DORA 2025: Transformando la Resiliencia Operativa en las Entidades Financieras

¿Cuántas veces has escuchado que la resiliencia operativa es “prioridad estratégica” para el sector financiero? Ahora, por fin, la UE ha decidido pasar de los discursos a las multas. DORA, el Reglamento 2022/2554, entra en vigor en enero de 2025 y, esta vez, no hay margen para el postureo: o se cumplen los controles, o se paga —y caro.

La paradoja de la resiliencia: mucho ruido, pocos controles

Durante años, las entidades financieras han invertido millones en planes de continuidad y simulacros de crisis que, en la práctica, rara vez superan el PowerPoint. El regulador lo sabe. Por eso, DORA no se limita a pedir “buenas prácticas”: exige, con artículos y fechas, pruebas tangibles de que los riesgos digitales están identificados, gestionados y, sobre todo, documentados. El artículo 12 obliga a realizar evaluaciones de riesgos TIC al menos una vez al año. ¿Tu entidad lo hace de verdad, o solo recicla el informe del año pasado cambiando la fecha?

La ironía es evidente: mientras los consejos de administración hablan de transformación digital, los mismos incidentes de siempre siguen colándose por las grietas de procesos obsoletos. El regulador europeo ha dejado de creerse los “planes de resiliencia” que nunca se prueban en serio. Ahora, la exigencia es clara: evidencia o sanción. Y no, no vale con el clásico "estamos en ello".

DORA en cifras: ¿quién está realmente afectado?

El alcance de DORA es, sencillamente, brutal. No se limita a los grandes bancos: fintech, aseguradoras, gestoras de fondos, proveedores de servicios de pago, incluso plataformas de crowdfunding entran en el radar. Y aquí viene la sorpresa: los proveedores TIC críticos —desde cloud hasta consultoras de ciberseguridad— también quedan sujetos a supervisión directa del supervisor europeo (art. 31 y siguientes). Si tu proveedor de core banking está en la lista, prepárate para auditorías cruzadas y requisitos de transparencia inéditos.

¿Cuántas entidades han revisado ya su cadena de suministro digital con lupa? Pocas. Y menos aún han evaluado el impacto de la supervisión directa sobre sus proveedores críticos. La mayoría sigue confiando en que "Amazon, Microsoft o Google ya tendrán todo esto resuelto". Error: DORA exige a las entidades que puedan demostrar control y supervisión sobre sus proveedores, no que deleguen la responsabilidad.

La extensión de DORA a proveedores TIC ha generado nerviosismo en el sector. Muchos contratos legacy ni siquiera contemplan la posibilidad de auditoría conjunta o rescisión por incumplimiento de requisitos de resiliencia. El regulador, esta vez, no va a aceptar excusas de “imposibilidad técnica” o “dependencia estructural”. Si el proveedor no cumple, la entidad tampoco.

Del papel a la realidad: controles técnicos y organizativos exigidos

La teoría ya la conocemos: “identificar, proteger, detectar, responder y recuperar”. Pero DORA baja al barro. El artículo 15 exige pruebas de resiliencia operativa digital —no vale con un simulacro anual de ransomware; hay que demostrar que los sistemas críticos pueden recuperarse en plazos definidos (y auditables). ¿Tienes ya un inventario actualizado de activos TIC, con propietarios claros y dependencias mapeadas? Porque el anexo I lo exige. ¿Y qué hay de los controles de acceso? El artículo 16 va más allá de un simple “password policy”: pide segregación de funciones y monitorización continua de privilegios.

En la práctica, esto se traduce en:

• Inventario de activos TIC con actualización al menos semestral y asignación de responsables (art. 8, Anexo I).
• Pruebas de recuperación de sistemas críticos con métricas de tiempo de recuperación (RTO) y punto de recuperación (RPO) documentadas y validadas.
• Monitorización continua de accesos privilegiados, con alertas automáticas y revisión periódica de logs.
• Segregación efectiva de funciones en procesos críticos: desarrollo, producción y administración no pueden depender de la misma persona o equipo.
• Planes de respuesta a incidentes que incluyan escenarios de ataque a la cadena de suministro y de fallo simultáneo de varios proveedores.

¿Cuántas entidades pueden demostrar que han probado la recuperación tras un ataque de ransomware en sus sistemas core en los últimos 12 meses? La mayoría sigue simulando incidentes menores, por miedo a descubrir lo obvio: que los procedimientos no aguantan la presión real.

Proveedores TIC: el talón de Aquiles del sector

La externalización TIC siempre ha sido el agujero negro de la gestión de riesgos. DORA lo sabe y mete el bisturí. El artículo 28 obliga a mapear todos los contratos relevantes, identificar proveedores críticos y, atención, definir cláusulas contractuales que permitan rescindir servicios si el proveedor incumple los requisitos de resiliencia. ¿Cuántos contratos legacy tienes que no cumplen ni la mitad de esto? El supervisor podrá pedirlos y revisarlos. Además, el artículo 30 exige que las entidades tengan planes de salida (exit plans) viables, no solo promesas en papel.

El reto no es menor: renegociar contratos con gigantes tecnológicos no es tarea fácil. Pero DORA no acepta la excusa de “el proveedor no lo permite”. Si el contrato no recoge la posibilidad de auditoría, rescisión o transferencia de datos segura en caso de fallo, la entidad está incumpliendo. Y el supervisor puede ordenar la interrupción del servicio si detecta riesgos sistémicos.

Los criterios de auditoría en materia de proveedores TIC serán especialmente duros. No basta con un “vendor risk assessment” anual. Se exige:

• Listado actualizado de todos los proveedores TIC, con clasificación de criticidad y dependencias.
• Contratos revisados y adaptados a los requisitos DORA, incluyendo cláusulas de auditoría, rescisión y continuidad de servicio.
• Planes de salida probados: simulacros de migración de servicios críticos a otro proveedor o a sistemas internos.
• Evaluación periódica del desempeño del proveedor, con métricas objetivas y acciones correctivas documentadas.

Si aún no has revisado tus contratos cloud, vas tarde. Y si dependes de un único proveedor para procesos críticos, el supervisor lo va a mirar con lupa.

Reporting de incidentes: adiós al silencio, hola a la transparencia forzada

La cultura del “mejor no contar nada hasta que pase la tormenta” se acabó. DORA, en su artículo 19, obliga a notificar incidentes graves en plazos que harían sudar a más de un CISO: notificación inicial en 4 horas desde la detección, actualización en 24 horas y reporte final en 72. Y no vale con decir “lo estamos investigando”: hay que detallar impacto, sistemas afectados y medidas tomadas. ¿Tienes ya un playbook de incidentes que permita cumplir estos plazos? Porque la excusa del “no sabíamos” no va a colar ante el supervisor.

El reporting bajo DORA va mucho más allá del mero cumplimiento formal. El supervisor exige:

• Registro cronológico de la detección, análisis y mitigación del incidente.
• Identificación precisa de sistemas y datos afectados.
• Evaluación del impacto operativo, financiero y reputacional.
• Comunicación interna y externa documentada, incluyendo notificaciones a clientes y autoridades.
• Lecciones aprendidas y acciones correctivas implementadas en menos de 30 días tras el incidente.

¿Tu entidad tiene automatizado el proceso de detección y escalado de incidentes? ¿O sigue dependiendo de llamadas telefónicas y correos cruzados? La diferencia, en 2025, será la multa o la supervivencia.

El reto de la auditoría: ¿cómo demostrar que se cumple DORA?

La pesadilla de cualquier responsable de cumplimiento: demostrar, con evidencias, que los controles existen y funcionan. DORA, en su artículo 24, exige auditorías internas independientes y, si el supervisor lo pide, auditorías externas. No basta con checklists: hay que mostrar logs, informes de pruebas de recuperación, contratos revisados y, sobre todo, evidencias de que los planes se han probado en la práctica. ¿Cuántas entidades pueden enseñar un informe de simulacro de fallo de proveedor cloud realizado en los últimos 12 meses, con lecciones aprendidas y acciones correctivas? Pocas, y lo saben.

El enfoque correcto pasa por:

• Establecer un calendario anual de auditorías temáticas DORA, cubriendo todos los pilares: gestión de riesgos TIC, controles técnicos, proveedores y reporting de incidentes.
• Utilizar herramientas de GRC (Governance, Risk and Compliance) que permitan trazar la evidencia desde la política hasta la ejecución.
• Incluir en las auditorías la revisión de pruebas de resiliencia, con simulacros documentados y análisis de brechas.
• Preparar "dossiers de cumplimiento" por cada área crítica, con evidencias listas para inspección sorpresa.
• Formar a los equipos en la generación y custodia de evidencias digitales, evitando la tentación de “fabricar” documentación a última hora.

El supervisor europeo no quiere papeles, quiere hechos. Y los quiere ahora.

¿Y ahora qué? Roadmap realista para 2025 (sin autoengaños)

Si tu entidad aún está en la fase de “creación de comité DORA”, vas tarde. Lo urgente:

• Mapea todos los activos TIC críticos y sus dependencias (art. 8 y Anexo I).
• Revisa todos los contratos con proveedores TIC, identifica los críticos y renegocia cláusulas de resiliencia y rescisión (art. 28-30).
• Desarrolla y prueba playbooks de respuesta a incidentes con reporting en los plazos exigidos (art. 19).
• Realiza al menos un simulacro realista de recuperación de sistemas críticos antes de fin de año (art. 15).
• Prepara evidencias de cumplimiento para auditoría interna y externa (art. 24).

Pero no te engañes: esto es solo el principio. El verdadero reto está en mantener la disciplina operativa a lo largo del tiempo. DORA exige revisión y mejora continua, no un sprint de seis meses para pasar la auditoría inicial.

¿Fácil? Ni de lejos. Pero el regulador esta vez no va de farol. Bruselas quiere ver resultados, no promesas.

Riesgos de cumplimiento: multas, reputación y algo peor

Muchos directivos aún creen que esto es solo otro “compliance project” más. Error. Las sanciones bajo DORA pueden superar los 10 millones de euros o el 2% de la facturación anual, según la gravedad y la reincidencia (art. 50). Pero el verdadero riesgo es otro: la pérdida de licencia para operar, la intervención del supervisor en los contratos TIC y, sobre todo, el daño reputacional si un incidente grave sale a la luz sin que la entidad haya demostrado controles efectivos. ¿Recuerdas el caso de TSB en Reino Unido tras el fiasco de su migración TIC? DORA quiere evitar exactamente eso, y no le temblará la mano.

El efecto dominó de un incumplimiento grave puede ser devastador. No solo por la multa, sino por la pérdida de confianza del mercado, la fuga de clientes y la presión de los inversores. Y, para las entidades cotizadas, el riesgo de litigios y demandas colectivas está más vivo que nunca. DORA no es solo una amenaza regulatoria: es una cuestión de supervivencia empresarial.

El papel del CISO y Compliance: del despacho a la sala de crisis

Hasta ahora, muchos CISO y responsables de cumplimiento vivían en mundos paralelos. DORA los obliga a sentarse juntos, diseñar controles cruzados y, sobre todo, a hablar el mismo idioma: riesgos, evidencias y respuesta. El CISO debe liderar la identificación de activos y amenazas, pero Compliance tiene que asegurarse de que todo queda documentado, reportado y listo para auditoría. ¿Tienes ya un comité operativo DORA con ambos perfiles? Si no, ve buscando hueco en la agenda.

El éxito del cumplimiento DORA depende de la colaboración real entre tecnología, riesgos y negocio. No basta con reuniones mensuales y actas formales. Se exige:

• Reuniones operativas semanales para revisar incidentes, controles y evidencias.
• Formación cruzada entre equipos técnicos y de cumplimiento, para entender los riesgos y los requisitos regulatorios.
• Simulacros conjuntos de crisis, con roles definidos y reporting en tiempo real.
• Implicación del consejo de administración en la supervisión del programa DORA, con reporting trimestral y aprobación explícita de los planes de resiliencia.

La era del CISO aislado y el compliance "de despacho" ha terminado. DORA exige liderazgo transversal y responsabilidad compartida.

Criterios de auditoría y controles: lo que realmente mirará el supervisor

Olvídate de los informes de consultora genéricos. El supervisor europeo quiere ver:

• Inventario detallado de activos TIC críticos, con responsables asignados (art. 8, Anexo I).
• Registros de pruebas de resiliencia digital (art. 15), incluyendo fechas, escenarios y resultados.
• Contratos con proveedores TIC críticos, con cláusulas de rescisión y planes de salida (art. 28-30).
• Playbooks de respuesta a incidentes y registros de notificaciones realizadas (art. 19).
• Informes de auditoría interna y externa, con evidencias de seguimiento de acciones correctivas (art. 24).

Pero, además, el supervisor valorará la trazabilidad de las acciones: ¿puedes demostrar que una vulnerabilidad detectada en una prueba de resiliencia se ha corregido y verificado? ¿Que los contratos con proveedores críticos se han revisado tras un incidente relevante? Aquí está el quid: la gestión documental y la trazabilidad serán el factor diferencial entre una entidad que cumple y otra que solo aparenta hacerlo.

Controles concretos y criterios de auditoría: bajando al detalle

Para pasar una auditoría DORA sin sudar frío, necesitas controles y evidencias tangibles. Algunos ejemplos prácticos:

• Control de acceso privilegiado: Registro automatizado de altas, bajas y modificaciones en cuentas privilegiadas, con revisión mensual por un responsable independiente.
• Pruebas de recuperación: Simulacro documentado de fallo total en el sistema de pagos, con tiempos de recuperación medidos y validados contra los objetivos RTO/RPO definidos.
• Gestión de incidentes: Playbook digitalizado con flujos de notificación automáticos, integración con sistemas de ticketing y generación automática de informes regulatorios.
• Supervisión de proveedores: Panel de control actualizado con el estado de cumplimiento de cada proveedor crítico, alertas de caducidad de contratos y seguimiento de acciones correctivas tras auditoría.
• Auditoría interna: Revisión cruzada de evidencias por equipos independientes, con trazabilidad de hallazgos y seguimiento de planes de acción hasta cierre.

¿Todo esto está ya en marcha en tu entidad? Si no, el tiempo corre en tu contra.

Cierre ejecutivo: DORA no es otra moda, es supervivencia

La tentación de ver DORA como “otro GDPR” es comprensible. Pero aquí no basta con un banner de cookies y un par de políticas. El futuro de la entidad —y de sus directivos— depende de la resiliencia real, no de la simulada. El regulador lo ha dejado claro: quiere menos promesas y más pruebas. ¿Estás preparado para enseñar las cartas?

La cuenta atrás ha empezado. Las entidades que vean DORA como una oportunidad para profesionalizar su resiliencia operativa saldrán reforzadas. Las que sigan confiando en el compliance de PowerPoint, probablemente no lleguen a ver el 2026 sin sustos —o sin sanciones. Y esta vez, el regulador no va a mirar hacia otro lado.

¿Tu entidad está lista para el examen sorpresa de DORA? Si la respuesta es sí, enhorabuena: tienes una ventaja competitiva real. Si no, toca ponerse las pilas. Porque en 2025, la resiliencia no se mide en intenciones, sino en evidencias. Y Bruselas ya ha dejado claro que no piensa esperar.