
Reutilización de evidencias. DORA se solapa considerablemente con ISO 27001, NIS2 y el BSI C5. Una evidencia registrada una sola vez — por ejemplo, sobre el control de acceso o las copias de seguridad — se asigna automáticamente a los requisitos relacionados de esas normas. La mantiene una vez, no por cada marco.
Sin consultores externos como muleta permanente. La lógica de asignación del dominio está integrada en el portal y respaldada por el núcleo neoAI. La evaluación prudencial de su caso específico sigue siendo tarea de sus funciones de cumplimiento y jurídica — el mantenimiento continuo lo lleva a cabo su propio equipo.

DORA con Sightadel en la práctica

  1. 1
    Registrar.Inventariar las funciones críticas, los sistemas TIC y todos los proveedores TIC; construir el registro de información.
  2. 2
    Evaluar.Análisis de brechas frente a los cinco pilares, plan de acción priorizado con responsables y plazos.
  3. 3
    Implementar.Documentar el marco de gestión del riesgo, establecer los procesos de incidentes y notificación, planificar el programa de pruebas, revisar los contratos para verificar su conformidad con el art. 30.
  4. 4
    Mantener.Mantener el registro actualizado, ejecutar pruebas y revisiones de forma recurrente, y mantener las evidencias disponibles en todo momento para el supervisor y la auditoría interna.

Preguntas frecuentes sobre DORA

El reglamento entró en vigor en enero de 2023 y se aplica desde el 17 de enero de 2025. No queda ningún período transitorio — los requisitos son exigibles desde entonces.

La resiliencia digital como un estado, no como un proyecto

DORA es una práctica de supervisión viva desde enero de 2025: las presentaciones del registro, las notificaciones de incidentes y las pruebas se repiten. Sightadel mantiene su estado de DORA continuamente actualizado — estructurado, auditable y sin que cada solicitud del supervisor desencadene un nuevo proyecto.

Vea su estado de DORA en Sightadel.

Solicitar una demo