DORA: qué entidades obliga, desde cuándo y qué tienen que hacer
El Reglamento de Resiliencia Operativa Digital dejó de ser un proyecto futuro: ya se aplica. Quién entra en su ámbito, qué exige sobre riesgo tecnológico, incidentes, pruebas y proveedores, y por dónde empezar si llegas tarde.
Durante años, la ciberseguridad del sector financiero vivió repartida en guías, circulares y expectativas supervisoras dispersas. DORA —el Digital Operational Resilience Act— lo unifica en un único reglamento europeo de aplicación directa. Y como es un reglamento, no se «transpone»: se cumple. Desde enero de 2025.
Qué es DORA y desde cuándo se aplica.
DORA es el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. Su objetivo, según el propio art. 1, es lograr «un elevado nivel común de resiliencia operativa digital» mediante requisitos uniformes de seguridad de las redes y los sistemas que sostienen el negocio financiero. Es aplicable desde el 17 de enero de 2025.
«A fin de lograr un elevado nivel común de resiliencia operativa digital, el presente Reglamento establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras» en materia de gestión del riesgo TIC, notificación de incidentes graves, pruebas de resiliencia, gestión del riesgo de terceros y supervisión de los proveedores esenciales.
Art. 1 — Reglamento (UE) 2022/2554 (DORA). Ver en EUR-Lex →¿A quién obliga? (probablemente, a ti).
El art. 2 contiene una lista deliberadamente larga. DORA no es «cosa de bancos»: alcanza a prácticamente todo el perímetro financiero regulado, e incluso a sus proveedores tecnológicos.
| Bloque | Incluye, entre otras |
|---|---|
| Banca y pagos | Entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas, entidades de dinero electrónico |
| Mercados e inversión | Empresas de servicios de inversión, depositarios centrales de valores, entidades de contrapartida central, centros de negociación, registros de operaciones |
| Gestión de activos | Gestores de fondos de inversión alternativos, sociedades de gestión, fondos de pensiones de empleo |
| Seguros | Empresas de seguros y reaseguros, intermediarios de seguros y reaseguros |
| Cripto y otros | Proveedores de servicios de criptoactivos y emisores de fichas referenciadas a activos (MiCA), agencias de rating, plataformas de financiación participativa |
| Tecnología | Proveedores terceros de servicios TIC (incluido el régimen de supervisión de los «esenciales») |
Hay exclusiones y proporcionalidad —por ejemplo, los intermediarios de seguros que sean microempresas o pymes, o ciertos gestores y fondos pequeños quedan fuera (art. 2.3)—, pero el punto de partida sensato es asumir que entras y buscar la excepción, no al revés.
Los cinco pilares.
DORA se organiza en cinco bloques de obligaciones. Conviene tenerlos como mapa:
- Gestión del riesgo TIC. El art. 6 exige un «marco de gestión del riesgo relacionado con las TIC sólido, completo y bien documentado», integrado en el sistema global de gestión de riesgos y bajo responsabilidad del órgano de dirección.
- Gestión y notificación de incidentes. Clasificar los incidentes relacionados con las TIC y notificar los graves a la autoridad competente (y, voluntariamente, las ciberamenazas importantes).
- Pruebas de resiliencia operativa digital. Un programa de pruebas periódicas; y para las entidades significativas, pruebas avanzadas de penetración basadas en amenazas.
- Riesgo de terceros TIC. Requisitos contractuales con los proveedores y vigilancia de la dependencia tecnológica.
- Intercambio de información sobre ciberamenazas y vulnerabilidades.
«Las entidades financieras contarán con un marco de gestión del riesgo relacionado con las TIC sólido, completo y bien documentado como parte de su sistema global de gestión de riesgos, que les permita hacer frente al riesgo relacionado con las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital.»
Art. 6.1 — DORA. Ver en EUR-Lex →El detalle que pilla a muchos: las pruebas TLPT.
El art. 26 introduce las pruebas de penetración basadas en amenazas (Threat-Led Penetration Testing). No son para todos: quedan reservadas a las entidades de mayor relevancia —excluidas las microempresas— y deben realizarse al menos cada tres años, con margen para que la autoridad ajuste esa frecuencia según el perfil de riesgo.
Las entidades financieras significativas «llevarán a cabo al menos cada tres años pruebas avanzadas consistentes en pruebas de penetración basadas en amenazas». La autoridad competente podrá pedir reducir o aumentar esa frecuencia.
Art. 26.1 — DORA. Ver en EUR-Lex →DORA no acaba en el reglamento.
El reglamento es el esqueleto; el detalle operativo vive en las normas técnicas de regulación y ejecución (RTS e ITS) que desarrollan las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA), más sus directrices. Para un equipo de cumplimiento, el reto real no es leer DORA una vez, sino seguir el goteo de normativa de desarrollo y mantener el gap analysis al día.
Un gap analysis de DORA solo vale si cita el artículo correcto.
SuperLawyer conecta tu asistente de IA con el texto consolidado de DORA, sus RTS/ITS y el resto del corpus financiero (MiCA, CRR, MiFID), además de las directrices de EBA, ESMA y EIOPA. Pídele un mapa de obligaciones o una nota de impacto y la devolverá con el artículo exacto citado —no con una paráfrasis aproximada que luego hay que rehacer. Pensado para compliance officers que responden ante el supervisor.
Solicitar acceso →Preguntas frecuentes.
¿Desde cuándo se aplica DORA?
El Reglamento (UE) 2022/2554 se adoptó el 14 de diciembre de 2022 y es aplicable desde el 17 de enero de 2025. Al ser un reglamento, rige directamente en toda la UE sin transposición nacional.
¿A qué entidades obliga DORA?
A un catálogo amplio del art. 2: entidades de crédito, de pago y de dinero electrónico, ESI, proveedores de criptoactivos, depositarios centrales, ECC, centros de negociación, gestoras de fondos, aseguradoras y reaseguradoras, fondos de pensiones de empleo, agencias de rating y crowdfunding, entre otras. También a los proveedores terceros de servicios TIC.
¿Cuáles son los pilares de DORA?
Cinco: gestión del riesgo TIC, gestión y notificación de incidentes, pruebas de resiliencia operativa digital, gestión del riesgo de terceros TIC e intercambio de información sobre ciberamenazas.
¿Cada cuánto hay que hacer las pruebas de penetración?
Las pruebas avanzadas basadas en amenazas (TLPT) se realizan al menos cada tres años y solo aplican a las entidades significativas (no a microempresas), según el art. 26.
Este artículo tiene finalidad divulgativa y no constituye asesoramiento jurídico. La normativa de desarrollo (RTS/ITS) de DORA evoluciona; verifica siempre la versión vigente en EUR-Lex y las publicaciones de las Autoridades Europeas de Supervisión.