El Reglamento DORA está en vigor desde el 17 de enero de 2025. Su cumplimiento es obligatorio para todas las entidades financieras de la Unión Europea y sus proveedores de servicios TIC. Comprender sus fundamentos es el primer paso para estructurar una respuesta eficaz.
¿Qué es DORA?
DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero.
Es un reglamento de aplicación directa en todos los Estados miembros de la UE: no requiere transposición nacional y su cumplimiento es jurídicamente vinculante.
DORA reconoce que los sistemas financieros y digitales están profundamente interconectados. Una perturbación tecnológica en una entidad puede afectar a la estabilidad del conjunto del ecosistema financiero. Para prevenir este riesgo, DORA establece un marco normativo unificado que obliga a las entidades financieras a demostrar que pueden prevenir, detectar, contener y recuperarse de incidentes relacionados con las TIC.
A diferencia de las directrices anteriores de la EBA y la ESMA, DORA va más allá de las recomendaciones: impone obligaciones concretas con plazos y estándares técnicos definidos por las Normas Técnicas de Regulación (RTS) y las Normas Técnicas de Aplicación (ITS) publicadas por las Autoridades Supervisoras Europeas.
¿A quién afecta DORA?
El ámbito de aplicación de DORA abarca más de 20 tipos de entidades. Los principales son:
| TIPO DE ENTIDAD | EJEMPLOS |
| Entidades de crédito | Bancos, cajas de ahorro |
| Entidades de pago y de dinero electrónico | Fintechs, plataformas de pago |
| Empresas de inversión | Gestoras, brokers |
| Proveedores de servicios de criptoactivos (CASP) | Exchanges, custodias de activos digitales |
| Empresas de seguros y reaseguros | Aseguradoras, reaseguradoras |
| Instituciones de pensiones de empleo | Fondos de pensiones |
| Agencias de calificación crediticia | CRAs con licencia en la UE |
| Proveedores de servicios TIC críticos | Proveedores de nube, centros de datos, software |
Las entidades más pequeñas se benefician del principio de proporcionalidad: pueden aplicar un marco simplificado en función de su tamaño, perfil de riesgo y complejidad. La CNMV ha publicado preguntas frecuentes específicas sobre la aplicación de DORA en España.
Los cinco pilares de DORA
| PILAR | ¿QUÉ EXIGE? |
| 1. Gestión de riesgos TIC | Marco integral para identificar, proteger, detectar, responder y recuperarse de riesgos TIC. Responsabilidad directa del órgano de administración. |
| 2. Notificación de incidentes | Clasificación y notificación de incidentes graves a las autoridades competentes en plazos estrictos. Informe inicial, intermedio y final. |
| 3. Pruebas de resiliencia | Evaluaciones periódicas de vulnerabilidad, pruebas de penetración y, para entidades de mayor tamaño, pruebas TLPT (Threat-Led Penetration Testing) cada tres años. |
| 4. Gestión de riesgos de terceros TIC | Due diligence precontractual, cláusulas obligatorias en contratos con proveedores y supervisión continua. Registro de información disponible para los supervisores. |
| 5. Intercambio de información | Participación voluntaria en foros de inteligencia colectiva sobre amenazas cibernéticas entre entidades del sector. |
Plazos de notificación de incidentes graves
Los plazos de notificación están fijados en el Reglamento Delegado de DORA:
DORA y otras normativas europeas
DORA no actúa de forma aislada en el marco regulatorio europeo:
- NIS2: La Directiva NIS2 también cubre resiliencia digital y notificación de incidentes para sectores críticos. Para las entidades financieras, DORA prevalece sobre NIS2 en los ámbitos que se superponen, dado su carácter de lex specialis para el sector.
- RGPD: El RGPD sigue siendo plenamente aplicable. Cuando un incidente TIC implique datos personales, la entidad debe coordinar las obligaciones de notificación de DORA con las del RGPD.
- Reglamento MICA: Los proveedores de servicios de criptoactivos (CASP) sujetos a MICA quedan también bajo el ámbito de DORA.
Para una visión completa de cómo prepararse para el cumplimiento, consulte la guía práctica para equipos jurídicos.
Sanciones por incumplimiento
El artículo 50 del Reglamento (UE) 2022/2554 establece el régimen sancionador aplicable por las autoridades competentes nacionales:
- Entidades financieras: multas periódicas de hasta el 1% de la facturación media diaria mundial durante el período de incumplimiento, aplicables hasta seis meses consecutivos.
- Proveedores TIC críticos designados: multas de hasta 5.000.000 euros o hasta el 1% del volumen de negocio anual mundial.
Además de las sanciones económicas, las autoridades pueden emitir requerimientos de cese de actividad y publicar las sanciones impuestas, con el consiguiente impacto reputacional.
DORA y la tecnología jurídica
Las obligaciones de DORA generan una carga documental y de supervisión significativa para los departamentos jurídicos: registro de proveedores TIC, revisión contractual, notificación de incidentes y gobernanza del consejo. Las herramientas LegalTech de gestión de contratos, gestión de entidades y gestión de consejos permiten centralizar esta información y facilitar las auditorías regulatorias.
Para conocer cómo la Suite DiliTrust apoya el cumplimiento de cada uno de los cinco pilares, consulte el artículo sobre cómo prepararse para el cumplimiento de DORA.
