El 29 % de los incidentes graves relacionados con las TIC notificados en el sector financiero de la UE en 2025 se debieron a fallos de proveedores externos: proveedores, operadores de infraestructuras y otras entidades financieras de la cadena de suministro.
Para los programas de gestión de riesgos de terceros (TPRM) que operan en el marco de la DORA, la concentración de riesgos de terceros ya no es una preocupación teórica. Los primeros datos anuales sobre incidentes lo revelan como una característica estructural de la propia configuración del sector.
Esos datos figuran en el primer informe anual de las Autoridades Europeas de Supervisión en el marco de la DORA, publicado el 3 de junio de 2026, junto con una conclusión que ha suscitado un interés considerablemente mayor: dos tercios de los 3.383 incidentes graves registrados ese año no provocaron ninguna interrupción, o solo una interrupción menor, en los clientes y las transacciones. El riesgo de concentración que subyace a esos resultados es la conclusión más significativa.
- Los fallos de terceros provocaron casi uno de cada tres incidentes
- ¿Qué proveedores son proveedores externos críticos según DORA?
- Las medidas de contención refuerzan la resiliencia a nivel de empresa, no la exposición a nivel sectorial
- DORA y el primer mapa normativo de la concentración en el sector de las TIC
- Lo que los supervisores de DORA están analizando en 2026
- Preguntas frecuentes
Los fallos de terceros provocaron casi uno de cada tres incidentes
Las Autoridades Europeas de Supervisión (ESA) señalan que el fallo de un único tercero puede generar informes de incidentes en docenas de entidades al mismo tiempo, ya que estas comparten el mismo proveedor. El informe denomina a este fenómeno «efecto multiplicador». Los expertos del sector lo denominan «riesgo de concentración»: cuando la misma exposición se acumula en varias entidades sin que exista una forma coordinada de gestionarla de forma conjunta.
Esa concentración refleja la estructura del sector. El análisis realizado por el BCE en 2024 sobre los registros de externalización, basado en datos de finales de 2023, reveló que más del 30 % del presupuesto total de externalización de los bancos importantes de la UE se destina a tan solo 10 proveedores, la mayoría de los cuales tienen su sede fuera de la UE. La mitad del gasto total en externalización crítica recae en tan solo 30 proveedores. Esa distribución se ha mantenido estable a lo largo de varios años de recopilación de datos por parte del BCE. Los responsables políticos europeos han comenzado a reaccionar: el paquete de medidas sobre soberanía tecnológica de la Comisión, de junio de 2026, tiene como objetivo reducir la dependencia del bloque de los proveedores de servicios en la nube, chips y software no pertenecientes a la UE. Sin embargo, su implantación es un esfuerzo que llevará varios años, por lo que el riesgo de concentración que las entidades declaran hoy en día es, en gran medida, el mismo riesgo de concentración que tendrán que gestionar durante algún tiempo.
¿Qué proveedores son proveedores externos críticos según DORA?
En noviembre de 2025, las Autoridades Europeas de Supervisión (ESA) publicaron la primera lista oficial de 19 proveedores externos críticos de TIC en el marco de la DORA. La lista incluye a Amazon Web Services, Microsoft, Google Cloud, Bloomberg, LSEG Data and Risk, IBM, Fidelity National Information Services, Oracle, SAP, Accenture, Capgemini, Deutsche Telekom, Equinix y Tata Consultancy Services. Estos proveedores están ahora sujetos a la supervisión directa de las ESA: evaluaciones de gobernanza, obligaciones de notificación de incidentes y examen de las medidas de resiliencia que mantienen para los clientes del sector financiero.
Esta designación da forma normativa a lo que ya revelaban los datos sobre externalización. Una parte significativa de los servicios financieros de la UE se gestiona a través de un número reducido de plataformas compartidas, y el alcance total de las obligaciones de terceros en virtud de la DORA se extiende ahora a determinar qué funciones críticas se alojan en la infraestructura designada y qué implicaciones tiene esa dependencia para el propio programa de la empresa.
Las medidas de contención refuerzan la resiliencia a nivel de empresa, no la exposición a nivel sectorial
Cuando se produjeron incidentes en 2025, las entidades financieras pudieron, en general, detectarlos y aislarlos antes de que afectaran a los clientes a gran escala. Dos tercios de los 3.383 incidentes no causaron ninguna interrupción o solo provocaron una interrupción leve. Las Autoridades Europeas de Supervisión (ESAs) atribuyen este resultado a la detección oportuna, la respuesta eficaz y las medidas de contención, y los datos respaldan esta interpretación.
Los fallos correlacionados quedan fuera de ese marco. En abril de 2025, la red eléctrica española sufrió un corte de aproximadamente 10 horas, que también afectó a Portugal. Los centros de datos de los bancos funcionaron con energía de reserva; las sucursales perdieron la conectividad, los terminales de punto de venta quedaron fuera de línea y los clientes de toda la región no pudieron ponerse en contacto con sus bancos. Las medidas de preparación que funcionaron a nivel de empresa no impidieron una interrupción que se produjo desde fuera de ella.
La lista del CTPP formaliza esa dinámica en lo que respecta al riesgo de las TIC. Cuando AWS o Azure sufren una interrupción significativa del servicio —como les ocurrió al menos una vez en 2025 a cada uno de los principales proveedores de servicios en la nube—, la resiliencia interna de cada banco pasa a un segundo plano. La exposición se propaga a la velocidad de la infraestructura compartida.
DORA y el primer mapa normativo de la concentración en el sector de las TIC
Los requisitos del Registro de Información de DORA proporcionaron a las autoridades reguladoras, por primera vez, datos contractuales reales de todo el sector financiero de la UE, agregados a gran escala. La lista de designaciones del CTPP se elaboró a partir de esos datos, lo que la convierte en el primer mapa oficial, a escala de todo el sector de la UE y basado en datos empíricos, que muestra dónde se sitúa realmente la concentración en el sector de las TIC.
Antes de la entrada en vigor de la DORA, las autoridades reguladoras disponían de información sobre el riesgo de concentración en términos agregados. El BCE había advertido al respecto a través de sucesivos boletines informativos sobre la externalización, y los datos sobre la concentración presupuestaria se venían recopilando desde 2022. Para poder realizar un análisis preciso, era necesario que las empresas revelaran sus acuerdos contractuales reales en materia de TIC de forma que las autoridades reguladoras pudieran agregarlos a nivel sectorial.
Ese mapa fue el resultado del proceso de designación del CTPP. Las autoridades reguladoras utilizaron los registros presentados para identificar qué proveedores tenían importancia sistémica en el sector, y la lista resultante constituye el primer reconocimiento formal, basado en datos contractuales reales, de que el riesgo operativo del sector viene determinado en gran medida por las dependencias compartidas.
La revisión realizada por el BCE en 2024 reveló que, según los propios informes de los bancos, el 12 % de los contratos de externalización críticos de los bancos significativos no cumplían los requisitos vigentes, y que el 60 % de dichos contratos no había sido auditado en los tres años anteriores. Las entidades que entran en la fase de supervisión activa de la DORA asumen esa deficiencia como un riesgo de supervisión vigente.
Lo que los supervisores de DORA están analizando en 2026
Las instituciones mejor preparadas para el año de aplicación de la DORA en 2026 son aquellas cuyos marcos de gestión de riesgos de terceros reflejan la concentración real de sus carteras de proveedores, con programas de seguimiento de riesgos de terceros basados en la exposición continua, en lugar de en evaluaciones puntuales.
Su programa de gestión de riesgos de proveedores (TPRM) debe tener en cuenta cuántas funciones críticas dependen de un único proveedor. Hoy en día, la mayoría no puede responder a esa pregunta con seguridad. Es igualmente importante saber cómo se traduce realmente la sustituibilidad en cada acuerdo. Las estrategias de salida deben ponerse a prueba, no solo documentarse.
El primer informe de incidencias de DORA muestra un sector que gestionó 3.383 incidencias graves con un impacto limitado en los clientes. También documenta la estructura subyacente a ese rendimiento. Lo que los supervisores examinarán a continuación es si vuestro programa se basa en esa estructura. Los datos para responder a esa pregunta ya se encuentran en vuestra cartera de proveedores.
¿Tu programa de TPRM permite supervisar el riesgo de concentración?
Solicitar una demostraciónPreguntas frecuentes
¿Qué conclusiones se extrajeron del primer informe anual sobre incidentes de DORA?
El primer informe sobre incidentes de DORA elaborado por las Autoridades de Supervisión Europeas (ESA), publicado el 3 de junio de 2026, abarcó 3.383 incidentes importantes relacionados con las TIC en el sector financiero de la UE durante 2025. El 29 % se debió a fallos de terceros, un tercio tuvo repercusiones transfronterizas y dos tercios no causaron ninguna interrupción en el servicio a los clientes o solo una de menor importancia. Los fallos del sistema representaron el 51 % del total de incidentes.
¿Qué son los proveedores externos críticos de TIC según la DORA?
Los proveedores externos críticos de TIC(CTPP) son proveedores designados por las autoridades de supervisión europea (ESA) como de importancia sistémica para los servicios financieros de la UE. En noviembre de 2025 se designaron 19 proveedores, entre los que se incluyen AWS, Microsoft, Google Cloud, Bloomberg y LSEG. Ahora están sujetos a la supervisión directa de las ESA, lo que incluye evaluaciones obligatorias de gobernanza y obligaciones de notificación de incidentes.
¿Qué es el riesgo de concentración en TIC según la DORA?
El riesgo de concentración en TIC surge cuando numerosas entidades financieras dependen de un número reducido de proveedores comunes para funciones críticas. Los datos del BCE de 2024 muestran que más del 30 % de los presupuestos de externalización de los bancos significativos de la UE se concentran en tan solo 10 proveedores. La DORA exige a las empresas que evalúen y documenten esta exposición como parte de su programa de gestión de riesgos de terceros.
¿Cómo funciona el requisito de notificación de incidentes de la DORA?
Según el artículo 19 de la DORA, las entidades financieras deben presentar una notificación inicial en un plazo de cuatro horas tras clasificar un incidente grave de TIC, un informe intermedio en un plazo de 72 horas y un informe final en el plazo de un mes. Los incidentes originados por terceros deben ser notificados igualmente por cada entidad afectada, salvo que se cumplan las condiciones para la presentación de informes agregados.
¿Qué deben priorizar las empresas para cumplir con la DORA en 2026?
La atención de las autoridades de supervisión en 2026 se centra en la gestión del riesgo de terceros. Entre las medidas prioritarias se incluyen mantener un registro completo de la información, evaluar el riesgo de concentración entre los proveedores designados por el CTPP, garantizar que se hayan establecido las disposiciones contractuales del artículo 30 y poner a prueba las estrategias de salida, en lugar de limitarse a documentarlas.
