La Primera Prueba Real de DORA: Registro de Información con Plazo en Marzo 2026
DORA es de aplicación desde enero de 2025, pero marzo de 2026 marca su primera prueba operativa real. Las instituciones financieras de toda la UE deben presentar su Registro de Información (ROI) ante las autoridades supervisoras nacionales antes del 20 de marzo de 2026. No es un plazo futuro — está ocurriendo ahora.
Qué Es el Registro de Información
Bajo el artículo 28(3) de DORA, las entidades financieras deben mantener un registro que documente todos los acuerdos contractuales para servicios TIC proporcionados por proveedores terceros. Este registro debe reportarse anualmente a las autoridades competentes nacionales, que luego proporcionan datos agregados a las Autoridades Europeas de Supervisión (ESAs) para apoyar la designación de proveedores TIC terceros críticos.
En términos claros: los reguladores quieren ver exactamente de qué proveedores tecnológicos depende tu institución financiera, y cómo.
Plazos de Marzo 2026
| País | Autoridad | Plazo de Presentación |
|---|---|---|
| Países Bajos | DNB | 20 marzo 2026 |
| Países Bajos | AFM | 22 marzo 2026 |
| Malta | MFSA | Q1 2026 |
| Bélgica | NBB | Q1 2026 |
| Alemania | BaFin | Q1 2026 |
| Luxemburgo | CSSF | Q1 2026 |
| Austria/Liechtenstein | FMA | Q1 2026 |
| Croacia | HANFA | Q1 2026 |
Todos los datos deben reflejar el estado a 31 de diciembre de 2025.
Qué Debe Reportarse
El Registro de Información debe documentar cada acuerdo con proveedores TIC terceros, incluyendo:
- Identificación del proveedor — razón social, LEI, país de establecimiento
- Detalles del servicio — qué servicios TIC se proporcionan, si soportan funciones críticas o importantes
- Términos contractuales — fecha de inicio, duración, período de preaviso, condiciones de terminación
- Ubicación de datos — dónde se almacenan y procesan los datos
- Cadenas de subcontratación — qué subcontratistas participan y sus detalles
- Estrategias de salida — planes documentados para la transición desde cada proveedor
- Evaluación de riesgos — evaluación de la criticidad y sustituibilidad del proveedor
Formato de Presentación
Las instituciones pueden presentar mediante:
- Archivo xBRL-CSV — siguiendo las reglas de validación de la EBA (formato preferido)
- Plantilla Excel estandarizada — algunas autoridades (como DNB) ofrecen esto como alternativa
La plantilla no ha cambiado respecto a 2025, pero los reguladores esperan presentaciones más maduras este año — con documentación detallada de subcontratistas y evidencia de mitigación de riesgos continua, no solo una lista básica de proveedores.
Por Qué Importa Más Allá del Cumplimiento
Riesgo de Concentración TIC
Las ESAs usarán los datos agregados de toda la UE para identificar riesgos sistémicos de concentración TIC. Si miles de instituciones financieras dependen de los mismos tres proveedores cloud, ese es un riesgo sistémico que los reguladores necesitan entender y gestionar.
Designación de Proveedores Terceros Críticos
Basándose en los registros presentados, las ESAs designarán proveedores TIC terceros críticos que enfrentarán supervisión directa a nivel de la UE. Este es el mecanismo que pone a los grandes proveedores cloud, operadores de centros de datos y proveedores de software financiero bajo supervisión regulatoria directa por primera vez.
Tu Propia Conciencia de Riesgo
El ejercicio de compilar el registro obliga a las instituciones financieras a confrontar sus propias dependencias TIC. Muchas organizaciones descubren durante este proceso que:
- Tienen más dependencias TIC de terceros de las que pensaban
- Carecen de estrategias de salida para proveedores críticos
- No saben dónde almacenan los datos los subcontratistas de sus proveedores
- No pueden identificar puntos únicos de fallo en su cadena de suministro TIC
Qué Hacer Ahora
Si No Has Empezado
Vas tarde, pero no demasiado. Céntrate en:
- Identificar todos los contratos de servicios TIC — cloud, SaaS, servicios gestionados, feeds de datos, infraestructura de mercado, TI externalizada, proveedores de API
- Recopilar información de subcontratación — contacta proveedores para documentar sus cadenas de subcontratación
- Documentar estrategias de salida — planes básicos son mejor que nada
- Usar la plantilla estandarizada — descárgala del sitio web de tu autoridad nacional
Si Ya Has Presentado Antes
Las expectativas de 2026 son más altas:
- Actualizar detalles de subcontratistas — los reguladores esperan cadenas de subcontratación completas este año
- Fortalecer documentación de estrategias de salida — pasar de planes genéricos a procedimientos de transición accionables
- Validar calidad de datos — asegurar que los LEIs son correctos y no faltan acuerdos
- Revisar evaluaciones de riesgos — actualizar evaluaciones de criticidad y sustituibilidad
Qué Viene Después
Tras las presentaciones de marzo 2026:
- Las ESAs agregan datos a finales de Q1 2026
- Designación de proveedores TIC terceros críticos en H2 2026
- Comienza la supervisión directa de los proveedores designados
- El reporte 2027 requerirá datos aún más granulares
Nuestra Opinión
El ROI es el primer hito tangible de enforcement de DORA, y revela si las instituciones financieras realmente entienden sus dependencias TIC. Las instituciones que traten esto como un ejercicio de gobernanza — no solo un trámite — estarán mejor preparadas para todo lo que DORA trae después.
¿Necesitas mapear tu postura de cumplimiento en DORA y otros marcos? Inicia una evaluación gratuita en Metrica.uno.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
EU AI Act: El Digital Omnibus Propone Retrasar los Plazos de Alto Riesgo a 2027
La propuesta del Digital Omnibus de la UE retrasaría la mayoría de la aplicación de alto riesgo del AI Act de agosto 2026 a finales de 2027. Qué significa para tu plan de cumplimiento.
NIS2 en 2026: Llega el Cybersecurity Act 2 Mientras los Países Corren a Transponer
El Cybersecurity Act 2 de la UE refuerza NIS2 mientras muchos estados miembros aún transponen. Alemania lidera, otros se retrasan. El panorama actual.
Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el CRA: a quién aplica, requisitos de seguridad para productos digitales, obligaciones de SBOM y consecuencias del incumplimiento.