¿Qué software necesita una entidad financiera española para cumplir DORA? Respuesta directa: una herramienta que gestione los cuatro pilares del Reglamento de Resiliencia Operativa Digital: la gestión del riesgo de las TIC (arts. 5-16), la notificación de incidentes graves (arts. 17-23), las pruebas de resiliencia operativa (arts. 24-27) y, sobre todo, el registro de información sobre proveedores TIC y la gestión del riesgo de terceros (arts. 28-44). DORA se aplica desde el 17 de enero de 2025 a bancos, aseguradoras, empresas de inversión, entidades de pago y proveedores de servicios de criptoactivos supervisados por el Banco de España, la CNMV y la DGSFP. No hay un “software DORA” universal: la decisión clave es entre una plataforma GRC generalista y una herramienta específica de resiliencia TIC.
Esta guía de compra explica qué debe cubrir la herramienta y cómo elegir según su perfil.
Puntos clave
- DORA se aplica desde el 17 de enero de 2025 a las entidades financieras del art. 2 del Reglamento.
- Los cuatro pilares: riesgo TIC, notificación de incidentes, pruebas de resiliencia y riesgo de terceros.
- El registro de información sobre proveedores TIC es la obligación documental más exigente y la que más automatiza un software.
- DORA prevalece sobre NIS2 para el sector financiero: cumple su resiliencia por la vía de DORA (lex specialis).
Qué debe cubrir un software DORA
El Reglamento (UE) 2022/2554 (DORA) estructura la resiliencia operativa digital en pilares que un software debe soportar de forma trazable:
- Gestión del riesgo de las TIC (arts. 5-16). Marco de gobernanza, identificación de funciones críticas, protección, detección, respuesta y recuperación, con supervisión del órgano de dirección.
- Notificación de incidentes graves (arts. 17-23). Clasificación de incidentes según umbrales, notificación inicial, intermedia y final a la autoridad competente en los plazos regulados.
- Pruebas de resiliencia operativa (arts. 24-27). Programa de pruebas periódicas y, para entidades significativas, pruebas de penetración basadas en amenazas (TLPT).
- Gestión del riesgo de terceros TIC (arts. 28-44). Registro de información sobre todos los acuerdos con proveedores TIC, evaluación de riesgo, cláusulas contractuales obligatorias y estrategia de salida.
- Intercambio de información (art. 45). Participación voluntaria en acuerdos de intercambio de inteligencia sobre amenazas.
La concreción española de estas obligaciones y las autoridades implicadas las tratamos en nuestra guía sobre DORA y las entidades financieras en España.
El registro de información: la obligación que más pesa
Si hay una función que justifica adquirir un software DORA, es el registro de información sobre acuerdos con proveedores TIC (art. 28). Las entidades deben mantener y remitir a su autoridad competente un registro estructurado, en un formato normalizado por las Autoridades Europeas de Supervisión (ESAs), con datos precisos de cada proveedor, cada función soportada y su criticidad.
Mantener ese registro a mano, en hojas de cálculo, es inviable en cuanto hay decenas de proveedores y subcontratistas. Un software especializado permite modelar la cadena de subcontratación, marcar las funciones críticas o importantes, generar el registro en el formato exigido y detectar concentraciones de riesgo. Es la diferencia entre presentar un registro coherente a la autoridad y improvisarlo bajo presión.
Criterios de selección y comparación de enfoques
Hay dos enfoques principales, y la elección depende de su tamaño y madurez:
| Criterio | GRC generalista | Herramienta DORA específica |
|---|---|---|
| Cobertura | Varios marcos (ISO, NIS2, DORA) | Enfocada en resiliencia TIC |
| Registro de información | Configurable | Nativo, formato ESAs |
| Pruebas de resiliencia | Genéricas | Específicas (incluido TLPT) |
| Implantación | Más lenta | Más rápida |
| Ideal para | Grupos con varios marcos | Entidades centradas en DORA |
Una plataforma GRC generalista cubre DORA como uno de varios marcos, junto a ISO 27001, el ENS o NIS2. Es la opción de los grupos que ya gestionan múltiples estándares y quieren un único sistema de gobernanza, riesgo y cumplimiento. Una herramienta DORA específica se centra en la resiliencia TIC, con el registro de información y las pruebas como funciones nativas; es más rápida de implantar y suele encajar mejor en entidades medianas centradas en cumplir DORA.
Para las entidades que además tratan datos personales a gran escala —todas, en la práctica—, conviene coordinar la resiliencia TIC con el cumplimiento de protección de datos, ya que un incidente TIC grave suele ser también una brecha de datos. Plataformas europeas como Legiscope permiten gestionar la parte de cumplimiento normativo y documental de forma integrada con el software de cumplimiento del RGPD, mientras que la capa técnica de resiliencia requiere herramientas especializadas complementarias.
Hoja de ruta para implantar DORA con software
Adquirir la herramienta no basta; hay que desplegarla en un orden que respete la lógica del Reglamento. Una secuencia probada es la siguiente:
-
Identifique las funciones críticas o importantes. Antes de nada, determine qué servicios sostienen su actividad y no pueden fallar. Todo el marco DORA gira en torno a ellos.
-
Levante el registro de información. Cargue en el software todos los acuerdos con proveedores TIC, con su función soportada, su criticidad y la cadena de subcontratación. Es la base documental que remitirá a la autoridad.
-
Formalice el marco de riesgo TIC. Configure la gobernanza, las políticas y los controles de los arts. 5-16, con la supervisión del órgano de dirección claramente trazada.
-
Prepare el circuito de incidentes. Defina los umbrales de clasificación y las plantillas de notificación inicial, intermedia y final. Ensaye el flujo antes de necesitarlo.
-
Planifique las pruebas de resiliencia. Establezca el programa de pruebas periódicas y, si es entidad significativa, las pruebas de penetración basadas en amenazas (TLPT).
-
Revise los contratos con proveedores. Incorpore las cláusulas obligatorias del art. 30 y defina la estrategia de salida para cada función crítica. Este trabajo se coordina con la revisión de encargados de tratamiento del RGPD.
-
Establezca la mejora continua. DORA no es un proyecto que se cierra: exige revisión periódica del riesgo, actualización del registro tras cada cambio de proveedor y aprendizaje tras cada incidente.
Las Autoridades Europeas de Supervisión publican las normas técnicas (RTS e ITS) que concretan estos pasos; conviene seguir las guías de la Autoridad Bancaria Europea (EBA) y de las demás ESAs, porque el formato del registro y los umbrales de incidentes derivan de ellas. Un buen software incorpora esos formatos de fábrica y los actualiza cuando cambian.
DORA frente a NIS2: no duplique el trabajo
Una duda frecuente es si una entidad financiera debe cumplir DORA y NIS2 a la vez. La respuesta es que DORA es lex specialis para el sector financiero: en materia de gestión de riesgos TIC y notificación de incidentes, las entidades financieras cumplen por la vía de DORA, no de NIS2. Esto evita duplicar controles, pero exige tener clara la frontera. Si su grupo tiene entidades no financieras, esas sí pueden quedar bajo NIS2; en ese caso, revise nuestra comparativa de software de cumplimiento NIS2 para el perímetro correspondiente.
La supervisión en España la ejercen el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones, cada una sobre su sector. El incumplimiento se suma al riesgo sancionador que la Agencia Española de Protección de Datos ya aplica al sector financiero, donde se acumulan algunas de las mayores multas de España: CaixaBank (6 millones de euros) y BBVA (5 millones). Nuestro análisis de sanciones a fintech y entidades de pago recoge la casuística reciente.
Véase también: software de cumplimiento del AI Act y software de registro de tratamientos.
FAQ
¿Desde cuándo se aplica DORA en España?
DORA se aplica plenamente desde el 17 de enero de 2025 a las entidades financieras enumeradas en su art. 2, sin necesidad de transposición nacional al tratarse de un reglamento de aplicación directa. Las autoridades españolas (Banco de España, CNMV y DGSFP) supervisan su cumplimiento en sus respectivos sectores desde esa fecha.
¿Es obligatorio un software para cumplir DORA?
La ley no obliga a usar un software concreto, pero el registro de información sobre proveedores TIC en el formato de las ESAs es prácticamente inmanejable a mano en cuanto hay varias decenas de acuerdos. Un software especializado reduce el riesgo de errores y facilita la remisión a la autoridad, por lo que en la práctica es casi imprescindible para entidades de cierto tamaño.
¿Una entidad financiera debe cumplir DORA y NIS2 a la vez?
En materia de resiliencia operativa digital, no: DORA actúa como norma especial para el sector financiero y desplaza a NIS2 en ese ámbito. La entidad cumple sus obligaciones de riesgo TIC e incidentes por la vía de DORA. Solo las entidades no financieras del grupo pueden quedar sujetas a NIS2 de forma independiente, por lo que conviene mapear con precisión qué norma aplica a cada sociedad antes de desplegar cualquier herramienta.
Conclusión
El mejor software DORA es el que resuelve su prioridad real: para la mayoría de entidades, esa prioridad es el registro de información sobre proveedores TIC y la notificación de incidentes en plazo. Elija entre una GRC generalista, si ya gestiona varios marcos, o una herramienta DORA específica, si busca implantación rápida. Antes de decidir, sitúe su obligación con nuestra guía de DORA para entidades financieras en España y coordine la resiliencia TIC con su cumplimiento de protección de datos.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo