DORA Explicado: A Quién Afecta, Requisitos y Sanciones
El Reglamento de Resiliencia Operativa Digital (DORA) es la regulación de la UE para garantizar que el sector financiero pueda resistir, responder y recuperarse de disrupciones relacionadas con las TIC. Las finanzas no pueden permitirse parar — y DORA se asegura de que las organizaciones traten la resiliencia digital tan seriamente como la resiliencia financiera.
DORA es de aplicación desde enero de 2025. Si estás en servicios financieros y no has empezado, ya llegas tarde.
¿A Quién Afecta DORA?
DORA lanza una red amplia sobre el ecosistema financiero:
Entidades Financieras
- Bancos e instituciones de crédito
- Empresas de inversión
- Compañías de seguros y reaseguros
- Instituciones de pago y de dinero electrónico
- Proveedores de servicios de criptoactivos
- Depositarios centrales de valores
- Centros de negociación
- Registros de operaciones
- Gestoras de fondos
- Agencias de calificación crediticia
- Proveedores de servicios de crowdfunding
Proveedores TIC Críticos de Terceros
Este es el cambio de juego. DORA no solo regula a las entidades financieras — crea un marco de supervisión directa para sus proveedores TIC críticos. Si eres proveedor cloud, operador de centro de datos, proveedor de software o de servicios gestionados para instituciones financieras, puedes ser designado como “proveedor TIC crítico de terceros” y quedar sujeto a supervisión regulatoria directa.
Tamaño y Alcance
DORA aplica a prácticamente todas las entidades financieras reguladas en la UE, con principios de proporcionalidad para entidades más pequeñas. Las microempresas (menos de 10 empleados y menos de 2M€ de facturación) tienen requisitos simplificados, pero no están exentas.
Requisitos Clave
1. Marco de Gestión de Riesgos TIC
Las entidades financieras deben establecer un marco integral de gestión de riesgos TIC que incluya:
- Estructuras de gobernanza con responsabilidad clara a nivel directivo
- Identificación, clasificación y documentación de riesgos TIC
- Medidas de protección y prevención
- Detección de actividades anómalas
- Planes de respuesta y recuperación
- Aprendizaje y evolución a partir de incidentes
- Protocolos de comunicación para partes interesadas
2. Notificación de Incidentes TIC
DORA establece un régimen de notificación de incidentes estructurado:
| Plazo | Obligación |
|---|---|
| 4 horas | Notificación inicial a la autoridad competente (tras clasificación) |
| 24-72 horas | Informe intermedio con detalles actualizados |
| 1 mes | Informe final con causa raíz y remediación |
Los incidentes TIC graves también deben comunicarse a los clientes si sus intereses financieros se ven afectados.
3. Pruebas de Resiliencia Operativa Digital
Las entidades financieras deben probar sus sistemas TIC regularmente:
- Pruebas básicas (todas las entidades): evaluaciones de vulnerabilidades, pruebas de seguridad de red, análisis de brechas, revisiones de código fuente, pruebas de rendimiento
- Pruebas avanzadas (entidades significativas): Pruebas de Penetración Dirigidas por Amenazas (TLPT) al menos cada 3 años
4. Gestión de Riesgos de Terceros
Las organizaciones deben gestionar los riesgos de proveedores TIC durante todo el ciclo de vida de la relación:
- Due diligence y evaluación de riesgos precontractual
- Requisitos contractuales (niveles de servicio, derechos de auditoría, localización de datos, estrategias de salida)
- Monitorización y revisión continua del rendimiento
- Estrategias de salida — debes poder cambiar de proveedor sin interrumpir servicios críticos
5. Intercambio de Información
DORA fomenta (pero no obliga) el intercambio de inteligencia sobre ciberamenazas entre entidades financieras.
Por Qué DORA Importa
- Riesgo sistémico: Un solo fallo TIC en una institución financiera importante puede extenderse por todo el sistema financiero. DORA lo previene.
- Protección del cliente: Cuando los bancos se caen, la gente no puede pagar el alquiler, comprar comida ni recibir su nómina. DORA garantiza la continuidad.
- Armonización: Antes de DORA, cada país de la UE tenía reglas diferentes de riesgo TIC para las finanzas. DORA crea un estándar único.
- Supervisión cloud: Por primera vez, los proveedores cloud críticos que sirven a instituciones financieras se enfrentan a supervisión regulatoria directa.
Qué Pasa Si No Cumples
Las Sanciones
Las sanciones de DORA son determinadas por las autoridades competentes nacionales y pueden incluir:
- Pagos periódicos de penalización
- Amonestaciones públicas
- Prohibición temporal de funciones directivas
- Órdenes de cesar prácticas específicas
- Multas administrativas
Para proveedores TIC críticos de terceros, el marco de supervisión de la UE puede imponer:
- Pagos de penalización de hasta el 1% de la facturación diaria global por día de incumplimiento
- Requisitos de remediación
- Restricciones temporales para prestar servicios a entidades financieras
Un Escenario Que Nadie Quiere Vivir
Este es un escenario ilustrativo basado en patrones reales de disrupción operativa.
Un banco regional con 200.000 clientes depende de un único proveedor cloud para su plataforma de banca core. El proveedor sufre una caída de 48 horas por un fallo en cascada de infraestructura.
El banco no tiene plan de continuidad de negocio probado para este escenario. Sin sitio de recuperación, sin failover probado, sin procedimientos manuales para servicios críticos.
El impacto:
- 200.000 clientes no pueden acceder a sus cuentas durante 48 horas
- Los cajeros automáticos se caen en toda la región
- Las nóminas programadas para el viernes rebotan para 30.000 empleados
- El pánico en redes sociales comienza
- Los comercios no pueden procesar pagos con tarjeta
La investigación regulatoria revela:
- El banco nunca probó su plan de recuperación
- No se realizó evaluación de riesgos de terceros sobre el proveedor cloud
- No existía estrategia de salida — el banco dependía al 100% de un solo proveedor
- El CIO aprobó el contrato cloud sin revisar los términos de resiliencia
- El consejo nunca fue informado sobre el riesgo de concentración TIC
Bajo DORA: Sanciones regulatorias, plan de remediación obligatorio, divulgación pública, posible inhabilitación del CIO. La reputación del banco tarda años en recuperarse.
Cómo Empezar
1. Mapea Tu Paisaje TIC
Documenta cada sistema, servicio y proveedor TIC que soporta tus operaciones financieras. Identifica dependencias, puntos únicos de fallo y funciones críticas.
2. Evalúa Riesgos de Terceros
Evalúa cada proveedor TIC contra los requisitos de DORA: localización de datos, derechos de auditoría, estrategias de salida, cadenas de subcontratación. Actualiza contratos donde sea necesario.
3. Construye Respuesta a Incidentes
Establece clasificación de incidentes TIC, flujos de notificación y protocolos de comunicación alineados con los plazos de DORA (4h/24-72h/1 mes).
4. Prueba Tu Resiliencia
Empieza con pruebas básicas (evaluaciones de vulnerabilidades, análisis de brechas) y planifica TLPT si eres una entidad significativa. Prueba tus planes de continuidad — no solo en papel, sino con ejercicios reales.
5. Involucra al Consejo
DORA requiere responsabilidad a nivel de consejo para el riesgo TIC. Asegura que el órgano de dirección entiende sus obligaciones y recibe informes regulares de riesgo TIC.
DORA no pregunta si sufrirás una disrupción TIC — asume que lo harás. La pregunta es si sobrevivirás con tus operaciones, reputación y clientes intactos. Empieza a prepararte ahora.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el CRA: a quién aplica, requisitos de seguridad para productos digitales, obligaciones de SBOM y consecuencias del incumplimiento.
ENS (Esquema Nacional de Seguridad): Requisitos y Certificación
Todo lo que necesitas saber sobre el ENS: quién lo necesita, requisitos de seguridad, niveles de certificación y por qué es imprescindible para contratos con la Administración Pública.
EU AI Act Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el EU AI Act: clasificación de riesgo, requisitos de cumplimiento, a quién aplica y qué pasa si no cumples.