La nueva normativa DORA (por sus siglas en inglés, Digital Operational Resilience Act) es una regulación de la Unión Europea orientada a reforzar la resiliencia operativa digital de las entidades del sector financiero y de los proveedores de servicios de TIC (Tecnologías de la Información y la Comunicación) que colaboran con ellas. En este post identificamos las principales claves de la nueva normativa DORA:
A grandes rasgos, DORA busca:
- Proteger la estabilidad financiera: Asegura que las entidades financieras (bancos, aseguradoras, empresas de inversión, entre otras) sean capaces de mantener sus operaciones y servicios esenciales incluso ante ciberataques, fallos técnicos o interrupciones graves.
- Unificar requisitos en la UE: Hasta ahora, cada país podía tener normas distintas sobre resiliencia digital. Con DORA, se busca homogeneizar las exigencias en todos los Estados miembros, evitando lagunas en la protección y la supervisión.
- Fortalecer la ciberseguridad: Obliga a las entidades a implantar medidas más estrictas de ciberseguridad, pruebas de resistencia (stress tests), planes de contingencia y protocolos de notificación en caso de incidentes relevantes.
- Responsabilidad de terceros proveedores: DORA no solo afecta a las organizaciones financieras, sino también a los proveedores de servicios tecnológicos (por ejemplo, proveedores de nube o servicios críticos). Deberán someterse a controles y auditorías para garantizar que su nivel de seguridad sea adecuado.
- Fecha de aplicación: La norma entra en vigor de forma obligatoria tras un periodo de adaptación que finaliza, en la mayoría de los casos, en enero de 2025. A partir de ese momento, las entidades sujetas a la normativa deben cumplir con todos sus requisitos.
En resumen, la nueva normativa DORA es un marco regulatorio unificado que se enmarca dentro del esfuerzo de la UE por proteger y robustecer la infraestructura digital y la capacidad de respuesta de las organizaciones financieras ante riesgos cada vez más complejos y globalizados.

La nueva normativa DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea publicada a finales de 2022 que busca robustecer la resiliencia operativa digital de todo el sector financiero. A continuación, se presenta un resumen ampliado de sus aspectos clave:
Contexto y finalidad
- Objetivo principal: Garantizar que las entidades financieras (bancos, aseguradoras, gestoras de inversiones, etc.) y sus proveedores críticos de servicios tecnológicos puedan prevenir, resistir, responder y recuperarse adecuadamente ante cualquier perturbación o amenaza de carácter digital (ciberataques, fallos de sistemas, interrupciones, etc.).
- Razón de ser: Cada Estado miembro podía tener regulaciones distintas en materia de ciberseguridad y resiliencia operativa. Con DORA, la UE establece un marco normativo homogéneo que evite vacíos de regulación y de supervisión.
Alcance y sujetos obligados
La nueva normativa DORA (Digital Operational Resilience Act) tiene un alcance muy amplio dentro del sector financiero de la Unión Europea. En concreto, obliga a un conjunto variado de entidades y, además, afecta a aquellos proveedores de TIC que presten servicios críticos a dichas entidades. A continuación se detallan los principales tipos de empresas y organizaciones que deben implantar DORA:
Entidades financieras
DORA se aplica a la mayoría de las entidades reguladas del sector financiero, incluyendo:
- Entidades de crédito
- Bancos y otros proveedores de servicios bancarios regulados.
- Entidades de pago y de dinero electrónico
- Empresas que ofrecen soluciones de pago y emisión de dinero electrónico.
- Empresas de inversión
- Sociedades y agencias de valores, brókeres, etc.
- Gestoras y distribuidores de fondos
- Sociedades gestoras de fondos de inversión, gestoras de fondos de pensiones, sociedades gestoras de instituciones de inversión colectiva (IIC), etc.
- Aseguradoras y reaseguradoras
- Compañías que ofrecen seguros de todo tipo y entidades que cubren el riesgo de otras aseguradoras.
- Intermediarios y plataformas de servicios financieros
- Por ejemplo, plataformas de crowdfunding regulado o determinados intermediarios de seguros, en función de su tamaño y alcance.
- Infraestructura de mercados financieros
- Depositarios centrales de valores (CSDs), contrapartes centrales (CCPs), casas de bolsa, bolsas de valores.
- Proveedores de servicios de criptoactivos
- A partir de la regulación específica en la UE, algunas actividades relacionadas con criptoactivos también quedan incluidas bajo el paraguas de DORA si se consideran entidades financieras o con funciones asimiladas (esto se coordina con otras regulaciones como MiCA).
Proveedores de servicios TIC (terceros críticos)
Además de las entidades estrictamente financieras, DORA incluye a los proveedores de servicios de tecnologías de la información y la comunicación (TIC) que sean considerados terceros críticos. Por ejemplo:
- Proveedores de cloud computing (infraestructura o plataforma en la nube).
- Proveedores de servicios de data center y alojamiento de datos.
- Proveedores de servicios de software críticos (como plataformas SaaS que ofrecen funcionalidades clave para el negocio financiero).
- Empresas de ciberseguridad o consultoría TIC que gestionen infraestructuras esenciales o procesos críticos.
Si un proveedor de TIC presta servicios críticos a diversas entidades financieras, podrá ser supervisado directamentepor las autoridades competentes (Autoridades Europeas de Supervisión y/o supervisores nacionales) en lo relativo a los aspectos de resiliencia operativa.
¿Todas las empresas de estos sectores están obligadas?
En principio, sí. Sin embargo, la normativa contempla ciertas diferencias en los requisitos según el tipo de entidad y su tamaño, volumen de negocio o importancia sistémica. Por ejemplo, una gran entidad bancaria está sujeta a requisitos mucho más rigurosos que un intermediario de seguros de muy reducido tamaño. Pero, en todo caso, DORA abarca de forma general a:
- Casi todas las organizaciones con licencia o registro en el sector financiero de la UE.
- Los proveedores de servicios de TIC que cumplan los criterios de “tercer crítico” para dichas entidades.
Esta amplitud se debe a que muchas de las actividades financieras están interconectadas a nivel digital, lo que puede generar efectos en cadena si ocurren fallos o ataques.
Principales claves y obligaciones
DORA establece cinco pilares fundamentales que las entidades deben atender:
- Gestión de riesgos en TIC:
- Implementar políticas y procedimientos internos para identificar, evaluar y mitigar riesgos relacionados con la tecnología.
- Incluir planes de continuidad y recuperación ante desastres (Disaster Recovery Plans) y planes de contingencia.
- Notificación de incidentes:
- Las entidades deberán informar rápidamente a las autoridades competentes sobre incidentes relacionados con la seguridad TIC que afecten de forma significativa a sus operaciones o servicios a clientes.
- Pruebas de resiliencia operativa (testing):
- Realizar periódicamente pruebas de resistencia y simulaciones (por ejemplo, test de ciberseguridad o “penetration testing”) para evaluar la eficacia de los controles y la capacidad de reacción ante incidentes.
- Gestión de riesgos de terceros proveedores:
- Vigilar y supervisar de forma exhaustiva a los proveedores críticos, especialmente aquellos que prestan servicios de cloud o procesan información sensible.
- Se establecen requisitos contractuales y de supervisión para garantizar que dichos proveedores cumplan con estándares mínimos de seguridad y resiliencia.
- Intercambio de información:
- Promueve la cooperación y el intercambio de inteligencia sobre amenazas y vulnerabilidades entre entidades financieras y autoridades, con el fin de mejorar la respuesta colectiva ante posibles ataques o incidentes.
Implicaciones prácticas
Las implicaciones para las empresas que deben implantar DORA (Digital Operational Resilience Act) son numerosas y abarcan diversos ámbitos organizativos, tecnológicos y de cumplimiento normativo. A continuación se detallan los principales aspectos que tendrán que abordar:
Fortalecimiento de la gobernanza y la gestión del riesgo digital
- Definir roles y responsabilidades:
- Crear o asignar equipos y personas responsables de la resiliencia digital (CISO, responsables de continuidad de negocio, etc.).
- Alinear funciones con la alta dirección y el consejo de administración (o el equivalente) para asegurar que la estrategia de resiliencia y ciberseguridad se integre en la gestión global de riesgos.
- Políticas y procedimientos:
- Desarrollar o actualizar la normativa interna relativa a seguridad, continuidad y gestión de riesgos tecnológicos.
- Implementar medidas para detectar, prevenir, responder y recuperarse ante incidentes o ciberataques.
- Integración con el marco de riesgos corporativo:
- Incluir el riesgo tecnológico (fraude online, vulnerabilidades de software, interrupciones de sistemas, etc.) dentro de la evaluación de riesgos general.
- Realizar evaluaciones periódicas y documentar los resultados para supervisión interna y externa.
Requisitos avanzados de ciberseguridad
- Controles de seguridad técnicos y organizativos:
- Adoptar medidas de protección (firewalls, cifrado, segmentación de redes, autenticación reforzada, etc.) y políticas de prevención de pérdida de datos (DLP).
- Asegurar la implementación de parches y la gestión de vulnerabilidades de forma continua.
- Monitorización y detección temprana:
- Implantar sistemas de monitoreo (SIEM, IDS/IPS) y procesos de alerta para detectar actividades anómalas o potenciales brechas de seguridad.
- Mantener una visión actualizada de las amenazas (Threat Intelligence) y mecanismos de intercambio de información con organismos de seguridad y otras entidades.
- Formación y concienciación:
- Capacitar de forma regular a los empleados sobre buenas prácticas en ciberseguridad (phishing, uso seguro de contraseñas, etc.).
- Crear una cultura de seguridad en toda la organización.
Notificación de incidentes y coordinación con supervisores
- Obligación de reporte:
- DORA exige que las entidades informen rápidamente a las autoridades competentes cuando sufran incidentes graves (pérdidas de datos sensibles, interrupción significativa de servicios, ataques de ransomware, etc.).
- Los plazos y la forma de notificación serán precisados en normas técnicas de las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA).
- Estandarización de la información:
- Se deben establecer protocolos internos para recabar y organizar la información sobre el incidente (causa, alcance, impacto, medidas tomadas).
- Facilitar la comunicación con supervisores y, en ciertos casos, con usuarios y clientes afectados.
- Gestión de crisis y planes de contingencia:
- Contar con procedimientos claros para la toma de decisiones en situaciones de crisis, asignación de responsabilidades y coordinación interna/externa.
- Realizar simulaciones de incidentes (ejercicios de “red teaming”, war games) para probar la efectividad de la respuesta.
Pruebas periódicas de resiliencia operativa y continuidad de negocio
- Testing y validación de controles:
- Realizar pruebas de penetración (pentesting) y evaluaciones de vulnerabilidades de manera periódica.
- Asegurar la efectividad de los planes de recuperación y redundancias tecnológicas.
- Planes de continuidad (BCP) y recuperación (DRP):
- Mantener y revisar planes de recuperación ante desastres (disaster recovery).
- Verificar la disponibilidad de recursos alternativos (sitios de respaldo, copias de seguridad, enlaces redundantes) para garantizar que el negocio continúe en caso de interrupción severa.
- Informes y documentación:
- Documentar resultados y acciones correctoras derivadas de las pruebas.
- Elaborar indicadores clave (KPIs, KRIs) para medir la eficacia de la resiliencia.
Gestión de riesgos en la cadena de suministro (terceros proveedores)
- Debida diligencia y selección de proveedores:
- DORA hace hincapié en la supervisión de los terceros críticos (cloud computing, data centers, proveedores de software esencial, etc.).
- Evaluar la solidez y las capacidades de resiliencia operativa de cada proveedor antes de contratarlos.
- Cláusulas contractuales específicas:
- Revisar o actualizar los contratos para incluir requisitos de ciberseguridad, planes de contingencia, derecho de auditoría y notificación de incidentes.
- Incluir la obligación de cooperar con las autoridades supervisoras si estas lo requieren.
- Supervisión continua:
- Monitorizar el desempeño y la seguridad de los proveedores a lo largo de la relación contractual.
- Establecer procedimientos para la gestión de riesgos residuales y, en casos extremos, la terminación ordenada de contratos (exit strategies).
Estructura organizativa y adaptación interna
- Recursos humanos y formación especializada:
- Posible creación de nuevos perfiles o refuerzo de áreas dedicadas a la ciberseguridad, continuidad de negocio y cumplimiento (compliance).
- Capacitación continua y cultura interna orientada a la seguridad y resiliencia.
- Colaboración interdepartamental:
- Equipos de TI, seguridad, negocio, legal y compliance deben trabajar de forma coordinada para implementar los controles exigidos.
- Establecer canales de comunicación rápida y planes de acción conjuntos.
- Inversiones tecnológicas y presupuestarias:
- Incremento del gasto en soluciones de ciberseguridad, herramientas de monitorización, consultoría y auditoría.
- Priorización de partidas presupuestarias específicas para cubrir la adaptación a DORA.
Incremento de la supervisión y riesgo de sanciones
- Supervisión reforzada:
- Las autoridades nacionales y las Autoridades Europeas de Supervisión podrán requerir información detallada, realizar inspecciones y supervisar directamente a ciertos proveedores críticos.
- Se unifica el enfoque en la UE, pero a la vez se endurecen los controles en materia de resiliencia digital.
- Sanciones y consecuencias legales:
- El incumplimiento de DORA puede derivar en multas, restricciones al ejercicio de la actividad e, incluso, implicaciones reputacionales.
- Las entidades deben contemplar la responsabilidad corporativa y personal de directivos y órganos de gobierno si se demuestra negligencia.
- Responsabilidad reputacional:
- Un incidente mal gestionado o la falta de cumplimiento pueden erosionar la confianza de clientes, inversores y socios.
- Cumplir con DORA también puede convertirse en una ventaja competitiva, al demostrar mayor solidez y confiabilidad.
Beneficios y oportunidades a largo plazo de la normativa DORA
Aunque la adopción de DORA supone esfuerzos y costes a corto plazo, ofrece ventajas estratégicas:
- Mayor resiliencia ante ataques y interrupciones, minimizando pérdidas financieras y daños a la reputación.
- Estándares comunes en toda la UE, lo que facilita la expansión transfronteriza y reduce la complejidad regulatoria.
- Aumento de la confianza de clientes e inversores, al ver que la entidad cumple requisitos de ciberseguridad y continuidad muy exigentes.
- Fomento de la innovación segura, al estructurar procesos y arquitecturas tecnológicas con ciberseguridad integrada desde el diseño (security by design)
Rol de las autoridades competentes
Los supervisores europeos (Autoridades Europeas de Supervisión, como la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA)) y los supervisores nacionales tendrán un papel crucial para:
- Emitir normas técnicas concretando los requisitos de DORA.
- Llevar a cabo inspecciones y controles de cumplimiento.
- Aplicar sanciones en caso de incumplimiento.
Calendario de aplicación de la normativa DORA
- La normativa DORA entró en vigor oficialmente en enero de 2023.
- Se estableció un periodo de transición de 24 meses para que las entidades se adapten a las nuevas exigencias.
- Por tanto, a partir de enero de 2025 (en concreto, el 17 de enero de 2025) se espera que todas las entidades afectadas cumplan plenamente con sus obligaciones.
- Desde aquí se puede consultar el anteproyecto de Ley que aplicará en España.
Conclusión
DORA marca un antes y un después en la regulación de la ciberseguridad y la resiliencia digital en el sector financiero de la Unión Europea. Su enfoque es preventivo y busca garantizar que, ante amenazas cada vez más sofisticadas, las entidades financieras y sus proveedores esenciales tengan la capacidad de operar sin interrupciones o, al menos, de recuperarse rápidamente tras cualquier incidente. Esperamos que con este post hayas profundizado en las Principales claves de La nueva normativa DORA.