Contenido de este artículo
  1. Qué es DORA (Reglamento UE 2022/2554)
  2. ¿A quién aplica DORA?
  3. Los 5 pilares de DORA
  4. Principales requisitos de DORA
  5. DORA vs NIS2: diferencias
  6. Fechas clave: DORA ya es obligatorio
  7. Sanciones por incumplimiento
  8. Cómo cumplir con DORA: hoja de ruta
  9. Preguntas frecuentes

Qué es DORA (Reglamento UE 2022/2554)

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es el marco legal europeo que establece los requisitos de resiliencia operacional digital para el sector financiero. Fue adoptado por el Parlamento Europeo y el Consejo de la Unión Europea en noviembre de 2022, publicado en el Diario Oficial de la UE el 27 de diciembre de 2022 y pasó a ser obligatorio el 17 de enero de 2025.

DORA responde a una realidad que los reguladores europeos identificaron como riesgo sistémico: el sector financiero depende cada vez más de sistemas tecnológicos complejos y de proveedores TIC externos, y un fallo tecnológico en una entidad relevante puede tener consecuencias en cascada sobre la estabilidad financiera de la UE. Un ciberataque a un proveedor de infraestructura de pagos crítico, por ejemplo, puede paralizar simultáneamente a cientos de entidades financieras que comparten ese proveedor.

A diferencia de muchas directivas europeas, DORA es un Reglamento de aplicación directa en todos los estados miembros, sin necesidad de transposición nacional. Esto significa que sus requisitos son idénticos para una entidad financiera española, francesa o alemana: no hay margen para interpretaciones nacionales divergentes. Los estándares técnicos de implementación (RTS e ITS) desarrollados por las Autoridades Supervisoras Europeas (EBA, ESMA, EIOPA) completan el marco normativo con requisitos técnicos específicos.

En su alcance, DORA cubre cinco grandes ámbitos: la gestión de riesgos TIC, la gestión y notificación de incidentes, las pruebas de resiliencia operacional digital (incluyendo el TLPT), la gestión de riesgos de terceros TIC y el intercambio de información sobre ciberamenazas. Estos cinco pilares forman un marco integrado que va mucho más allá de las obligaciones de ciberseguridad preexistentes.

¿Necesitas cumplir con DORA?

Pide presupuesto en 24 horas. Sin compromiso.

Pide presupuesto →

¿A quién aplica DORA? Entidades financieras e ICT providers

El ámbito de aplicación de DORA es uno de los más amplios de la regulación financiera europea. El artículo 2 del Reglamento enumera 21 tipos de entidades sujetas a sus requisitos:

Además de las entidades financieras en sentido estricto, DORA incluye a los proveedores TIC críticos que les prestan servicios. Estos proveedores —que pueden ser empresas de cloud computing, plataformas SaaS financieras, proveedores de centros de datos o empresas de software para entidades financieras— pueden ser designados por las ESAs como "críticos" y quedar sujetos a un régimen de supervisión directa por parte de las autoridades europeas, con inspecciones, requerimientos de información y sanciones directas.

La norma incluye un mecanismo de proporcionalidad: las microempresas (menos de 10 empleados y menos de 2 millones de euros de volumen de negocio) están sujetas a una versión simplificada de los requisitos. Sin embargo, la mayoría de las entidades financieras relevantes quedan fuera de esta excepción.

Los 5 pilares de DORA

DORA estructura sus requisitos en torno a cinco pilares fundamentales que deben implantarse de forma integrada:

Pilar 1 — Gestión de riesgos TIC: las entidades deben disponer de un marco de gestión de riesgos TIC robusto, con una estrategia de resiliencia digital aprobada por el órgano de dirección, políticas de seguridad de la información, gestión de activos TIC, protección y prevención, detección de anomalías, respuesta y recuperación, y comunicación. Este pilar es el más cercano a lo que exige ISO 27001 en términos de gestión de riesgos de seguridad.

Pilar 2 — Gestión y notificación de incidentes TIC: las entidades deben clasificar los incidentes TIC según criterios armonizados a nivel europeo (definidos en los RTS de la EBA) y notificar los incidentes graves a sus supervisores nacionales dentro de plazos estrictos: notificación inicial en 4 horas, informe intermedio en 72 horas e informe final en un mes. La gestión de incidentes debe estar formalizada en procedimientos documentados y probados.

Pilar 3 — Pruebas de resiliencia operacional digital: DORA exige un programa continuo de pruebas que incluye evaluaciones de vulnerabilidad, pruebas de seguridad de aplicaciones, revisiones de configuración y, para las entidades más significativas, pruebas TLPT (Threat-Led Penetration Testing) basadas en el marco TIBER-EU. Las pruebas TLPT son ejercicios de ataque realistas realizados por equipos externos especializados con conocimiento del adversario.

Pilar 4 — Gestión de riesgos de terceros TIC: es posiblemente el pilar más exigente operativamente. Las entidades deben identificar y gestionar todos sus proveedores TIC, clasificarlos por criticidad, disponer de contratos con cláusulas obligatorias definidas por DORA (incluyendo SLAs, derechos de auditoría, planes de salida), realizar due diligence antes de contratar y monitorizar continuamente el riesgo de los proveedores críticos. La concentración de riesgo en pocos proveedores TIC es un foco especial de supervisión.

Pilar 5 — Intercambio de información: DORA fomenta la creación de acuerdos voluntarios de intercambio de información sobre ciberamenazas e inteligencia de amenazas entre entidades financieras. Este intercambio, cuando se produce bajo los mecanismos previstos por DORA, no genera responsabilidades legales adicionales para las entidades participantes.

Principales requisitos de DORA

Más allá de los cinco pilares, DORA impone requisitos concretos que toda entidad en su ámbito debe implementar:

Gobernanza TIC: el órgano de dirección (consejo de administración o equivalente) es directamente responsable de la gestión del riesgo TIC. No puede delegarse completamente en el CIO o el CISO. Los miembros del órgano de dirección deben mantener conocimientos y capacidades actualizadas en riesgos TIC y participar activamente en la supervisión del marco de gestión de riesgos.

Clasificación de activos TIC: todas las entidades deben mantener un inventario actualizado de sus activos TIC (hardware, software, aplicaciones, datos) y clasificarlos según su criticidad para los procesos de negocio.

Continuidad de negocio TIC: las entidades deben disponer de políticas y planes de continuidad específicos para las TIC, con objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) definidos para los sistemas críticos, probados al menos anualmente.

Pruebas anuales obligatorias: todas las entidades deben realizar pruebas de sus sistemas TIC al menos anualmente, incluyendo análisis de vulnerabilidades, pruebas de penetración básicas y revisiones de configuración. Las entidades significativas están obligadas adicionalmente a realizar TLPT cada 3 años.

Gestión de proveedores TIC críticos: los contratos con proveedores TIC que soportan funciones críticas deben incluir cláusulas mínimas sobre niveles de servicio, auditoría, seguridad de los datos, notificación de incidentes y planes de salida. La entidad debe ser capaz de terminar el contrato sin comprometer la continuidad de sus servicios.

DORA vs NIS2: diferencias clave

La confusión entre DORA y NIS2 es frecuente, especialmente entre entidades financieras que se preguntan qué norma deben aplicar. La respuesta es relativamente clara:

NIS2 (Directiva UE 2022/2555, transpuesta en España mediante la Ley de Ciberseguridad) es una directiva de ciberseguridad de alcance horizontal que cubre sectores esenciales e importantes: energía, transporte, sanidad, infraestructuras digitales, agua, administración pública, servicios postales y sector financiero. Su nivel de prescripción es relativamente general.

DORA es un Reglamento específico para el sector financiero con un nivel de detalle y prescripción mucho mayor que NIS2. Regula no solo la ciberseguridad sino la resiliencia operacional digital en su conjunto: gestión de riesgos TIC, continuidad, pruebas de resiliencia, gestión de proveedores y notificación de incidentes con plazos y formatos específicos.

El principio de lex specialis resuelve el solapamiento: las entidades financieras sujetas a DORA están exentas de los requisitos equivalentes de NIS2, dado que DORA establece normas más específicas y exigentes. Sin embargo, existen áreas donde ambas normas pueden coexistir, y la planificación del cumplimiento debe tener en cuenta ambas normativas para identificar sinergias y evitar duplicidades.

Si quieres profundizar en NIS2 y su impacto en tu organización, puedes consultar nuestro artículo sobre NIS2 para empresas españolas en la sección de certificaciones (próximamente también disponible en el blog: que-es-nis2-directiva.html).

¿DORA, NIS2 o ambas te aplican?

Te ayudamos a identificarlo y a diseñar la hoja de ruta más eficiente.

Pide presupuesto →

Fechas clave: DORA ya es obligatorio desde enero de 2025

El calendario regulatorio de DORA ha seguido un proceso escalonado que conviene conocer para entender el contexto actual de cumplimiento:

En la práctica, muchas entidades financieras están aún en proceso de implementación completa de todos los requisitos, especialmente en los ámbitos más complejos: la gestión exhaustiva de proveedores TIC y las pruebas TLPT. Los supervisores nacionales (Banco de España, CNMV, DGSFP en España) están llevando a cabo supervisiones iniciales con un enfoque orientado a evaluar el estado de implementación y los planes de cumplimiento, más que a aplicar sanciones inmediatas. Sin embargo, este período de gracia informal es limitado y las entidades deben avanzar con urgencia.

Sanciones por incumplimiento de DORA

DORA establece un régimen sancionador que, aunque deja margen a los estados miembros para su desarrollo normativo nacional, incluye elementos directamente aplicables por las autoridades supervisoras europeas y nacionales:

Para las entidades financieras, las sanciones por incumplimiento de DORA son competencia de los supervisores nacionales (Banco de España para entidades de crédito, CNMV para empresas de inversión, DGSFP para seguros). El Reglamento exige que los estados miembros garanticen sanciones efectivas, proporcionales y disuasorias, y establece que las multas deben poder alcanzar cantidades significativas en función del tipo de infracción y del tamaño de la entidad.

Para los proveedores TIC críticos designados que quedan bajo supervisión directa de las ESAs, el Reglamento establece un régimen más detallado: multas de hasta el 1% de su facturación media diaria mundial durante el período de incumplimiento, con un máximo de 5 millones de euros para multas individuales. Adicionalmente, las ESAs pueden imponer multas periódicas coercitivas de hasta 100.000 euros por día durante hasta 6 meses para forzar el cumplimiento.

Más allá de las multas, las sanciones potenciales incluyen la prohibición de prestar determinados servicios, la restricción de actividades, la publicidad del incumplimiento (naming and shaming) y la exigencia de planes de remediación vinculantes con plazos supervisados. Para las entidades que compiten en mercados regulados, la sola publicidad de una sanción por incumplimiento de DORA tiene un impacto reputacional que puede superar el valor económico de la multa.

Cómo cumplir con DORA: hoja de ruta

El cumplimiento de DORA no es un proyecto puntual: es un programa de transformación de la gestión del riesgo TIC que requiere planificación estructurada y un enfoque por fases. Una hoja de ruta típica incluye las siguientes etapas:

  1. Diagnóstico de madurez: evaluación del estado actual de la organización frente a los cinco pilares de DORA. Identificación de brechas prioritarias y estimación del esfuerzo de remediación. El diagnóstico debe incluir una revisión de los contratos vigentes con proveedores TIC para identificar las cláusulas que deben actualizarse.
  2. Gobernanza y mandato: obtención del compromiso formal del órgano de dirección, asignación de responsabilidades (rol de CISO, comité de riesgos TIC, función de gestión de proveedores) y aprobación de la política de gestión de riesgos TIC.
  3. Marco de gestión de riesgos TIC: implementación o actualización del marco de gestión de riesgos TIC, incluyendo inventario de activos, metodología de evaluación de riesgos, controles de protección y detección, y procedimientos de respuesta y recuperación. Si la entidad ya tiene ISO 27001, este pilar es el más avanzado.
  4. Gestión de incidentes: diseño e implementación del proceso de clasificación y notificación de incidentes TIC según los criterios armonizados de los RTS, con procedimientos, responsables y plantillas de notificación preparadas para activarse dentro de los plazos regulatorios.
  5. Programa de pruebas: diseño del plan anual de pruebas de resiliencia, incluyendo análisis de vulnerabilidades, pruebas de penetración y, si aplica, planificación del TLPT. Documentación de resultados y planes de remediación.
  6. Gestión de proveedores TIC: inventario completo de proveedores TIC, clasificación por criticidad, revisión contractual y actualización de cláusulas, procesos de due diligence para nuevos proveedores y monitorización continua de los críticos.
  7. Mejora continua y reporte a supervisor: implementación de indicadores de seguimiento del programa DORA, reporting interno al órgano de dirección y preparación para las supervisiones de las autoridades competentes.
¿Necesitas cumplir con DORA?

Pide presupuesto en 24 horas. Sin compromiso.

Solicitar presupuesto sin compromiso →

Preguntas frecuentes sobre DORA

¿DORA aplica a mi empresa?
DORA aplica a las entidades financieras reguladas en la UE: bancos, empresas de inversión, entidades de pago, entidades de dinero electrónico, gestoras de fondos, aseguradoras, reaseguradoras, fondos de pensiones, agencias de calificación crediticia, plataformas de crowdfunding, proveedores de servicios de criptoactivos y los proveedores TIC críticos que les prestan servicios. Si tu empresa es alguna de estas entidades o les presta servicios tecnológicos que soportan funciones críticas, DORA muy probablemente te aplica. El diagnóstico es el primer paso para confirmarlo.
¿DORA es lo mismo que NIS2?
No. DORA (Reglamento UE 2022/2554) es una norma específica para el sector financiero con requisitos mucho más detallados y prescriptivos en resiliencia operacional digital. NIS2 es una directiva de ciberseguridad de aplicación horizontal que cubre sectores críticos más ampliamente. Las entidades financieras sujetas a DORA están exentas de NIS2 en las materias cubiertas por DORA, según el principio lex specialis. Existen, sin embargo, áreas de solapamiento que conviene mapear en el diseño del programa de cumplimiento.
¿Cuándo entró en vigor DORA?
El Reglamento DORA (UE 2022/2554) se publicó en el Diario Oficial de la UE el 27 de diciembre de 2022 y entró en vigor formalmente el 16 de enero de 2023. Sin embargo, su aplicación obligatoria —la fecha a partir de la cual las entidades deben cumplir íntegramente todos sus requisitos y quedan expuestas a sanciones— fue el 17 de enero de 2025, tras un período de transición de 24 meses para la implementación.
¿Qué sanciones tiene el incumplimiento de DORA?
Las sanciones varían según el tipo de entidad y el supervisor competente. Para las entidades financieras reguladas en España, los supervisores nacionales (Banco de España, CNMV, DGSFP) pueden imponer multas significativas y medidas correctivas. Para los proveedores TIC críticos bajo supervisión directa de las ESAs, las multas pueden alcanzar hasta el 1% de su facturación media diaria mundial, con multas periódicas coercitivas de hasta 100.000 euros diarios. Adicionalmente, las sanciones no económicas (restricciones de actividad, publicidad del incumplimiento) pueden tener impacto reputacional severo.
¿Cuánto tiempo lleva cumplir con DORA?
El tiempo depende de la madurez de la entidad y de su tamaño. Para una entidad mediana que parte de cero, el cumplimiento integral puede llevar entre 6 y 18 meses. Con el acompañamiento de una consultora especializada y aprovechando sinergias con marcos previos (ISO 27001, ISO 22301), el proceso puede acelerarse a 4-6 meses para los requisitos más críticos. Lo importante es comenzar por un diagnóstico de madurez que priorice las brechas más urgentes y permita demostrar ante el supervisor un plan de cumplimiento estructurado.

¿Tu entidad necesita cumplir con DORA?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas

Solicitar presupuesto sin compromiso →

Artículos relacionados:

DORA para entidades financieras → Cumplimiento DORA con Avson → NIS2 para empresas →