Reglamento DORA: resiliencia operativa digital para el sector financiero
El reglamento DORA, también conocido como reglamento de resiliencia operativa digital (Digital Operational Resilience Act), es la pieza legislativa más transformadora que ha afectado al sector financiero europeo en la última década. Obliga a bancos, aseguradoras, gestoras de fondos y proveedores TIC a implementar medidas estrictas de resiliencia frente a riesgos tecnológicos, incidentes operativos y ciberataques.
Reglamento DORA: origen y propósito
Se trata del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, publicado en diciembre de 2022, con plena aplicabilidad desde enero de 2025. Su objetivo es unificar en un único marco los requisitos de resiliencia operativa digital para el sector financiero europeo, que hasta entonces estaban dispersos en normativas sectoriales.
De las guías sectoriales a la norma común
Además, antes de DORA existían guías de la Autoridad Bancaria Europea (EBA), directrices del BCE y marcos nacionales que se solapaban e incluso se contradecían. Una entidad con operaciones en varios países europeos debía gestionar requisitos distintos en cada jurisdicción. DORA armoniza el panorama y reduce la carga administrativa a medio plazo, aunque su implementación inicial sea exigente.
Reglamento DORA: un cambio de paradigma
Por otro lado, la norma representa un cambio conceptual importante: pasa del enfoque «cumplir con los controles» al enfoque «demostrar la resiliencia». Por esta razón, las entidades ya no pueden limitarse a implementar medidas de seguridad y documentarlas: deben probar regularmente que esas medidas funcionan bajo presión.
Reglamento DORA: a quién aplica
Esta norma tiene un alcance mucho más amplio de lo que muchos asumen. No se limita a los bancos.
Entidades financieras directas
DORA se aplica a más de 20 tipos de entidades financieras: bancos, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, gestoras de fondos, aseguradoras, reaseguradoras, proveedores de criptoactivos y gestoras de fondos de pensiones, entre otras. Prácticamente cualquier organización del sector financiero europeo está bajo su alcance.
Proveedores TIC críticos
Por otro lado, la norma también establece un régimen de supervisión directa sobre los proveedores tecnológicos considerados críticos para el sector financiero. Grandes cloud providers, proveedores de software bancario core (muchos todavía sostenidos sobre proyectos COBOL en modernización con IA) y plataformas de pago pueden ser designados como Critical Third-Party Providers (CTPPs) y quedar sujetos a supervisión directa por parte de las autoridades europeas de supervisión.
Impacto en la cadena de suministro
Finalmente, incluso las empresas que no son entidades financieras ni proveedores críticos pueden verse afectadas indirectamente si prestan servicios TIC a entidades bajo DORA. Debido a esto, los contratos con clientes del sector financiero deben alinearse con los requisitos del reglamento.
Reglamento DORA: los cinco pilares
Sin duda, la norma se estructura en cinco áreas de obligaciones que las entidades deben cubrir de forma integrada. No se puede cumplir con unas e ignorar otras.
Reglamento DORA: pilar 1, gestión de riesgos TIC
El primer pilar exige establecer un marco integral de gestión de riesgos TIC aprobado por el órgano de dirección. Este marco debe incluir identificación de activos, evaluación de riesgos, controles proporcionados y revisión periódica. La responsabilidad última recae en el consejo de administración, no en el CISO.
Pilar 2: gestión y notificación de incidentes
Además, las entidades deben clasificar, gestionar y notificar incidentes según criterios armonizados. Los incidentes graves deben comunicarse a las autoridades competentes en plazos estrictos: notificación inicial en 4 horas, informe intermedio en 72 horas e informe final en un mes. La capacidad de detección y clasificación de incidentes se vuelve crítica.
Pilar 3: pruebas de resiliencia
Por esta razón, DORA introduce un régimen de pruebas escalonado según la criticidad de la entidad. Las entidades sistémicas deben someterse a pruebas avanzadas de penetración guiadas por inteligencia de amenazas (TLPT – Threat-Led Penetration Testing) cada tres años. Debido a esto, las pruebas deben ser reales, no simulaciones documentales.
Pilar 4: gestión de riesgos de terceros
Las entidades deben mantener un registro de todos sus acuerdos con proveedores TIC, evaluar su riesgo de concentración y establecer estrategias de salida. Los contratos con proveedores críticos deben incluir cláusulas específicas sobre acceso, auditoría, portabilidad de datos y cooperación con autoridades.
Pilar 5: compartición de información
Finalmente, DORA fomenta la compartición voluntaria entre entidades financieras de información sobre ciberamenazas, incidentes e indicadores de compromiso. El sector gana resiliencia colectiva frente a amenazas organizadas.
Reglamento DORA: cómo implementarlo con éxito
Por otro lado, muchas entidades han subestimado el esfuerzo de implementación. Estos son los factores críticos que marcan la diferencia entre un programa exitoso y uno que solo aprobará formalmente.
Reglamento DORA: gobernanza y liderazgo
En este contexto, el primer paso es establecer una gobernanza clara con responsabilidad al más alto nivel. Un comité DORA transversal —con representantes de IT, ciberseguridad, riesgo operacional, cumplimiento y negocio— es la estructura mínima viable. En entidades donde se requiere apoyo externo experto, contar con un consultor DORA en banca con experiencia en programas de cumplimiento acelera el gap analysis y la priorización de remediaciones. Además, el consejo de administración debe recibir reporting regular sobre el estado del programa.
Evaluación de madurez inicial
Por ejemplo, antes de lanzar iniciativas, conviene realizar una evaluación de madurez frente a los cinco pilares para identificar brechas. Según la Autoridad Bancaria Europea (EBA), el nivel de preparación varía significativamente entre entidades y sectores, lo que permite priorizar inversiones donde el gap es mayor.
Plan plurianual con hitos
Sin embargo, DORA no se cumple en seis meses. Las entidades maduras estructuran un plan plurianual con hitos concretos: año 1 para gobernanza y gestión de riesgos, año 2 para pruebas y gestión de terceros, años 2-3 para madurez avanzada. Debido a esto, el Project Manager o Programme Manager que lidere esta iniciativa se convierte en una figura estratégica dentro de la organización.
Reglamento DORA: relación con otras normativas
Finalmente, esta norma no opera de forma aislada. Se articula con otras normativas europeas que las entidades deben cumplir simultáneamente.
DORA vs NIS2
NIS2 es la directiva general europea de ciberseguridad, mientras que DORA es la lex specialis del sector financiero. Las entidades financieras cumplen con DORA y NIS2 deja de aplicarles en los aspectos cubiertos por DORA. Muchos proveedores tecnológicos del sector financiero sí están bajo NIS2 aunque no bajo DORA.
DORA y EU AI Act
Los sistemas de IA utilizados en decisiones financieras (scoring crediticio, detección de fraude, trading algorítmico) pueden clasificarse como de alto riesgo bajo el EU AI Act. Por esta razón, el programa de cumplimiento debe integrar ambos marcos para evitar duplicidades y lagunas.
En conclusión, el reglamento DORA es una transformación profunda del sector financiero europeo que va más allá del cumplimiento burocrático. Las entidades que lo aborden con visión estratégica construirán una resiliencia operativa real, protegerán a sus clientes y estarán mejor posicionadas para competir en un entorno de amenazas crecientes. Quien lo trate como una simple caja de checks, habrá perdido una oportunidad única de transformarse.
Preguntas frecuentes sobre reglamento DORA
Para complementar el marco regulatorio: normativas IT que aplican en 2026 y seguridad bancaria moderna.
El reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es la normativa europea de resiliencia operativa digital que obliga al sector financiero a gestionar riesgos TIC, reportar incidentes graves, realizar pruebas de resiliencia, supervisar a sus proveedores tecnológicos y compartir inteligencia sobre ciberamenazas. Es plenamente aplicable desde el 17 de enero de 2025.
DORA aplica a entidades de crédito, entidades de pago y dinero electrónico, empresas de servicios de inversión, gestoras de fondos (UCITS, AIFM), aseguradoras y reaseguradoras, fondos de pensiones, agencias de calificación crediticia, plataformas de financiación participativa, proveedores de servicios de criptoactivos (MiCA) y proveedores TIC críticos para el sector financiero. Más de 22.000 entidades en la UE.
Los cinco pilares de DORA son: (1) gestión de riesgos TIC, con marco documentado y aprobado por la dirección; (2) gestión, clasificación y notificación de incidentes graves a las autoridades competentes; (3) pruebas de resiliencia operativa digital (TLPT); (4) gestión del riesgo de proveedores TIC, incluyendo cláusulas contractuales obligatorias; y (5) intercambio de información sobre ciberamenazas entre entidades.
Más sobre reglamento DORA
Las sanciones por incumplimiento de DORA pueden alcanzar el 1% diario de la facturación global hasta cumplir, sanciones administrativas de los reguladores nacionales (Banco de España, CNMV, DGSFP), inhabilitación personal de directivos, daño reputacional crítico y restricciones operativas. Las autoridades europeas (EBA, ESMA, EIOPA) coordinan la supervisión de proveedores TIC críticos.
NIS2 es la directiva general de ciberseguridad para infraestructuras esenciales (energía, salud, transporte, banca, etc.), mientras que DORA es lex specialis para el sector financiero: prevalece sobre NIS2 en los aspectos donde se solapan. DORA es más detallada técnicamente (especifica tipos de pruebas, plazos exactos de notificación, contenido de contratos TIC) y aplica directamente sin transposición nacional.
