¿A quién aplica DORA?

DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.

¿Desde cuándo es de obligado cumplimiento DORA?

DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.

¿Qué exige el registro de proveedores TIC de DORA?

Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).

DORA 2025: Transformando la Resiliencia Operativa en el Sector Financiero

¿Cuántas veces has oído que la próxima gran regulación europea va a cambiarlo todo? Esta vez, la amenaza es real. DORA —el Reglamento de Resiliencia Operativa Digital— entra en vigor en enero de 2025 y, a diferencia de otras normativas que se han quedado en papel mojado o en auditorías de postureo, aquí los reguladores van en serio. Si eres CISO, responsable de cumplimiento o simplemente te toca lidiar con los proveedores TIC de tu entidad financiera, te conviene leer hasta el final. No hay atajos, ni margen para la improvisación.

Por qué DORA no es “más de lo mismo”

El sector financiero europeo lleva años acumulando normativas: GDPR, NIS, PSD2, y ahora el AI Act. Pero DORA (Reglamento (UE) 2022/2554) no es una simple actualización ni un refrito de controles técnicos. Su ambición es otra: crear un marco homogéneo y obligatorio para la resiliencia operativa digital, con obligaciones muy concretas y sanciones que no admiten excusas. El regulador ha dejado claro que el “tick the box” ya no vale. Aquí se exige evidencia real de que los sistemas pueden resistir, recuperarse y aprender de incidentes, incluso en escenarios extremos.

¿El matiz? DORA no solo mira a la ciberseguridad, sino a toda la cadena tecnológica: desde el core bancario hasta el proveedor de servicios cloud en la otra punta de Europa. Y, por si fuera poco, incluye por primera vez a los proveedores TIC críticos en el perímetro regulatorio. Si tu entidad depende de Amazon Web Services, Microsoft Azure o cualquier otro gigante, prepárate para un escrutinio sin precedentes.

Obligaciones clave: mucho más que un plan de contingencia

El texto de DORA es largo y, como suele pasar, no está escrito para humanos. Pero hay artículos que cualquier responsable de riesgos debería tener grabados a fuego:

Artículo 12: exige la gestión continua de riesgos TIC, con identificación, protección, detección, respuesta y recuperación. Ni un solo eslabón fuera del radar.
Artículo 15: obliga a realizar pruebas periódicas de resiliencia operativa digital, incluyendo “threat-led penetration testing” (TLPT) para entidades significativas. No vale con un test de vulnerabilidades anual y un informe bonito para el consejo.
Artículo 17: establece requisitos estrictos para la gestión de incidentes, incluyendo la notificación en plazos muy ajustados (máximo 4 horas para incidentes graves, según los RTS en desarrollo).
Artículo 28: regula la gestión de riesgos en la cadena de suministro TIC, con obligaciones de diligencia debida, monitorización continua y derechos de auditoría contractual sobre proveedores críticos.

¿Te suena a déjà vu? Olvídalo. DORA introduce controles de auditoría cruzada, reporting centralizado y la capacidad de los supervisores para imponer medidas correctivas directas a proveedores, incluso si están fuera de la UE. Aquí no hay coartada de “externalización” que valga.

El reto operativo: ¿quién lidera la orquesta?

Implementar DORA no es un proyecto de compliance clásico. Implica coordinar a tecnología, riesgos, jurídico, compras y negocio. Y aquí empiezan los problemas. ¿Quién asume el mando cuando hay que decidir si un proveedor cloud cumple los requisitos del artículo 28? ¿O cuándo toca priorizar inversiones entre ciberseguridad y continuidad de negocio?

Las entidades que lo están haciendo bien han creado comités multidisciplinares, con reporting directo al consejo. Otras, en cambio, siguen en la fase de “mandar emails” y esperar a que alguien más se haga cargo. Spoiler: en 2025, el regulador no va a aceptar excusas de “no era mi responsabilidad”.

Un ejemplo real: un banco mediano español ha tenido que renegociar todos sus contratos cloud para incluir cláusulas de auditoría y acceso a logs, como exige DORA. ¿El resultado? Meses de tiras y aflojas legales y, finalmente, una subida de precios del proveedor. Pero la alternativa —no cumplir— ni se contempla. El riesgo reputacional y las sanciones potenciales son inasumibles.

Gestión de proveedores TIC: el eslabón más débil (y más caro)

Si hay un punto donde DORA realmente aprieta, es en la gestión de terceros. El artículo 28 y siguientes no dejan lugar a dudas: la entidad financiera es responsable última, aunque subcontrate. Esto implica mapear todos los servicios TIC críticos, hacer due diligence real (no solo rellenar cuestionarios estándar) y monitorizar de forma continua.

La ironía es que, mientras los bancos han invertido millones en firewalls y SIEMs, el mayor riesgo puede estar en un proveedor de software de nicho que ni siquiera tiene ISO 27001. DORA obliga a tener un inventario actualizado de todos los proveedores TIC, con clasificación de criticidad y planes de contingencia específicos. Y sí, eso incluye el derecho a auditar físicamente los centros de datos de tus proveedores, aunque estén en Frankfurt o Varsovia.

Un punto especialmente polémico: los proveedores “concentrados” (los que dan servicio a varias entidades a la vez) estarán bajo la lupa de la EBA y los supervisores nacionales. Aquí no vale con confiar en la reputación del proveedor: hay que exigir pruebas de resiliencia y planes de recuperación testados. Si tu proveedor no quiere firmar, ya sabes lo que toca.

Gestión de incidentes: velocidad, transparencia y reporting forzado

La gestión de incidentes bajo DORA es todo menos discreta. El artículo 17 y los RTS asociados obligan a notificar incidentes graves en menos de 4 horas desde su detección. Y no vale con un email al supervisor: hay que aportar información detallada sobre impacto, causa raíz, medidas tomadas y plan de recuperación.

¿El problema? Muchas entidades siguen sin tener procesos de detección y escalado suficientemente ágiles. El típico “descubrimos el incidente el viernes, pero lo reportamos el lunes” ya no cuela. DORA exige trazabilidad, registros de auditoría y, en algunos casos, comunicación pública a clientes afectados.

Un caso reciente: una fintech europea sufrió un ransomware y, al intentar notificar según DORA, descubrió que su proveedor cloud no facilitaba los logs necesarios para analizar el alcance. Resultado: sanción y obligación de revisar todo el modelo de relación con terceros. Aquí la transparencia no es opcional, es supervivencia regulatoria.

Pruebas de resiliencia digital: del PowerPoint al “crash test” real

El artículo 15 de DORA introduce una novedad que ha puesto nervioso a más de un CISO: las pruebas de resiliencia operativa digital lideradas por amenazas reales (TLPT). No hablamos de simples simulacros o test de penetración de manual, sino de ejercicios coordinados que simulan ataques avanzados, con participación de equipos rojos y supervisión del regulador.

¿Quién debe hacer estas pruebas? Todas las entidades consideradas “significativas”, según criterios de tamaño, complejidad y criticidad sistémica. El objetivo es doble: identificar puntos ciegos y demostrar al supervisor que los controles funcionan bajo presión real. Y, por si fuera poco, los resultados deben compartirse con el regulador y, en algunos casos, con otras entidades del sector.

La experiencia de Reino Unido con CBEST y de la eurozona con TIBER-EU ha servido de base, pero DORA va más allá: exige un ciclo de mejora continua, con lecciones aprendidas y planes de acción concretos tras cada ejercicio. Si tu entidad aún no ha hecho un TLPT real, el tiempo corre en tu contra.

¿Y si no cumplo? Sanciones, reputación y el “efecto domino”

El texto de DORA es elegante, pero las consecuencias de incumplirlo son todo menos sutiles. Las sanciones administrativas pueden alcanzar varios millones de euros, según la gravedad y la reincidencia (aunque los importes exactos se fijarán a nivel nacional, la referencia son las multas GDPR: hasta el 2% del volumen de negocio anual global). Pero el verdadero castigo es otro: la pérdida de confianza de clientes y contrapartes, la obligación de cesar relaciones con proveedores críticos y, en casos extremos, la intervención directa del supervisor.

Un riesgo poco comentado: el “efecto domino” en la cadena de suministro. Si un proveedor TIC crítico cae por un incidente o una sanción, todas las entidades que dependen de él quedan expuestas. DORA obliga a tener planes de contingencia y sustitución, pero la realidad es que cambiar de proveedor en pleno incidente es, en el mejor de los casos, una pesadilla logística y legal.

¿La moraleja? No basta con cumplir la letra de la ley. Hay que anticiparse, testear y —sobre todo— documentar cada decisión y cada control. El regulador ya no acepta promesas, solo hechos y evidencias.

Roadmap realista: cómo llegar a enero de 2025 sin perder la cabeza (ni la licencia)

Si has llegado hasta aquí esperando una receta mágica, siento decepcionarte. DORA exige un cambio de mentalidad y de procesos que no se resuelve con un “quick win” ni con una consultora de turno. Pero sí hay pasos concretos que marcan la diferencia:

Diagnóstico honesto: mapea todos los activos TIC críticos, identifica dependencias y puntos ciegos. Si no sabes dónde tienes el riesgo, no podrás gestionarlo.
Gobernanza transversal: crea un comité DORA con representación real de tecnología, riesgos, compras y jurídico. El reporting debe llegar al consejo, no quedarse en el middle management.
Revisión de contratos TIC: renegocia cláusulas de auditoría, acceso a logs y planes de contingencia con todos los proveedores críticos. Si alguno se resiste, busca alternativas.
Automatiza la monitorización: implanta soluciones de detección y respuesta que permitan cumplir los plazos de notificación y reporting. El Excel ya no vale.
Planifica los TLPT: si tu entidad es significativa, agenda ya las pruebas de resiliencia digital y define un plan de mejora continua.
Documenta todo: cada decisión, cada control, cada incidente. El regulador pedirá evidencias, no discursos.

¿Fácil? Por supuesto que no. Pero peor es esperar a que llegue el supervisor y descubra que tu resiliencia operativa era solo una presentación de PowerPoint.

Conclusión: DORA, el examen que no se puede suspender

La cuenta atrás para DORA ya ha empezado y, esta vez, no hay prórroga a la vista. El sector financiero europeo se juega mucho más que una multa: la confianza de clientes, la estabilidad del sistema y, en última instancia, su propia supervivencia digital. DORA obliga a repensar la relación con la tecnología, los proveedores y los propios procesos internos. No es solo compliance, es una cuestión de cultura y de negocio.

¿Tu entidad está preparada? Si la respuesta es “estamos en ello”, vas tarde. 2025 está a la vuelta de la esquina y el regulador no va a esperar. La resiliencia operativa ya no es una opción, es el nuevo estándar. Y esta vez, el examen es para todos.