En una frase. DORA (Reglamento UE 2022/2554) es de aplicación directa desde el 17 de enero de 2025 y obliga a las entidades financieras españolas —bancos, aseguradoras, empresas de servicios de inversión, fintech— a gestionar el riesgo de las TIC, notificar incidentes graves, probar su resiliencia y controlar a sus proveedores tecnológicos, bajo la supervisión del Banco de España, la CNMV y la DGSFP.
Puntos clave
- DORA es un reglamento, no una directiva: se aplica directamente, sin necesidad de ley de transposición.
- Está en vigor desde el 17 de enero de 2025 para más de veinte tipos de entidades financieras.
- Cinco pilares: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia, riesgo de terceros e intercambio de información.
- Supervisan el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones (DGSFP), según el tipo de entidad.
- El registro de información sobre proveedores TIC es una de las primeras exigencias que revisan los supervisores.
1. Qué es DORA y a quién obliga
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco único de resiliencia operativa digital para el sector financiero de la UE. Su objetivo es que las entidades financieras puedan resistir, responder y recuperarse de todo tipo de perturbaciones e incidentes relacionados con las tecnologías de la información y las comunicaciones (TIC).
Por ser un reglamento, DORA se aplica directamente en España sin necesidad de ley de transposición, a diferencia de NIS2, que es una directiva. Las entidades obligadas son numerosas:
- Entidades de crédito (bancos) y de dinero electrónico.
- Empresas de servicios de inversión y gestoras de fondos.
- Entidades de pago y proveedores de servicios de información sobre cuentas.
- Aseguradoras y reaseguradoras, y mediadores de seguros.
- Proveedores de servicios de criptoactivos.
- Infraestructuras de los mercados financieros y, con un régimen específico, los proveedores críticos de servicios TIC.
2. Fecha de aplicación y calendario
DORA es de aplicación desde el 17 de enero de 2025. No hay un periodo transitorio general: desde esa fecha las entidades deben cumplir el reglamento. Lo que sigue desplegándose por fases son las normas técnicas de regulación y de ejecución (RTS e ITS) elaboradas por las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA), que concretan aspectos como la plantilla del registro de información, la clasificación de incidentes o el marco de pruebas de penetración. Las entidades deben seguir la publicación de estos RTS porque fijan el detalle operativo de cada obligación.
3. Supervisión en España
DORA se apoya en los supervisores nacionales existentes, según el tipo de entidad:
| Supervisor | Entidades |
|---|---|
| Banco de España | Entidades de crédito, de pago, de dinero electrónico |
| CNMV | Empresas de servicios de inversión, gestoras, criptoactivos, infraestructuras de mercado |
| DGSFP | Aseguradoras, reaseguradoras y mediadores de seguros |
Los sitios oficiales de los supervisores nacionales son el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones. A escala europea, un Foro de Supervisión coordina la vigilancia de los proveedores TIC considerados críticos (grandes proveedores cloud, por ejemplo), sometidos a un régimen de supervisión directa por las ESAs.
4. Los cinco pilares de DORA
4.1. Gestión del riesgo de las TIC
Las entidades deben implantar un marco de gestión del riesgo TIC sólido, documentado y revisado, bajo la responsabilidad del órgano de dirección: identificación de activos y funciones, protección y prevención, detección, respuesta y recuperación, y aprendizaje. Se solapa con marcos ya conocidos como el Esquema Nacional de Seguridad y la ISO 27001, que sirven de base.
4.2. Gestión, clasificación y notificación de incidentes
DORA exige un proceso para detectar, gestionar y notificar los incidentes relacionados con las TIC. Los incidentes graves se notifican al supervisor competente con una notificación inicial, una intermedia y un informe final. Cuando el incidente afecta además a datos personales, coexiste con la obligación de notificar a la AEPD del art. 33 RGPD: ver brecha de seguridad RGPD.
4.3. Pruebas de resiliencia operativa digital
Las entidades deben probar periódicamente sus sistemas: análisis de vulnerabilidades, pruebas de seguridad y, para las entidades más significativas, pruebas de penetración basadas en amenazas (TLPT, Threat-Led Penetration Testing) cada tres años, coordinadas con el supervisor.
4.4. Gestión del riesgo de terceros TIC
Es uno de los pilares con más impacto práctico. Las entidades deben:
- Mantener un registro de información sobre todos los acuerdos con proveedores TIC.
- Incluir cláusulas contractuales mínimas obligatorias en los contratos con proveedores.
- Evaluar el riesgo de concentración y las estrategias de salida.
- Vigilar especialmente a los proveedores que dan soporte a funciones críticas.
Estas obligaciones se articulan con los contratos de encargado del RGPD cuando el proveedor trata datos personales: ver el modelo de contrato de encargado del tratamiento y las transferencias internacionales si el proveedor está fuera del EEE.
4.5. Intercambio de información
DORA fomenta que las entidades compartan información e inteligencia sobre amenazas de forma voluntaria y dentro de comunidades de confianza, con el debido respeto a la protección de datos.
5. El registro de información sobre proveedores TIC
De todas las obligaciones, el registro de información es la que los supervisores revisan primero, porque es exigible desde el arranque y las ESAs recopilan estos registros a escala europea. Debe inventariar cada acuerdo contractual con proveedores TIC, distinguiendo los que dan soporte a funciones críticas o importantes, con datos del proveedor, del servicio, de la localización de los datos y de las cadenas de subcontratación. Un registro incompleto es una señal inmediata de inmadurez ante el supervisor.
6. Responsabilidad del órgano de dirección
Como NIS2, DORA sitúa la responsabilidad última en el órgano de dirección, que debe aprobar y supervisar el marco de riesgo TIC, asignar recursos y mantener conocimientos actualizados. La resiliencia operativa es una obligación de gobierno, no una tarea puramente técnica.
7. Régimen sancionador
DORA no fija una escala de multas uniforme como el RGPD: remite a los supervisores nacionales, que aplican sus regímenes sancionadores sectoriales (Ley de ordenación, supervisión y solvencia de entidades de crédito; texto refundido de la Ley del Mercado de Valores; normativa de seguros). Las sanciones por infracciones graves y muy graves en el sector financiero español alcanzan importes millonarios y pueden incluir la inhabilitación de administradores. Para los proveedores TIC críticos supervisados por las ESAs, se prevén multas coercitivas periódicas. El enforcement específico del sector financiero y fintech en materia de datos se detalla en sanciones AEPD banca y sector financiero y sanciones AEPD fintech y pagos.
8. Cómo cumplir DORA en España
- Confirmar que la entidad está incluida y qué supervisor le corresponde.
- Implantar el marco de gestión del riesgo TIC con gobernanza del órgano de dirección.
- Montar el proceso de clasificación y notificación de incidentes, coordinado con el RGPD.
- Elaborar y mantener el registro de información de proveedores TIC.
- Revisar y renegociar los contratos con proveedores para incluir las cláusulas obligatorias.
- Planificar el programa de pruebas de resiliencia (y TLPT si aplica).
- Integrar la auditoría de seguridad en el ciclo anual y coordinar la parte de datos con la checklist RGPD España.
Mantener el registro de proveedores TIC, los contratos y la documentación de incidentes al día, en coordinación con el RGPD y NIS2, es el trabajo que una plataforma como Legiscope automatiza; para comparar herramientas, ver software de cumplimiento RGPD.
9. DORA frente a NIS2 y el RGPD
Una entidad financiera puede quedar sujeta a la vez a DORA, a NIS2 y al RGPD, y conviene saber cómo encajan. Respecto de NIS2, DORA opera como lex specialis: para las materias de gestión de riesgo TIC y notificación de incidentes que DORA regula, las entidades financieras aplican DORA y no las disposiciones equivalentes de NIS2, lo que evita la doble obligación. Frente al RGPD, la relación es de complemento: DORA protege la resiliencia de los sistemas y el RGPD, los datos personales; un mismo incidente puede exigir notificar al supervisor financiero (DORA) y a la AEPD (RGPD) si hay datos personales comprometidos. La recomendación práctica es un único marco de gobernanza de la seguridad que alimente los tres regímenes con la misma información de base, en lugar de tres sistemas paralelos que se contradicen y multiplican el trabajo.
Véase también: diferencias entre DORA y NIS2, registro de información DORA y DORA y los proveedores TIC.
Preguntas frecuentes
¿Desde cuándo se aplica DORA en España?
Desde el 17 de enero de 2025. Al ser un reglamento europeo, se aplica directamente sin ley de transposición, aunque las normas técnicas (RTS e ITS) que concretan el detalle siguen publicándose por fases.
¿Qué entidades están obligadas por DORA?
Más de veinte tipos de entidades financieras: bancos, entidades de pago y de dinero electrónico, empresas de servicios de inversión, gestoras, aseguradoras y mediadores, proveedores de criptoactivos e infraestructuras de mercado, además de los proveedores TIC considerados críticos.
¿Quién supervisa DORA en España?
El Banco de España (crédito y pagos), la CNMV (servicios de inversión, criptoactivos e infraestructuras de mercado) y la DGSFP (seguros), cada uno según el tipo de entidad. A nivel europeo, las ESAs supervisan a los proveedores TIC críticos.
¿Cuánto puede costar incumplir DORA?
DORA remite a los regímenes sancionadores nacionales del sector financiero, que en España contemplan multas millonarias por infracciones graves y muy graves e inhabilitación de administradores; los proveedores TIC críticos pueden recibir multas coercitivas de las ESAs.
Conclusión
DORA ya está en vigor y no admite periodo de gracia: desde enero de 2025, las entidades financieras españolas deben gestionar el riesgo TIC, notificar incidentes, probar su resiliencia y controlar a sus proveedores tecnológicos bajo la supervisión del Banco de España, la CNMV o la DGSFP. El punto de partida realista es el registro de información de proveedores TIC y la renegociación de contratos, seguidos del marco de incidentes coordinado con el RGPD. Tratar DORA, NIS2 y protección de datos como un único sistema de resiliencia evita duplicar registros, contratos y notificaciones.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial