DORA 2026: Guía práctica para entidades financieras
El Reglamento de Resiliencia Operativa Digital (DORA) es obligatorio desde el 17 de enero de 2025. Sin embargo, muchas entidades financieras aún están lejos de un cumplimiento pleno. Este artículo explica qué exige DORA, cómo afecta a cada departamento y qué pasos concretos necesitas implementar.
¿Qué es DORA?
DORA (Digital Operational Resilience Act) es el reglamento europeo que establece requisitos uniformes para la resiliencia operativa digital de todas las entidades financieras de la UE. Su objetivo: garantizar que bancos, aseguradoras, gestoras de fondos y proveedores de servicios de pago puedan resistir, responder y recuperarse de incidentes TIC graves.
¿A quién aplica?
DORA aplica a más de 22.000 entidades en la UE, incluyendo:
- Bancos y entidades de crédito
- Empresas de inversión
- Compañías de seguros y reaseguros
- Gestoras de fondos (UCITS y AIFM)
- Entidades de pago y dinero electrónico
- Proveedores de servicios TIC críticos
Los 5 pilares de DORA
| Pilar | Artículos | Requisito clave |
|---|---|---|
| 1. Gestión de riesgos TIC | Art. 5-16 | Marco de gobernanza para identificar, proteger, detectar, responder y recuperar |
| 2. Gestión de incidentes | Art. 17-23 | Clasificación, notificación al supervisor y respuesta coordinada |
| 3. Pruebas de resiliencia | Art. 24-27 | Testing periódico incluyendo TLPT (Threat-Led Penetration Testing) |
| 4. Riesgo de terceros TIC | Art. 28-44 | Supervisión de proveedores cloud y outsourcing tecnológico |
| 5. Intercambio de información | Art. 45 | Compartición voluntaria de inteligencia sobre amenazas |
Calendario de implementación
Clasificación de incidentes TIC
DORA introduce un sistema de clasificación obligatorio basado en el Reglamento Delegado (UE) 2024/1772, Artículo 8:
| Categoría | Criterios | Plazo de notificación |
|---|---|---|
| Minor | Impacto limitado, sin afectación a clientes | Registro interno |
| Significant | Afecta servicios críticos o datos de clientes | Informe Inicial ≤ 4h |
| Major | Impacto sistémico, pérdida de datos, fraude | Inicial ≤ 4h → Intermedio ≤ 72h → Final ≤ 1 mes |
Cadena de notificación ITS 2025/302
Checklist de cumplimiento por departamento
🏦 Dirección General / Consejo
- [ ] Designar responsable de resiliencia operativa digital
- [ ] Aprobar el marco de gestión de riesgos TIC
- [ ] Revisar el registro de proveedores TIC críticos
- [ ] Aprobar el programa anual de pruebas de resiliencia
🔒 Seguridad / CISO
- [ ] Implementar sistema de detección y clasificación de incidentes
- [ ] Configurar cadena de notificación al supervisor (4h / 72h / 1 mes)
- [ ] Ejecutar pruebas de resiliencia (mínimo anuales)
- [ ] Documentar procedimientos de respuesta a incidentes
💻 IT / Operaciones
- [ ] Inventariar todos los activos TIC y sus dependencias
- [ ] Implementar monitorización continua con alertas automáticas
- [ ] Configurar mecanismos de continuidad (spooling, failover)
- [ ] Documentar arquitectura de red y flujos de datos
📋 Compliance / Legal
- [ ] Revisar contratos con proveedores TIC (cláusulas DORA)
- [ ] Actualizar registro de riesgos con dimensión TIC
- [ ] Preparar plantillas de informes para el supervisor
- [ ] Coordinar con la función de auditoría interna
Cómo BlueUPALM automatiza el cumplimiento DORA
BlueUPALM implementa los requisitos de DORA de forma nativa en su arquitectura:
| Requisito | Automatización |
|---|---|
| Clasificación de incidentes | Motor automático basado en RD 2024/1772 Art. 8 |
| Notificación al supervisor | Templates ITS 2025/302 con temporizadores 4h/72h/1m |
| Resiliencia operativa | Spooling local, circuit breaker, reconexión autónoma |
| Monitorización | Alertas WARNING (5 min) y CRITICAL (2h) con escalamiento |
| Audit trail | Registro criptográfico inmutable de todas las acciones |
📩 ¿Quieres evaluar tu nivel de cumplimiento DORA?
Te mostramos BlueUPALM configurado para tu sector con datos representativos.