Copyrights. CANINO, HERRERO & GALINDO ,
2026. Todos los derechos reservados.
Desde el 17 de enero de 2025, el Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), representa un punto de inflexión para el sector financiero europeo. Esta normativa no es solo una actualización regulatoria, sino un marco legal vinculante que obliga a entidades financieras, fintechs y proveedores TIC a elevar su resiliencia operativa digital a estándares uniformes en toda la UE.
En un ecosistema donde un solo ciberincidente puede generar impactos sistémicos, DORA redefine las responsabilidades legales, imponiendo obligaciones claras en gestión de riesgos TIC, reporte de incidentes y supervisión de terceros. Para FinTech y banca digital, entender sus implicaciones legales no es opcional: es una cuestión de supervivencia competitiva y cumplimiento normativo.
DORA es un reglamento directamente aplicable en los 27 Estados miembros, eliminando la necesidad de transposición nacional que caracterizaba a las directivas anteriores. Publicado el 27 de diciembre de 2022 en el DOUE, entró en vigor el 16 de enero de 2023 con un plazo de 24 meses para su aplicación plena.
La arquitectura normativa de DORA se completa con más de 20 Regulatory Technical Standards (RTS) e Implementing Technical Standards (ITS) desarrollados por las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA). Estos estándares definen métricas precisas, formatos de reporte y criterios de clasificación que hacen ejecutables los principios generales del reglamento.
El perímetro de DORA es históricamente amplio, cubriendo 21 tipos de entidades financieras sin exenciones por tamaño. Desde bancos tradicionales hasta neobancos, pasando por fintechs de pago, criptoactivos y plataformas de inversión automatizada.
La novedad radica en la supervisión directa de Critical Third-Party Providers (CTPPs). En noviembre 2025, las ESAs designaron 19 proveedores TIC críticos (cloud majors como AWS, Azure, Google Cloud; telecoms; data centers), sometiéndolos a un régimen de supervisión europea inédito con poderes de inspección transfronteriza.
Aunque no hay exenciones totales, DORA aplica el principio de proporcionalidad graduando obligaciones según tamaño, complejidad y perfil de riesgo. Las microentidades (activos < €5M) tienen marcos simplificados, mientras que entidades sistémicas enfrentan pruebas TLPT obligatorias.
Esta gradación no exime de responsabilidad legal: todas las entidades deben demostrar gobernanza adecuada y capacidad de respuesta ante incidentes graves, independientemente de su escala.
DORA estructura sus exigencias en cinco pilares interconectados que conforman un marco de cumplimiento integral. Cada pilar tiene implicaciones legales específicas con umbrales de evidencia documentada y plazos de ejecución definidos.
El pilar fundacional exige un marco formal de gestión de riesgos TIC aprobado por el consejo de administración. Este debe incluir inventario exhaustivo de activos críticos, políticas de apetito de riesgo explícitas y métricas cuantificables (disponibilidad, tiempo de detección, MTTR).
Implicación legal clave: El órgano de administración responde personalmente por la adecuación del marco, enfrentando responsabilidad civil y potencialmente penal en caso de negligencia grave. Los supervisores evaluarán si las decisiones estratégicas integran adecuadamente los riesgos TIC.
| Componente | Requisito Legal | Plazo/Auditoría |
|---|---|---|
| Gobernanza | Aprobación Consejo + Comité Riesgos TIC | Anual |
| Políticas | Documentadas y comunicadas | Revisión semestral |
| Métricas | RTO/RPO definidos + reporting mensual | Diario (críticos) |
DORA establece un modelo armonizado de reporte con tres niveles de notificación (inicial 4h, intermedia 72h, final 1 mes) y criterios objetivos de materialidad basados en impacto financiero, reputacional y operativo.
Los RTS de clasificación de incidentes definen umbrales específicos: >10.000 clientes afectados, pérdidas >0,5% capital, indisponibilidad >2h de servicios críticos. El incumplimiento de plazos de reporte conlleva sanciones automáticas.
El programa anual de pruebas debe escalonar desde ejercicios básicos hasta Threat-Led Penetration Testing (TLPT) para entidades críticas. Las TLPT, supervisadas por las ESAs, simulan ataques reales con red teams externos.
Obligación legal: Documentar planes de remediación con plazos perentorios y re-tests obligatorios. Los resultados negativos impactan directamente las puntuaciones SREP y pueden activar medidas correctoras.
El inventario contractual completo debe clasificar proveedores por criticidad (crítico, importante, normal) e incluir cláusulas DORA-mandato: acceso supervisor, right-to-audit, exit strategies, SLAs estrictos.
Para CTPPs, las entidades deben pre-notificar concentraciones de riesgo (>66% mercado) y demostrar capacidades de sustitución. La dependencia excesiva de un CTPP crítico es, per se, una vulneración sancionable.
DORA obliga a participar en modelos de Threat Intelligence Sharing aprobados por las autoridades, protegiendo la confidencialidad mediante safe harbours regulatorios.
La no participación injustificada puede interpretarse como deficiencia en gestión proactiva de riesgos, impactando evaluaciones de madurez.
Las fintechs nativas digitales enfrentan un doble desafío: cumplir DORA mientras mantienen agilidad competitiva. Su dependencia de proveedores cloud y arquitecturas serverless las expone particularmente a riesgos de terceros.
La banca digital, aunque con mayor madurez tecnológica, debe integrar DORA en arquitecturas legacy, reconciliar mainframes con cloud-native y demostrar resiliencia en entornos multi-cloud complejos.
Las autoridades tienen amplios poderes investigativos: requerimientos de información (24h), inspecciones in situ, pruebas dirigidas. Las sanciones alcanzan el 2% volumen negocio anual o €10M (mayor), alineadas con RGPD.
El enforcement 2025-2026 priorizará: marcos de riesgo TIC (Q1 2025), pruebas de resiliencia (Q3 2025), gestión terceros (2026). Las ESAs publicarán «naming & shaming» de incumplidores sistémicos.
DORA actúa como lex specialis frente a NIS2 para entidades financieras, prevalece en gestión incidentes y pruebas avanzadas. Complementa RGPD en resiliencia de sistemas que procesan datos personales.
Con MiCA, DORA regula proveedores criptoactivos; con PSD3, armoniza obligaciones Open Finance. La coexistencia requiere marcos GRC unificados para evitar duplicidades de reporting.
DORA significa que ningún banco o fintech puede permitirse «caerse» por un ciberataque o fallo tecnológico. Es como obligar a los aviones a tener múltiples motores y paracaídas: no basta con volar, hay que poder aterrizar seguros ante cualquier emergencia.
Para directivos y consejos, el mensaje es claro: la resiliencia digital ya no es «tema de TI», es responsabilidad del máximo órgano de administración. Invertir en DORA no es un coste, es asegurar que tu negocio sobreviva al próximo ciberincidente inevitable.
La implementación exitosa requiere arquitectura GRC-DORA nativa con integración IRM + SOAR + SIEM, automatizando 80% reporting y evidencias. Priorizar TLPT readiness con simulaciones threat-led y contractualizar DORA clauses en todos los proveedores TIC desde Q4 2024.
El true north es convertir DORA en ventaja competitiva: plataformas de inteligencia compartida, zero-trust arquitecturas auditables y métricas RTO/RPO sector-leading. Las entidades que lideren madurez DORA 2026+ dominarán la confianza del mercado.
Expertos en derecho, brindamos soluciones personalizadas en asesoría legal. Confíe en CANINO, HERRERO & GALINDO para su tranquilidad jurídica.
