DORA: guía completa para Project Managers en banca y seguros
DORA, el reglamento que convierte la resiliencia en obligación legal
Hasta hace poco, la resiliencia operativa digital era una buena práctica. Una aspiración. Algo que las organizaciones financieras incluían en sus estrategias de riesgo con mayor o menor rigor según su cultura interna y el apetito regulatorio del momento.
Sin embargo, desde el 17 de enero de 2025, es una obligación legal con nombre propio: DORA, el Reglamento de Resiliencia Operativa Digital de la Unión Europea.
Y con él llega una verdad incómoda para muchos equipos: no basta con tener un plan de continuidad guardado en una carpeta de SharePoint. Por el contrario, DORA exige demostrarlo, probarlo, documentarlo y reportarlo. En consecuencia, convierte la resiliencia en un proceso vivo de gestión y eso, exactamente, es territorio del Project Manager.
Qué es DORA y a quién aplica
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco uniforme para la gestión del riesgo de las tecnologías de la información y comunicación en el sector financiero europeo.
Su ámbito de aplicación es amplio. En primer lugar, afecta directamente a entidades de crédito y bancos, empresas de seguros y reaseguros, empresas de servicios de inversión, entidades de pago y dinero electrónico, y gestoras de fondos de inversión. Además, alcanza a infraestructuras de mercado financiero y esto es lo que muchas organizaciones no anticiparon, proveedores críticos de servicios TIC que prestan servicios a cualquiera de las anteriores.
Este último punto tiene implicaciones directas para empresas tecnológicas que trabajan con el sector financiero. Por tanto, si tu empresa provee servicios cloud, ciberseguridad, infraestructura o desarrollo de software a una entidad financiera, DORA te alcanza indirectamente a través de las exigencias contractuales que esa entidad debe imponerte.
Los cinco pilares de DORA que el Project Manager debe dominar
1. Gestión del riesgo TIC
DORA exige un marco de gestión del riesgo TIC documentado, aprobado por el órgano de dirección y revisado al menos anualmente. No obstante, no se trata de un documento técnico que vive en el departamento IT. Es, además, una política corporativa con responsabilidad explícita en la alta dirección.
Para el Project Manager, esto significa que cualquier proyecto que introduzca nuevas tecnologías, proveedores o cambios en la arquitectura debe pasar por una evaluación de riesgo TIC formal antes de su aprobación. Por tanto, el project charter ya no puede ignorar el capítulo de resiliencia.
2. Gestión, clasificación y notificación de incidentes
DORA establece una taxonomía obligatoria para clasificar incidentes TIC y plazos estrictos de notificación a los supervisores nacionales. Concretamente, los incidentes graves deben notificarse en un plazo inicial de cuatro horas desde la clasificación, con un informe intermedio en 72 horas y un informe final en un mes.
Esto implica, por tanto, que los procedimientos de gestión de incidentes deben estar integrados en los procesos operativos del equipo IT. En consecuencia, el PM que gestiona proyectos de infraestructura o transformación digital debe asegurarse de que los nuevos sistemas entregados incluyen, desde el primer día en producción, los mecanismos de detección y clasificación que DORA exige.
3. Pruebas de resiliencia operativa digital
Aquí está uno de los puntos más exigentes y, a la vez, más claramente gestionables desde la perspectiva de proyectos. Por un lado, DORA obliga a realizar pruebas básicas anuales como análisis de vulnerabilidades, revisiones de código y pruebas de recuperación para la mayoría de entidades. Por otro lado, para entidades significativas, exige además pruebas avanzadas de penetración basadas en inteligencia de amenazas (TLPT) cada tres años.
Gestionar un programa de pruebas de resiliencia es, en toda regla, un programa de proyectos. Requiere planificación, presupuesto, coordinación con proveedores externos, gestión de hallazgos y seguimiento de remediaciones. Es, por tanto, el tipo de trabajo para el que un PM está entrenado si sabe que esa es su responsabilidad.
4. Gestión del riesgo de terceros TIC
Este es el pilar que más sorpresas está generando en las organizaciones. DORA exige que las entidades financieras identifiquen, evalúen y monitoricen de forma continua el riesgo que representan sus proveedores TIC. Todos. No solo los críticos.
Además, los contratos con proveedores TIC deben incluir cláusulas específicas: derecho de auditoría, obligaciones de notificación de incidentes, planes de salida e indicadores de rendimiento medibles. En consecuencia, revisar, renegociar o rescindir contratos de proveedores TIC existentes es, en muchas organizaciones, uno de los proyectos DORA más costosos en tiempo y recursos.
5. Intercambio de información sobre ciberamenazas
DORA fomenta — aunque no obliga — el intercambio de información sobre ciberamenazas entre entidades financieras dentro de marcos de confianza. Para el PM, este punto es más estratégico que operativo. Sin embargo, tiene implicaciones relevantes en cómo se diseñan los programas de threat intelligence de la organización a medio plazo.
DORA como programa de proyectos: la estructura que funciona
La mayor trampa en la que caen las organizaciones al abordar DORA es tratarlo como un ejercicio de compliance puntual. Sin embargo, DORA no es un checklist que se completa una vez y se archiva. Es, por el contrario, un programa continuo de gestión de la resiliencia que requiere gobernanza permanente.
La estructura que mejor funciona en organizaciones medianas y grandes es la de un programa DORA con workstreams paralelos, coordinados desde una PMO o desde el responsable de riesgo TIC. Además, estos workstreams deben contar con hitos de entrega definidos y revisiones periódicas ante el órgano de dirección.
Los workstreams típicos son cinco, alineados con los cinco pilares: marco de riesgo TIC, gestión de incidentes, programa de pruebas, gestión de terceros y, transversalmente, documentación y reporting regulatorio.
Las competencias clave del PM en un programa DORA
El Project Manager que lidera este programa necesita tres competencias que van más allá de la gestión de proyectos convencional. En primer lugar, comprensión básica del riesgo TIC. En segundo lugar, capacidad para interactuar con el regulador, Banco de España, CNMV o DGSFP según el caso. Finalmente, habilidad para gestionar stakeholders de alto nivel, porque DORA exige implicación directa del consejo de administración.
El coste del incumplimiento
DORA otorga a las autoridades competentes poderes sancionadores significativos. Por un lado, las multas pueden alcanzar el 2% de la facturación anual global para personas jurídicas. Por otro lado, las sanciones individuales pueden llegar al millón de euros para personas físicas responsables.
No obstante, el coste reputacional supera al económico. Una entidad financiera que sufre un incidente grave de resiliencia operativa y no puede demostrar que tenía los controles exigidos por DORA está expuesta, además, a consecuencias que van mucho más allá de la multa regulatoria.
Por dónde empezar si tu organización está en fase de adaptación
Si en abril de 2026 tu organización todavía está en proceso de adaptación a DORA, no eres una excepción. Muchas entidades, especialmente de tamaño mediano, llegaron a enero de 2025 con brechas importantes. El regulador es consciente de ello y, por tanto, está siendo pragmático en la fase inicial. Sin embargo, esa ventana no es indefinida.
El punto de partida más eficiente es un gap analysis honesto contra los cinco pilares. No un ejercicio cosmético de marcar casillas, sino una evaluación real de qué procesos, controles y documentación existen, cuáles son parciales y cuáles son directamente inexistentes. Además, ese gap analysis debe involucrar a todas las áreas afectadas, IT, jurídico, compras y negocio, no solo al equipo técnico.
Ese análisis es, en consecuencia, el input del programa de proyectos DORA. Sin él, cualquier plan de acción es construir sobre arena.
DORA no es un problema de IT, es un problema de gestión
El error más extendido que estoy viendo en organizaciones financieras es delegar DORA enteramente al departamento de tecnología o al equipo de ciberseguridad. Sin embargo, DORA exige implicación del negocio, del área jurídica y de compras. Por tanto, requiere una coordinación transversal que solo puede orquestar alguien con capacidad de gestión de programas complejos.
El AI Project Manager que entiende DORA no solo gestiona el proyecto de adaptación. Se convierte, además, en el intérprete entre el regulador y la organización. En definitiva, en el garante de que la resiliencia deja de ser un documento y se convierte en una capacidad real.
Eso es exactamente lo que el sector financiero necesita ahora mismo.
Te puede interesar también: guía completa de normativas IT 2026.
