¿Qué es DORA el reglamento europeo de resiliencia digital del sector financiero?
Digital Operational Resilience Act: obligatorio desde enero 2025 para bancos, aseguradoras, fintech y proveedores TIC. Qué exige y qué implica para una pyme tecnológica.
Actualizado mayo 2026
DORA: marco europeo unificado de resiliencia operativa digital para finanzas.
DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es el reglamento europeo que establece requisitos uniformes para la seguridad de los sistemas de información de entidades financieras y sus proveedores TIC en toda la UE. Entró en vigor en enero de 2023 con un periodo de adaptación de dos años: obligatorio desde el 17 de enero de 2025.
El objetivo es que el sistema financiero europeo pueda resistir, responder y recuperarse de incidentes digitales (ciberataques, fallos de proveedor cloud, caídas de sistemas). Antes de DORA cada país tenía su propio marco; ahora hay un estándar unificado supervisado por las autoridades nacionales (Banco de España, CNMV, DGSFP en España) y las europeas (EBA, ESMA, EIOPA).
DORA aplica a unas 20 categorías de entidades financieras: bancos, entidades de crédito, fondos de inversión, gestoras, aseguradoras, reaseguradoras, instituciones de pago, entidades de dinero electrónico, gestores de fondos de pensiones, agencias de calificación, plataformas de financiación participativa (crowdfunding) y proveedores de servicios cripto-activos (MiCA). También a sus proveedores TIC críticos (cloud, software financiero, ciberseguridad).
Para una pyme española en 2026, DORA puede aplicarte directamente si eres entidad financiera regulada (raro) o indirectamente si eres proveedor TIC de una entidad financiera (más común). En ese segundo caso, tus clientes financieros te exigirán contractualmente cumplir DORA: planes de continuidad, notificación de incidentes, derecho de auditoría, salida ordenada. Sin estos requisitos, perderás contratos financieros.
Los cinco pilares fundamentales de DORA
Lo que el reglamento exige estructurado por bloques.
Gestión de riesgos TIC
Marco interno de gobierno y gestión de riesgos tecnológicos. Identificación de activos críticos, evaluación periódica, controles documentados. Responsabilidad del órgano de administración (no se delega).
Notificación de incidentes
Clasificación, notificación y reporte de incidentes TIC graves a la autoridad supervisora en plazos definidos (inicial en 4 horas desde clasificación, intermedios y final). Plantilla común UE.
Pruebas de resiliencia
Tests anuales de continuidad y, para entidades grandes, pruebas avanzadas Threat-Led Penetration Testing (TLPT) cada 3 años, dirigidas por equipo externo certificado.
Gestión de riesgos de terceros
Registro de proveedores TIC con criticidad, cláusulas contractuales mínimas, derecho de auditoría, planes de salida y contingencia. Riesgo de concentración en hyperscalers (AWS, Azure, GCP) bajo escrutinio.
Acuerdos compartidos y aprendizaje
Cooperación entre entidades para compartir indicadores de amenazas (threat intelligence) y lecciones aprendidas. Marco voluntario pero impulsado por reguladores.
Supervisión de proveedores críticos
Proveedores TIC declarados "críticos" por las ESA quedan bajo supervisión directa europea (no solo del cliente financiero). Aplica a hyperscalers y SaaS financieros muy extendidos.
Cinco cosas que te pedirán entidades financieras desde 2025
Cláusulas contractuales DORA
Tus contratos con bancos/aseguradoras tendrán anexo con cláusulas DORA: derecho de auditoría, notificación de incidentes en plazos cortos, planes de salida, niveles de servicio (SLA) específicos, sub-encargados aprobados.
Evidencias de gestión de riesgos
Te pedirán políticas escritas: gestión de riesgos TIC, ciberseguridad, continuidad, gestión de proveedores. Cuestionarios anuales (a veces trimestrales) y evidencias de cumplimiento real, no solo declaraciones.
Notificación rápida de incidentes
Si tienes incidente que afecta al cliente financiero, tienes que notificarle en plazos muy cortos (a veces 1 hora) con clasificación de severidad. Tu propio proceso de gestión de incidentes debe estar listo.
Plan de salida documentado
Cómo se haría la migración si el cliente decidiera (o tuviera que) abandonar tu servicio. Exportación de datos, formato, plazos, costes. Es nuevo para muchos SaaS: hay que documentarlo y testar.
Auditorías y certificaciones
Tener ISO 27001, SOC 2 Type II o equivalentes facilita cumplir DORA. Sin certificaciones, te pedirán auditorías ad-hoc anuales. Coste ISO 27001 primera certificación: 15.000-40.000 € en pyme. Pero abre puertas.
Lo que arriesga una entidad o proveedor que incumple DORA.
Las sanciones por incumplimiento DORA son severas: hasta el 2% de la facturación anual mundial para entidades financieras (similar a RGPD pero específico para resiliencia). Para personas físicas responsables (administradores, CISO), hasta 1 millón de euros personalmente.
Para proveedores TIC críticos bajo supervisión europea, las autoridades pueden imponer multas coercitivas diarias del 1% de la facturación media diaria mundial hasta que se subsane el incumplimiento. En grandes hyperscalers son cifras enormes; en pymes proveedoras de un cliente financiero, el riesgo es más operativo: perder el contrato y reputación en el sector.
Más allá de la sanción directa, DORA cambia las dinámicas comerciales B2B financieras: entidades grandes solo contratan proveedores DORA-ready. Pymes TIC que invirtieron antes en cumplimiento (procesos, certificaciones) están ganando cuota; las que esperaron están perdiendo contratos por no poder pasar due diligence.
Esto se relaciona con el RGPD y con el TCO de proyectos IT: cumplimiento como inversión, no como gasto. Para pymes que quieran trabajar con sector financiero, en Magnetia ayudamos a estructurar las piezas de cumplimiento como parte del servicio de consultoría. Derivamos a abogado y auditor especialista para la parte certificable.
Hoja de ruta para una pyme TIC que quiere ser DORA-ready
Cuatro fases típicas. 6-12 meses de trabajo.
Diagnóstico de gap
Identificar clientes financieros (actuales y potenciales). Mapear políticas existentes vs lo que exige DORA. Lista de gaps priorizada por riesgo y plazo. Duración: 2-4 semanas.
Marco documental
Escribir/actualizar políticas: gestión de riesgos TIC, ciberseguridad, gestión de incidentes, continuidad de negocio, gestión de proveedores, gestión de cambios. Plantillas adaptadas. 2-3 meses.
Implementación operativa
Procesos de detección y notificación de incidentes, plan de continuidad testado, registro de proveedores con criticidad, monitoring de SLA. Herramientas: SIEM, gestión de tickets, BIA. 3-6 meses.
Certificación y auditorías
Si los clientes lo exigen: ISO 27001 o SOC 2. Auditoría externa anual. Mantenimiento continuo de evidencias. Coste recurrente: 10.000-30.000 €/año en pyme TIC media.
Dudas que nos hacéis llegar
¿Tienes clientes financieros y no sabes si cumples DORA?
Diagnóstico inicial: revisamos contratos, políticas y procesos actuales contra checklist DORA. Te entregamos plan priorizado para llegar a DORA-ready sin gastar de más.