El sector financiero ya no “guarda” valor en una caja fuerte. Hoy lo guarda, y lo mueve, en infraestructuras digitales: aplicaciones, APIs, plataformas, centros de datos y servicios en la nube. Y eso tiene una consecuencia incómoda: si la tecnología se detiene, el negocio se detiene. No hablamos solo de un ciberataque. Hablamos también de caídas de proveedores, errores de configuración, interrupciones de telecomunicaciones, fallos en actualizaciones o incidentes operativos que, sin ser maliciosos, pueden paralizar servicios críticos.
Durante años, el enfoque dominante fue “proteger”: reforzar perímetros, endurecer accesos, mejorar antivirus, implantar controles de seguridad. DORA llega a cambiar el marco mental. No solo pide protección: exige resiliencia. Asume que, antes o después, algo fallará (por ataque o por accidente) y lo relevante es si la entidad puede:
- resistir el impacto,
- responder con rapidez,
- y recuperarse sin romper el servicio ni la confianza del mercado.
Ese es el salto: de la seguridad “como barrera” a la resiliencia “como capacidad operativa”.
Qué es el Reglamento DORA (Digital Operational Resilience Act)
El Reglamento DORA es el Reglamento (UE) 2022/2554, aprobado para establecer un marco común de resiliencia operativa digital en el sector financiero. Su objetivo es que las entidades financieras y determinados proveedores tecnológicos vinculados a ellas mantengan un nivel alto y consistente de capacidad para prevenir, detectar, responder y recuperarse de incidentes relacionados con las TIC (tecnologías de la información y la comunicación).
Una forma útil de definirlo, en lenguaje directo, es esta:DORA es una norma de resiliencia, no solo de ciberseguridad. No se limita a “evitar que ocurra un incidente”, sino que exige que, cuando ocurra (y DORA asume que ocurrirá), la organización tenga gobierno, controles, pruebas, procesos de notificación y gestión de terceros para sostener el servicio.
A quién aplica la normativa DORA
Una de las preguntas más frecuentes es directa: “¿Me afecta DORA?” La respuesta depende de si eres entidad financiera dentro del perímetro o si prestas servicios TIC a esas entidades de forma relevante.
DORA aplica a un amplio conjunto de entidades financieras reguladas en la UE y también introduce obligaciones específicas para la gestión y supervisión de proveedores TIC relevantes para esas entidades, con foco en continuidad y resiliencia operativa digital.
1) Entidades financieras (perímetro amplio)
DORA se aplica a un conjunto amplio de entidades del sector financiero (la lista exacta y el detalle están en el propio Reglamento). De forma orientativa, el perímetro incluye entidades como:
- entidades de crédito y otros participantes relevantes del sistema financiero,
- aseguradoras y reaseguradoras,
- gestoras y fondos (según tipología y marco aplicable),
- proveedores de servicios de pago y entidades relacionadas,
- y otros participantes regulados que prestan servicios financieros bajo supervisión.
2) Nuevos actores y ecosistema digital
El Reglamento refleja un mercado que ya no es solo banca/seguros “tradicional”. El ecosistema incluye modelos digitales y servicios intensivos en tecnología que también quedan cubiertos cuando encajan en las categorías reguladas.
3) La gran novedad: proveedores de servicios TIC
DORA eleva el listón en la relación con terceros tecnológicos. No se trata solo de “tener un contrato” o “confiar en el proveedor”. DORA incorpora un marco para el control del riesgo de terceros y crea mecanismos de supervisión para proveedores TIC considerados críticos (críticos para el sistema financiero por concentración y dependencia). Este punto es especialmente importante si eres proveedor: ya no estás “fuera del radar” solo por no ser una entidad financiera. Si tu servicio sostiene procesos críticos o importantes para clientes financieros, tu cliente estará obligado a exigirte evidencias, cláusulas, auditorías y garantías específicas bajo DORA.
Los 5 pilares fundamentales para el cumplimiento de DORA
Si necesitas una visión clara de “qué tengo que cubrir”, estos son los cinco pilares que aparecen de forma recurrente en guías, estándares y en el propio marco DORA:
1) Gestión de riesgos TIC
No basta con identificar riesgos: DORA exige gobernanza, responsabilidades, políticas, controles y trazabilidad. La resiliencia se gestiona como un sistema, no como un conjunto de parches.
2) Notificación de incidentes
DORA exige procesos de clasificación, notificación y reporte de incidentes TIC relevantes, con coherencia y rapidez. La lógica es clara: si un incidente puede afectar a la estabilidad o al servicio, el supervisor necesita visibilidad.
Un ejemplo normativo operativo (para entender la exigencia de tiempos) es el trabajo de las autoridades europeas en estándares técnicos sobre reporting de incidentes: la EBA publica borradores y estándares conjuntos con plazos propuestos y estructura de reportes.
3) Pruebas de resiliencia digital
La resiliencia no se declara, se prueba. DORA empuja a pruebas estructuradas, desde tests regulares hasta ejercicios avanzados en función del perfil y criticidad.
4) Gestión del riesgo de terceros TIC
Este pilar es, para muchas organizaciones, el más exigente: obliga a inventariar, evaluar, controlar y auditar relaciones con proveedores TIC que soportan funciones críticas o importantes.
Además, se han desarrollado estándares sobre el registro de información (register of information) de acuerdos con proveedores TIC, con plantillas y requisitos de mantenimiento.
5) Intercambio de información sobre amenazas
DORA fomenta mecanismos de cooperación e intercambio de información (cuando proceda) para elevar la capacidad colectiva de respuesta frente a amenazas.
Plazos y entrada en vigor del Reglamento DORA en 2026
La fecha clave es inequívoca: DORA es aplicable desde el 17 de enero de 2025. Al ser un Reglamento de la UE, es de aplicación directa (no depende de transposición nacional como una Directiva).
¿Y por qué tiene sentido hablar de “DORA en 2026”? Porque en 2026 muchas organizaciones siguen en fase de maduración real: evidencias, auditorías internas, refuerzo de proveedores, pruebas y adaptación continua. Además, las autoridades han insistido en la preparación y en que no hay periodo transitorio previsto: el cumplimiento debe sostenerse desde la fecha de aplicación.
En términos prácticos, esto significa:
- los supervisores (en España, según el ámbito: Banco de España, CNMV, DGSFP y autoridades competentes) esperan capacidad demostrable, no planes “en PowerPoint”.
- si en 2025 “activaste” el proyecto DORA, en 2026 debes estar en modo operación, con controles vivos, métricas, reportes y seguimiento de terceros.
Sanciones y consecuencias del incumplimiento de DORA
DORA no es un “marco de buenas prácticas”: es regulación. Y como tal, el incumplimiento puede conllevar consecuencias.
Con un enfoque prudente (sin alarmismo), lo importante para cualquier entidad o proveedor es entender el impacto real más allá de la multa:
- Impacto reputacional: en el sector financiero, la confianza es un activo. Un incidente mal gestionado o una debilidad regulatoria puede tener un coste reputacional superior al coste económico inmediato.
- Impacto operativo: interrupciones, pérdida de continuidad, costes de remediación, refuerzo urgente de controles, renegociación de contratos TIC, etc.
- Impacto de supervisión: mayores exigencias del supervisor, requerimientos adicionales, revisiones, presión sobre el gobierno y la gestión del riesgo.
DORA, además, refuerza la idea de que la resiliencia digital no es un asunto “solo de IT”. Es un tema de gobernanza, de responsabilidades y de capacidad de demostrar control. Esa exigencia se ve reflejada en comunicaciones de las autoridades europeas sobre la aplicación de DORA desde 2025 y la necesidad de estar preparados sin periodo transitorio.
Cumplir DORA no es solo “evitar problemas”. Es una declaración de solidez: demostrar a clientes, socios y supervisores que la entidad (o el proveedor) puede operar de forma fiable incluso bajo presión digital.
La resiliencia operativa digital se convierte, cada vez más, en un factor de confianza en el mercado. Y en un sector donde la confianza lo es todo, llegar tarde es caro: por esfuerzo de remediación, por tensión operativa y por exposición reputacional.Si necesitas aterrizar DORA en un plan real: diagnóstico, hoja de ruta, implantación de controles, revisión de terceros, documentación y cultura interna, puedes pedirnos información sin compromiso sobre nuestro servicio de Cumplimiento del Reglamento DORA.