¿Qué es DORA (Ley de Resiliencia Operativa Digital)?

DORA —la Digital Operational Resilience Act, formalmente el Reglamento (UE) 2022/2554— es el cuerpo único de normas de la Unión Europea sobre resiliencia tecnológica en el sector financiero. Se adoptó en diciembre de 2022, empezó a aplicarse el 17 de enero de 2025 y sustituye un mosaico de expectativas supervisoras nacionales sobre riesgo operativo y de TIC por un reglamento de la UE directamente aplicable. DORA se apoya en cinco pilares: gestión de riesgos de TIC, reporte de incidentes, pruebas de resiliencia operativa digital, gestión del riesgo de terceros de TIC e intercambio de información sobre amenazas. La capacidad de supervisión es real: las entidades financieras pueden enfrentarse a sanciones administrativas de hasta el 1 % de la facturación media diaria mundial por día de incumplimiento, y las tres Autoridades Europeas de Supervisión (ESAs) pueden designar a proveedores de TIC no comunitarios como críticos y supervisarlos directamente.

DORA importa fuera de la UE porque sigue a los datos, no a las fronteras. Una empresa SaaS del Reino Unido que presta servicios a un banco regulado de la UE entra en el ámbito como proveedor tercero de servicios TIC, aunque no sea una entidad financiera. El banco tiene que demostrar que dispone de los controles contractuales y de supervisión correctos, y el regulador del banco puede pedir verlos.

A quién se aplica

DORA se aplica a unas 22.000 entidades financieras y a sus proveedores de TIC en toda la UE. La lista de entidades financieras es amplia: entidades de crédito, entidades de pago y de dinero electrónico, empresas de inversión, proveedores de servicios de criptoactivos, aseguradoras y reaseguradoras, contrapartes centrales, plataformas de negociación, gestoras de fondos, agencias de calificación crediticia, auditores legales y proveedores de financiación colectiva, entre otros.

Las microempresas pequeñas (menos de 10 empleados y facturación inferior a 2 millones de euros) tienen un régimen proporcionado con obligaciones reducidas: siguen teniendo que cumplir, pero los requisitos de documentación y pruebas son más ligeros.

Los proveedores terceros de servicios TIC entran en el ámbito por la cadena contractual. Un proveedor SaaS, un proveedor de nube, una plataforma de servicios de pago, un servicio gestionado de seguridad: si una entidad financiera depende de ti para un servicio de TIC que respalda una función crítica o importante, estás en la cadena contractual y verás cláusulas DORA en el contrato marco.

Los cinco pilares

1. Gestión de riesgos de TIC

Las entidades financieras deben establecer un marco de gestión de riesgos de TIC aprobado y supervisado por el órgano de dirección. El marco cubre la identificación de activos y dependencias de TIC, los controles de protección y prevención, los mecanismos de detección, los procedimientos de respuesta y recuperación, los procesos de aprendizaje y evolución y la comunicación de crisis. Debe revisarse anualmente y tras cualquier incidente importante relacionado con TIC. El consejo está en el punto de mira: DORA es explícita en que la responsabilidad última recae en el órgano de dirección, no en el CISO ni en el responsable de operaciones.

2. Gestión y reporte de incidentes relacionados con TIC

DORA estandariza cómo las entidades financieras clasifican, registran y reportan los incidentes de TIC. Los incidentes importantes deben reportarse a la autoridad nacional competente mediante un proceso de tres fases: una notificación inicial con plazos estrictos (las normas técnicas fijan horas, no días), un informe intermedio y un informe final. También existe un régimen de notificación voluntaria para amenazas cibernéticas significativas. Las ESAs publican las plantillas y los criterios de clasificación mediante Normas Técnicas de Regulación, y el formato es consistente en toda la UE.

3. Pruebas de resiliencia operativa digital

Todas las entidades financieras dentro del ámbito deben ejecutar un programa de pruebas de resiliencia de TIC proporcional a su tamaño y perfil de riesgo. Las pruebas básicas incluyen evaluaciones de vulnerabilidades, tests de penetración, ejercicios basados en escenarios y revisiones de código fuente. Las entidades más grandes y sistémicas tienen que ir más allá con Threat-Led Penetration Testing (TLPT, pruebas de penetración dirigidas por amenazas) al menos cada tres años, ejecutadas por probadores externos bajo un marco basado en TIBER-EU. Los ejercicios TLPT simulan atacantes sofisticados y persistentes y tienen que cubrir sistemas de producción en vivo, no entornos de prueba.

4. Gestión del riesgo de terceros de TIC

Este es el pilar con mayor impacto en los proveedores no comunitarios. Las entidades financieras deben mantener un registro de todos los acuerdos contractuales con terceros de TIC, clasificar la criticidad de cada uno e incorporar términos contractuales específicos en cada contrato: descripciones del servicio, ubicaciones de tratamiento de datos, requisitos de seguridad, derechos de auditoría, causas de terminación, asistencia a la salida, consentimiento para la subcontratación y obligaciones de reporte de incidentes. La UE también ha designado un pequeño número de «proveedores terceros críticos de servicios TIC» (CTPPs, critical ICT third-party service providers): los mayores proveedores de nube y software utilizados ampliamente en los servicios financieros de la UE, que están sujetos a supervisión directa por parte de las ESAs.

5. Intercambio de información

DORA permite y fomenta de forma explícita el intercambio de información entre entidades financieras sobre amenazas cibernéticas e indicadores de compromiso. La participación es voluntaria, pero el reglamento elimina parte de la incertidumbre en protección de datos y derecho de la competencia que históricamente desincentivaba el intercambio.

Sanciones

El régimen sancionador se divide entre entidades financieras y proveedores terceros críticos de TIC.

Para las entidades financieras, las sanciones administrativas las fijan las autoridades nacionales competentes según la legislación nacional de transposición, pero DORA exige que esas sanciones sean efectivas, proporcionadas y disuasorias. En la práctica, las cifras de titular citadas en la cobertura del sector —hasta el 2 % de la facturación anual mundial total para los incumplimientos más graves— reflejan el límite superior que pueden aplicar los supervisores nacionales.

Para los proveedores terceros críticos de TIC (solo los CTPPs designados), las propias ESAs pueden imponer multas coercitivas periódicas de hasta el 1 % de la facturación media diaria mundial del ejercicio anterior, aplicadas diariamente hasta que se alcance el cumplimiento, con un tope de seis meses. Para un gran proveedor de nube, esa es una cifra muy significativa.

Cómo se compara DORA con el RGPD y NIS2

El RGPD protege los datos personales. DORA protege la continuidad operativa de los servicios financieros. Se solapan cuando un incidente de seguridad implica datos personales: un ataque de ransomware a un banco activa tanto la notificación de brechas del RGPD como el reporte de incidentes importantes de DORA, pero no son la misma regulación y los informes van a supervisores distintos.

NIS2 (la segunda Directiva sobre Seguridad de las Redes y de la Información) es la regulación general de ciberseguridad de la UE para «entidades esenciales e importantes» en sectores críticos como energía, transporte, salud e infraestructura digital. Las entidades financieras están en la intersección: NIS2 se les aplica de forma general, pero DORA es lex specialis: allí donde DORA cubre un tema, prevalece, y la entidad financiera reporta bajo DORA y no NIS2 en ese tema. La Autoridad Bancaria Europea ha publicado guía sobre cómo gestionar el solapamiento.

Alcance extraterritorial: a quién fuera de la UE le interesa

DORA no regula directamente a empresas no comunitarias. Regula a las entidades financieras de la UE y hace responsables a esas entidades de asegurarse de que su cadena de suministro de TIC cumple los requisitos contractuales y operativos de DORA.

La consecuencia práctica es que los proveedores no comunitarios que venden servicios de TIC a entidades financieras de la UE verán modificaciones contractuales con forma de DORA, solicitudes de pruebas sobre controles de seguridad, cláusulas de notificación de incidentes con plazos específicos y derechos de auditoría e inspección para el regulador de la entidad financiera. Los proveedores no comunitarios suficientemente grandes para ser designados como proveedores terceros críticos de TIC quedan bajo supervisión directa de las ESAs con independencia de dónde estén establecidos: la UE ha designado proveedores con sede en Estados Unidos y otros lugares.

Para las entidades financieras del Reino Unido que operan en la UE a través de filiales o sucursales, DORA se aplica directamente a esas operaciones de la UE. El Reino Unido tiene sus propias normas de «resiliencia operativa» de la FCA y la PRA que anteceden a DORA y cubren un terreno similar, pero con plazos, taxonomía y vías de reporte distintos: las normas del Reino Unido y DORA no son un mapeo limpio uno a uno.