DORA: Resiliencia Operativa Digital para Entidades Financieras

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es de aplicación obligatoria desde el 17 de enero de 2025 para todas las entidades financieras supervisadas en la Unión Europea: bancos, aseguradoras, empresas de inversión, entidades de pago, entidades de dinero electrónico, gestoras de fondos y proveedores críticos de servicios TIC al sector financiero. DORA establece cuatro pilares de cumplimiento: gestión del riesgo TIC (con un marco documentado y aprobado por el órgano de dirección), notificación de incidentes TIC graves a los supervisores competentes (Banco de España, CNMV, DGSFP), pruebas de resiliencia operativa digital (incluyendo TLPT —Threat-Led Penetration Testing— para las entidades significativas), y gestión del riesgo de proveedores TIC terceros con contratos que incorporen las cláusulas obligatorias de los Regulatory Technical Standards (RTS) de ESMA y EBA.

Por que DORA exige cambios operativos reales, no solo documentación

El Reglamento DORA es de aplicación obligatoria desde enero de 2025 para bancos, entidades de pago, empresas de inversión, aseguradoras, fondos y otras entidades financieras. A diferencia de muchas normas de cumplimiento, la resiliencia operativa digital bajo DORA no se limita a imponer requisitos de documentación: exige cambios operativos reales. Las brechas más frecuentes identificadas en los primeros meses de aplicación afectan a los contratos con proveedores cloud — la mayoría de entidades medianas no habian incorporado las cláusulas obligatorias del artículo 30 — y a la capacidad de notificación de incidentes dentro de los plazos regulatorios de 4 y 24 horas.

Muchas entidades medianas han infraestimado la complejidad del cumplimiento, especialmente en la gestión de proveedores TIC críticos y en el inventario completo de activos tecnológicos críticos.

Como implementamos el marco de cumplimiento DORA

Nuestro equipo de especialistas realiza el gap analysis DORA estructurado frente a los cuatro pilares del Reglamento y los RTS publicados por EBA y ESMA. A partir del análisis, implementamos el marco de gestión del riesgo TIC conforme al artículo 6, establecemos el protocolo de notificación de incidentes con los plazos y formatos exigidos, y auditamos y adecuamos los contratos con proveedores TIC para incorporar las cláusulas obligatorias.

Trabajamos con los equipos jurídicos internos y con los responsables de IT para garantizar que el marco de cumplimiento es operativo, no solo documental. La coordinación con el equipo de gestión del riesgo de terceros y con los servicios de auditoría de ciberseguridad es un elemento central de nuestra metodología para garantizar que los controles funcionan en tiempo real.

Marco regulatorio DORA en España: Banco de España y CNMV

El Reglamento DORA (2022/2554) es de aplicación directa en toda la UE desde el 17 de enero de 2025. El Banco de España y la CNMV son las autoridades competentes para las entidades bajo su supervisión en España. Las sanciones aplicables se remiten a la normativa sectorial: para entidades de crédito, la Ley 10/2014 permite multas de hasta el mayor de 10% de la facturación neta anual, el doble del beneficio obtenido, o 10 millones de euros para personas jurídicas. DORA es lex specialis respecto a NIS2 para entidades financieras: las entidades sujetas a DORA quedan exentas de NIS2 en las materias que DORA regula, pero deben coordinar ambos marcos cuando tienen actividades tanto financieras como no financieras.

Los RTS y las guías publicados por EBA, ESMA y EIOPA detallan los requisitos de cada pilar del Reglamento y son la referencia técnica para la implementación.

Resultados que puedes esperar

• Gap analysis DORA estructurado aprobable por el órgano de gobierno
• Marco de gestión del riesgo TIC conforme al artículo 6 del Reglamento
• Contratos con proveedores cloud y TIC actualizados con las cláusulas obligatorias del artículo 30
• Protocolo de notificación de incidentes grave con los plazos de 4 horas y 24 horas operativos
• Programa de pruebas de resiliencia digital incluyendo TLPT cuando aplique
• Registro completo de acuerdos con proveedores TIC conforme al artículo 28

El primer pilar de DORA es el marco de gestión del riesgo TIC. Para muchas entidades medianas, este nivel de gobernanza TIC es nuevo: existia una gestión operativa de la tecnología pero no el marco formal que DORA requiere. Nuestro trabajo de implementación parte siempre de lo que ya existe para construir sobre ello, evitando duplicidades. El mapa de riesgos de cumplimiento integra DORA junto con el resto del universo regulatorio aplicable a la entidad.

Los cuatro pilares de DORA: qué exige cada uno en la práctica

Pilar 1 — Gestión del riesgo TIC. El artículo 6 de DORA exige que el órgano de dirección apruebe formalmente el marco de gestión del riesgo TIC y sea responsable de su implementación. El marco debe identificar y clasificar los activos TIC críticos, establecer la tolerancia al riesgo de la entidad, documentar las políticas de continuidad y disponer de un proceso de revisión periódica. Para muchas entidades medianas, la principal brecha es la ausencia de un inventario completo de activos TIC y la falta de aprobación formal por el Consejo.

Pilar 2 — Notificación de incidentes TIC. DORA introduce un sistema de notificación escalonado: alerta temprana dentro de 4 horas para incidentes graves que afectan a la continuidad de servicios críticos, notificación inicial dentro de 24 horas, y reporte final dentro de un mes. El Banco de España y la CNMV son las autoridades receptoras. Los criterios para clasificar un incidente como “grave” están definidos en los RTS de EBA y ESMA y deben estar operativos en el protocolo interno de la entidad.

Pilar 3 — Pruebas de resiliencia operativa. Las entidades esenciales deben realizar al menos una vez cada tres años un TLPT (Threat-Led Penetration Test) coordinado con las autoridades supervisoras. Las demás entidades deben realizar pruebas periódicas de sus sistemas TIC críticos. Estas pruebas no son auditorías técnicas convencionales: el TLPT simula ataques basados en inteligencia de amenazas reales del sector y exige la participación de equipos de red team externos acreditados.

Pilar 4 — Gestión del riesgo de terceros TIC. Este es el pilar donde más brechas se han detectado. Los contratos con proveedores TIC (cloud, outsourcing de IT, SaaS crítico) deben incorporar las cláusulas obligatorias del artículo 30: derechos de acceso e inspección, plazos de notificación de incidentes, planes de continuidad del proveedor, condiciones de salida y portabilidad de datos. Muchos contratos con grandes proveedores cloud (Microsoft Azure, AWS, Google Cloud) son contratos de adhesión donde estas cláusulas están en los términos estándar pero necesitan verificación de que efectivamente cumplen los RTS de DORA.

Interacción entre DORA y NIS2: la regla lex specialis

Las entidades financieras sujetas a DORA están exentas de NIS2 en las materias que DORA regula de forma equivalente (artículo 4 de NIS2). Sin embargo, esta exención tiene matices importantes: si la entidad tiene actividades no financieras que la harían sujeto de NIS2, debe gestionar ambos marcos simultáneamente para esas actividades. Además, la exención de NIS2 no elimina otras obligaciones sectoriales: los grupos bancarios con filiales en sectores no financieros (seguros, gestión de activos, servicios de pago) deben mapear qué entidades del grupo están sujetas a qué norma.

Para los proveedores TIC críticos que prestan servicios a entidades financieras, DORA tiene consecuencias directas aunque no sean entidades financieras: pueden ser supervisados directamente por las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) si superan los umbrales de criticidad sistémica. El análisis de si un proveedor TIC cae en esta categoría es uno de los primeros pasos del gap analysis DORA.

Proveedores cloud y DORA: el contrato es la clave

Los contratos con proveedores cloud son el punto más crítico del cumplimiento DORA para la mayoría de las entidades financieras medianas. El artículo 30 del Reglamento es detallado sobre qué debe incluir el contrato: descripción completa de los servicios prestados, nivel de servicio con métricas verificables, derechos de auditoría e inspección (incluyendo in-situ), obligaciones de notificación de incidentes al cliente, planes de continuidad del proveedor, condiciones de subcontratación, y derechos de salida con plazos y portabilidad de datos.

Los contratos estándar de Microsoft Azure, AWS o Google Cloud no incluyen por defecto todas estas cláusulas en la forma exigida por DORA. Nuestro equipo revisa los contratos vigentes contra los requisitos de los RTS y gestiona las negociaciones con los proveedores para obtener las adendas o confirmaciones necesarias. Para los proveedores que no pueden modificar sus términos estándar (lo que es frecuente con los grandes hyperscalers), documentamos la base de cumplimiento alternativa y el análisis de riesgo residual.