DORA: Guía Completa de Cumplimiento para Entidades Financieras

Q: ¿Qué pasa si no cumplo con DORA?

Las autoridades competentes pueden imponer sanciones, incluyendo multas significativas. Además, el incumplimiento puede generar daños reputacionales y pérdida de confianza de clientes e inversores.

Q: ¿Soy una pyme, también debo cumplir DORA?

Sí, DORA aplica a todas las entidades financieras independientemente de su tamaño. Los requisitos son proporcionales: las entidades más pequeñas tienen obligaciones simplificadas en algunas áreas.

DORA: la guía definitiva sobre la resiliencia operativa digital en el sector financiero

Desde el 17 de enero de 2025, el Digital Operational Resilience Act (DORA) es plenamente aplicable a todas las entidades financieras que operan en la Unión Europea. Este reglamento europeo representa un cambio de paradigma en cómo las organizaciones del sector financiero deben gestionar los riesgos tecnológicos y garantizar la continuidad de sus servicios ante incidentes digitales.

En esta guía completa sobre DORA te explicamos qué es, quién debe cumplirlo, cuáles son sus cinco pilares fundamentales y cómo la tecnología puede ayudarte a cumplir con todos los requisitos de forma eficiente.

¿Qué es DORA y por qué es importante?

El Reglamento (UE) 2022/2554, conocido como Digital Operational Resilience Act (DORA) o Ley de Resiliencia Operativa Digital, establece un marco uniforme en toda la Unión Europea para garantizar la resiliencia digital y la seguridad de la información en el sector financiero.

A diferencia de regulaciones anteriores, DORA no es voluntario ni solo una buena práctica. Es legislación de obligado cumplimiento que las autoridades supervisoras ya están empezando a hacer cumplir, con sanciones significativas para las entidades incumplidoras. Si quieres situar DORA dentro del panorama general, te ayudará repasar nuestra guía sobre qué es el compliance, sus tipos y obligaciones en España.

¿Por qué se creó DORA?

El incremento significativo de incidentes cibernéticos en la industria financiera, sumado a la creciente dependencia de proveedores tecnológicos externos, llevó a la Comisión Europea a desarrollar este marco regulatorio. El objetivo es garantizar que los fallos tecnológicos, los ciberataques o las interrupciones en proveedores críticos no puedan paralizar el sistema financiero ni poner en peligro la estabilidad del mercado.

¿Quién debe cumplir con DORA?

El alcance de DORA es amplio y abarca a más de 22.000 entidades financieras y proveedores de servicios TIC que operan en la UE:

Entidades financieras afectadas:

Entidades de crédito (bancos, cajas de ahorros)
Empresas de inversión y gestoras de fondos
Entidades aseguradoras y reaseguradoras
Intermediarios de seguros y reaseguros
Proveedores de activos criptográficos (CASPs)
Proveedores de datos de referencia
Empresas de pagos y emisores de moneda electrónica
Administradores de sistemas de negociación
Entidades de crédito y prestamistas no bancarios

Proveedores de servicios TIC:

Además, DORA establece un marco de supervisión a nivel de Unión sobre proveedores de servicios TIC críticos (CTPPs), designados por las Autoridades Europeas de Supervisión (AES). El 18 de noviembre de 2025 se publicó la primera lista con 19 proveedores críticos, activando la supervisión directa europea.

Los 5 pilares fundamentales de DORA

DORA establece requisitos obligatorios en cinco áreas principales que toda entidad financiera debe implementar:

1. Gestión de riesgos de las TIC

Las entidades deben adoptar un marco integral de gestión de riesgos tecnológicos que incluya:

Estrategias y políticas de gestión de riesgos de TIC
Sistemas técnicos, protocolos y herramientas específicas
Clasificación de activos de información y sistemas TIC
Evaluación continua de riesgos y controles
Planes de continuidad del negocio actualizados

Las autoridades supervisoras ya están evaluando estos marcos, y las deficiencias identificadas en pruebas de gestión y supervisión de riesgos de proveedores TIC son particularmente problemáticas según los informes de la CNMV.

2. Gestión de incidentes relacionados con las TIC

DORA establece un nuevo régimen de notificación de incidentes que incluye:

Clasificación de incidentes según su criticidad y impacto
Notificación inmediata de incidentes mayores relacionados con TIC
Amenazas cibernéticas significativas que deban reportarse
Uso de plantillas estandarizadas y plataformas digitales específicas

En España, el Banco de España ha implementado un nuevo sistema de notificación electrónica, mientras que la CNMV y la DGSFP han establecido sus propios mecanismos de notificación.

3. Pruebas de resiliencia operativa digital

Las entidades deben realizar pruebas periódicas de su resiliencia digital, incluyendo:

Pruebas de vulnerabilidad y evaluaciones de amenazas
Pruebas de intrusiones controladas
Simulacros de continuidad del negocio
Tests TIBER-EU (Threat Intelligence-Based Ethical Red-teaming) para entidades significativas

El Eurosistema actualizó en 2025 el marco TIBER-EU para alinearlo con DORA.

4. Gestión de riesgos de terceros proveedores de TIC

Este es uno de los pilares más complejos. Las entidades deben:

Mantener un registro de información de todos los acuerdos contractuales con proveedores TIC
Evaluar riesgos antes de contratar servicios críticos
Establecer cláusulas contractuales específicas de resiliencia
Supervisar continuamente el rendimiento y riesgos de los proveedores
Tener planes de salida (exit strategies) para proveedores críticos

El registro de información debe presentarse a las autoridades competentes entre el 1 y el 15 de abril de 2025 (ya en curso), y está siendo uno de los temas más candentes según las FAQs actualizadas por las AES el 28 de marzo de 2025.

5. Acuerdos de intercambio de información

DORA fomenta el intercambio de inteligencia sobre amenazas cibernéticas entre entidades financieras, siempre respetando la confidencialidad y la protección de datos.

Plazos clave y estado actual del cumplimiento

Línea temporal de DORA:

16 de enero de 2023: DORA entra en vigor (inicio del período de implementación)
17 de enero de 2024: primera oleada de normas técnicas (RTS e ITS)
17 de julio de 2024: segunda oleada de normas
17 de enero de 2025: DORA es plenamente aplicable (ya en vigor)
18 de noviembre de 2025: publicación de la primera lista de 19 proveedores TIC críticos
2026: integración progresiva de DORA en el proceso SREP

¿Qué está pasando ahora en España?

Según el informe de la CNMV sobre el ejercicio de autoevaluación de diciembre de 2024:

La mayoría de entidades demostraron gobernanza, ciberseguridad y medidas de continuidad adecuadas
Las principales deficiencias se detectaron en la gestión de pruebas y la supervisión de riesgos de proveedores TIC de terceros
La Comisión Europea abrió procedimientos de infracción el 27 de marzo de 2025 a 13 Estados miembro, incluida España, por no transponer completamente la Directiva DORA

El Banco de España ha requerido a las entidades supervisadas que adapten sus procesos de gestión de incidentes TIC antes del 17 de enero de 2025 y que presenten el registro de información de proveedores TIC antes de abril de 2025.

DORA vs NIS2: ¿cuáles son las diferencias?

Tanto DORA como la Directiva NIS2 (que también entró en vigor en octubre de 2024) abordan la ciberseguridad, pero tienen alcances diferentes. Si quieres profundizar, te recomendamos leer NIS2: la nueva era de la ciberseguridad en Europa:

Aspecto	DORA	NIS 2
Alcance	Sector financiero específico	Sector financiero más infraestructuras críticas
Naturaleza	Reglamento (directamente aplicable)	Directiva (requiere transposición nacional)
Enfoque	Resiliencia operativa específica	Seguridad de redes e información general
Proveedores TIC	Supervisión directa de CTPPs críticos	Requisitos generales de seguridad
Notificación de incidentes	4 horas (inicial) a autoridades financieras	24 horas a CSIRT nacional

Importante: las entidades financieras deben cumplir ambos marcos simultáneamente, lo que puede generar zonas grises donde los requisitos se solapan. Una gestión coordinada es esencial para evitar la doble notificación o las inconsistencias.

Desafíos principales del cumplimiento de DORA

Basándonos en el análisis del sector y las directrices de las autoridades supervisoras, estos son los mayores desafíos:

1. La zona gris de cumplimiento

Algunos RTS (Regulatory Technical Standards) e ITS (Implementing Technical Standards) aún no están finalizados o publicados en el Diario Oficial de la UE, lo que complica el cumplimiento. Las autoridades recomiendan aplicar los estándares adoptados por la Comisión mientras tanto.

2. Gestión de proveedores TIC

El registro de información contractual y la supervisión continua de proveedores está resultando ser el área con más deficiencias según las autoevaluaciones.

3. Diferentes autoridades supervisoras

En España, DORA es supervisado por:

Banco de España: entidades de crédito y emisores de dinero electrónico
CNMV: empresas de servicios de inversión y fondos
DGSFP: sector asegurador

Cada autoridad tiene procedimientos de notificación ligeramente diferentes.

4. Cultura de resiliencia

DORA exige que la resiliencia digital deje de ser solo un tema de auditoría para convertirse en un requisito de mercado con resultados medibles. Los supervisores esperan métricas, evidencia operativa y resultados reales de pruebas, no solo plantillas de cumplimiento.

Cómo cumplir con DORA de forma eficiente: el enfoque tecnológico

El cumplimiento de DORA no se logra solo con políticas en papel. Requiere una infraestructura tecnológica que permita la gestión continua, el registro de evidencias y la demostración de cumplimiento ante los auditores. Aquí, la gobernanza integrada que describimos en GRC: gobernanza, riesgo y cumplimiento marca la diferencia.

Las tres capacidades tecnológicas esenciales:

1. Plataforma unificada de gestión de riesgos TIC

Centralizar la evaluación de riesgos, controles, activos y políticas en una única plataforma permite:

Tener visibilidad completa del panorama de riesgos
Generar evidencia automática para auditores
Automatizar flujos de aprobación y revisión

2. Gestión de incidentes y notificaciones automatizada

Un sistema que permita:

Clasificar incidentes según criterios DORA automáticamente
Generar notificaciones en los formatos requeridos por cada autoridad
Gestionar el ciclo de vida completo del incidente

3. Gestión de terceros y registro de información

La herramienta debe permitir:

Mantener un inventario actualizado de todos los proveedores TIC
Evaluar riesgos de proveedores de forma estandarizada
Generar el registro de información para las autoridades
Gestionar contratos con cláusulas DORA-compliant

Preguntas frecuentes sobre DORA

¿Qué pasa si no cumplo con DORA?

Las autoridades competentes tienen poder para imponer sanciones, incluyendo multas significativas. Además, el incumplimiento puede generar daños reputacionales y pérdida de confianza de clientes e inversores.

¿Soy una pyme, también debo cumplir DORA?

Sí, DORA aplica a todas las entidades financieras, independientemente de su tamaño. Sin embargo, los requisitos son proporcionales: las entidades más pequeñas tienen obligaciones simplificadas en algunas áreas.

¿Necesito contratar un proveedor específico de software para DORA?

No es obligatorio, pero dada la complejidad de los requisitos y la necesidad de evidencia documental continua, la mayoría de entidades están optando por soluciones tecnológicas especializadas que faciliten el cumplimiento y la auditoría.

¿DORA afecta a mis contratos actuales con proveedores cloud?

Los contratos con proveedores TIC críticos deben revisarse para incluir las cláusulas de resiliencia que exige DORA. Si tu proveedor es designado como CTPP (proveedor crítico), habrá requisitos adicionales de supervisión.

¿Cuándo debo presentar el registro de información de proveedores TIC?

En España, el Banco de España ha establecido el período del 1 al 15 de abril de 2025 para la primera presentación del registro de información.

Conclusión: la resiliencia digital como ventaja competitiva

DORA representa un cambio estructural en cómo se mide y gobierna la resiliencia digital. Las entidades que vean el cumplimiento no como una carga regulatoria, sino como una oportunidad para fortalecer su operativa y generar confianza con clientes e inversores, saldrán fortalecidas.

Para 2025, un programa de ciberseguridad que no esté alineado con DORA no solo está fuera de tiempo regulatorio, sino que está perdiendo competitividad frente a organizaciones que convierten la resiliencia en una señal de confianza para el mercado.

En Laworatory, ayudamos a entidades financieras a implementar soluciones de CompaaS Compliance que facilitan el cumplimiento de DORA mediante la automatización de la gestión de riesgos, el registro de incidentes y la gestión de proveedores TIC. Solicita una demo y descubre cómo podemos ayudarte a cumplir con DORA de forma eficiente.

Recursos adicionales:

Última actualización: abril 2026. Esta guía tiene fines informativos y no constituye asesoramiento legal específico. Para recomendaciones adaptadas a tu entidad, contacta con nuestro equipo de expertos.

Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

* Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.