DORA: Resiliencia Operativa Digital para el Sector Financiero
Reglamento DORA (2022/2554): resiliencia operativa digital para entidades financieras en la UE. 5 pilares (gestión riesgos TIC, incidentes, testing, terceros, compartición inteligencia), obligaciones técnicas y plazos.
El sector financiero necesita regulación específica
Las entidades financieras son objetivos prioritarios para atacantes sofisticados. Un incidente en un banco sistémico puede desestabilizar mercados enteros. Un fallo en un proveedor de pagos paraliza millones de transacciones. La interconexión del sistema financiero europeo significa que un problema local se convierte en una crisis transfronteriza en horas.
Antes de DORA, cada Estado miembro regulaba la resiliencia TIC de sus entidades financieras por separado. El resultado: 27 marcos diferentes, requisitos fragmentados y lagunas en la supervisión de proveedores tecnológicos que operan en toda la UE. Un banco español podía depender del mismo proveedor cloud que un banco alemán, pero ningún supervisor tenía una visión completa del riesgo de concentración.
DORA resuelve esto con un reglamento (no directiva) que se aplica directamente en toda la UE desde enero de 2025.
Qué es DORA
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece requisitos uniformes de resiliencia operativa digital para el sector financiero europeo. Publicado en el Diario Oficial de la UE el 27 de diciembre de 2022, entró en vigor el 16 de enero de 2023 y es aplicable desde el 17 de enero de 2025.
Reglamento vs directiva
Esta distinción es fundamental:
| Aspecto | Directiva (NIS2) | Reglamento (DORA) |
|---|---|---|
| Aplicación | Requiere transposición nacional | Aplicable directamente en toda la UE |
| Flexibilidad | Los Estados adaptan a su contexto | Requisitos idénticos en los 27 Estados |
| Plazos | Depende de cada transposición | Fecha única: 17 enero 2025 |
| Ejemplo | Cada país decide sus sanciones | Las ESAs definen normas técnicas comunes |
DORA prevalece como lex specialis sobre NIS2 para el sector financiero. NIS2 aplica de forma subsidiaria solo donde DORA no cubra aspectos específicos.
Timeline
- Diciembre 2022: publicación en el DOUE
- Enero 2023: entrada en vigor
- Enero 2024: primer lote de normas técnicas de regulación (RTS) y de ejecución (ITS) publicadas por las ESAs
- Julio 2024: segundo lote de RTS/ITS
- Enero 2025: aplicación obligatoria
- 2025-2026: primeras designaciones de proveedores TIC críticos
Ámbito de aplicación
DORA cubre un espectro mucho más amplio que cualquier regulación anterior de ciberseguridad financiera. Aplica a 21 tipos de entidades financieras y, de forma directa, a sus proveedores TIC críticos.
Entidades financieras cubiertas
| Categoría | Ejemplos |
|---|---|
| Entidades de crédito | Bancos comerciales, cajas de ahorro |
| Empresas de inversión | Sociedades de valores, brokers |
| Entidades de pago | Procesadores de pagos, adquirentes |
| Entidades de dinero electrónico | Emisores de e-money |
| Empresas de seguros y reaseguros | Aseguradoras vida, no-vida, reaseguradoras |
| Intermediarios de seguros | Corredores, agentes |
| Fondos de pensiones | Fondos de empleo, planes de pensiones |
| Agencias de calificación crediticia | Rating agencies |
| Proveedores de servicios de crowdfunding | Plataformas de inversión colectiva |
| Depositarios centrales de valores | CSDs |
| Contrapartes centrales (CCPs) | Cámaras de compensación |
| Centros de negociación | Bolsas, MTFs, OTFs |
| Registros de operaciones | Trade repositories |
| Gestoras de fondos de inversión | UCITS, AIFMs |
| Proveedores de servicios de suministro de datos | APAs, CTPs |
| Proveedores de servicios de criptoactivos (CASPs) | Exchanges crypto, custodios |
| Emisores de tokens referenciados a activos | Stablecoins bajo MiCA |
| Administradores de índices de referencia | Benchmark administrators |
| Proveedores de servicios de financiación participativa | Plataformas crowdlending |
| Repositorios de titulizaciones | Securitisation repositories |
| Auditores legales y firmas de auditoría | Cuando auditan entidades cubiertas |
Proveedores TIC: la gran novedad
DORA no solo regula a las entidades financieras. Por primera vez, los proveedores de servicios TIC críticos (cloud, SaaS, infraestructura, data analytics) quedan bajo supervisión directa de las Autoridades Europeas de Supervisión (ESAs: EBA, ESMA, EIOPA). Esto incluye potencialmente a los grandes hyperscalers (AWS, Azure, GCP) si se designan como críticos.
Los 5 pilares de DORA
DORA se estructura en cinco pilares complementarios. Cada uno aborda una dimensión específica de la resiliencia operativa digital.
Pilar 1: Gestión de riesgos TIC
Las entidades financieras deben implementar un marco integral de gestión de riesgos TIC que incluya:
- Gobernanza: el órgano de dirección es directamente responsable. Debe aprobar la estrategia de resiliencia digital, supervisar su implementación y recibir formación periódica sobre riesgos TIC.
- Marco de gestión: identificación de activos TIC, clasificación por criticidad, análisis de riesgos, medidas de protección, detección de anomalías, respuesta y recuperación.
- Política de seguridad TIC: documentada, aprobada por la dirección, revisada al menos anualmente. Cubre gestión de accesos, cifrado, gestión de cambios, parcheo, seguridad de red y logging.
- Continuidad de negocio: planes de continuidad TIC probados al menos anualmente. Incluyen escenarios de ciberataques severos, no solo fallos operacionales clásicos.
- Aprendizaje y evolución: análisis post-incidente obligatorio, lecciones aprendidas documentadas, actualización de controles.
El principio de proporcionalidad aplica: entidades más grandes y complejas tienen requisitos más exigentes. Microempresas y pequeñas entidades financieras tienen un régimen simplificado (artículo 16).
Pilar 2: Gestión y reporte de incidentes TIC
Las entidades deben clasificar los incidentes TIC según criterios definidos por las ESAs:
| Criterio | Descripción |
|---|---|
| Clientes afectados | Número y porcentaje de clientes impactados |
| Duración | Tiempo de inactividad del servicio |
| Extensión geográfica | Áreas geográficas afectadas |
| Impacto económico | Pérdidas directas e indirectas estimadas |
| Criticidad de servicios | Servicios críticos afectados |
| Datos comprometidos | Volumen y sensibilidad de datos afectados |
Los incidentes clasificados como graves deben reportarse a la autoridad competente en tres fases:
- Notificación inicial: dentro de las 4 horas desde la clasificación como grave (máximo 24 horas desde la detección).
- Informe intermedio: dentro de las 72 horas desde la notificación inicial. Incluye análisis preliminar de causa raíz y medidas de contención.
- Informe final: dentro de 1 mes desde la notificación inicial. Incluye causa raíz confirmada, impacto total, acciones correctivas y lecciones aprendidas.
Las ESAs publicaron plantillas estandarizadas (ITS) para estos reportes, lo que facilita la comparabilidad y el análisis agregado a nivel europeo.
Pilar 3: Testing de resiliencia operativa digital
Este pilar distingue dos niveles de testing:
Testing básico (todas las entidades):
- Análisis de vulnerabilidades
- Escaneos de seguridad de red
- Análisis de código fuente (cuando sea posible)
- Testing de compatibilidad y rendimiento
- Testing de escenarios end-to-end
- Testing de penetración convencional
TLPT: Threat-Led Penetration Testing (entidades significativas):
El TLPT es la obligación más exigente de DORA. Basado en el framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), requiere:
- Frecuencia: al menos cada 3 años.
- Alcance: cubre funciones críticas y servicios TIC que las soportan, incluyendo servicios externalizados a proveedores TIC. Los proveedores pueden participar directamente en los tests mediante pooled testing.
- Ejecutores: equipos de red team externos e independientes, con certificaciones reconocidas (CREST, CHECK, CBEST o equivalentes nacionales).
- Threat intelligence: fase previa de inteligencia de amenazas que identifica escenarios realistas basados en amenazas actuales contra el sector financiero.
- Supervisión: la autoridad competente valida el alcance, los escenarios y los resultados. Emite una certificación formal al finalizar.
Las entidades que deben realizar TLPT son las que cumplen criterios de significatividad definidos por cada autoridad nacional, considerando tamaño, complejidad, perfil de riesgo e importancia sistémica.
Pilar 4: Gestión de riesgos de terceros TIC
DORA establece un marco completo para gestionar la dependencia de proveedores tecnológicos:
Antes de contratar:
- Due diligence del proveedor: capacidad técnica, seguridad, continuidad, situación financiera.
- Evaluación de riesgo de concentración: no depender excesivamente de un solo proveedor para funciones críticas.
- Registro de información: todas las relaciones contractuales con proveedores TIC deben documentarse en un registro estructurado que se reporta a la autoridad competente.
Proveedores TIC críticos (supervisión directa):
Las ESAs designan proveedores TIC como críticos cuando:
- Prestan servicios a entidades financieras de importancia sistémica.
- No existen alternativas viables en el mercado (riesgo de concentración).
- Un fallo del proveedor tendría impacto en la estabilidad financiera.
El supervisor principal (Lead Overseer, designado entre EBA, ESMA o EIOPA) tiene potestad para:
- Inspeccionar al proveedor, incluyendo inspecciones in situ.
- Exigir medidas correctivas con plazos vinculantes.
- Imponer penalizaciones periódicas por incumplimiento.
- Recomendar a las entidades financieras que suspendan o terminen servicios con el proveedor.
Estrategias de salida:
Toda entidad financiera debe tener planes de salida documentados para sus proveedores TIC críticos:
- Migración a un proveedor alternativo o a soluciones internas.
- Periodos de transición con soporte del proveedor saliente.
- Preservación de datos y portabilidad.
- Tests periódicos de los planes de salida.
Pilar 5: Compartición de inteligencia
DORA incentiva (sin obligar) que las entidades financieras compartan información sobre ciberamenazas entre ellas. Los mecanismos incluyen:
- Acuerdos de compartición de inteligencia entre entidades financieras.
- Indicadores de compromiso (IOCs), tácticas, técnicas y procedimientos (TTPs), alertas de ciberseguridad.
- Participación en ISACs sectoriales (Information Sharing and Analysis Centers), como el FS-ISAC europeo.
- Notificación voluntaria de amenazas significativas (no solo incidentes graves) a la autoridad competente.
La compartición debe respetar protecciones de datos personales (RGPD), secreto comercial y reglas de competencia. El uso de protocolos como TLP (Traffic Light Protocol) y formatos como STIX/TAXII facilita la interoperabilidad.
Requisitos de contratos con terceros TIC
DORA es muy prescriptivo sobre el contenido mínimo de los contratos con proveedores TIC. Los acuerdos contractuales deben incluir obligatoriamente:
| Cláusula | Contenido |
|---|---|
| Descripción de servicios | Funciones, SLAs cuantitativos, ubicación de datos |
| Seguridad | Medidas de seguridad, cifrado, gestión de accesos |
| Disponibilidad | Objetivos de disponibilidad, RTO, RPO |
| Portabilidad y migración | Asistencia en caso de terminación, formatos de datos |
| Subcontratación | Notificación previa, derecho de objeción, cadena completa |
| Auditoría | Derecho de la entidad y del supervisor a auditar al proveedor |
| Notificación de incidentes | Obligación del proveedor de reportar incidentes TIC |
| Continuidad | Planes de contingencia del proveedor, testing conjunto |
| Terminación | Periodos de transición, preservación de datos, cooperación |
| Jurisdicción | Los datos de entidades financieras de la UE deben procesarse en la UE (con excepciones justificadas) |
Para funciones críticas o importantes, los requisitos contractuales son más estrictos: indicadores de rendimiento específicos, derechos de terminación reforzados y participación obligatoria en los TLPT de la entidad.
DORA vs NIS2 vs ENS
| Aspecto | DORA | NIS2 | ENS (España) |
|---|---|---|---|
| Tipo normativo | Reglamento UE | Directiva UE | Real Decreto nacional |
| Sector | Financiero (21 tipos) | Multi-sectorial (18 sectores) | Administración pública + proveedores |
| Ámbito territorial | UE completa | UE (transposición nacional) | España |
| Proveedores TIC | Supervisión directa de críticos | Obligaciones indirectas | Certificación CCN |
| Testing | TLPT obligatorio (TIBER-EU) | Tests genéricos | Auditorías ENS periódicas |
| Reporte incidentes | 4h + 72h + 1 mes (3 fases) | 24h + 72h + 1 mes | CCN-CERT (24h incidentes graves) |
| Relación | Lex specialis financiero | Marco general | Complementario en España |
| Supervisión | ESAs (EBA/ESMA/EIOPA) | Autoridades nacionales (en España: CCN) | CCN-CERT |
| Sanciones | Define medidas administrativas | Hasta 10M EUR o 2% facturación | Responsabilidad administrativa |
Una entidad financiera española debe cumplir DORA como normativa principal, NIS2 de forma subsidiaria para aspectos no cubiertos por DORA, y ENS si presta servicios vinculados al sector público.
Sanciones y medidas administrativas
DORA no establece un régimen sancionador armonizado con cuantías específicas a nivel europeo (a diferencia de RGPD). En su lugar, otorga a las autoridades competentes nacionales un catálogo de medidas administrativas:
- Cesación de prácticas que infrinjan el reglamento.
- Requerimiento de medidas correctivas con plazos vinculantes.
- Publicación de la identidad de la entidad infractora (name and shame).
- Suspensión temporal de actividades.
- Revocación de autorizaciones en casos graves.
Para los proveedores TIC críticos, el Lead Overseer puede imponer penalizaciones periódicas coercitivas (periodic penalty payments) de hasta el 1% de la facturación media diaria mundial del proveedor, durante un máximo de 6 meses, hasta que cumpla las medidas requeridas.
Cada Estado miembro define las sanciones administrativas concretas en su legislación nacional. En España, el Banco de España, la CNMV y la DGSFP son las autoridades competentes.
Plan de implementación para entidades financieras
Las entidades que aún tengan brechas de cumplimiento (o las que operan con el régimen simplificado y quieran prepararse para un crecimiento que les saque de la proporcionalidad reducida) deberían priorizar:
Fase 1: Gobernanza y gap analysis (0-3 meses)
- Asignar responsabilidad a la dirección. DORA exige que el órgano de administración apruebe y supervise la estrategia de resiliencia digital.
- Realizar un gap analysis contra los 5 pilares.
- Inventariar todas las relaciones con proveedores TIC.
Fase 2: Marco de gestión de riesgos TIC (3-6 meses)
- Implementar o actualizar el marco de gestión de riesgos TIC conforme al artículo 6.
- Clasificar activos TIC por criticidad.
- Documentar políticas de seguridad TIC y planes de continuidad.
Fase 3: Gestión de terceros y contratos (6-9 meses)
- Revisar todos los contratos con proveedores TIC para cumplir el artículo 30.
- Evaluar riesgo de concentración.
- Desarrollar estrategias de salida para proveedores de funciones críticas.
- Completar el registro de información sobre proveedores TIC.
Fase 4: Incidentes y testing (9-12 meses)
- Implementar el proceso de clasificación y reporte de incidentes en 3 fases.
- Ejecutar el programa de testing de resiliencia (testing básico para todas las entidades).
- Iniciar la planificación del TLPT si la entidad cumple criterios de significatividad.
Fase 5: Compartición y mejora continua (12+ meses)
- Evaluar la participación en mecanismos de compartición de inteligencia.
- Establecer ciclos de revisión y mejora del marco completo.
Recursos y referencias
Normativa oficial
- Reglamento (UE) 2022/2554 (DORA): texto completo en el DOUE.
- Directiva (UE) 2022/2556: directiva complementaria que modifica directivas financieras existentes para alinearlas con DORA.
Normas técnicas (RTS/ITS)
- Primer lote RTS/ITS (enero 2024): gestión de riesgos TIC, clasificación de incidentes, registro de proveedores.
- Segundo lote RTS/ITS (julio 2024): TLPT, subcontratación, notificación de incidentes, contenido contractual.
Frameworks de testing
- TIBER-EU Framework: marco de red teaming basado en amenazas del BCE.
- TIBER-ES: implementación española del TIBER-EU por el Banco de España.
Guías de implementación
- EBA Guidelines on ICT and security risk management: guías de la EBA sobre gestión de riesgos TIC.
- EIOPA Guidelines on ICT security and governance: guías equivalentes para el sector asegurador.
- FS-ISAC: centro de compartición de inteligencia para el sector financiero.
Autoridades competentes en España
- Banco de España: entidades de crédito y de pago.
- CNMV: empresas de inversión, gestoras, infraestructuras de mercado.
- DGSFP: seguros y fondos de pensiones.
DORA es la regulación más ambiciosa de resiliencia digital específica para un sector en la UE. Su aplicación directa como reglamento elimina la fragmentación que existía con los marcos nacionales. Para las entidades financieras, el cumplimiento no es solo una obligación regulatoria: es una ventaja competitiva en un sector donde la confianza digital es fundamental para el negocio.
Preguntas frecuentes
Artículos relacionados
NIS2: Nueva Directiva Europea de Ciberseguridad y sus Obligaciones (2024-2026)
ENS Alto: Requisitos Técnicos de Ciberseguridad para Organizaciones
CERTs en Europa: ENISA, FIRST, EU-CyCLONe y Cooperación Internacional
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.