La Ley de Resiliencia Operativa Digital (DORA) está en vigor desde el 17 de enero de 2025. Este reglamento de la UE refuerza la seguridad informática de las entidades financieras: bancos, compañías de seguros y empresas de inversión. Su objetivo es garantizar que el sector financiero europeo mantenga su operatividad ante perturbaciones digitales graves. Las entidades afectadas deben contar ya con una estrategia sólida de resiliencia y cumplimiento.
En este artículo explicamos el alcance de DORA y presentamos ejemplos prácticos de cómo la tecnología puede ayudar a los equipos jurídicos a gestionar sus obligaciones de forma eficiente.
¿Qué es el Reglamento DORA?
DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554, de aplicación directa y obligatoria en todos los Estados miembros de la UE. Establece un marco unificado para la gestión del riesgo de las TIC en el sector financiero. Cubre todo el ciclo de vida de los servicios tecnológicos: desde la prevención y la detección hasta la respuesta y la recuperación ante incidentes. A diferencia de directrices anteriores, DORA es jurídicamente vinculante y exige acciones concretas con plazos definidos. Para conocer los conceptos básicos del DORA, consulte nuestra guía introductoria.
Acerca de DORA
Desde hace años, los organismos europeos apoyan activamente la actuación del sector financiero frente a las amenazas TIC.
La Autoridad Bancaria Europea (EBA) publicó directrices sobre gestión de riesgos TIC y seguridad en 2019. La Autoridad Europea de Valores y Mercados (ESMA) ha trabajado junto a las autoridades nacionales competentes en temas de protección de inversores, orden de mercados y estabilidad financiera.
¿Qué hay de nuevo?
DORA amplía el alcance, la naturaleza jurídica y el enfoque de los textos existentes.
- Alcance. El reglamento se aplica a una gama más amplia de entidades financieras y a sus terceros proveedores de servicios TIC críticos, abarcando más de 20 tipos de entidades y una lista completa de servicios TIC.
- Carácter vinculante. A diferencia de recomendaciones anteriores de la EBA y la ESMA, DORA es un reglamento jurídicamente vinculante con requisitos y plazos claramente definidos.
- Enfoque integral. Aborda todo el ciclo de vida de los servicios TIC en relación con las entidades financieras.
¿Cuáles son los objetivos?
- Abordar la creciente dependencia del sector financiero de la tecnología.
- Mitigar el riesgo de ciberataques e incidentes, cuyo número y gravedad aumentan constantemente.
- Garantizar servicios financieros estables y fiables en la economía en general.
¿A quién afecta?
El ámbito de entidades afectadas incluye bancos, compañías de seguros y empresas de inversión de cierto tamaño. Los proveedores de servicios TIC también quedan sujetos, aunque de forma diferenciada, dado su papel en la ciberseguridad del sector. Además, proveedores no europeos que presten servicios a entidades financieras de la UE pueden verse igualmente afectados.
Los 5 pilares de DORA
El reglamento se estructura en cinco áreas de obligaciones que afectan tanto a entidades financieras como a sus proveedores TIC:
| PILAR | OBLIGACIÓN PRINCIPAL |
| Gestión de riesgos TIC | Marco de gobernanza, inventario de activos, políticas de continuidad y control de acceso |
| Notificación de incidentes | Clasificación, notificación a reguladores en menos de 24 horas y análisis post-incidente |
| Pruebas de resiliencia | Pruebas periódicas de vulnerabilidad, simulacros y, para grandes entidades, pruebas TLPT (Threat-Led Penetration Testing) al menos cada tres años |
| Riesgo de terceros TIC | Due diligence precontractual, cláusulas obligatorias y supervisión continua de proveedores |
| Intercambio de información | Participación en foros de inteligencia de ciberamenazas entre entidades |
Responsabilidades clave para el cumplimiento de DORA
Gestión de riesgos
Las entidades financieras deben establecer y mantener marcos sólidos de resiliencia operativa digital. Esto incluye políticas para gestionar los riesgos TIC a lo largo del ciclo de vida de los sistemas, desde su desarrollo hasta su desmantelamiento. El órgano de administración asume responsabilidad directa y trazable en este proceso.
Notificación de incidentes
Las entidades deben notificar los incidentes cibernéticos significativos a las autoridades reguladoras. Según el Reglamento Delegado de DORA, la notificación inicial debe realizarse en un plazo máximo de 24 horas tras la detección del incidente, con un informe intermedio en 72 horas y un informe final en el plazo de un mes.
Pruebas de resistencia operativa digital
Es obligatorio realizar pruebas periódicas, incluidas evaluaciones de vulnerabilidad, pruebas de penetración y ejercicios basados en escenarios. Las entidades de mayor tamaño deben llevar a cabo pruebas TLPT al menos cada tres años.
Gestión de riesgos de terceros
Las entidades deben gestionar los riesgos asociados a terceros proveedores TIC. Esto implica una diligencia debida antes de firmar acuerdos, cláusulas contractuales específicas y una supervisión continua del rendimiento y el cumplimiento.
Gobernanza
Las entidades deben implantar un marco de gobernanza robusto para supervisar las actividades de gestión de riesgos y resiliencia TIC. Esto incluye funciones y responsabilidades claras, revisiones periódicas y actualizaciones de estrategias y políticas.
DORA y otras normativas europeas
DORA no actúa de forma aislada. Su implementación se solapa con otros marcos que muchas entidades españolas ya conocen:
- NIS2: también exige análisis de riesgos, notificación de incidentes y protección de la cadena de suministro digital. DORA prevalece sobre NIS2 en ámbitos coincidentes para las entidades del sector financiero.
- RGPD: la respuesta a incidentes tecnológicos debe coordinarse con la gestión de brechas de datos personales.
- ISO 27001 / NIST: los marcos de seguridad existentes facilitan el cumplimiento de los controles técnicos exigidos por DORA y pueden reducir el esfuerzo de adaptación.
Integrar estas normativas con una estrategia unificada reduce costes, evita redundancias y mejora la postura de seguridad global.
Consecuencias del incumplimiento
El artículo 50 del Reglamento DORA establece un régimen sancionador aplicado por las autoridades competentes nacionales. Las sanciones pueden incluir:
- Multas periódicas de hasta el 1% de la facturación media diaria mundial durante el período de incumplimiento, para entidades financieras.
- Para proveedores TIC críticos designados: multas de hasta 5.000.000 euros o hasta el 1% del volumen de negocio anual mundial.
- Requerimientos de cese de actividad y daños reputacionales derivados de la publicación de las sanciones.
Además de las sanciones económicas, el incumplimiento expone a las organizaciones a un mayor riesgo operativo y a dificultades para mantener relaciones con socios y clientes del sector financiero regulado.
Cómo prepararse para DORA
DORA ya es de obligado cumplimiento. Si su organización no ha iniciado aún su proceso de adaptación, o si está en curso, los siguientes pasos le ayudarán a estructurar el trabajo pendiente.
Identifique sus dependencias TIC
El primer paso es crear una lista detallada de sus sistemas y proveedores TIC e identificar cuáles entran dentro del ámbito de DORA. El Anexo III del proyecto de Normas Técnicas de Aplicación (ITS) contiene la lista completa de servicios TIC considerados.
¿Cómo? Una herramienta de Gestión de Contratos permite localizar contratos con proveedores TIC en cuestión de minutos. La extracción de cláusulas asistida por IA identifica términos relevantes, como las condiciones ACPR en Francia, y genera una lista de proveedores potencialmente sujetos a DORA. Esto garantiza que ningún proveedor quede excluido del análisis.
Evalúe las funciones críticas o importantes
DORA define una serie de funciones cuya interrupción puede afectar al rendimiento, la estabilidad y la continuidad de las entidades financieras.
¿Cómo? La herramienta de Gestión de Contratos permite buscar determinadas funciones o servicios ofrecidos por los proveedores TIC e identificar el alcance de las pruebas requeridas. Las funciones de búsqueda avanzada con IA devuelven resultados en segundos.
Establezca evaluaciones de riesgo de sus proveedores TIC
Para evaluar los riesgos potenciales se necesita un sistema de seguimiento que permita identificar incidentes pasados y cartografiarlos con detalle. También es necesario contar con mecanismos eficaces para crear y compartir informes con el consejo de administración y los organismos reguladores.
¿Cómo? La evaluación de riesgos se divide en dos fases: mapeo de amenazas pasadas y supervisión continua de riesgos futuros. Ambas requieren funciones sólidas de elaboración de informes. Una plataforma de Gestión de Entidades Jurídicas con un repositorio centralizado facilita la comunicación con los organismos reguladores y agiliza las auditorías de cumplimiento.
Aplique los cambios necesarios
Es posible que su organización deba introducir cambios para cumplir con DORA. Esto implica contar con un equipo especializado, asignar los recursos necesarios, llevar a cabo auditorías externas y activar los procesos internos de pruebas, seguimiento y asignación de responsabilidades.
Utilización de herramientas de gobierno corporativo para el cumplimiento de DORA
Las herramientas LegalTech, como las soluciones de gestión del ciclo de vida de contratos (CLM) y de gestión jurídica de entidades (ELM), ofrecen supervisión centralizada. Permiten el seguimiento en tiempo real de las actividades de cumplimiento, una gestión de riesgos más eficaz y la elaboración de informes claros para las autoridades. Las organizaciones que no adoptan soluciones especializadas quedan expuestas a ineficiencias y riesgos innecesarios.
A continuación, presentamos tres casos prácticos que ilustran cómo la tecnología jurídica puede ayudar a cumplir con DORA.
1. Mapa de proveedores TIC y funciones críticas
El primer paso hacia el cumplimiento implica identificar los proveedores TIC que desempeñan funciones críticas en el ecosistema de la entidad. Una herramienta CLM con funciones de IA acelera este proceso.
Cómo:
- Búsqueda avanzada. Identifique contratos con cláusulas específicas, como derechos de auditoría o acuerdos de subcontratación, esenciales bajo DORA.
- Filtro de contratos. Cree filtros para aislar acuerdos de software, SaaS o servicios de terceros. Refine la búsqueda con parámetros sobre cláusulas de subcontratistas.
- Extracción de cláusulas por IA. Identifique términos relevantes, capture fechas de incidentes, instituciones afectadas y categorizaciones (mayor o menor).
En cuestión de minutos, puede generar una lista de proveedores TIC, analizar sus cláusulas y exportar los datos para revisión.
2. Elaboración de informes de incidentes y comunicación eficaz
DORA obliga a notificar puntualmente los incidentes relacionados con las TIC. Según el reglamento, la notificación inicial debe realizarse en un plazo máximo de 24 horas tras la detección, con un informe intermedio a las 72 horas y un informe final en el plazo de un mes.
Cómo:
- Tableros personalizables. Rastree, documente y gestione incidentes TIC. Capture los sistemas afectados, causas raíz y partes implicadas.
- Campos específicos para DORA. Registre fechas de descubrimiento, instituciones afectadas y categorización del incidente.
- Registro de actividad. Mantenga un log en tiempo real para supervisar el progreso del incidente.
- Informes integrados. Genere informes completos, fáciles de compartir con organismos reguladores o comités internos.
