¿Qué es el Reglamento DORA y por qué es importante?
El Reglamento DORA (Digital Operational Resilience Act) tiene como objetivo fortalecer la resiliencia digital y la ciberseguridad en el sector financiero. Desde su primer borrador hasta hoy, está teniendo un gran impacto en la Unión Europea debido a su alcance y sus ambiciones en ciberseguridad.
Con su aprobación, la UE trata de instar a las compañías financieras a identificar y gestionar los posibles riesgos digitales a los que se enfrentan. Así, pone el foco en un sector clave y particularmente sensible a ciberataques, estipulando las obligaciones y procedimientos que deben respetarse.
Te contamos todos los detalles sobre el Reglamento DORA, su importancia y las claves para aplicarlo.
¿Qué es el Reglamento DORA?
El Reglamento DORA (por sus siglas en inglés, Digital Operational Resilience Act) es una regulación de la Unión Europea que busca unificar la legislación para la gestión de los riesgos digitales en el sector financiero.
Parte de la Ley de Resiliencia Operativa Digital y supone un marco normativo unificado que viene a unir y actualizar diferentes normas ya existentes (EBA, PSD, EIOPA, eIDAS…).
Propuesto por la Unión Europea en septiembre de 2020 y también conocido como reglamento de ciberseguridad, el reglamento DORA busca mitigar los riesgos en el sector financiero derivados de la implantación de las TIC.
En este sentido, pone el foco en que las organizaciones financieras logren la ciberresiliencia: en un contexto en el que los ciberataques continúan proliferando, se busca que las organizaciones puedan continuar funcionando incluso frente a perturbaciones digitales graves.
Aunque más abajo en este artículo entramos en detalle sobre las obligaciones que el Reglamento DORA supone, algunos de sus objetivos incluyen los siguientes:
- Gestión de riesgos en los sistemas
- Clasificación y notificación de incidentes en ciberseguridad
- Pruebas de resiliencia operativa digital
- Establecimiento de acuerdos contractuales entre proveedores de servicios y entidades financieros
- Generación de un marco de supervisión para los proveedores de servicios críticos
- Normativa para el intercambio de información segura
Además, tienen un papel destacado las Autoridades Europeas de Supervisión (AES), incluidas la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (AEVM) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), que estarán a cargo de las normas técnicas de regulación (NTR) y de las normas técnicas de ejecución (NTE) que deben aplicar las entidades alcanzadas. Finalmente, serán las autoridades nacionales competentes las que deberán supervisar el cumplimiento y aplicación de DORA.

¿Por qué es importante el Reglamento DORA?
Los ataques al sector financiero global y el europeo en particular se están multiplicando, en un contexto en el que existe un aumento global de ataques cibernéticos.
Desde Europa y mediante el Reglamento DORA, se busca generar un marco de ciberresiliencia que garantice la estabilidad financiera en el continente. Así, se adoptan una serie de prácticas que, de forma proactiva, buscan ayudar a las organizaciones a mitigar el impacto de las amenazas cibernéticas para sus sistemas.
A su vez, es de vital importancia dentro del reglamento DORA la voluntad de unificar normativas a nivel europeo. Si hasta ahora se contaban con medidas fragmentarias (cada país contaba con sus propias reglas y marcos para supervisión), la ley consigue aunar y armonizar esfuerzos en torno a ciberresiliencia. Esto es particularmente importante teniendo en cuenta el contexto europeo de unidad legislativa y económica que se viene practicando en las últimas décadas.
Además, como beneficio para las entidades financieras y el resto de entidades afectadas por el Reglamento DORA, aparece una mayor claridad jurídica respecto a sus obligaciones en torno a la ciberseguridad y ciberresiliencia, en un marco también transfronterizo.
¿Cuándo entró en vigor el Reglamento DORA?
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act) fue publicado en el Diario Oficial de la Unión Europea en diciembre de 2022 y entró en vigor el 16 de enero de 2023. Se estableció un plazo de dos años para que las entidades del sector financiero pudiesen cumplir los requisitos establecidos, es decir, hasta el 16 de enero de 2025.
Las entidades financieras y los proveedores de servicios TIC de terceros tuvieron hasta el 17 de enero de 2025 para cumplir con las obligaciones establecidas.
Desde su entrada en vigor, DORA impone a las entidades financieras y a sus proveedores de servicios TIC una serie de obligaciones, entre las que se incluyen:
- Gestión de riesgos tecnológicos: Implementar políticas y procedimientos para identificar, evaluar y mitigar los riesgos asociados a las tecnologías de la información y la comunicación.
- Notificación de incidentes: Establecer mecanismos para informar de manera oportuna sobre incidentes graves relacionados con las TIC.
- Supervisión de proveedores: Mantener un registro detallado de los acuerdos contractuales con proveedores de servicios TIC, clasificándolos según su criticidad.
- Pruebas de resiliencia: Realizar evaluaciones periódicas para verificar la capacidad de los sistemas ante posibles perturbaciones operativas.
Estas obligaciones están siendo supervisadas por las autoridades competentes, como el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV), que han iniciado actividades de control y evaluación del cumplimiento de DORA.
¿Qué alcance tiene el Reglamento DORA?
El Reglamento DORA tiene un alcance amplio que abarca a todas las entidades financieras de la UE —bancos, aseguradoras, gestoras de fondos, sociedades de valores, plataformas de negociación o agencias de calificación— así como a los proveedores tecnológicos que les prestan servicios críticos, como la nube o los centros de datos.
Además de definir a quién se aplica, establece obligaciones transversales que afectan directamente a su operativa: contar con un marco sólido de gestión de riesgos, realizar pruebas periódicas para detectar vulnerabilidades, garantizar la transparencia en la notificación de incidentes y monitorizar de forma continua a los proveedores de la cadena de valor.
De este modo, su alcance no se limita a quién entra en el perímetro regulado, sino también a cómo deben gestionarse los riesgos tecnológicos de manera integral y sostenida en el tiempo.
¿Cuáles son las obligaciones del Reglamento DORA?

Es posible dividir las obligaciones que plantea la ley en las siguientes cuatro grandes categorías:
Contar con un marco de gestión
Las entidades financieras deberán elaborar y poner en marcha un marco de gestión de riesgos. Deberán regular qué procedimientos internos y protocolos de actuación se van a poner en marcha en relación con los riesgos tecnológicos concretos a los que se enfrente cada entidad. Se trata, en definitiva, de un inventario de riesgos y de las herramientas con que se cuenta para evitarlos y mitigarlos.
Por ejemplo, una entidad bancaria que opera con una infraestructura híbrida en la nube deberá elaborar un inventario detallado de sus activos tecnológicos, clasificando tanto los sistemas críticos de core bancario como las aplicaciones de atención al cliente. A partir de ahí, deberá trazar un mapa de riesgos que recoja posibles amenazas como fallos de disponibilidad en proveedores de servicios en la nube, ataques de denegación de servicio o fugas de información por mala configuración de sistemas.
Realizar pruebas periódicas
El Reglamento DORA establece asimismo la obligación de realizar pruebas periódicas a los sistemas y protocolos de las entidades. A través de estos tests, se busca comprobar su robustez y desvelar potenciales vulnerabilidades.
Estas pruebas podrían incluir, por ejemplo, ejercicios de ciberataques controlados, como pruebas de pentesting sobre una aplicación de banca móvil. Así un equipo especializado debería intentar explotar vulnerabilidades, desde accesos indebidos hasta fallos en la validación de transacciones, con el fin de identificar y corregir debilidades antes de que sean explotadas por atacantes reales. DORA insiste en que estas pruebas sean periódicas y no puntuales, de modo que la seguridad se compruebe de manera continua.
Garantizar la transparencia
Como parte de la estrategia de ciberresiliencia que propone, el reglamento DORA también obliga a las entidades a informar a las partes implicadas en caso de tener lugar un incidente.
En la práctica, las entidades cumplirían esta obligación, entre otras medidas, dotándose de un protocolo de notificación de incidentes que defina con precisión qué información se comunica, a quién, en qué plazos y bajo qué formato. Para que en el supuesto de que por ejemplo, sufran un ataque de ransomware que interrumpa parcialmente los servicios de banca digital, la entidad pueda informar a la autoridad supervisora en el tiempo máximo establecido por la regulación, aportando datos sobre la naturaleza del incidente, los sistemas afectados y las medidas inmediatas adoptadas.
Monitorear la cadena de valor
Además, las entidades financieras deberán garantizar el seguimiento de cualquier función tecnológica que subcontrate o delegue a terceros. El monitoreo y control exhaustivo de los proveedores deberá ser revisado periódicamente.
Un ejemplo práctico sería el de una entidad que subcontratase el servicio de detección y respuesta a incidentes (SOC externo). En este escenario, la supervisión se materializaría en auditorías periódicas al proveedor, revisiones trimestrales de los tiempos de respuesta ante alertas críticas y la exigencia de reportes estructurados que puedan integrarse en el marco global de gestión de riesgos de la entidad.
Sanciones por Incumplimiento
El incumplimiento de las disposiciones establecidas por DORA puede dar lugar a sanciones administrativas y, en algunos casos, penales.
La Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI), ha adaptado el régimen sancionador para las empresas de servicios de inversión, tipificando como infracciones muy graves o graves el incumplimiento de las obligaciones derivadas de DORA.
Transposición a la Normativa Española
DORA, al ser un reglamento de la Unión Europea, es de aplicación directa en todos los Estados miembros, incluyendo España. Esto significa que no requiere de una transposición específica a la normativa nacional.
Sin embargo, la LMVSI ha adaptado el régimen sancionador para las empresas de servicios de inversión, asegurando la coherencia con las disposiciones de DORA.
¿Cómo implementar el reglamento DORA?
Como ya mencionamos, el Reglamento DORA viene a poner en marcha una serie de obligaciones en torno a la ciberresiliencia para bancos, compañías de seguros y empresas de inversión y terceros esenciales en el sector. Antes de 2025, las empresas del sector deben revisar sus procesos internos e implementar las prácticas exigidas.
Desde S2 Grupo estamos preparados para acompañar a las entidades financieras europeas en su tránsito hacia la ciberresiliencia. Por ello, contamos con especialistas en Gobierno, Riesgo y Cumplimiento, así como con una diversidad de soluciones en ciberseguridad y acompañamiento personalizado para adaptarse a la entrada en vigor del Reglamento DORA. Ponte en contacto con nosotros y descubre cómo podemos ayudarte.
