¿Y mi plataforma crowdfunding?

Si está bajo Reglamento UE 2020/1503 (ECSPR), entra en DORA. Régimen proporcional según tamaño. Obligaciones principales: gestión riesgo TIC, política incidentes, terceros críticos, continuidad. TLPT solo para grandes, no para crowdfunding mediano.

¿Cuánto cuesta el compliance DORA en FinTech pyme?

Para pyme 5-30 empleados con régimen simplificado: 8.000-25.000€ setup inicial (gap analysis + documentación + procedimientos), 600-2.500€/mes mantenimiento + pruebas anuales. Para FinTech mediana (30-150 empleados): 25K-80K setup + 2-6K/mes. Para grande (TLPT, sistemas críticos múltiples): bastante más.

¿Tengo que contratar CISO dedicado?

No obligatorio formalmente para pyme. Sí necesitas función gestión riesgo TIC identificada (puede ser CTO con dedicación parcial + asesor externo). Para FinTech mediana-grande con balance 50M+: CISO dedicado es ya estándar y mejor práctica.

¿Qué cláusulas DORA tengo que añadir a contratos con proveedores TIC?

Cláusulas estándar incluyen: descripción detallada servicios, niveles servicio (SLA), localización tratamiento datos, derecho acceso/auditoría supervisor financiero, derecho terminación con plazo razonable, plan salida/migración, cooperación incidentes, subcontratación con consentimiento. Proveedores grandes (AWS, Azure, GCP, Stripe) ya ofrecen DORA addendum estandarizado.

¿Cuándo tengo que notificar incidente al Banco de España?

Según gravedad y umbrales (Reglamento Ejecución UE 2024/1772 detalla criterios): pérdida servicio, impacto clientes, duración, alcance geográfico. Notificación inicial 4h-24h. Intermedia 72h con más detalle. Final 1 mes con análisis causa raíz. Plantilla común UE.

¿Compartición de información ciberamenazas, voluntaria u obligatoria?

Voluntaria pero muy recomendada. Participar en grupos sectoriales (CCN-CERT, CSIRT sectorial financiero, ISACs europeos) mejora detección amenazas y refuerza posición ante supervisor en inspección. Coste participación bajo, valor alto.

¿Cómo se solapa DORA con NIS2 y RGPD?

DORA es lex specialis para sector financiero, prevalece sobre NIS2 en lo financiero. RGPD sigue aplicando para datos personales en paralelo. NIS2 aplica a otros sectores. Para FinTech: DORA es marco principal de ciberseguridad operativa, RGPD el de datos personales. Documentación compatible si se diseña bien.

¿Las pruebas de penetración TLPT son obligatorias para todas FinTechs?

No. TLPT (threat-led penetration testing) es obligatorio solo para entidades grandes designadas por autoridades (típicamente entidades de importancia sistémica). Para pyme y FinTech mediana: pruebas vulnerabilidades estándar + pentest periódico + escaneo continuo basta. TLPT cuesta 80-300K, no aplica a pyme.

¿Y si soy proveedor TIC crítico de varias FinTechs?

Si eres designado como tercero crítico TIC a nivel UE (designación de autoridades europeas para proveedores muy críticos como hyperscalers), entras en supervisión directa europea. Para pyme tech proveedora de FinTechs sin esa designación: cumplir cláusulas DORA en contratos con tus clientes financieros y cooperar en auditorías.

Regulatorio · DORA 2026

DORA en pymes FinTech: lo que cambia en 2026.

Q: ¿Mi neobanco pyme entra en DORA igual que un banco grande?

Sí, DORA aplica a toda entidad de crédito UE. Hay proporcionalidad : microempresa (menos de 10 empleados Y menos de 2M€ activos) y pequeña empresa (menos de 50 empleados Y menos de 10M€ balance) tienen régimen simplificado. Marco menos exhaustivo, pero no exención total.

Reglamento de Resiliencia Operativa Digital aplicado a pymes financieras españolas. Gestión riesgo TIC, terceros críticos, incidentes y pruebas. Sin alarmismo, con plan realista.

Hablar con un consultor

Actualizado mayo 2026

Marco general

DORA: la regulación europea de continuidad digital en finanzas.

DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es la norma europea que regula la resiliencia operativa digital del sector financiero. Plenamente aplicable desde el 17 de enero de 2025 para todas las entidades financieras de la UE: bancos, gestoras, aseguradoras, neobancos, plataformas crowdfunding, entidades pago, EDE, criptoactivos (MiCA), gestoras alternativas.

Para pyme FinTech española, DORA significa que ya no basta con cumplir las normas sectoriales (PSD2, MiCA, AML) y RGPD: además hay un marco común de resiliencia tecnológica. Banco de España y CNMV inspeccionan y sancionan. Las sanciones llegan al 1% de la facturación diaria por cada día de infracción para entidades, además de responsabilidad personal directivos.

En Magnetia hemos trabajado con FinTechs españolas pequeñas (5-30 empleados) abrumadas con DORA. La realidad: la regulación tiene proporcionalidad y exige más a entidades grandes y críticas que a la pyme reciente. Pero hay un mínimo que toca a todas. Esta guía es para entender qué hacer sin gastar 200K€ en consultoría innecesaria. Ver también AI Act pymes y RGPD pyme 2026.

Cinco pilares DORA

Los bloques que estructuran el reglamento

Gobierno y gestión riesgo TIC

Marco gobierno con responsabilidad órgano dirección. Política gestión riesgo TIC documentada. Roles y responsabilidades claros. Para pyme: documentación proporcionada, no DPO + CISO + Risk Officer separados.

Incidentes TIC: detección, notificación

Procedimiento detección incidentes, clasificación gravedad, notificación supervisor (Banco España, CNMV) según umbral. Tiempos: notificación inicial 4h-24h según gravedad, intermedia 72h, final 1 mes.

Pruebas resiliencia digital

Test regulares de sistemas críticos. Para entidades grandes: TLPT (threat-led penetration testing). Para pyme: vulnerabilidades, continuidad, recuperación. Política tests anual con resultados documentados.

Qué le toca a tu pyme FinTech

Aplicación proporcional según tamaño y criticidad.

1. Pequeñas FinTechs. Microempresas (menos de 10 empleados Y menos de 2M€ activos) y entidades pequeñas (menos de 50 empleados Y menos de 10M€ balance) tienen régimen simplificado. No obligación TLPT, marco documentado pero proporcional. Aun así, gestión riesgo TIC, política incidentes, gestión terceros sí aplica.

2. Terceros críticos TIC. Obligación identificar proveedores TIC críticos (cloud, core bancario, pasarelas pago, KYC, antifraude). Contrato con cláusulas DORA específicas. Plan salida/sustitución por si proveedor falla. Lista actualizada anualmente al supervisor.

3. Notificación incidentes. Incidente TIC grave: notificar Banco España (o CNMV según entidad) en plazo. Incidentes menores: registro interno. Definir umbrales claros antes de tener uno. Plantilla notificación lista, no improvisar.

4. Plan continuidad y recuperación. Análisis impacto negocio (BIA), plan continuidad (BCP), plan recuperación tras desastre (DRP). RTO y RPO definidos por sistema crítico. Test anual mínimo.

5. Compartición información ciberamenazas. Voluntaria pero recomendada. Participación en grupos sectoriales (CNPIC, Equipos respuesta sectorial). Mejora detección y refuerza posición ante supervisor. Ver consultoría IA pymes.

Plan compliance DORA pyme

Cómo afrontar DORA en FinTech pequeña-mediana

Mes 1 · Gap analysis

Auditoría estado actual frente a 5 pilares DORA. Inventario sistemas TIC, terceros, incidentes históricos, políticas existentes. Identificar gaps críticos. Sin gap analysis, no se prioriza bien.

Mes 2 · Marco gobierno y riesgo TIC

Política gestión riesgo TIC aprobada órgano dirección. Roles definidos (responsable TIC, función riesgo, función auditoría según tamaño). Procedimiento revisión anual marco. Documentación proporcional pyme.

Mes 3 · Procedimientos incidentes

Clasificación incidentes por gravedad (baja/media/alta/crítica). Procedimiento notificación supervisor con plazos. Plantilla notificación. Equipo responsable y backup. Test ficticio del procedimiento.

Mes 4-5 · Terceros críticos

Identificar proveedores TIC críticos (cloud, core, pasarelas pago, KYC). Revisar contratos: añadir cláusulas DORA (acceso supervisor, auditoría, salida). Plan sustitución por proveedor crítico. Registro mantenido.

Mes 6-8 · Pruebas y plan continuidad

BIA (análisis impacto negocio) con RTO/RPO por sistema crítico. Plan continuidad y recuperación documentado. Test continuidad anual (escenario simulación). Para entidades mayores: TLPT con proveedor especializado.

Errores típicos

Lo que vemos mal en FinTechs pyme con DORA

Esperar a estar grande para hacerlo

"Cuando seamos serie B nos lo planteamos". DORA aplica desde enero 2025 a toda entidad financiera UE. Sanciones sí llegan a pequeña empresa, sobre todo si hay incidente público. Mejor empezar con marco proporcional ahora.

Documentación copy-paste sin proceso real

Política gestión riesgo TIC genérica copiada que nadie lee. Cuando llega inspección Banco España, piden ver cómo se aplica realmente: registros revisión, actas comité riesgo, evidencias formación. Sin proceso real, papel mojado.

No identificar terceros críticos

AWS, Stripe, Onfido, Persona son proveedores TIC críticos para tu FinTech. Sin registro de terceros críticos con contratos DORA-compliant, incumplimiento claro. La mayoría de proveedores grandes ya ofrecen cláusulas DORA.

Sin plan continuidad real

Si tu core bancario AWS cae 4 horas, qué haces. Si tu KYC Onfido falla durante semana de captación. Plan continuidad realista, no PowerPoint. Test al menos anual. Sin esto, primer incidente serio te encuentra desprevenido.

17 ene 25

DORA plenamente aplicable

4h-24h

Plazo notificación inicial

Pilares DORA

Sanción diaria facturación

Checklist mínima

Lo no negociable para FinTech pyme en 2026

Política gestión riesgo TIC documentada

Aprobada por órgano dirección. Revisada anualmente. Roles, responsabilidades, marco. Proporcional al tamaño pero existente. Sin esto, gap crítico.

Procedimiento incidentes con plantilla notificación

Clasificación gravedad, equipo responsable, plantilla notificación al supervisor (Banco España o CNMV). Test ficticio anual. Cuando ocurre incidente, no se improvisa.

Registro terceros críticos TIC

Lista identificada (cloud, core, pasarelas, KYC, antifraude). Contratos con cláusulas DORA. Plan sustitución por proveedor crítico. Actualizado anualmente.

BIA con RTO/RPO por sistema

Análisis impacto negocio: cuánto tiempo puedes estar sin cada sistema crítico, cuánto dato puedes permitir perder. RTO y RPO documentados. Base para plan continuidad realista.

Plan continuidad probado anualmente

BCP y DRP documentados. Test al menos anual con escenario realista. Resultados y mejoras documentadas. Sin pruebas, plan continuidad es ficción.

Preguntas frecuentes

Dudas que nos hacéis llegar

Sí, DORA aplica a toda entidad de crédito UE. Hay proporcionalidad: microempresa (menos de 10 empleados Y menos de 2M€ activos) y pequeña empresa (menos de 50 empleados Y menos de 10M€ balance) tienen régimen simplificado. Marco menos exhaustivo, pero no exención total.

DORA FinTech

¿Tu FinTech tiene DORA en orden o llevas el compliance arrastrado?

Gap analysis + plan compliance DORA proporcional pyme + soporte continuo. Sin sobre-ingeniería, lo que realmente exige Banco España y CNMV.

Pedir propuesta Contactar →