Contenido de este artículo
  1. DORA y las entidades financieras: alcance real
  2. Tipos de entidades afectadas por DORA
  3. Requisitos concretos para bancos y aseguradoras
  4. Requisitos para fintech y proveedores TIC críticos
  5. Las pruebas TLPT
  6. Gestión de riesgos de terceros en DORA
  7. Notificación de incidentes ICT bajo DORA
  8. Hoja de ruta de cumplimiento para una entidad financiera
  9. Preguntas frecuentes

DORA y las entidades financieras: alcance real

El Reglamento DORA (UE 2022/2554) establece desde el 17 de enero de 2025 un conjunto de obligaciones de resiliencia operacional digital que afectan a la práctica totalidad del ecosistema financiero europeo. Sin embargo, no todas las entidades tienen las mismas obligaciones: DORA aplica el principio de proporcionalidad para adaptar la intensidad de los requisitos al tamaño, perfil de riesgo y relevancia sistémica de cada entidad.

La norma distingue, en términos generales, entre entidades de mayor significación sistémica —que deben cumplir el conjunto completo de requisitos, incluyendo las exigentes pruebas TLPT— y entidades más pequeñas o de menor impacto sistémico, que pueden acogerse a un marco simplificado de gestión de riesgos TIC definido en el artículo 16 de DORA. Este marco simplificado aplica a microempresas (menos de 10 empleados y menos de 2 millones de euros de volumen de negocio) y a determinadas categorías de entidades menores.

En la práctica, la mayoría de las entidades financieras con actividad real en el mercado español quedan fuera del marco simplificado y están sujetas al conjunto completo de requisitos. Esto incluye a bancos de cualquier tamaño, empresas de seguros, gestoras de fondos, entidades de pago digitales y la gran mayoría de fintech con licencia regulatoria. El dato relevante no es el tamaño absoluto de la entidad, sino si está regulada y si sus riesgos TIC pueden tener impacto en sus clientes o en la estabilidad del sistema financiero.

Para los proveedores TIC que sirven a estas entidades, DORA tiene también un impacto directo aunque diferente. En primer lugar, los proveedores deben adaptarse a los requisitos contractuales que DORA impone a las entidades financieras para sus contratos con proveedores TIC que soporten funciones críticas. En segundo lugar, los proveedores TIC de mayor relevancia sistémica pueden ser designados "críticos" por las Autoridades Supervisoras Europeas y quedar sujetos a supervisión directa.

¿Tu entidad necesita cumplir con DORA?

Pide presupuesto en 24 horas. Sin compromiso.

Pide presupuesto →

Tipos de entidades financieras afectadas por DORA

El artículo 2 de DORA enumera 21 tipos de entidades sujetas al Reglamento. Para el mercado español, los tipos más relevantes son:

Entidades supervisadas por el Banco de España: entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito, establecimientos financieros de crédito), entidades de pago (incluyendo las que operan bajo PSD2), entidades de dinero electrónico y sucursales en España de entidades financieras de terceros países.

Entidades supervisadas por la CNMV: empresas de servicios de inversión (ESI), gestoras de instituciones de inversión colectiva (SGIIC), gestoras de fondos de pensiones en su función inversora, plataformas de negociación (mercados regulados, sistemas multilaterales de negociación), entidades de contrapartida central, depositarios centrales de valores, proveedores de servicios de criptoactivos bajo MiCA y plataformas de financiación participativa (crowdfunding) reguladas.

Entidades supervisadas por la DGSFP: empresas de seguros de vida y no vida, reaseguradoras, mutualidades de previsión social de tamaño relevante, y fondos de pensiones de empleo.

Proveedores TIC críticos: aunque no son entidades financieras en sentido estricto, los proveedores de servicios de tecnología que prestan servicios TIC que soportan funciones críticas o importantes de las entidades anteriores quedan sujetos al régimen contractual de DORA. Los que sean designados "críticos" por EBA, ESMA o EIOPA quedan sujetos adicionalmente al marco de supervisión directa de las ESAs.

Requisitos concretos para bancos y aseguradoras

Las entidades de crédito y las empresas de seguros son las entidades con mayor madurez regulatoria previa en materia TIC, pero DORA supone aun así un salto significativo en la formalización y el rigor de los requisitos. Los puntos donde la brecha suele ser mayor incluyen:

Gobernanza TIC reforzada: DORA exige que el órgano de dirección —el consejo de administración— sea directamente responsable de la gestión del riesgo TIC, no solo de supervisarlo. Los consejeros deben mantener conocimientos actualizados en riesgos TIC y participar activamente en la revisión del marco. En muchos bancos medianos y aseguradoras, la responsabilidad TIC ha residido históricamente en niveles directivos intermedios sin suficiente supervisión del consejo.

Marco de gestión de riesgos TIC integrado: los bancos deben disponer de un marco completo que incluya: estrategia de resiliencia digital aprobada por el consejo, política de seguridad de la información, gestión de activos TIC con inventario actualizado, metodología de análisis y evaluación de riesgos TIC, controles de protección y prevención, capacidades de detección y respuesta, y funciones de recuperación y comunicación. La mayoría de los bancos españoles cuentan con elementos de este marco bajo la supervisión del Banco Central Europeo (BCE) y el Banco de España, pero DORA requiere una formalización más explícita y documentada.

Continuidad TIC formalizada: los planes de continuidad de negocio TIC deben definir RTOs y RPOs para todos los sistemas que soportan funciones críticas, y deben probarse al menos anualmente. Los resultados de las pruebas y los planes de remediación deben documentarse y comunicarse al órgano de dirección.

Registro de todos los acuerdos con proveedores TIC: DORA exige mantener un registro completo y actualizado de todos los acuerdos contractuales con proveedores TIC, clasificados por criticidad. Este registro debe estar disponible para el supervisor en cualquier momento.

Requisitos para fintech y proveedores TIC críticos

Las fintech y los neobancos presentan un perfil diferente al de la banca tradicional: suelen ser organizaciones más ágiles, con mayor proporción de servicios en la nube, menor infraestructura propia y mayor dependencia de proveedores TIC externos. Esto las hace vulnerables a riesgos específicos que DORA aborda directamente.

Para las fintech con licencia de entidad de pago o entidad de dinero electrónico, DORA se añade a las obligaciones de ciberseguridad de PSD2 (directamente aplicables) y a las guías de EBA sobre gestión de riesgos TIC y de seguridad. La diferencia es que DORA tiene carácter de Reglamento directamente aplicable, con requisitos más específicos y sanciones más claras.

El punto más crítico para las fintech en materia DORA es la gestión de riesgos de terceros TIC. Una fintech típica opera sobre una pila tecnológica que incluye proveedores de cloud (AWS, Azure, GCP), plataformas de pagos (Stripe, Adyen), proveedores de KYC, gestores de claves criptográficas y docenas de APIs de terceros. DORA exige que cada uno de estos proveedores sea identificado, clasificado por criticidad, y que los contratos con los críticos incluyan las cláusulas obligatorias del Reglamento. Para una fintech que gestiona estos contratos informalmente (a través de condiciones generales de servicio del proveedor), la adaptación puede ser un proceso significativo.

Los proveedores TIC que sirven a entidades financieras —empresas de software financiero, integradores de sistemas, proveedores de BPO tecnológico— deben entender que DORA les impacta de forma directa: sus clientes financieros exigirán actualizar los contratos para incluir las cláusulas obligatorias de DORA, y deberán estar preparados para auditorías y para proporcionar información sobre sus controles de seguridad y continuidad. Los proveedores que no se adapten a estas exigencias corren el riesgo de perder contratos con clientes financieros.

Las pruebas TLPT (Threat-Led Penetration Testing)

Las TLPT (Threat-Led Penetration Testing) son el elemento más exigente y novedoso del programa de pruebas de DORA. Se trata de ejercicios avanzados de ataque realista realizados por equipos externos especializados (Red Team) sobre los sistemas en producción de la entidad, con autorización del supervisor competente y basados en inteligencia de amenazas relevante para el sector.

Las TLPT se distinguen de las pruebas de penetración convencionales en varios aspectos fundamentales. En primer lugar, se ejecutan sobre los sistemas en producción real, no sobre entornos de test o sandbox. En segundo lugar, el equipo atacante (Red Team externo) recibe información de inteligencia sobre las amenazas más relevantes para la entidad (procedente de fuentes abiertas, del supervisor y de información de inteligencia comercial), de forma que sus ataques simulan el comportamiento de adversarios reales y sofisticados. En tercer lugar, el equipo defensor (Blue Team interno) opera sin conocimiento previo de que el ejercicio está ocurriendo, para simular las condiciones reales de un ataque.

Las TLPT están basadas en el marco TIBER-EU (Threat Intelligence-Based Ethical Red-Teaming), desarrollado por el Banco Central Europeo y adoptado por varios bancos centrales europeos, incluyendo el Banco de España. Las entidades que ya han realizado ejercicios TIBER-EU previos tienen una ventaja significativa, ya que la metodología es compatible con los requisitos TLPT de DORA.

En cuanto a la obligatoriedad, las TLPT son exigidas a las entidades financieras más significativas —en términos de tamaño, perfil de riesgo e impacto sistémico—, determinadas por los supervisores nacionales en coordinación con las ESAs. Para estas entidades, la frecuencia mínima es cada 3 años. Las entidades no sujetas a TLPT deben igualmente realizar pruebas de penetración estándar al menos anualmente, como parte del programa básico de pruebas que DORA exige a todas las entidades.

El proceso de una TLPT bajo DORA incluye tres fases: preparación (definición del alcance, selección del proveedor Red Team, notificación al supervisor y obtención de autorización), ejecución (la prueba propiamente dicha, que puede durar varias semanas) y cierre (elaboración del informe de resultados, plan de remediación y comunicación al supervisor). Los resultados y el plan de remediación deben enviarse al supervisor competente dentro del plazo establecido.

¿Necesitas preparar tu entidad para DORA?

Diseñamos e implementamos el programa de cumplimiento DORA adaptado a tu entidad.

Solicitar información →

Gestión de riesgos de terceros en DORA

La gestión de riesgos de terceros TIC es, junto con las TLPT, el área donde las entidades financieras encuentran mayor dificultad de implementación. DORA introduce un régimen muy detallado que va mucho más allá de lo que exigían las guías previas de EBA y BCE.

El punto de partida es el registro de acuerdos contractuales con proveedores TIC. Todas las entidades deben mantener un registro completo y actualizado de todos sus contratos con proveedores TIC, incluyendo: identificación del proveedor, descripción del servicio, clasificación de la función soportada (crítica/importante o no), tipo de datos accedidos y país de localización del servicio. Este registro debe estar disponible para el supervisor.

Para los contratos que soportan funciones críticas o importantes, DORA establece un conjunto de cláusulas mínimas obligatorias que deben incluirse en los contratos (artículo 30 de DORA). Estas cláusulas incluyen: descripción precisa de los servicios y niveles de servicio (SLAs) con objetivos cuantificados de disponibilidad; derechos de auditoría e inspección del cliente, sus auditores y el supervisor sobre el proveedor; obligaciones de seguridad de la información alineadas con los estándares del cliente; procedimientos de notificación al cliente de incidentes TIC que puedan afectar a los servicios; obligaciones de continuidad del servicio en caso de interrupción; y cláusulas de salida con asistencia a la migración para garantizar la terminación ordenada del contrato sin comprometer la continuidad.

Muchos contratos vigentes entre entidades financieras y sus proveedores TIC no incluyen todas estas cláusulas, especialmente los contratos con grandes proveedores de cloud y SaaS que operan bajo condiciones generales estandarizadas. Negociar la actualización de estos contratos —con proveedores tan poderosos como Microsoft Azure, AWS o Salesforce— es uno de los retos prácticos más complejos del cumplimiento DORA. Las entidades deben documentar sus esfuerzos de negociación y, en los casos en que el proveedor no acepta las cláusulas mínimas, escalar al supervisor con la documentación del intento.

DORA también regula la concentración de riesgo en proveedores TIC. Las entidades deben evaluar y gestionar el riesgo que supone depender de un número reducido de proveedores críticos (por ejemplo, concentración excesiva en un solo proveedor de cloud), y deben tener estrategias de salida y alternativas documentadas.

Notificación de incidentes ICT bajo DORA

DORA establece un régimen de clasificación y notificación de incidentes TIC que supone la mayor exigencia operacional en el día a día de las entidades. El régimen es prescriptivo en cuanto a plazos, formatos y canales de notificación, y su incumplimiento puede generar sanciones directas.

El proceso comienza con la clasificación del incidente según los criterios armonizados definidos en los RTS de EBA. Los criterios de clasificación incluyen: número de clientes afectados, duración de la interrupción, impacto geográfico, impacto financiero, criticidad de los servicios afectados y tipo de datos comprometidos. Los incidentes clasificados como "graves" activan el proceso de notificación obligatoria al supervisor.

El calendario de notificación para incidentes graves es estricto: notificación inicial al supervisor dentro de las 4 horas desde la clasificación del incidente como grave (y en cualquier caso dentro de las 24 horas desde la detección), con la información disponible en ese momento aunque sea incompleta; informe intermedio dentro de las 72 horas desde la notificación inicial, con una evaluación más completa del impacto y las medidas adoptadas; e informe final dentro de un mes desde la notificación inicial, con el análisis completo de causas raíz, impacto definitivo y medidas de remediación implementadas.

Para que este proceso funcione bajo presión, las entidades deben tener preparados con antelación: procedimientos internos de escalado y clasificación de incidentes, plantillas de notificación en los formatos requeridos por el supervisor, roles y responsabilidades claramente definidos (quién decide la clasificación, quién notifica, quién autoriza), y canales de comunicación con el supervisor verificados y probados. Las entidades que no han preparado estos mecanismos antes de sufrir un incidente real lo aprenden de la peor manera posible.

Hoja de ruta de cumplimiento DORA para una entidad financiera

El diseño de una hoja de ruta de cumplimiento DORA debe partir de un diagnóstico honesto del estado actual de la entidad y priorizar las acciones en función del riesgo regulatorio y el esfuerzo de implementación. Una estructura de fases típica para una entidad financiera mediana sería:

Fase 0 — Diagnóstico de madurez (4-6 semanas): evaluación del estado actual de los cinco pilares de DORA: gestión de riesgos TIC, gestión de incidentes, pruebas de resiliencia, gestión de terceros e intercambio de información. Priorización de brechas por impacto regulatorio. Revisión del inventario de contratos con proveedores TIC y clasificación preliminar de criticidad. Este diagnóstico es la base para el diseño del programa de cumplimiento.

Fase 1 — Gobernanza y marco de riesgos TIC (2-3 meses): aprobación por el consejo de la estrategia de resiliencia digital y la política de gestión de riesgos TIC. Definición del modelo de gobernanza (roles, comités, reporting). Actualización o creación del marco de gestión de riesgos TIC con los componentes exigidos por DORA. Actualización del inventario de activos TIC y su clasificación.

Fase 2 — Incidentes y pruebas (2-3 meses): diseño e implementación del proceso de clasificación y notificación de incidentes TIC según los RTS de DORA. Preparación de plantillas y procedimientos de notificación. Diseño del programa anual de pruebas básicas de resiliencia. Realización de las primeras pruebas y documentación de resultados.

Fase 3 — Gestión de terceros TIC (3-4 meses): completar el inventario de proveedores TIC y clasificar por criticidad. Revisar todos los contratos con proveedores de funciones críticas e identificar las brechas respecto a las cláusulas obligatorias de DORA. Iniciar negociaciones de actualización contractual. Diseñar el proceso de due diligence y monitorización continua de proveedores críticos.

Fase 4 — TLPT y madurez avanzada (si aplica, 3-6 meses adicionales): para las entidades sujetas a TLPT, planificación y ejecución del primer ejercicio DORA-TLPT. Para todas las entidades, implementación de indicadores de seguimiento del programa DORA, reporting al consejo y preparación para la supervisión de las autoridades competentes.

¿Necesitas tu hoja de ruta DORA?

Pide presupuesto en 24 horas. Sin compromiso.

Solicitar presupuesto sin compromiso →

Preguntas frecuentes sobre DORA para entidades financieras

¿Qué entidades financieras están obligadas por DORA en España?
En España, están sujetas a DORA todas las entidades reguladas por el Banco de España (bancos, entidades de crédito, entidades de pago, de dinero electrónico), la CNMV (empresas de inversión, gestoras, plataformas de negociación, proveedores de criptoactivos MiCA) y la DGSFP (aseguradoras, reaseguradoras, mutualidades, fondos de pensiones). También aplica a los proveedores TIC que les prestan servicios que soportan funciones críticas o importantes, que deben adaptar sus contratos a los requisitos del Reglamento.
¿Qué son las pruebas TLPT en DORA?
Las TLPT (Threat-Led Penetration Testing) son pruebas avanzadas de resiliencia basadas en inteligencia de amenazas reales, realizadas por equipos Red Team externos sobre los sistemas en producción de la entidad, con autorización del supervisor. Simulan el comportamiento de adversarios sofisticados reales. Son obligatorias para las entidades financieras más significativas cada 3 años, y los resultados y planes de remediación deben comunicarse al supervisor competente. Se basan en la metodología TIBER-EU del Banco Central Europeo.
¿Los proveedores tecnológicos de bancos tienen que cumplir DORA?
Sí, pero de formas distintas según su relevancia. Los proveedores TIC que prestan servicios que soportan funciones críticas o importantes de entidades financieras deben aceptar en sus contratos las cláusulas obligatorias que DORA impone (derechos de auditoría, SLAs, notificación de incidentes, planes de salida). Los proveedores designados "críticos" por las ESAs quedan sujetos adicionalmente a supervisión directa. Todos los proveedores que sirven al sector financiero deben revisar sus contratos y prepararse para las exigencias de sus clientes regulados.
¿Cómo afecta DORA a los contratos con proveedores cloud?
DORA exige que los contratos con proveedores TIC de funciones críticas incluyan cláusulas mínimas: niveles de servicio cuantificados, derechos de auditoría e inspección para la entidad y sus supervisores, requisitos de seguridad de la información, procedimientos de notificación de incidentes al cliente, planes de salida con asistencia a la migración y obligaciones de continuidad de servicio. Los contratos vigentes que no incluyan estas cláusulas deben actualizarse. Negociar con grandes proveedores cloud (AWS, Azure, GCP) es uno de los retos más complejos del cumplimiento DORA.
¿Cuándo deben hacer las entidades financieras las primeras pruebas DORA?
Todas las entidades sujetas a DORA debían tener un programa de pruebas básicas (análisis de vulnerabilidades, pruebas de penetración estándar) implementado desde el 17 de enero de 2025. Las pruebas TLPT para entidades significativas deben realizarse al menos cada 3 años; las primeras rondas están en curso durante 2025-2026 para las entidades que no realizaron ejercicios TIBER-EU previamente. Los resultados de todas las pruebas deben documentarse y comunicarse al órgano de dirección.

¿Tu entidad financiera necesita cumplir con DORA?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas

Solicitar presupuesto sin compromiso →

Artículos relacionados:

Qué es DORA: guía completa → Cumplimiento DORA con Avson → Pide presupuesto →