Compliance
DORA
resiliencia operativa digital
cumplimiento normativo

Reglamento DORA: alcance, plazos y obligaciones (2026)

Guía completa del Reglamento DORA (UE 2022/2554): a quién aplica, los 5 pilares, TLPT, plazos y régimen sancionador para entidades financieras.

Secra2 de mayo de 202610 min de lectura

El Reglamento (UE) 2022/2554 (conocido como DORA) es el marco europeo de resiliencia operativa digital para el sector financiero. Aplica desde el 17 de enero de 2025 y obliga a 21 categorías de entidades financieras (bancos, aseguradoras, fondos, fintechs, criptoactivos…) y a sus proveedores TIC críticos (CTPP). Se estructura en 5 pilares: gestión de riesgo TIC, gestión y notificación de incidentes, pruebas de resiliencia operativa digital (incluido TLPT: Threat-Led Penetration Testing), gestión de riesgo de terceros e intercambio de información sobre amenazas. A diferencia de NIS2, DORA es directamente aplicable sin transposición. Las pruebas TLPT, basadas en el framework TIBER-EU, son obligatorias para las entidades financieras designadas y deben realizarse al menos cada 3 años con proveedores acreditados.

Qué es DORA (Reglamento UE 2022/2554)

DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. Se complementa con la Directiva (UE) 2022/2556, que armoniza varias directivas sectoriales (CRD, MiFID II, IDD, etc.).

A diferencia de NIS2, DORA es un Reglamento, lo que significa que es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional. Entró en vigor el 16 de enero de 2023 y es de aplicación desde el 17 de enero de 2025.

DORA agrega y amplía obligaciones que estaban dispersas en directrices sectoriales (EBA Guidelines on ICT Risk Management, EIOPA Guidelines, etc.) y las consolida en un marco único, armonizado y vinculante.

¿A quién aplica DORA?

Las 21 categorías de entidades financieras

DORA enumera explícitamente las entidades en su artículo 2. Las principales son:

SectorCategorías incluidas
BancaEntidades de crédito, entidades de pago, entidades de dinero electrónico
Mercados de valoresEmpresas de servicios de inversión, plataformas de negociación, depositarios centrales, entidades de contrapartida central
SegurosEmpresas de seguros y reaseguros, intermediarios de seguros
PensionesFondos de pensiones de empleo
GestiónSociedades gestoras de IIC (UCITS) y de FIA, gestoras de planes de pensiones
CalificaciónAgencias de calificación crediticia
DatosProveedores de servicios de datos
CriptoProveedores de servicios de criptoactivos (CASP) bajo MiCA, emisores de fichas referenciadas a activos
OtrosProveedores de servicios de financiación participativa, administradores de índices de referencia

Proveedores TIC críticos (CTPP)

DORA introduce la figura del proveedor TIC crítico de terceros (Critical Third-Party Provider, CTPP): proveedores designados por las Autoridades Europeas de Supervisión (ESAs) cuya criticidad sistémica justifica supervisión directa europea. Los CTPP típicos son hyperscalers cloud (AWS, Azure, GCP), proveedores SaaS críticos para el sector financiero y determinados proveedores de servicios gestionados (MSP).

Excepciones y umbrales

DORA prevé un principio de proporcionalidad según tamaño y perfil de riesgo. Las microempresas (menos de 10 empleados o ≤ 2 M€ facturación) tienen un régimen simplificado en algunas obligaciones, pero no quedan exentas del Reglamento.

Plazos clave de DORA

FechaHito
16 ene 2023Entrada en vigor del Reglamento
17 ene 2025Fecha de aplicación plena
2024-2025Publicación de RTS e ITS (estándares técnicos vinculantes) por las ESAs
2025+Designación progresiva de CTPP por las ESAs
Cada 3 añosObligación recurrente de TLPT para entidades designadas
AnualAuto-evaluación de la estrategia de resiliencia digital

Los 5 pilares de DORA

Pilar 1: Gestión del riesgo TIC

El órgano de dirección es directamente responsable del marco de gestión de riesgo TIC. Debe aprobar la estrategia, asignar presupuesto suficiente y revisar al menos anualmente el desempeño. Los requisitos incluyen:

  • Marco documentado de gobernanza TIC
  • Identificación, clasificación y documentación de funciones críticas o importantes
  • Inventario de activos TIC y de dependencias
  • Políticas de seguridad de la información, criptografía, control de accesos, gestión de cambios
  • Detección y respuesta a anomalías
  • Continuidad de negocio y recuperación ante desastres con RTO y RPO definidos por función crítica
  • Aprendizaje y evolución (lessons learned obligatorio post-incidente)

Pilar 2: Gestión, clasificación y notificación de incidentes TIC

DORA impone un proceso uniforme:

  1. Detección y registro de todos los incidentes y ciberamenazas significativas
  2. Clasificación por criterios establecidos en RTS (impacto en clientes, geográfico, duración, criticidad de la función)
  3. Notificación a autoridad competente según plazos del RTS:
  • Notificación inicial lo antes posible tras la clasificación como grave
  • Notificación intermedia con evaluación de impacto y medidas adoptadas
  • Notificación final con causa raíz, lecciones aprendidas y medidas correctivas

A diferencia de NIS2, DORA exige también la notificación voluntaria de ciberamenazas significativas (no solo incidentes consumados), facilitando el intercambio sectorial.

Pilar 3: Pruebas de resiliencia operativa digital

Todas las entidades obligadas deben tener un programa de pruebas que incluya, según proporcionalidad:

  • Análisis de vulnerabilidades
  • Evaluaciones de código fuente
  • Tests de seguridad de red
  • Tests de extremo a extremo de la continuidad
  • Pruebas de penetración
  • Tests de seguridad física

Las entidades financieras designadas por la autoridad (basándose en perfil de riesgo, tamaño y rol sistémico) están obligadas a realizar TLPT: Threat-Led Penetration Testing al menos cada 3 años, conforme al framework TIBER-EU.

TLPT/TIBER es el cambio más disruptivo de DORA desde el punto de vista técnico. Análisis completo en TIBER-EU y TLPT: Red Team intelligence-led.

Pilar 4: Gestión del riesgo de terceros TIC

DORA reescribe la gestión de proveedores en finanzas:

  • Estrategia de terceros aprobada por el órgano de dirección
  • Registro de información de todos los acuerdos contractuales TIC, mantenido y reportable a la autoridad competente
  • Cláusulas contractuales mínimas obligatorias para proveedores de funciones críticas (artículo 30)
  • Análisis previo a la contratación de funciones críticas o importantes
  • Estrategia de salida documentada para cada proveedor crítico
  • Concentración de riesgos: la entidad debe evitar dependencia excesiva de un único proveedor

Para los CTPP designados, las ESAs ejercen supervisión directa, pueden inspeccionar y emitir recomendaciones vinculantes.

Pilar 5: Intercambio de información sobre amenazas

DORA promueve (no obliga) la participación en acuerdos voluntarios de intercambio de información sobre ciberamenazas e indicadores de compromiso entre entidades financieras, dentro de un marco que respete la confidencialidad y el RGPD.

Pruebas de penetración guiadas por amenazas (TLPT)

Qué es TLPT

Un Threat-Led Penetration Test es un ejercicio de Red Team intelligence-led sobre los sistemas en producción de una entidad financiera, realizado por proveedores externos acreditados, donde el alcance y los escenarios se construyen a partir de threat intelligence específica sobre actores que amenazan a la entidad.

TIBER-EU como base metodológica

El Banco Central Europeo publicó TIBER-EU en 2018 como framework voluntario. DORA convierte parte de esta práctica en obligatoria para las entidades designadas. TLPT bajo DORA hereda la estructura:

FaseContenido
1. PreparationConstitución del White Team, alcance, selección de proveedores TI y RT
2. Threat IntelligenceTI provider entrega targeting report con TTPs realistas
3. Red TeamingRT provider ejecuta el ejercicio sobre producción durante 12+ semanas
4. Closure & ReplayReporte, replay con Blue Team, lessons learned, plan de remediación

Frecuencia y proveedores acreditados

  • Mínimo cada 3 años para entidades designadas
  • Proveedores externos acreditados según RTS publicados por las ESAs (TI provider y RT provider deben ser independientes y acreditados)
  • Coste orientativo: 80.000-250.000 € por ejercicio según alcance y complejidad
  • Confidencialidad: solo el White Team conoce el ejercicio; el Blue Team debe ser sometido al test sin previo aviso

Notificación de incidentes graves: plazos DORA

HitoContenido
InicialNotificación tan pronto como el incidente se clasifique como grave; típicamente plazos cortos (horas)
IntermediaActualización con evaluación inicial de impacto y medidas adoptadas
FinalCausa raíz, lecciones aprendidas, medidas correctivas, impacto cuantificado

Importante: si una entidad financiera está sujeta a NIS2 y a DORA, prevalece DORA en virtud del principio lex specialis. Análisis detallado en DORA vs NIS2: cuándo aplica cada uno.

Régimen sancionador

DORA delega el régimen sancionador en las autoridades competentes nacionales, fijando criterios mínimos. Las multas a entidades financieras pueden alcanzar hasta el 1% de la facturación media diaria mundial durante el período de incumplimiento. Para los CTPP, las ESAs pueden imponer multas coercitivas diarias de hasta el 1% de la facturación media diaria mundial del proveedor.

Las consecuencias adicionales incluyen suspensión de autorizaciones, prohibición de prestar servicios y publicación nominativa de la sanción.

Cómo se prepara una entidad financiera

Mes 1-2: Diagnóstico

  • Inventario de funciones críticas o importantes
  • Mapeo de proveedores TIC y clasificación de criticidad
  • GAP analysis frente a los 5 pilares y a los RTS publicados
  • Revisión de cláusulas contractuales con proveedores críticos

Mes 3-6: Diseño y remediación

  • Marco de gobernanza TIC actualizado, aprobado por el consejo
  • Procedimiento de notificación de incidentes alineado con RTS
  • Programa de pruebas estructurado (vulnerabilidades, pentest anual, TLPT cada 3 años si aplica)
  • Plan de continuidad y DR con RTO/RPO por función crítica
  • Actualización de contratos TIC: artículo 30 + cláusulas operativas y de salida
  • Registro de información de proveedores construido y reportable

Mes 6-12: Implantación y pruebas

  • Despliegue de capacidad de detección/respuesta (SIEM, EDR, SOC propio o MDR)
  • Ejercicios tabletop y simulacros de continuidad
  • Si está designada para TLPT: contratación de TI y RT providers acreditados y planificación del ejercicio
  • Auditoría de cadena de suministro

Continuo

  • Revisión anual de la estrategia
  • Reporte regulatorio (registro de información de proveedores, incidentes, pruebas)
  • Lessons learned post-incidente

Preguntas frecuentes

¿DORA aplica a fintechs?

Sí, si la fintech encaja en alguna de las 21 categorías del artículo 2: entidades de pago, dinero electrónico, proveedores de servicios de criptoactivos bajo MiCA, plataformas de financiación participativa, etc. El principio de proporcionalidad ajusta la profundidad de las obligaciones, no la aplicación.

¿Qué es un proveedor TIC crítico (CTPP)?

Es un proveedor designado por las Autoridades Europeas de Supervisión (ESAs, EBA, ESMA, EIOPA) cuya criticidad sistémica para el sector financiero europeo justifica supervisión directa. Los criterios incluyen impacto sistémico, sustituibilidad, dependencia y volumen de servicios prestados.

¿Con qué frecuencia hay que hacer TLPT?

Las entidades designadas por la autoridad deben realizar TLPT al menos una vez cada 3 años. Las no designadas pueden tener que hacer pentesting avanzado según su programa de pruebas, pero no TLPT formal.

¿DORA sustituye a otras normativas?

No las sustituye, las integra y prevalece sobre ellas en lo regulado. Para entidades financieras es lex specialis frente a NIS2. Convive con MiCA, RGPD, MiFID II, etc.

Si cumplo NIS2, ¿cumplo DORA?

No, pero hay solapamiento de aproximadamente un 50-60%. DORA exige obligaciones específicas que NIS2 no contempla: TLPT, registro detallado de proveedores TIC, supervisión directa de CTPP por las ESAs, plazos y formatos de notificación distintos, y estrategia de salida documentada por proveedor crítico.

Adecua tu organización a DORA con Secra

En Secra realizamos análisis GAP DORA, pentesting alineado al pilar 3, ejercicios TLPT/TIBER bajo proveedores acreditados y revisión de cláusulas contractuales del pilar 4.

Conoce nuestra Consultoría GRC

Solicita una conversación inicial sin compromiso

Lecturas relacionadas

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

Compliance

Auditoría NIS2: cómo prepararse paso a paso (Guía 2026)

Metodología práctica para preparar una auditoría NIS2: gap analysis, checklist artículo 21, evidencias, plan de remediación y errores frecuentes.

2026-05-0214 min
Compliance

Directiva NIS2: a quién aplica, multas y plazos clave

Análisis completo de la Directiva NIS2 (UE 2022/2555): ámbito de aplicación, sectores, multas hasta 10M€ y calendario europeo de transposición.

2026-05-029 min
Compliance

DORA vs NIS2: cuándo aplica cada normativa

Comparativa DORA vs NIS2: lex specialis, solapamientos, obligaciones exclusivas y casos prácticos para sector financiero y grupos mixtos.

2026-05-0211 min