La Ley de Resiliencia Operativa Digital (DORA) es un reglamento de la UE que exige a las entidades financieras que sean capaces de resistir, responder y recuperarse ante las interrupciones y amenazas relacionadas con las tecnologías de la información y la comunicación (TIC). Entró en vigor el 17 de enero de 2025 y se aplica a bancos, aseguradoras, empresas de inversión, entidades de pago y a sus proveedores externos de TIC, incluidas las empresas no pertenecientes a la UE que operen en la UE o presten servicios dirigidos a la UE.
El periodo inicial de tolerancia por parte de las autoridades de supervisión ha llegado a su fin. Las autoridades competentes nacionales de los Estados miembros de la UE están llevando a cabo revisiones de supervisión activas y ya se están aplicando medidas coercitivas.
Las entidades financieras se enfrentan ahora a una cuestión más acuciante que el mero cumplimiento normativo: si su programa es auditable, si se puede demostrar su eficacia y si está diseñado para resistir un examen supervisor exhaustivo. Este artículo aborda los requisitos de la DORA, dónde están detectando las entidades sus carencias y cómo será el cumplimiento normativo en 2026.
- ¿A quién se aplica la ley DORA?
- ¿Qué exige realmente la DORA? Las cinco obligaciones clave de cumplimiento de la DORA
- Cómo será la aplicación de la ley DORA en 2026
- El registro de información: qué es y por qué resulta complicado
- Proveedores externos esenciales: el marco de supervisión de la ESA
- Los retos a los que se enfrentan las organizaciones en 2026
- Así es un programa diseñado para funcionar de forma continua
- Preguntas frecuentes
¿A quién se aplica la ley DORA?
La DORA se aplica a una amplia gama de entidades financieras que operan en la UE, entre las que se incluyen bancos e instituciones de crédito, compañías de seguros y reaseguros, empresas de inversión, entidades de pago y de dinero electrónico, proveedores de servicios de criptoactivos, contrapartes centrales y mercados de negociación, así como agencias de calificación crediticia y empresas de auditoría, bajo determinadas condiciones.
La normativa DORA se aplica a cualquier entidad que preste servicios financieros dentro de la UE, incluidas las empresas no pertenecientes a la UE que operen en los mercados de la UE. Quedan incluidas en su ámbito de aplicación las instituciones financieras del Reino Unido, de EE. UU. y de todo el mundo que tengan operaciones en la UE o presten servicios dirigidos a la UE.
¿Qué exige realmente la DORA? Las cinco obligaciones clave de cumplimiento de la DORA
DORA estructura sus requisitos en cinco ámbitos, cada uno de los cuales conlleva obligaciones específicas y, en 2026, distintos grados de control por parte de las autoridades de supervisión.
-
Gestión de riesgos y gobernanza de las TIC
En el marco de la DORA, el órgano de dirección es responsable del marco de riesgos de las TIC. Esto implica contar con una estrategia de resiliencia digital documentada, una tolerancia al riesgo definida, un inventario completo de activos, políticas de seguridad y formación periódica para sensibilizar a los empleados. También implica una supervisión a nivel del consejo de administración que sea demostrable, y no meramente nominal. En 2026, las autoridades nacionales competentes (NCA) están evaluando si los consejos de administración pueden demostrar una implicación activa en los riesgos de las TIC, y no simplemente si existe una estructura de gobernanza sobre el papel.
-
Respuesta a incidentes e informes
Las organizaciones deben contar con un plan de respuesta ante incidentes claro que abarque la clasificación, los procedimientos de notificación y la comunicación con los usuarios afectados. Los incidentes importantes relacionados con las TIC deben notificarse a la autoridad nacional competente (NCA) en tres fases: notificación inicial en un plazo de cuatro horas tras la clasificación, un informe intermedio en un plazo de 72 horas y un informe final en el plazo de un mes, según la norma RTS 2025/301. El reto operativo radica en la clasificación: determinar en tiempo real si un incidente supera el umbral de notificación de la NCA requiere procedimientos que hayan sido probados en situaciones reales (y no solo documentados).
-
Pruebas de resistencia operativa digital
DORA exige un marco de pruebas que abarque pruebas básicas periódicas de TIC y, en el caso de las entidades importantes, pruebas de penetración avanzadas basadas en amenazas (TLPT), alineadas con la metodología TIBER-EU, de conformidad con el artículo 26. Las vulnerabilidades detectadas mediante las pruebas deben subsanarse mediante medidas correctoras documentadas. Las autoridades de supervisión ya no aceptan el simple reconocimiento de la obligación de realizar las TLPT como prueba.
-
Gestión de riesgos de terceros
Las organizaciones deben evaluar los controles de seguridad de los proveedores externos de TIC y garantizar que los contratos incluyan una descripción completa del nivel de servicio, información sobre la ubicación de los datos, derechos de auditoría y disposiciones relativas a la estrategia de salida. Las organizaciones también deben mantener un Registro de Información que abarque todos los contratos con terceros en materia de TIC, clasificados por nivel de criticidad, y gestionar activamente el riesgo de concentración cuando varias funciones críticas dependan de un único proveedor. El Registro se remite a la autoridad nacional competente (NCA), debe mantenerse actualizado de forma continua con arreglo al artículo 28, apartado 3, y debe estar listo para su presentación en todo momento. Las NCA pueden solicitarlo fuera del ciclo anual sin un plazo de preaviso fijo.
-
Intercambio de información e inteligencia
DORA anima a las entidades financieras a participar en comunidades de confianza para el intercambio de información sobre amenazas, coordinándose en materia de riesgos y vulnerabilidades emergentes en el ámbito de las TIC con el fin de reducir la exposición sistémica en todo el sector financiero. Este es el menos prescriptivo de los cinco ámbitos y el que menos atención suscita por parte de las autoridades de supervisión: la participación respalda el nivel de cumplimiento que esperan los reguladores, pero no es en lo que se centrarán las inspecciones de las autoridades nacionales competentes en 2026.
Cómo será la aplicación de la ley DORA en 2026
Las autoridades nacionales competentes (NCA) han pasado de una actitud de tolerancia en materia de supervisión a una revisión activa. En el caso de las entidades supervisadas por el BCE, la publicación en julio de 2025 de la Guía del BCE sobre la externalización de servicios en la nube eliminó la ambigüedad que daba lugar a márgenes de interpretación. La Guía abarca todas las formas de externalización en la nube —IaaS, PaaS y SaaS— en entornos públicos, privados e híbridos, y las revisiones de supervisión se evalúan en función de ella.
Las autoridades nacionales comenzaron a adoptar medidas formales de supervisión en el marco de la NIS2 en 2026, lo que marcó el paso de la directiva de la fase de implementación a la de aplicación. La tendencia normativa es clara: el periodo de gracia para las obligaciones en materia de resiliencia digital ha llegado a su fin.
Un programa de cumplimiento de la normativa DORA que resultara adecuado en enero de 2025 puede que no lo sea para una inspección de supervisión en 2026. Las autoridades reguladoras no comprueban si existen controles, sino si estos funcionan, se mantienen de forma continua y pueden demostrarse cuando se solicite.
El registro de información: qué es y por qué resulta complicado
El Registro de Información es un registro obligatorio y estructurado de todos los acuerdos contractuales que una entidad financiera mantiene con terceros proveedores de servicios de TIC. El registro se remite a tu autoridad nacional competente. No se trata de un documento interno.
En virtud de la DORA, las entidades financieras deben mantener el registro de forma continua, mantenerlo actualizado y remitirlo anualmente a su autoridad nacional competente. Las autoridades nacionales competentes consolidan y remiten los datos a las autoridades europeas de supervisión —la EBA, la EIOPA y la ESMA— con fines de supervisión. El primer ciclo de presentación se llevó a cabo a principios de 2025. El ciclo de 2026, que abarca los datos a 31 de diciembre de 2025, se llevó a cabo en todos los Estados miembros de la UE durante el primer trimestre de 2026.
El registro se estructura en torno a una plantilla normalizada establecida por las Autoridades Europeas de Supervisión (ESAs) en virtud del Reglamento de Ejecución (UE) 2024/2956 de la Comisión. Como mínimo, cada entrada debe incluir la identidad del proveedor (incluido un LEI o un EU-ID válidos), una descripción de los servicios prestados y su clasificación de criticidad, las ubicaciones de almacenamiento y tratamiento de datos, los acuerdos de subcontratación, las condiciones contractuales pertinentes y una evaluación de la sustituibilidad del proveedor.
Para la mayoría de las entidades financieras, la creación y el mantenimiento de un registro completo y preciso requieren una gobernanza de los datos de los proveedores para la que los programas TPRM heredados no fueron diseñados.
Los puntos de fallo más habituales:
- Faltan los códigos LEI de los proveedores cuyos contratos son anteriores a la entrada en vigor de este requisito
- No se tiene visibilidad de las cadenas de subcontratación más allá del primer nivel
- Clasificaciones de criticidad que no se actualizan cuando cambian las funciones empresariales
- Errores de validación en el momento del envío que no se detectan antes de que finalicen los plazos de la NCA
Las organizaciones que gestionan esto a gran escala deberían buscar soluciones que automaticen la recopilación de datos de los proveedores, señalen las carencias en los códigos LEI antes de su presentación y pongan de manifiesto las dependencias de subcontratación en el conjunto de los contratos.
Tu registro de información es un instrumento de supervisión en tiempo real.
Que siga asíLas expectativas de las autoridades nacionales competentes (ANC) en materia de calidad de los datos aumentan con cada ciclo. Las Autoridades Europeas de Supervisión (AES) han dejado claro que el registro es un instrumento de supervisión activo. Las ANC también pueden solicitarlo fuera del ciclo de presentación anual, en el marco de revisiones de supervisión o ejercicios temáticos, fijándose los plazos de respuesta en el momento de la solicitud. Las organizaciones que consideren el registro como una presentación anual, en lugar de como un conjunto de datos que se mantiene de forma continua, no podrán cumplir con dicha obligación.
Proveedores externos esenciales: el marco de supervisión de la ESA
El marco de DORA sobre riesgos de terceros incluye un nivel de supervisión que funciona con independencia de los requisitos impuestos a las entidades financieras individuales. Para los proveedores de TIC de mayor importancia sistémica para el sector financiero de la UE, DORA establece un régimen de supervisión directa a cargo de las Autoridades Europeas de Supervisión.
Estos proveedores se denominan «proveedores externos críticos» (CTPP). A fecha de octubre de 2025, las autoridades de supervisión europea (ESA) han designado oficialmente a 19 proveedores externos de TIC. Se trata de importantes plataformas en la nube y proveedores de infraestructura tecnológica cuyos servicios sustentan partes significativas del sistema financiero de la UE.
La designación CTPP implica la supervisión directa por parte de una autoridad supervisora principal (ESA: EBA, EIOPA o ESMA, en función del sector financiero principal del proveedor), la cooperación obligatoria con dicha autoridad, lo que incluye inspecciones in situ y acceso a las auditorías, así como la obligación de atender las recomendaciones en los plazos establecidos. En caso de falta de cooperación, se aplicarán sanciones periódicas.
Para las entidades financieras que utilizan CTPP designados, la cuestión clave es la siguiente: la supervisión de su proveedor por parte de la ESA no sustituye a sus propias obligaciones de cumplimiento. El BCE ha sido muy claro al respecto. La designación como CTPP no sustituye a las protecciones contractuales ni a la diligencia debida. Si un proveedor del que depende cuenta con la condición de CTPP, revise sus acuerdos contractuales a la luz de los requisitos de la DORA, incluidos los derechos de auditoría, las cláusulas de rescisión y la transparencia sobre la ubicación de los datos. Las obligaciones en materia de riesgo de concentración se aplican con especial rigor cuando interviene un CTPP.
DORA se encuentra en fase de aplicación activa.
Descarga la lista de verificación de riesgos de terceros.Los retos a los que se enfrentan las organizaciones en 2026
La supervisión activa está poniendo de manifiesto deficiencias recurrentes en todas las entidades. Las áreas de riesgo más habituales son:
- La falta de exhaustividad en el registro de proveedores sigue siendo un problema. Muchas organizaciones no disponen de un registro completo y clasificado por categorías de todos los contratos con terceros en materia de TIC con el nivel de detalle que exige la DORA, especialmente en el caso de los contratos anteriores a la entrada en vigor del reglamento.
- Los procesos de clasificación de incidentes carecen de coherencia operativa. Resulta difícil determinar en tiempo real si un incidente supera el umbral de notificación de la NCA sin contar con procedimientos internos claros que se hayan probado en situaciones reales.
- La visibilidad del riesgo de concentración es incompleta. Para detectar una dependencia excesiva de un número reducido de proveedores clave de TIC, se requiere una visibilidad global de toda la cartera, algo que muchas organizaciones aún están desarrollando.
- La coherencia de los programas en distintas jurisdicciones supone un reto estructural para las empresas multinacionales. Las distintas autoridades nacionales competentes aplican las expectativas de supervisión a ritmos diferentes, y mantener un programa coherente en todos los Estados miembros añade complejidad operativa.
- La finalización del TLPT se está retrasando. Muchas organizaciones que reconocieron la obligación de realizar las pruebas en 2025 aún no han completado un ciclo completo.
Así es un programa diseñado para funcionar de forma continua
Las organizaciones mejor preparadas para la revisión supervisora no son aquellas que se apresuraron a cumplir el plazo de enero de 2025. Son aquellas que han creado programas diseñados para funcionar de forma continua. Estas organizaciones aportan pruebas de cumplimiento como resultado natural del funcionamiento del programa, en lugar de como algo elaborado en respuesta a una solicitud de las autoridades supervisoras.
Esto implica una supervisión continua de los proveedores, en lugar de evaluaciones puntuales anuales. Implica criterios de clasificación de incidentes que se pongan a prueba en situaciones reales, y no solo que estén documentados. Implica un Registro de Información que refleje los acuerdos contractuales vigentes y se actualice a medida que cambian los contratos. Y implica una supervisión por parte de terceros que no finalice tras la incorporación inicial.
Gestionar esto de forma manual en cinco ámbitos, múltiples jurisdicciones y con docenas o cientos de proveedores de TIC no es viable para la mayoría de las organizaciones. La infraestructura tecnológica adecuada centraliza los datos de cumplimiento normativo, automatiza los flujos de trabajo de supervisión y evaluación, y ofrece a los equipos de cumplimiento una visión consolidada del estado del programa en todo momento.
Si estás evaluando en qué punto se encuentra tu programa, el punto de partida más útil es realizar una evaluación de las deficiencias en los cinco ámbitos, comparando los resultados con el estándar que aplicaría hoy en día un supervisor.
Coordina tu programa DORA entre los departamentos de TI, gestión de riesgos y cumplimiento normativo.
Ver la plataformaPreguntas frecuentes
¿Qué es DORA?
DORA son las siglas de «Digital Operational Resilience Act» (Ley de Resiliencia Operativa Digital).
Se trata de un reglamento de la UE que exige a las entidades financieras gestionar los riesgos relacionados con las tecnologías de la información y la comunicación (TIC) y demostrar su resiliencia operativa ante las perturbaciones digitales. Se aplica a bancos, aseguradoras, empresas de inversión, entidades de pago, proveedores de servicios de criptoactivos y a sus proveedores externos de TIC. También entran en su ámbito de aplicación las empresas no pertenecientes a la UE que operen en la UE o presten servicios dirigidos a la UE.
¿Cuáles son los cinco pilares de DORA?
DORA se estructura en torno a cinco ámbitos: gestión de riesgos y gobernanza de las TIC, respuesta ante incidentes y notificación de los mismos, pruebas de resiliencia operativa digital, gestión de riesgos de terceros e intercambio de información e inteligencia. Cada ámbito conlleva obligaciones específicas; la gestión de riesgos de terceros y el Registro de Información han sido los que más atención han suscitado por parte de las autoridades de supervisión desde que entró en vigor la normativa.
¿Qué es el Registro de Información de DORA?
El Registro de Información es un documento reglamentario obligatorio que recoge todos los contratos de TIC con terceros de una entidad financiera, clasificados según su nivel de criticidad. Debe incluir la identidad de los proveedores (con códigos LEI), la descripción de los servicios, la ubicación de los datos, los acuerdos de subcontratación y las condiciones contractuales. Se presenta anualmente a la autoridad nacional competente correspondiente y, posteriormente, es consolidado por las autoridades supervisoras europeas.
¿Qué es un proveedor externo crítico según la DORA?
Un proveedor externo crítico (CTPP) es un proveedor de servicios de TIC designado oficialmente por las Autoridades Europeas de Supervisión como de importancia sistémica para el sector financiero de la UE. A fecha de octubre de 2025, se han designado 19 proveedores. Los CTPP están sujetos a la supervisión directa de las Autoridades Europeas de Supervisión, lo que incluye inspecciones y derechos de auditoría. Las entidades financieras que utilizan CTPP siguen teniendo sus propias obligaciones de cumplimiento de la DORA, independientemente de la condición de designación del proveedor.
¿Se aplicará la DORA en 2026?
Sí. El período inicial de tolerancia supervisora finalizó tras la fecha de aplicación de la DORA, en enero de 2025. Las entidades financieras se enfrentan a multas administrativas por incumplimientos graves; el marco sancionador específico varía según el tipo de entidad y se establece en los artículos 50 a 54 del Reglamento (UE) 2022/2554. Las autoridades nacionales competentes están llevando a cabo revisiones de supervisión activas, y el BCE publicó sus directrices sobre la externalización en la nube en julio de 2025.
