DORA 2026: Guía práctica para entidades financieras

Reglamento (UE) 2022/2554 · Mayo 2026 · 8 min lectura

El Reglamento de Resiliencia Operativa Digital (Digital Operational Resilience Act: reglamento UE 2022/2554 sobre resiliencia operativa digital. Exige a entidades financieras de la UE resistir, responder y recuperarse de incidentes TIC. En vigor desde 17 enero 2025. Leer más → DORA) es obligatorio desde el 17 de enero de 2025. Sin embargo, muchas entidades financieras aún están lejos de un cumplimiento pleno. Este artículo explica qué exige DORA, cómo afecta a cada departamento y qué pasos concretos necesitas implementar.

¿Qué es DORA?

DORA (Digital Operational Resilience Act) es el reglamento europeo que establece requisitos uniformes para la resiliencia operativa digital de todas las entidades financieras de la UE. Su objetivo: garantizar que bancos, aseguradoras, gestoras de fondos y proveedores de servicios de pago puedan resistir, responder y recuperarse de incidentes TIC graves.

¿A quién aplica?

DORA aplica a más de 22.000 entidades en la UE, incluyendo:

• Bancos y entidades de crédito
• Empresas de inversión
• Compañías de seguros y reaseguros
• Gestoras de fondos (UCITS y AIFM)
• Entidades de pago y dinero electrónico
• Proveedores de servicios TIC críticos

Los 5 pilares de DORA

Pilar	Artículos	Requisito clave
1. Gestión de riesgos TIC	Art. 5-16	Marco de gobernanza para identificar, proteger, detectar, responder y recuperar
2. Gestión de incidentes	Art. 17-23	Clasificación, notificación al supervisor y respuesta coordinada
3. Pruebas de resiliencia	Art. 24-27	Testing periódico incluyendo TLPT (Threat-Led Penetration Testing)
4. Riesgo de terceros TIC	Art. 28-44	Supervisión de proveedores cloud y outsourcing tecnológico
5. Intercambio de información	Art. 45	Compartición voluntaria de inteligencia sobre amenazas

Calendario de implementación

gantt
    title Calendario DORA
    dateFormat YYYY-MM
    section Regulación
    Publicación DOUE           :done, 2022-12, 2023-01
    Entrada en vigor           :done, 2023-01, 2023-02
    Aplicación obligatoria     :done, 2025-01, 2025-02
    section Normativa técnica
    RTS Gestión riesgos TIC    :done, 2024-01, 2024-07
    ITS Notificación incidentes :done, 2025-01, 2025-07
    RTS Pruebas TLPT           :active, 2025-07, 2026-01
    section Tu entidad
    Gap analysis               :active, 2026-01, 2026-03
    Remediación                :2026-03, 2026-09
    Primera auditoría          :crit, 2026-09, 2026-12

Clasificación de incidentes TIC

DORA introduce un sistema de clasificación obligatorio basado en el Reglamento Delegado (UE) 2024/1772, Artículo 8:

Categoría	Criterios	Plazo de notificación
Minor	Impacto limitado, sin afectación a clientes	Registro interno
Significant	Afecta servicios críticos o datos de clientes	Informe Inicial ≤ 4h
Major	Impacto sistémico, pérdida de datos, fraude	Inicial ≤ 4h → Intermedio ≤ 72h → Final ≤ 1 mes

Cadena de notificación ITS 2025/302

flowchart LR
    A["Detección\n(MTTD ≤ 4 min)"] --> B["Clasificación\nAutomática"]
    B -->|Significant/Major| C["Informe Inicial\n(≤ 4 horas)"]
    C --> D["Informe Intermedio\n(≤ 72 horas)"]
    D --> E["Informe Final\n(≤ 1 mes)"]
    E --> F["Lecciones\nAprendidas"]

    style C fill:#dc2626,color:#fff
    style D fill:#f59e0b,color:#000
    style E fill:#16a34a,color:#fff

Checklist de cumplimiento por departamento

Dirección General / Consejo

• [ ] Designar responsable de resiliencia operativa digital
• [ ] Aprobar el marco de gestión de riesgos TIC
• [ ] Revisar el registro de proveedores TIC críticos
• [ ] Aprobar el programa anual de pruebas de resiliencia

Seguridad / CISO

• [ ] Implementar sistema de detección y clasificación de incidentes
• [ ] Configurar cadena de notificación al supervisor (4h / 72h / 1 mes)
• [ ] Ejecutar pruebas de resiliencia (mínimo anuales)
• [ ] Documentar procedimientos de respuesta a incidentes

IT / Operaciones

• [ ] Inventariar todos los activos TIC y sus dependencias
• [ ] Implementar monitorización continua con alertas automáticas
• [ ] Configurar mecanismos de continuidad (spooling, failover)
• [ ] Documentar arquitectura de red y flujos de datos

Compliance / Legal

• [ ] Revisar contratos con proveedores TIC (cláusulas DORA)
• [ ] Actualizar registro de riesgos con dimensión TIC
• [ ] Preparar plantillas de informes para el supervisor
• [ ] Coordinar con la función de auditoría interna

---

Cómo BlueUPALM automatiza el cumplimiento DORA

BlueUPALM implementa los requisitos de DORA de forma nativa en su arquitectura:

Requisito	Automatización
Clasificación de incidentes	Motor automático basado en RD 2024/1772 Art. 8
Notificación al supervisor	Templates ITS 2025/302 con temporizadores 4h/72h/1m
Resiliencia operativa	Spooling local, circuit breaker, reconexión autónoma
Monitorización	Alertas WARNING (5 min) y CRITICAL (2h) con escalamiento
Audit trail	Registro criptográfico inmutable de todas las acciones

Lecturas relacionadas

• Automatización AML con IA — Cómo cubrir el bloque Anti-Money Laundering: prevención de blanqueo de capitales. Consume 5-10% del presupuesto operativo de una entidad media; los sistemas tradicionales generan >95% falsos positivos. Leer más → AML de DORA sin más fricción operativa.
• Zero Trust en banca: arquitectura sin VPN — Resiliencia operativa al nivel exigido por DORA.
• IA agéntica y Zero Trust — Lo que DORA implica para arquitecturas con agentes autónomos.
• Calculadora DORA y Whitepaper DORA — Recursos prácticos para tu evaluación.

¿Quieres evaluar tu nivel de cumplimiento DORA?

Te mostramos BlueUPALM configurado para tu sector con datos representativos.

→ Solicitar evaluación gratuita

---

→ Volver al blog · Descargar Whitepaper DORA