El Reglamento (UE) 2022/2554, conocido como DORA, entró en aplicación el 17 de enero de 2025 y establece un marco unificado de resiliencia operativa digital para todas las entidades financieras de la Unión Europea. Banca tradicional, neobancos, aseguradoras, gestoras, empresas de servicios de inversión, instituciones de pago, proveedores de criptoactivos bajo MiCA y proveedores TIC críticos designados por las ESAs quedan dentro del perímetro. El reglamento sustituye un puzzle de directrices sectoriales dispersas por un cuerpo normativo único, directamente aplicable y con régimen sancionador propio.
Lo esencial
- DORA es un Reglamento de aplicación directa que prevalece sobre NIS2 para entidades financieras en virtud del principio lex specialis.
- Cinco pilares estructuran el cumplimiento: gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia operativa, gestión de terceros TIC e intercambio de información sobre amenazas.
- El TLPT (Threat-Led Penetration Testing) bajo metodología TIBER-EU es obligatorio cada tres años para las entidades designadas, con proveedores acreditados de threat intelligence y red team.
- La gobernanza de proveedores TIC críticos exige registro reportable, cláusulas contractuales obligatorias, derechos de auditoría y estrategia de salida documentada.
- Más de la mitad de la banca europea arrancó tarde en preparación DORA según el seguimiento del Banco Central Europeo de 2025, lo que abre una ventana de remediación realista de dieciocho meses.
DORA en una frase y su impacto en banca
DORA es el primer marco europeo que unifica las obligaciones de ciberseguridad y resiliencia operativa del sector financiero en un único instrumento. Un reglamento es de aplicación directa en todos los Estados miembros desde la fecha indicada en el texto, sin necesidad de transposición nacional. Esto elimina la fragmentación previa, donde cada supervisor nacional interpretaba con matices distintos las directrices de EBA, EIOPA o ESMA.
Para la banca el impacto es estructural. DORA consolida en obligaciones vinculantes prácticas que vivían en guías de supervisión, recomendaciones del BCE o circulares del Banco de España. Introduce el principio de lex specialis frente a NIS2: cuando una entidad financiera está sujeta a ambas, prevalece DORA. La función de cumplimiento no necesita mantener dos marcos paralelos de reporte de incidentes, pero sí debe verificar que la armonización interna refleja esta prevalencia, especialmente en grupos con filiales no financieras que sí caen bajo NIS2 puro.
Entidades obligadas
DORA enumera las categorías en su artículo 2. La tabla resume las principales con su encaje supervisor en España.
| Categoría | Ejemplos | Supervisor competente |
|---|---|---|
| Banca tradicional | Entidades de crédito, bancos comerciales, bancos de inversión | Banco de España, BCE para entidades significativas |
| Fondos de pensiones | Fondos de pensiones de empleo y mixtos | DGSFP |
| Proveedores de criptoactivos (CASP) | Exchanges, custodios, emisores de fichas referenciadas a activos bajo MiCA | CNMV |
| Sociedades gestoras | Gestoras de IIC (UCITS), gestoras de FIA, gestoras de planes de pensiones | CNMV, DGSFP |
| Aseguradoras y reaseguradoras | Compañías de seguros, intermediarios de seguros | DGSFP |
| Instituciones de pago y dinero electrónico | Entidades de pago, entidades de dinero electrónico, iniciadores y agregadores PSD2 | Banco de España |
| Empresas de servicios de inversión | Sociedades y agencias de valores, plataformas de negociación, depositarios centrales | CNMV |
| Proveedores TIC críticos (CTPP) | Hyperscalers cloud, SaaS críticos, MSP designados por las ESAs | EBA, ESMA, EIOPA |
Las microempresas con menos de diez empleados o dos millones de euros de facturación tienen régimen simplificado en algunas obligaciones, pero no quedan exentas. La proporcionalidad ajusta la profundidad de los controles, no su existencia.
Los cinco pilares DORA
Pilar 1: gestión de riesgos TIC (artículos 5 a 15)
El órgano de dirección es directamente responsable del marco de gestión de riesgos TIC. Esta responsabilidad no es delegable y aparece de forma expresa en el articulado, lo que convierte las decisiones de inversión en ciberseguridad en responsabilidad fiduciaria del consejo. El marco debe contemplar identificación de funciones críticas, inventario de activos TIC, políticas de seguridad, criptografía, control de accesos, gestión de cambios, detección de anomalías, continuidad con RTO y RPO por función crítica y un proceso documentado de aprendizaje post-incidente.
Pilar 2: notificación de incidentes (artículos 17 a 23)
DORA impone un proceso uniforme de detección, clasificación según criterios de los RTS y notificación escalonada a la autoridad competente. La autoridad receptora en España depende del tipo de entidad: el Banco de España recibe notificaciones de entidades de crédito y pago, la CNMV las de mercados de valores y criptoactivos, y la DGSFP las de seguros y fondos de pensiones. Existe además la notificación voluntaria de ciberamenazas significativas, no solo de incidentes consumados.
Pilar 3: pruebas de resiliencia operativa (artículos 24 a 27)
Todas las entidades deben mantener un programa de pruebas proporcional a su perfil que incluya análisis de vulnerabilidades, revisiones de código, tests de red, pruebas de continuidad, pentesting y pruebas de seguridad física. Las entidades designadas por la autoridad competente según impacto sistémico, tamaño y perfil de riesgo deben realizar adicionalmente TLPT al menos cada tres años.
Pilar 4: gestión de riesgos de terceros TIC (artículos 28 a 44)
DORA reescribe la gestión de proveedores en el sector financiero. La entidad debe mantener un registro de información de todos los acuerdos TIC, actualizado y reportable al supervisor en formato armonizado. Las cláusulas mínimas del artículo 30 son taxativas para proveedores de funciones críticas: derechos de acceso, inspección y auditoría, acceso a información y locales, subcontratación con autorización previa, SLAs cuantificados, cooperación con el supervisor y estrategia de salida documentada. Los CTPP designados quedan bajo supervisión directa europea.
Pilar 5: acuerdos de intercambio de información (artículo 45)
El último pilar promueve la participación voluntaria en acuerdos sectoriales de intercambio de información sobre ciberamenazas, indicadores de compromiso y técnicas adversariales, respetando confidencialidad y RGPD. No es una obligación dura, pero los supervisores valoran la pertenencia a estructuras como FS-ISAC o los foros sectoriales nacionales.
TLPT (Threat-Led Penetration Testing) bajo DORA
El TLPT es el cambio más disruptivo de DORA desde el punto de vista técnico. Las entidades designadas, generalmente bancos sistémicos, infraestructuras de mercado y grandes aseguradoras, deben ejecutar un ejercicio de red team inteligencia-led sobre sistemas en producción al menos cada tres años. El alcance cubre funciones críticas y se construye a partir de un targeting report elaborado por un proveedor de threat intelligence acreditado que identifica actores realistas y TTPs creíbles para esa entidad.
Los requisitos de proveedor son taxativos. El proveedor de threat intelligence y el de red team deben ser independientes entre sí y estar acreditados conforme a los RTS publicados por las ESAs. La acreditación valida competencia técnica, separación de funciones, cobertura de seguros y manejo de información sensible. El ejercicio se ejecuta sobre producción durante doce o más semanas, con un white team interno reducido mientras el blue team se somete al test sin previo aviso.
DORA reutiliza el framework TIBER-EU publicado por el BCE en 2018 como base metodológica. Las cuatro fases canónicas son preparación, threat intelligence, red teaming y cierre con replay junto al blue team. La diferencia es que TLPT bajo DORA convierte en obligatoria una práctica que TIBER ofrecía como voluntaria, y añade requisitos formales de acreditación.
Gobernanza de proveedores TIC críticos
La gobernanza de terceros es el área donde más entidades arrastran deuda técnica. Una entidad financiera de tamaño medio mantiene típicamente entre doscientos y ochocientos contratos TIC activos, y una fracción significativa soporta funciones críticas. DORA exige un proceso integral que arranca con análisis previo de criticidad, continúa con negociación de cláusulas alineadas al artículo 30, sigue con monitorización continua y termina con estrategia de salida documentada y probada.
El registro de información de proveedores es el entregable más visible. Las ESAs publicaron un formato armonizado XBRL que las entidades deben generar, mantener actualizado y entregar al supervisor con periodicidad anual. Recoge identidad del proveedor, naturaleza del servicio, criticidad, ubicación del procesamiento, subcontratistas, dependencias intra-grupo y valoración de concentración de riesgo.
Los derechos de auditoría son un punto de fricción habitual en negociaciones con hyperscalers. La entidad debe tener capacidad efectiva de auditar al proveedor, directamente o vía auditorías agrupadas (pooled audits) con informes accesibles. Los acuerdos preexistentes con AWS, Azure o Google Cloud han requerido renegociación generalizada durante 2024 y 2025.
La política de salida debe ser realista. No basta con una cláusula declarativa. La entidad debe poder migrar la función crítica a un proveedor alternativo o a infraestructura propia en plazo razonable, con datos extraíbles en formatos abiertos. Los ejercicios de simulación de salida son una práctica recomendada por el Banco de España.
Notificación de incidentes DORA vs NIS2 vs RGPD
Las tres normativas conviven con plazos, formatos y autoridades distintos.
| Aspecto | DORA | NIS2 | RGPD |
|---|---|---|---|
| Trigger | Incidente TIC grave según criterios RTS | Incidente significativo según anexo de la directiva | Violación de datos personales |
| Notificación inicial | Lo antes posible tras clasificación, plazo corto en RTS | Alerta temprana en 24 horas | 72 horas a la autoridad de control |
| Notificación intermedia | Sí, con evaluación de impacto | Sí, en 72 horas | No formalmente, sí actualizaciones |
| Notificación final | Causa raíz, lecciones aprendidas, medidas correctivas | Informe final en un mes | Documentación interna |
| Autoridad receptora | Banco de España, CNMV, DGSFP, ESA según entidad | INCIBE-CERT y autoridad sectorial | AEPD |
| Comunicación a clientes | Si afecta a clientes o contraparte | Si procede | Obligatoria si alto riesgo |
Un mismo incidente puede activar las tres notificaciones simultáneamente. La práctica establecida es construir un proceso interno único que genere los tres entregables con la información común recogida una sola vez, evitando duplicidades que retrasan la respuesta.
Roles internos requeridos
DORA exige una función de gestión de riesgos TIC dotada con recursos suficientes, autoridad efectiva y reporte directo a un miembro del órgano de dirección. No es necesariamente un departamento separado, pero sí una función identificable con responsables nominados.
La función de auditoría interna debe revisar el marco con periodicidad mínima anual y con independencia respecto a las áreas operativas auditadas. En entidades medianas esta función suele externalizarse parcialmente; DORA no lo prohíbe pero exige que la responsabilidad última permanezca interna.
El órgano de dirección debe recibir formación específica en riesgos TIC y resiliencia operativa con frecuencia adecuada al perfil de riesgo. Esta obligación de DORA-trained board aparece de forma expresa en el articulado y los supervisores están comenzando a verificarla en inspecciones rutinarias. La formación debe ser documentable, no basta con asistencia pasiva a una presentación anual.
Plan cumplimiento DORA realista 2026
Más de la mitad de las entidades de crédito europeas arrancaron la preparación DORA con retraso respecto al calendario óptimo según el seguimiento publicado por el BCE durante 2025. La consecuencia es que muchas organizaciones se encuentran en 2026 con una brecha real entre estado actual y cumplimiento sustantivo. Un plan realista de dieciocho meses con priorización por impacto regulatorio permite cerrar esa brecha sin caos.
Meses 1 a 3: diagnóstico exhaustivo. Inventario de funciones críticas o importantes, mapeo de proveedores TIC con clasificación de criticidad, gap analysis frente a los cinco pilares y a los RTS publicados, revisión de cláusulas contractuales con proveedores críticos, evaluación del estado de la función de gestión de riesgos TIC y de auditoría interna.
Meses 4 a 9: diseño y remediación. Marco de gobernanza TIC actualizado y aprobado por el consejo, procedimiento de notificación alineado con los RTS y con la autoridad competente, programa de pruebas estructurado con calendario plurianual, plan de continuidad con RTO y RPO por función crítica, renegociación de contratos TIC críticos para incorporar el artículo 30, construcción del registro de proveedores en formato XBRL.
Meses 10 a 18: implantación y verificación. Despliegue o consolidación de capacidad de detección y respuesta, ejercicios de tabletop y simulacros de continuidad, contratación de proveedores TLPT acreditados si la entidad está designada, primera auditoría interna del marco completo, reporte regulatorio inicial al supervisor.
Errores comunes
El primer error recurrente es asumir que ISO 27001 ya cubre DORA. La certificación cubre buena parte del pilar 1, pero deja sin cubrir el régimen de notificación a autoridad competente, el TLPT bajo TIBER-EU, el registro armonizado de proveedores, la estrategia de salida documentada y la formación específica del órgano de dirección. Una organización certificada tiene ventaja relativa, no cumplimiento DORA.
El segundo error es scope insuficiente de terceros. Es habitual encontrar registros que cubren los grandes contratos visibles pero omiten SaaS contratados por unidades de negocio sin involucrar a compras, integraciones con fintech partners o servicios de datos vía API. DORA exige cobertura exhaustiva, no selectiva.
El tercer error es contratar TLPT con proveedor no acreditado. Los RTS son taxativos en los requisitos de acreditación. Un ejercicio con proveedor que cumple parcialmente los requisitos no satisface la obligación regulatoria, aunque la calidad técnica sea elevada.
El cuarto error es la falta de documentación auditable. La supervisión DORA es intensiva en evidencias: actas del consejo, evidencias de formación, registros de pruebas, comunicaciones con proveedores y planes de acción. Una organización con controles efectivos pero documentación pobre tendrá problemas en inspección.
Preguntas frecuentes
¿Un neobanco español está obligado por DORA?
Sí. Si el neobanco opera con licencia de entidad de crédito, entidad de pago o entidad de dinero electrónico, queda dentro del artículo 2. La aplicación es plena desde el 17 de enero de 2025, con el principio de proporcionalidad ajustando la profundidad de algunas obligaciones pero sin eximir del cumplimiento sustantivo.
¿El TLPT es obligatorio para todas las entidades financieras?
No. Solo para las entidades designadas por la autoridad competente según criterios de tamaño, perfil de riesgo y rol sistémico. Las no designadas deben mantener un programa de pruebas avanzado con pentesting periódico, pero no TLPT formal bajo TIBER-EU. La designación se comunica formalmente y revisa con periodicidad.
¿Un proveedor cloud crítico se convierte en banco a efectos DORA?
No. Un CTPP designado queda sujeto a supervisión directa de las ESAs en relación con los servicios prestados al sector financiero, pero no adquiere la condición de entidad financiera. La supervisión cubre prácticas de gestión de riesgos, capacidad operativa, gestión de incidentes y cooperación con autoridades. Las ESAs pueden imponer recomendaciones vinculantes y multas coercitivas, no requisitos prudenciales de capital.
¿Qué multa puede recibir una entidad por no notificar un incidente?
DORA delega el régimen sancionador en las autoridades competentes nacionales. Para entidades financieras la sanción puede alcanzar hasta el 1% de la facturación media diaria mundial durante el período de incumplimiento. La autoridad considera gravedad, duración, beneficio obtenido y grado de cooperación. La sanción puede ir acompañada de publicación nominativa y de suspensión temporal de autorizaciones.
¿DORA exime del cumplimiento NIS2?
Para entidades financieras puramente bajo perímetro DORA, sí: el principio de lex specialis hace prevalecer DORA. Para grupos mixtos con filiales no financieras, las filiales fuera del perímetro DORA deben cumplir NIS2 si están en el ámbito subjetivo de la directiva. La función de cumplimiento del grupo debe mapear con precisión qué normativa aplica a cada entidad jurídica.
¿Cómo es una inspección DORA del Banco de España?
Las inspecciones combinan revisión documental remota con visita presencial. La remota cubre marco de gestión de riesgos TIC, política de gobierno de proveedores, registro armonizado, evidencias de pruebas y formación del consejo. La visita presencial profundiza en entrevistas con responsables y revisión de evidencias específicas. La duración típica oscila entre cuatro y doce semanas según tamaño y alcance, con un informe final que detalla hallazgos y plazos de remediación.
Recursos relacionados
- Reglamento DORA: alcance, plazos y obligaciones (2026)
- DORA vs NIS2: cuándo aplica cada uno
- NIS2 en España: transposición, plazos y obligaciones
- TIBER-EU y TLPT: Red Team intelligence-led en banca
- Guía completa de auditoría de ciberseguridad para empresas
- Qué es Red Team: guía para empresas
DORA compliance con Secra
En Secra acompañamos a entidades financieras en la adecuación integral a DORA combinando consultoría regulatoria y capacidad técnica acreditada. Realizamos TLPT bajo metodología TIBER-EU con equipo de threat intelligence y red team acreditados conforme a los RTS publicados por las ESAs, ejecutamos gap analysis frente a los cinco pilares y construimos el registro armonizado de proveedores TIC en formato XBRL listo para entregar al supervisor.
El equipo está formado por profesionales con experiencia directa en proyectos para entidades de crédito, instituciones de pago y aseguradoras supervisadas por Banco de España, CNMV y DGSFP, tanto bancos significativos bajo supervisión BCE como neobancos y fintechs con licencia española.
Si necesitas un diagnóstico inicial o planificar el roadmap DORA para los próximos dieciocho meses, contacta con nosotros y organizamos una conversación inicial sin compromiso.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.