DORA: cómo cumplir con el Reglamento de Resiliencia Operacional Digital en 2025
El Reglamento DORA (Digital Operational Resilience Act) es ya una realidad para el sector financiero europeo. Desde enero de 2025, bancos, aseguradoras, empresas fintech, proveedores tecnológicos críticos y un amplio ecosistema de entidades están obligados a demostrar que pueden resistir, responder y recuperarse ante incidentes digitales que afecten a sus servicios esenciales.
Más que un nuevo marco normativo, DORA supone un cambio de paradigma: no se trata de reaccionar cuando algo falla, sino de anticipar y proteger la continuidad operativa en un entorno de ciberamenazas creciente. Esta entrada resume sus pilares principales y ofrece una guía clara para preparar el cumplimiento de forma estructurada.
Qué es DORA y por qué importa ahora
DORA es un reglamento europeo que establece un marco único para la resiliencia operativa digital del sector financiero. A diferencia de normas anteriores, DORA no se centra solo en ciberseguridad, sino en todos los elementos que permiten mantener la operación durante una interrupción.
Un análisis del European Banking Authority (EBA) detalla que DORA unifica criterios dispersos en las antiguas “EBA ICT Guidelines” y eleva el nivel de exigencia en materia de gobernanza y supervisión.
Al ser un reglamento, su aplicación es directamente obligatoria en todos los Estados miembros sin necesidad de transposición nacional.
¿A quién afecta?
El ámbito de aplicación es muy amplio. DORA afecta directamente a:
Bancos y entidades de crédito
Aseguradoras y reaseguradoras
Gestoras de fondos
Firmas de inversión
Entidades de pago y de dinero electrónico
Proveedores TIC considerados “críticos”
Además, según un análisis de ENISA, el impacto indirecto sobre proveedores tecnológicos es elevado, porque las entidades reguladas deberán exigir garantías adicionales de resiliencia y seguridad a todo su ecosistema.
Sus cinco pilares fundamentales
Aunque el texto legal es extenso, DORA se organiza en cinco grandes pilares:
1. Gobernanza del riesgo TIC
Las decisiones relacionadas con resiliencia y tecnología pasan a depender explícitamente del órgano de administración.
Un estudio de Deloitte destaca que esto obliga a las organizaciones a disponer de métricas claras y reportes continuos al consejo.
2. Gestión del riesgo con terceros
Las relaciones con proveedores tecnológicos pasan a un régimen mucho más exigente: evaluaciones periódicas, controles de seguridad, análisis de dependencia, subcontratación y continuidad.
3. Clasificación y notificación de incidentes
Los incidentes operativos y de ciberseguridad deben clasificarse y notificarse mediante plantillas comunes.
El NIST ofrece un marco ampliamente utilizado para entender procesos comparables de gestión de incidentes.
4. Pruebas de resiliencia
Incluye pruebas de continuidad, ejercicios de crisis y, para grandes entidades, ensayos tipo Threat-Led Penetration Testing (TLPT), similares al modelo TIBER-EU.
5. Intercambio de información
Se incentiva la colaboración entre entidades para compartir inteligencia de amenazas.
ENISA mantiene un repositorio del Threat Landscape europeo que contextualiza estas amenazas.
Impacto sobre los proveedores TIC
Un informe de KPMG señala que, para muchos proveedores, la gran novedad de DORA será la obligación de proporcionar evidencias continuas, no solo documentación estática.
En la práctica, los proveedores deberán demostrar:
Seguridad y resiliencia de sus servicios
Control de subcontrataciones
Procesos de notificación
Pruebas de continuidad
Evidencias verificables ante auditorías
Un proveedor que no pueda demostrar su resiliencia tendrá dificultades para ser homologado.
El mayor reto: demostrar evidencias… y mantenerlas vivas
Aquí coinciden todos los estudios recientes: DORA no es solo una norma documental. Exige evidencias actualizadas y trazables, entre ellas:
Inventario completo de servicios, sistemas y dependencias
Evaluaciones de riesgo recurrentes
Registros de incidentes y medidas adoptadas
Resultados de pruebas de continuidad
Análisis del riesgo de terceros
Métricas reportables al órgano de administración
Un informe del Financial Stability Board (FSB) destaca que la transparencia operativa y la trazabilidad serán esenciales para superar las auditorías regulatorias.
La importancia de la evaluación continua del riesgo
DORA exige que la gestión del riesgo sea un proceso continuo, no una auditoría anual.
Esto incluye:
Monitorizar cambios en sistemas y configuraciones
Detectar vulnerabilidades y desviaciones
Evaluar su impacto en la resiliencia
Mantener trazabilidad automática
Proveer evidencias listas para supervisión
Un análisis técnico de Gartner explica que la “continuous risk assessment” se ha convertido en el enfoque recomendado para organizaciones reguladas.
Pasos prácticos para avanzar hacia el cumplimiento
Paso 1: Diagnóstico inicial
Identificar brechas: gobernanza, incidentes, continuidad, proveedores, documentación.
Paso 2: Inventario y dependencias
Determinar qué servicios son críticos y qué evidencias deben mantenerse para cada uno.
Paso 3: Evaluación continua
Implantar mecanismos automatizados para:
Detectar riesgos
Priorizar acciones
Generar evidencias
Documentarlo todo sin esfuerzo adicional
Paso 4: Reportes y gobernanza
Garantizar que el comité de dirección recibe métricas claras, comparables y orientadas a la toma de decisiones.
Paso 5: Preparación de auditorías
Tener informes, trazas y documentación organizados y verificables en cualquier momento.
En resumen...
DORA supone un cambio profundo en la manera en que el sector financiero entiende la resiliencia operativa digital. No se trata solo de cumplir requisitos, sino de adoptar un modelo continuo en el que cada cambio tecnológico, proveedor o servicio tenga un análisis de riesgo asociado.
Las organizaciones que adopten una evaluación continua del riesgo, que automaticen la generación de evidencias y que integren métricas claras en su gobernanza, no solo cumplirán con DORA: estarán mejor preparadas frente a incidentes tecnológicos, interrupciones y amenazas emergentes.
Si quieres avanzar hacia un modelo de resiliencia realista y sostenible, el punto de partida es tener visibilidad continua de tu riesgo tecnológico y tu superficie de exposición.