Compliance
DORA
resiliencia operativa digital
cumplimiento normativo

DORA: guía de cumplimiento para empresas en 2026

Guía práctica del Reglamento DORA: obligaciones, TLPT, sanciones y pasos para que tu empresa cumpla la resiliencia operativa digital en 2026.

Secra21 de abril de 202613 min de lectura

El Reglamento DORA (Digital Operational Resilience Act) lleva más de un año en vigor y la presión regulatoria sobre las entidades financieras europeas no hace más que crecer. En 2026, los supervisores han pasado de la fase de concienciación a la de verificación activa: auditorías más detalladas, primeras notificaciones de pruebas TLPT (Threat-Led Penetration Testing) y un escrutinio creciente sobre los contratos con proveedores TIC. Si tu organización opera en el sector financiero o presta servicios tecnológicos a entidades financieras, cumplir con DORA ya no es una cuestión de planificación futura sino de ejecución inmediata.

En esta guía desglosamos qué exige DORA, a quién afecta, cuáles son las sanciones por incumplimiento y qué pasos concretos debe dar tu empresa para alcanzar y mantener el cumplimiento en 2026.

Qué es el Reglamento DORA y por qué importa ahora

El Reglamento (UE) 2022/2554, conocido como DORA, establece un marco normativo uniforme para la resiliencia operativa digital del sector financiero europeo. A diferencia de la Directiva NIS2, que abarca múltiples sectores y requiere transposición nacional, DORA es un reglamento de aplicación directa en todos los Estados miembros desde el 17 de enero de 2025. Esto significa que no depende de que España apruebe una ley nacional: sus obligaciones ya son exigibles tal como están.

DORA nace de una constatación clara: la dependencia del sector financiero de las tecnologías de la información es tan profunda que cualquier incidente TIC grave puede desestabilizar no solo a la entidad afectada, sino al sistema financiero en su conjunto. Los ataques de ransomware contra bancos, las caídas de proveedores cloud que paralizan sistemas de pagos y las brechas de datos que exponen información de millones de clientes no son escenarios hipotéticos; son incidentes documentados de los últimos años.

La novedad de 2026 es que los reguladores han completado el desarrollo de las Normas Técnicas de Regulación (RTS) e Implementación (ITS) que concretan las obligaciones del reglamento. Las entidades ya no pueden argumentar falta de claridad: los requisitos están definidos, los plazos son firmes y las primeras inspecciones supervisoras están en marcha.

Quién debe cumplir DORA: entidades y proveedores afectados

DORA se aplica a veinte tipos distintos de entidades financieras, lo que lo convierte en uno de los reglamentos más amplios del sector. Entre las entidades obligadas se encuentran:

  • Entidades de crédito (bancos y cajas)
  • Empresas de servicios de inversión
  • Entidades de pago y entidades de dinero electrónico
  • Compañías de seguros y reaseguros
  • Fondos de pensiones de empleo
  • Sociedades gestoras de instituciones de inversión colectiva
  • Proveedores de servicios de criptoactivos
  • Proveedores de servicios de crowdfunding
  • Agencias de calificación crediticia
  • Depositarios centrales de valores

Pero DORA va más allá del perímetro financiero tradicional. Un aspecto crítico es la regulación de los proveedores terceros de servicios TIC. Si tu empresa desarrolla software, gestiona infraestructura cloud, proporciona servicios de ciberseguridad o presta cualquier servicio tecnológico a entidades financieras, estás dentro del alcance de DORA.

Los proveedores TIC designados como proveedores terceros críticos (CTPP) por las Autoridades Europeas de Supervisión (EBA, EIOPA, ESMA) están sujetos a un régimen de supervisión directa con inspecciones y sanciones propias. Para 2026, los principales hyperscalers cloud y proveedores de infraestructura ya han sido identificados, pero la lista se ampliará progresivamente.

Implicación práctica: si eres una empresa tecnológica española que presta servicios a bancos, aseguradoras o gestoras de fondos, tus clientes te exigirán evidencias de cumplimiento DORA como condición contractual. No estar preparado puede significar perder contratos.

Los cinco pilares de DORA: obligaciones concretas

El reglamento se estructura en torno a cinco pilares fundamentales que las entidades deben implementar de forma integral:

1. Marco de gestión del riesgo TIC

Las entidades deben establecer un marco integral de gestión del riesgo de las TIC que incluya la identificación y clasificación de todos los activos TIC críticos, la evaluación continua de amenazas y vulnerabilidades, la implementación de medidas de protección, detección, respuesta y recuperación, y la revisión periódica del marco con actualización ante nuevas amenazas.

Este marco no es un documento estático. DORA exige que esté integrado en la gobernanza corporativa y que el órgano de dirección asuma la responsabilidad directa de su aprobación y supervisión. Los consejeros y directivos pueden ser sancionados personalmente por incumplimientos, con multas de hasta 5 millones de euros para personas físicas.

Las entidades deben realizar evaluaciones de riesgo al menos una vez al año y tras cualquier incidente TIC grave, cambio significativo en la infraestructura o nueva amenaza relevante. El marco debe documentar los mapas de dependencias, los análisis de impacto en el negocio (BIA) y los planes de continuidad.

2. Notificación y gestión de incidentes TIC

DORA establece un proceso obligatorio de notificación de incidentes TIC significativos a las autoridades competentes. Las entidades deben clasificar los incidentes según criterios definidos en las RTS (número de clientes afectados, impacto económico, duración, extensión geográfica, pérdida de datos) y notificar dentro de plazos estrictos:

  • Notificación inicial: dentro de las 4 horas siguientes a la clasificación del incidente como grave, y no más tarde de 24 horas desde la detección
  • Informe intermedio: dentro de las 72 horas siguientes a la notificación inicial
  • Informe final: dentro del mes siguiente a la resolución del incidente

Las entidades también deben establecer un proceso de gestión de incidentes con procedimientos documentados de detección, triaje, escalado, contención, análisis forense y recuperación. En España, las autoridades competentes son el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones (DGSFP).

3. Pruebas de resiliencia operativa digital

Este es el pilar con mayor impacto operativo para las entidades en 2026. DORA establece dos niveles de pruebas obligatorias:

Pruebas básicas (todas las entidades): análisis de vulnerabilidades, escaneos de seguridad de red, revisiones de código fuente (tanto SAST como DAST), pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración. Estas pruebas deben realizarse al menos una vez al año para los sistemas y aplicaciones TIC que soportan funciones críticas.

Pruebas TLPT (entidades identificadas): las entidades financieras designadas por sus autoridades competentes deben realizar pruebas de penetración basadas en amenazas (Threat-Led Penetration Testing) al menos cada tres años. Las pruebas TLPT se alinean con el marco TIBER-EU y requieren la participación de equipos de Red Team externos cualificados que simulen ataques reales basados en inteligencia de amenazas específica del sector.

Las primeras notificaciones de TLPT a entidades españolas están previstas para finales de 2026 y principios de 2027. Una vez notificada, la entidad tiene 3 meses para presentar la documentación de inicio y 6 meses adicionales para entregar el documento de alcance detallado. Las pruebas TLPT no son pentests convencionales: requieren una fase de inteligencia de amenazas (threat intelligence), una fase de ejecución de Red Team con escenarios de ataque realistas, y una fase de cierre con informe detallado y plan de remediación supervisado por la autoridad competente.

4. Gestión de riesgos de terceros TIC

DORA introduce requisitos estrictos para la gestión del riesgo de proveedores tecnológicos, un área donde muchas entidades financieras tienen deficiencias significativas. Las obligaciones incluyen:

  • Mantener un Registro de Información (RoI) de todos los contratos con proveedores TIC, que debe entregarse anualmente a las autoridades competentes. En España, la primera entrega significativa se realizó en abril de 2025 y se repite cada año
  • Evaluar la concentración de riesgo en proveedores críticos y establecer estrategias de salida viables
  • Incluir cláusulas contractuales obligatorias en todos los acuerdos con proveedores TIC (derechos de auditoría, acceso a información, cooperación en incidentes, portabilidad de datos)
  • Realizar due diligence antes de contratar proveedores y evaluaciones periódicas durante la vigencia del contrato

Las entidades que subcontratan funciones críticas deben garantizar que sus proveedores cumplen con estándares equivalentes de seguridad. Esto genera un efecto cascada donde las obligaciones de DORA se extienden a toda la cadena de suministro tecnológica.

5. Intercambio de información sobre ciberamenazas

El quinto pilar, aunque menos prescriptivo, establece un marco para el intercambio voluntario de información sobre amenazas, vulnerabilidades, tácticas, técnicas y procedimientos (TTP) entre entidades financieras. El objetivo es crear un ecosistema de defensa colectiva donde la inteligencia sobre ataques se comparta de forma segura y estructurada, siguiendo marcos como MITRE ATT&CK para la clasificación de amenazas.

Sanciones por incumplimiento: el coste de no actuar

DORA establece un régimen sancionador contundente que varía según el tipo de infracción y la entidad:

  • Entidades financieras: las sanciones las definen los Estados miembros, pero pueden alcanzar hasta 20 millones de euros o el 10 % de la facturación anual del grupo, la cifra que sea mayor
  • Personas físicas (directivos): multas de hasta 5 millones de euros y posible inhabilitación para ejercer funciones directivas
  • Proveedores terceros críticos (CTPP): el supervisor principal puede imponer penalidades periódicas de hasta el 1 % de la facturación diaria mundial por cada día de incumplimiento, lo que para grandes proveedores tecnológicos puede representar cientos de millones de euros

Más allá de las multas, el incumplimiento puede derivar en amonestaciones públicas, restricciones operativas, exigencia de planes de remediación obligatorios y un escrutinio supervisor reforzado que consume recursos internos durante meses.

Dato clave: la responsabilidad personal de los miembros del órgano de dirección es uno de los elementos más disruptivos de DORA. Los consejeros no pueden delegar esta responsabilidad ni escudarse en el desconocimiento técnico. Deben demostrar que han aprobado el marco de gestión de riesgos TIC, que lo supervisan activamente y que destinan recursos suficientes a la resiliencia operativa.

Cómo preparar tu empresa para DORA en 2026

Tanto si eres una entidad financiera como un proveedor TIC del sector, estos son los pasos prácticos para alcanzar y mantener el cumplimiento:

Paso 1: Análisis de brechas (gap analysis)

El primer paso es comparar tu posición actual de seguridad con los requisitos de DORA. Esto incluye revisar tu marco de gestión de riesgos TIC, tus capacidades de detección y respuesta a incidentes, tu programa de pruebas de seguridad, tus contratos con proveedores y tu modelo de gobernanza. Un servicio de consultoría GRC especializado puede acelerar significativamente este proceso, identificando brechas críticas y priorizando las acciones de remediación.

Paso 2: Actualizar el marco de gestión de riesgos TIC

Desarrolla o actualiza tu marco conforme a los requisitos de las RTS. Documenta la taxonomía de activos TIC, los mapas de dependencias, los análisis de impacto, los controles de seguridad implementados y los procedimientos de actualización. Asegúrate de que el órgano de dirección aprueba formalmente el marco y lo revisa al menos anualmente.

Paso 3: Implementar un programa de pruebas de resiliencia

Establece un programa anual de pruebas que incluya, como mínimo, análisis de vulnerabilidades, pruebas de penetración sobre sistemas críticos y revisiones de código en aplicaciones propias. Si tu entidad puede ser designada para pruebas TLPT, anticipa la preparación identificando proveedores de pentesting avanzado con experiencia en TIBER-EU y capacidad de Red Team.

Las pruebas no deben ser un mero ejercicio de cumplimiento: deben generar hallazgos accionables con planes de remediación y plazos definidos. Los supervisores evaluarán no solo que se ejecuten las pruebas, sino que los resultados se traduzcan en mejoras reales de seguridad.

Paso 4: Revisar y reforzar contratos con proveedores TIC

Audita todos los contratos con proveedores tecnológicos para verificar que incluyen las cláusulas obligatorias de DORA: derechos de auditoría, notificación de incidentes, cooperación con supervisores, niveles de servicio de seguridad, estrategias de salida y portabilidad de datos. Prepara el Registro de Información (RoI) conforme a las plantillas de las autoridades supervisoras.

Paso 5: Capacitar al órgano de dirección

Los consejeros y directivos deben recibir formación específica sobre sus responsabilidades bajo DORA. No se trata de convertirlos en técnicos, sino de que comprendan los riesgos TIC de la organización, las obligaciones del reglamento y su responsabilidad personal. DORA exige explícitamente que los miembros del órgano de dirección mantengan un nivel suficiente de conocimientos y competencias en materia de riesgos TIC.

DORA y NIS2: cómo se complementan en España

Una duda frecuente es la relación entre DORA y la Directiva NIS2. Ambas regulaciones abordan la ciberseguridad, pero con enfoques y alcances distintos:

  • DORA es un reglamento sectorial específico para el sector financiero, de aplicación directa, con requisitos detallados y supervisión especializada por parte de autoridades financieras
  • NIS2 es una directiva horizontal que abarca múltiples sectores (energía, transporte, salud, infraestructuras digitales, etc.) y requiere transposición nacional

El principio de lex specialis establece que DORA prevalece sobre NIS2 para las entidades financieras en las materias que regula específicamente. Sin embargo, si NIS2 establece requisitos más estrictos en algún aspecto concreto, esos requisitos adicionales también serían aplicables.

En la práctica, las entidades financieras deben cumplir DORA como normativa principal y verificar si NIS2 impone obligaciones complementarias en áreas no cubiertas por DORA. Las organizaciones que ya cuentan con certificaciones como ISO 27001 o el Esquema Nacional de Seguridad (ENS) tienen una base sólida sobre la que construir el cumplimiento de DORA, aunque necesitarán adaptaciones específicas en áreas como la notificación de incidentes, las pruebas TLPT y la gestión de proveedores.

El papel del pentesting y el Red Team en el cumplimiento de DORA

Las pruebas de penetración y los ejercicios de Red Team no son complementos opcionales en DORA: son requisitos regulatorios explícitos. El artículo 25 del reglamento exige pruebas de penetración como parte del programa básico de pruebas de resiliencia, y los artículos 26 y 27 establecen el marco de TLPT para entidades designadas.

Los TLPT son ejercicios avanzados que van mucho más allá de un pentest convencional. Requieren:

  • Una fase de inteligencia de amenazas donde un proveedor especializado identifica las amenazas más relevantes y realistas para la entidad, basándose en el panorama de amenazas del sector financiero
  • Una fase de ejecución de Red Team donde se simulan ataques reales contra los sistemas en producción de la entidad, sin que el equipo de defensa (Blue Team) tenga conocimiento previo
  • Una fase de cierre y remediación con un informe detallado, sesiones de retroalimentación conjunta (en formato Purple Team) y un plan de remediación que la autoridad competente supervisa

La selección del proveedor de pruebas es crítica: DORA establece requisitos específicos sobre la cualificación, experiencia y reputación de los equipos externos de pruebas, incluyendo certificaciones técnicas, experiencia demostrable en TIBER-EU y capacidad para cubrir las fases de inteligencia y ejecución.

Próximos pasos: actúa antes de que actúen los supervisores

El Reglamento DORA no es una normativa futura: es una obligación vigente. En 2026, las autoridades supervisoras españolas y europeas están intensificando las verificaciones, las primeras designaciones de TLPT están en marcha y los requisitos contractuales con proveedores TIC se endurecen con cada renovación.

Las empresas que actúen ahora disponen de margen para implementar los cambios de forma ordenada y convertir el cumplimiento en una ventaja competitiva. Las que pospongan la actuación se enfrentarán a implementaciones aceleradas bajo presión supervisora, con costes significativamente mayores y riesgo de sanciones.

Si tu organización necesita evaluar su nivel de preparación frente a DORA, desde Secra ofrecemos una evaluación inicial gratuita que identifica las brechas principales y propone una hoja de ruta priorizada de cumplimiento. Nuestro equipo combina experiencia en consultoría GRC, pentesting avanzado y ejercicios de Red Team alineados con TIBER-EU, exactamente lo que DORA exige.

Solicita tu evaluación gratuita →

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →

Compartir artículo

Artículos Relacionados

Compliance

NIS2 en España: cómo cumplir la normativa en 2026

Guía práctica sobre la Directiva NIS2 en España: obligaciones, plazos, sanciones y pasos para que tu empresa cumpla la normativa en 2026.

2026-04-1611 min
Compliance

Ciberseguridad en centros educativos: guía 2026

Guía de ciberseguridad para centros educativos: amenazas, normativa NIS2 y RGPD, auditorías técnicas y protección de datos de menores.

2026-04-138 min
Compliance

Certificación ENS para empresas: guía completa 2025

Todo sobre el Esquema Nacional de Seguridad (ENS): niveles, requisitos, proceso de certificación y cómo afecta a las licitaciones públicas.

2026-02-2612 min

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →