DORA 2026: De la Teoría a la Prueba de Fuego Operativa

La era de los informes bonitos y las auditorías de postureo se acaba. DORA —el Reglamento de Resiliencia Operativa Digital— no quiere promesas, quiere pruebas. Si tu entidad financiera aún cree que con un manual de crisis y un par de simulacros al año basta, va a tener un 2026 movidito. Aquí no se trata de cumplir para la foto, sino de sobrevivir al primer incidente serio con sistemas y procesos críticos de verdad. ¿Listos para la prueba de fuego?

El giro radical: de la política a la evidencia

Durante años, la gestión de riesgos TIC en banca y seguros ha sido un juego de equilibrios: políticas, procedimientos, y mucha fe en que los incidentes graves ocurren siempre en la entidad de al lado. DORA rompe ese espejismo. El artículo 12 es claro: no basta con tener un plan, hay que demostrar su eficacia. ¿Cómo? Pruebas periódicas, escenarios realistas y, atención, involucrando a proveedores críticos y personal clave. La teoría sin práctica ya no vale.

Esto no es una obsesión regulatoria sin sentido. El BCE y la EBA llevan años advirtiendo que la resiliencia digital no se mide por la cantidad de documentos, sino por la capacidad real de respuesta ante una crisis. DORA recoge el guante y exige, negro sobre blanco, que las entidades pasen del PowerPoint al campo de batalla. ¿Cuántos CISOs pueden decir que sus pruebas de continuidad han superado un ataque simulado en toda la cadena de valor?

La diferencia clave está en el enfoque: ya no basta con aprobar el examen teórico, hay que pasar la práctica. El regulador europeo lo deja claro: la evidencia debe ser objetiva, verificable y, sobre todo, relevante para los riesgos reales de la entidad. No sirve un simulacro genérico si tus sistemas críticos dependen de un proveedor cloud que jamás participa en los ejercicios. Y aquí viene el matiz que muchos aún no han interiorizado: la resiliencia no es solo una cuestión de tecnología, sino de cultura organizativa. ¿Cuántas veces se ha visto a directivos abandonar un simulacro porque "tienen una reunión importante"? En 2026, esa excusa puede salir cara.

Proveedores críticos: el eslabón más débil (y más vigilado)

Si el regulador europeo tuviera que elegir una palabra fetiche en DORA, sería "proveedor crítico". El artículo 28 lo deja claro: las entidades no solo deben identificar a sus proveedores esenciales, sino también someterlos a pruebas de resiliencia y asegurarse de que cumplen con los mismos estándares exigidos internamente. Nada de confiar ciegamente en el logo de AWS o Microsoft: hay que auditar, exigir y, si hace falta, cambiar de partner.

¿Qué implica esto en la práctica? Para empezar, contratos con cláusulas específicas de acceso, auditoría y transparencia (art. 30). Pero también la obligación de incluir a los proveedores en los ejercicios de testing, no solo en el check-list de homologación. La excusa de "eso lo lleva la nube" ya no cuela. Si un proveedor falla y tu servicio crítico cae, la responsabilidad ante el supervisor será tuya, no de la multinacional. Y aquí la ironía: mientras algunos proveedores cloud presumen de certificaciones, DORA exige pruebas vivas, no sellos de hace dos años.

La presión no es menor: el RTS en desarrollo por la ESA (European Supervisory Authorities) plantea que los proveedores críticos puedan ser auditados por el supervisor directamente, y que las entidades deban garantizar ese acceso en sus contratos. ¿Tu proveedor cloud acepta una auditoría in situ de la EBA? Si la respuesta es no, tienes un problema. Además, los criterios de "criticidad" no son negociables: si un servicio es esencial para tu operativa diaria, entra en el radar de DORA, aunque el proveedor sea un gigante global.

En la práctica, esto obliga a una revisión profunda de la gestión de la cadena de suministro digital. La vigilancia deja de ser un trámite anual y se convierte en un proceso dinámico, con controles continuos, revisiones de SLA y, si hace falta, pruebas conjuntas de recuperación ante incidentes. El supervisor ya ha dejado caer que "no se aceptarán excusas basadas en la complejidad contractual". Si tu proveedor no coopera, la sanción te la llevas tú.

Incidentes: del reporte pasivo al aprendizaje forzoso

Hasta ahora, la notificación de incidentes era, para muchos, un trámite burocrático: se reporta, se archiva, y a otra cosa. DORA, en su artículo 17, obliga a ir mucho más allá. Cada incidente grave debe analizarse, documentarse y convertirse en un caso de aprendizaje. No basta con cumplir el plazo de notificación: hay que demostrar que el incidente ha servido para reforzar controles, actualizar escenarios de crisis y modificar protocolos.

Esto implica una trazabilidad completa: desde el primer síntoma hasta la resolución y, lo más importante, la implementación de medidas correctoras. ¿El incidente vino por un fallo de proveedor? Hay que revisar el contrato y el plan de pruebas. ¿Fue un error humano? Toca reforzar formación y awareness. El supervisor no quiere excusas, quiere evidencias de mejora continua. Y si no las hay, las sanciones —aunque aún no hay cifras definitivas— se prevén tan serias como las del GDPR (y aquí nadie se ríe).

La EBA y el BCE han dejado claro en sus últimas circulares que el objetivo no es castigar el fallo, sino la inacción. Un incidente bien gestionado, con lecciones aprendidas y controles reforzados, puede incluso mejorar la percepción del supervisor. Pero ocultar, minimizar o repetir los mismos errores será visto como negligencia grave. El ciclo de vida del incidente debe estar documentado al detalle: logs, decisiones tomadas, comunicación interna y externa, y, sobre todo, evidencia de que las acciones correctoras se han implementado y probado. ¿Cuántas entidades pueden demostrar esto hoy?

Pruebas de resiliencia: mucho más que un simulacro anual

El artículo 24 de DORA es probablemente el más temido por los departamentos de tecnología: exige pruebas de resiliencia operativa avanzadas, con escenarios de ataque realistas y, ojo, ejecutadas por equipos independientes. Se acabó el simulacro de "corte de red" controlado por el propio responsable de IT. Ahora se trata de poner a prueba los sistemas críticos con técnicas de red teaming, penetration testing y ejercicios multidisciplinares.

¿Qué significa esto para la operativa diaria? Que los bancos y aseguradoras tendrán que invertir en equipos internos o proveedores externos con capacidad real de simular ataques complejos. Además, el resultado de estas pruebas debe traducirse en mejoras concretas, documentadas y auditables. El supervisor podrá pedir acceso a los informes y exigir explicaciones si detecta que los escenarios son poco realistas o que las acciones correctoras brillan por su ausencia.

Un dato curioso: en el borrador de RTS (Regulatory Technical Standards) que la EBA está preparando, se baraja la posibilidad de ejercicios obligatorios de red teaming cada tres años para entidades de tamaño medio y grande. Si se aprueba, el impacto presupuestario y operativo será considerable. ¿Tu entidad está preparada para pasar de los simulacros light a los ataques simulados de verdad?

Para las entidades más pequeñas, DORA no exime de pruebas, pero sí permite cierta proporcionalidad. Ahora bien, "proporcionalidad" no es sinónimo de "mínimos". El regulador espera que cada entidad adapte los escenarios a sus riesgos reales. Aquí entra en juego la creatividad (y la honestidad): diseñar ejercicios que realmente pongan a prueba los puntos débiles, no solo los que quedan bien en el informe anual.

En términos de controles, el supervisor quiere ver:

• Definición clara de objetivos y alcance de cada prueba.
• Participación de personal clave, incluyendo directivos y responsables de negocio.
• Documentación exhaustiva de resultados, hallazgos y acciones correctoras.
• Seguimiento de la implementación y verificación de la eficacia de las medidas adoptadas.

¿El auditor externo puede reconstruir el ciclo completo de una prueba de resiliencia, desde la planificación hasta la verificación final? Si la respuesta es no, hay deberes pendientes.

El riesgo de cumplimiento: cuando el papel ya no protege

La gran paradoja de DORA es que penaliza la complacencia. El artículo 50 establece un régimen sancionador que, aunque todavía está pendiente de desarrollo en los Estados miembros, apunta a multas proporcionales al daño y al grado de negligencia. Pero lo más relevante es que la defensa clásica de "cumplimos con las políticas" deja de ser válida si, en la práctica, los controles no funcionan durante una crisis real.

¿Qué buscan los auditores y supervisores? Evidencias objetivas: logs, grabaciones de pruebas, informes de terceros, y trazabilidad de las acciones correctoras. Si el auditor detecta que los ejercicios de resiliencia son meros trámites, la entidad se expone no solo a sanciones económicas, sino a restricciones operativas y, en casos extremos, a la revocación de licencias para servicios críticos. Aquí la ironía: lo que antes era un escudo de papel ahora puede ser un boomerang regulatorio.

Un ejemplo real: en 2023, un banco europeo fue sancionado tras un ciberataque porque sus pruebas de continuidad no incluían a los proveedores de pagos, a pesar de que estos gestionaban el 60% de las transacciones diarias. El informe del supervisor fue demoledor: "La resiliencia no se delega ni se externaliza". ¿Hace falta decir más?

Los criterios de auditoría van mucho más allá del cumplimiento documental. Se exige:

• Pruebas de que los controles funcionan en la práctica (no solo en el papel).
• Participación activa del consejo de administración en la revisión de los resultados.
• Capacidad de demostrar la mejora continua, con indicadores objetivos y seguimiento de KPIs de resiliencia.
• Integración de las lecciones aprendidas en la planificación estratégica y operativa.

Las entidades que sigan apostando por el "cumplimiento mínimo" se arriesgan a perder no solo dinero, sino credibilidad ante clientes, inversores y el propio supervisor. Y en el sector financiero, la confianza es un activo que no se recupera fácilmente.

Roadmap operativo: del diagnóstico a la resiliencia real

¿Por dónde empezar si tu entidad aún está en modo "cumplimos porque lo dice el manual"? Aquí va un enfoque operativo, con referencias concretas a DORA y a buenas prácticas internacionales:

• Diagnóstico realista (DORA art. 12, ISO 27001 Anexo A control 8.2): identifica procesos críticos y puntos de fallo, incluyendo la cadena de proveedores. No basta con un mapa de sistemas: hay que entender dependencias, interrelaciones y vulnerabilidades reales.
• Contratos blindados (DORA art. 30): revisa y renegocia cláusulas con proveedores críticos, asegurando acceso a pruebas y auditorías conjuntas. Incluye derechos de rescisión, penalizaciones por incumplimiento y requisitos de participación en ejercicios de resiliencia.
• Testing avanzado (DORA art. 24): planifica ejercicios de red teaming y penetration testing con escenarios realistas y equipos independientes. Documenta objetivos, alcance, participantes y resultados. No olvides incluir a los responsables de negocio y a los proveedores clave.
• Gestión de incidentes viva (DORA art. 17): documenta, aprende y mejora tras cada incidente, asegurando trazabilidad y evidencia de las acciones correctoras. Implementa sistemas de seguimiento y verificación de la eficacia de las medidas adoptadas.
• Auditoría proactiva (DORA art. 50): prepara la documentación y los informes para demostrar cumplimiento, no solo en papel, sino en la práctica real. Integra los resultados en el ciclo de mejora continua y asegúrate de que el consejo de administración está informado y comprometido.

Este roadmap no es una receta mágica, pero sí un punto de partida para pasar de la teoría a la resiliencia tangible. El reto no es menor: implica romper inercias, invertir en capacidades nuevas y, sobre todo, asumir que la resiliencia digital no es un estado, sino un proceso continuo de mejora.

Algunas entidades ya están dando pasos: creación de comités de resiliencia digital, integración de métricas de resiliencia en los cuadros de mando, formación específica para directivos y, sí, inversión en herramientas de simulación y respuesta a incidentes. El reto es no quedarse en la superficie y abordar los riesgos reales, no solo los que quedan bien en el informe anual.

Controles concretos y criterios de auditoría: la lista que nadie quiere ignorar

Para que el cumplimiento de DORA no se quede en un brindis al sol, conviene aterrizar los controles que los auditores buscarán cuando crucen la puerta (o pidan acceso remoto, que para eso estamos en 2026):

• Inventario actualizado de activos críticos, con evidencias de revisión periódica y mapeo de dependencias.
• Histórico de pruebas de resiliencia (no solo informes finales, sino logs, grabaciones y resultados intermedios).
• Contratos con proveedores críticos que incluyan derechos de auditoría, participación en pruebas y mecanismos de rescisión por incumplimiento.
• Registros de incidentes con análisis de causa raíz, acciones correctoras y seguimiento de su eficacia.
• Formación y awareness documentados, con participación demostrable de personal clave y directivos.
• Revisión y aprobación periódica por el consejo de administración de los planes de resiliencia y los resultados de auditoría.
• Integración de la resiliencia digital en la estrategia corporativa, con métricas y KPIs claros.

¿Puede tu entidad presentar todo esto en menos de 48 horas si lo pide el supervisor? Si no, mejor empezar a prepararse.

El papel del CISO y del responsable de cumplimiento: menos política, más liderazgo

Hasta ahora, muchos CISO y responsables de cumplimiento han jugado a la defensiva: cumplir el mínimo, evitar líos y sobrevivir a la auditoría anual. DORA exige un cambio de mentalidad. El CISO ya no es el "apagafuegos" tecnológico, sino el arquitecto de la resiliencia operativa. Su rol es transversal: debe coordinar IT, negocio, proveedores y, sí, al propio consejo de administración (DORA art. 5 y 6).

¿Qué implica esto en el día a día? Para empezar, tener voz y voto en la estrategia de continuidad, participar en la selección y evaluación de proveedores, y liderar los ejercicios de testing. Además, el responsable de cumplimiento debe ser el guardián de la trazabilidad: asegurar que cada prueba, incidente y acción correctora queda documentada y lista para ser auditada. Aquí no hay margen para la improvisación: el supervisor puede pedir evidencias en cualquier momento, y la ausencia de pruebas será interpretada como incumplimiento directo.

Un apunte: DORA obliga a los consejos de administración a implicarse activamente en la gobernanza de la resiliencia digital (art. 5). Ya no vale delegar todo en el CISO o en el departamento de IT. Si el consejo no entiende el riesgo, la entidad está en la cuerda floja.

El liderazgo efectivo implica, además, una comunicación fluida entre áreas: IT, negocio, legal y compliance deben trabajar de la mano, no en silos. El CISO debe ser capaz de traducir riesgos técnicos en impactos de negocio, y el responsable de cumplimiento debe anticipar los cambios regulatorios y adaptar los controles en tiempo real. La resiliencia digital se construye en equipo, no en despachos aislados.

Cierre ejecutivo: la resiliencia digital como ventaja competitiva (o como talón de Aquiles)

La realidad es tozuda: en 2026, sobrevivirán las entidades que hayan interiorizado que la resiliencia digital no es una casilla que se marca, sino una cultura que se practica. DORA no es una moda regulatoria; es el reflejo de un entorno donde el fallo digital puede costar millones —o la reputación de décadas. El supervisor ya no acepta excusas ni papeles bonitos: quiere pruebas vivas, equipos preparados y una dirección implicada.

¿Tu entidad está lista para pasar la prueba de fuego? Si la respuesta es sí, enhorabuena: la resiliencia será tu mejor argumento comercial. Si es no, el tiempo de las excusas se acaba. En 2026, el examen será práctico y, esta vez, el regulador corregirá con bolígrafo rojo.

En definitiva, DORA marca un antes y un después en la gestión de la resiliencia operativa digital. Las entidades que sepan convertir el reto en oportunidad no solo evitarán sanciones, sino que ganarán en confianza, reputación y, por qué no decirlo, en ventaja competitiva. Porque en el sector financiero, la resiliencia ya no es opcional: es la nueva moneda de cambio.