DORA: el reglamento que está reconfigurando la resiliencia digital en el sector financiero europeo

Desde el 17 de enero de 2025, el Reglamento (UE) 2022/2554, Digital Operational Resilience Act (DORA), es plenamente aplicable y exigible en toda la Unión Europea. No es un marco voluntario: es legislación dura que redefine cómo las entidades financieras y sus proveedores tecnológicos gestionan el riesgo TIC, los ciberincidentes y la continuidad de negocio.

En este nuevo contexto, la resiliencia digital deja de ser “tema de auditoría” y se convierte en un requisito de mercado, monitorizado por supervisores europeos y acompañado de sanciones relevantes en caso de incumplimiento. Para actores capaces de acompañar a bancos, aseguradoras, fintech o proveedores cloud en este viaje, DORA abre una ventana clara para aportar valor y posicionarse como referente en resiliencia operativa.

1. ¿Qué es DORA?

Técnicamente, DORA es un reglamento europeo de resiliencia operativa digital que establece requisitos obligatorios en cinco grandes bloques: gestión del riesgo TIC, gestión y reporte de incidentes, pruebas de resiliencia, gestión de riesgos de terceros y mecanismos de compartición de información sobre amenazas. Su objetivo es que fallos tecnológicos, ciberataques o disrupciones en proveedores no puedan paralizar el sistema financiero ni poner en riesgo la estabilidad del mercado.

La cronología es clave:

• 16 enero 2023: DORA entra en vigor (inicio del “countdown”).​
• 17 enero 2024: primera ola de normas técnicas y actos delegados.​
• 17 julio 2024: segunda ola de estándares y acto delegado de supervisión.​
• 17 enero 2025: DORA empieza a aplicarse plenamente a entidades y proveedores.

En paralelo, la Comisión y las Autoridades Europeas de Supervisión (ESAs: EBA, ESMA y EIOPA) han ido publicando Regulatory Technical Standards (RTS) e Implementing Technical Standards (ITS) que aterrizan los requisitos en métricas, formatos de reporte, criterios de clasificación de incidentes y metodología de designación de proveedores críticos.

2. ¿A quién aplica DORA?

DORA es un reglamento, no una directiva, de modo que es de aplicación directa e inmediata en todos los Estados miembros sin necesidad de transposición nacional. El alcance es amplio y cubre tanto a entidades financieras como a determinados proveedores TIC que presten servicios esenciales al sector.

Entidades financieras cubiertas

Entre otros, DORA aplica a:

• Entidades de crédito y bancos.
• Proveedores de servicios de pago y entidades de dinero electrónico.
• Empresas de servicios de inversión, gestores de activos, sociedades gestoras de fondos y depositarios.
• Compañías de seguros y reaseguros.
• Infraestructuras de mercado (CCP, CSD, plataformas de negociación, repositorios de datos).
• Instituciones de jubilación (IORP), entidades UCITS y AIFMs, proveedores de crowdfunding.
• Proveedores de servicios de criptoactivos y emisores de tokens de referencia de activos (en coordinación con MiCA).​

No existen exenciones totales por tamaño: las microempresas están también dentro del perímetro, aunque con obligaciones graduadas en algunos casos.​

Proveedores TIC: los Critical Third-Party Providers (CTPPs)

DORA introduce un régimen de supervisión específico para los “Critical ICT Third-Party Providers” (CTPPs): proveedores cuyos servicios TIC son tan relevantes que un fallo podría tener impacto sistémico. En noviembre de 2025, las ESAs publicaron la primera lista de 19 CTPPs que incluye grandes proveedores cloud, operadores de centros de datos, empresas de telecomunicaciones y proveedores de tecnología específica para servicios financieros.

Eso significa que:

• Si eres una entidad financiera en Europa, DORA te alcanza.
• Si eres un proveedor tecnológico clave (cloud, data analytics, ciberseguridad, conectividad, core bancario SaaS, etc.) y apareces en la lista de CTPPs, entras bajo supervisión directa europea, con obligaciones de transparencia, pruebas y cooperación con los supervisores.

3. ¿Qué exige DORA técnicamente? Los cinco pilares

DORA articula sus exigencias alrededor de una arquitectura de resiliencia integral, con controles que van desde la gobernanza hasta las pruebas avanzadas y la supervisión de terceros. No es una ISO 27001 en versión resumida, sino una superposición regulatoria que refuerza, ordena y hace auditable todo el stack de resiliencia digital.

a) Gestión de riesgos TIC

Las entidades deben implantar un marco formal de gestión de riesgos TIC que cubra todo el ciclo de vida del servicio digital. Entre otros elementos, el reglamento exige:

• Estructura de gobernanza clara, con roles y responsabilidades definidos a nivel de órgano de administración y alta dirección.
• Políticas documentadas de riesgo TIC, alineadas con la estrategia de negocio.
• Inventario y clasificación de activos, procesos y servicios críticos.
• Identificación, análisis, valoración, tratamiento y monitorización continua del riesgo TIC.
• Métricas y apetito de riesgo explícitos, con umbrales y mecanismos de escalado.

b) Gestión y notificación de incidentes

DORA refuerza la obligación de detectar, gestionar y notificar incidentes relacionados con TIC siguiendo criterios y plazos armonizados a nivel europeo. Esto incluye:

• Clasificación de incidentes según impacto, criticidad y servicios afectados.
• Notificación de incidentes graves a las autoridades competentes usando plantillas y plazos definidos en los RTS/ITS.
• Coordinación con CSIRTs y otras autoridades relevantes.
• Registros detallados, telemetría y trazabilidad para permitir análisis forense y supervisión.

Aunque se apoya en marcos como NIS2, DORA introduce un modelo de reporte propio, más alineado con la realidad financiera y sometido a revisiones periódicas.

c) Pruebas de resiliencia digital

No basta con “tener controles”: hay que demostrar que funcionan bajo presión. DORA obliga a realizar pruebas periódicas de resiliencia operativa, desde ejercicios básicos hasta pruebas avanzadas de tipo threat‑led (TLPT) para entidades designadas. Entre las exigencias se incluyen:

• Plan de pruebas estructurado que cubra servicios críticos, procesos y dependencias.
• Ejercicios de continuidad de negocio y recuperación ante desastres basados en escenarios realistas.
• Pruebas de intrusión y simulacros de ataque dirigidos por inteligencia de amenazas (TLPT) bajo supervisión, para determinadas entidades.
• Revisión de resultados, planes de remediación y re‑tests documentados.

d) Gestión de riesgos de terceros TIC

Este es uno de los elementos más transformadores: DORA lleva la gestión de proveedores TIC al centro del modelo de resiliencia. Las entidades deben:

• Mantener un inventario completo de todos los proveedores TIC y servicios externalizados.
• Clasificar los servicios según su importancia y riesgo para la continuidad de negocio.
• Incluir en los contratos cláusulas específicas de acceso, supervisión, reporting, pruebas y derechos de terminación (“exit strategies”).
• Evaluar periódicamente el desempeño del proveedor mediante KPIs, SLAs y evidencias de control.

En paralelo, los CTPPs quedan sometidos a un régimen de supervisión directa por las ESAs, que pueden requerir información, realizar inspecciones y exigir medidas correctoras.

e) Compartición de información sobre amenazas

DORA fomenta activamente acuerdos de compartición de información sobre amenazas (Threat Intelligence Sharing) entre entidades financieras, proveedores y autoridades, en entornos de confianza y bajo reglas claras. El objetivo es:

• Anticipar campañas de ataque que afecten simultáneamente a varias entidades.
• Compartir TTPs (tácticas, técnicas y procedimientos) e IOCs relevantes.
• Mejorar la capacidad de prevención y respuesta a nivel sectorial, reduciendo duplicidades en esfuerzos de análisis y pruebas.

4. ¿Cómo se aplica DORA en la práctica?

DORA se vive como un programa continuo de supervisión, evidencias y mejora. Las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) actúan como “Lead Overseers” de los CTPPs y coordinan con los supervisores nacionales para revisar la implantación en entidades financieras.

Supervisión y poderes de las autoridades

Las autoridades cuentan con amplias facultades de supervisión, investigación y sanción, incluyendo:

• Requerimientos de información y remisión de documentación.
• Evaluaciones off‑site y revisiones de modelos, políticas y evidencias.
• Inspecciones in situ, pruebas dirigidas y entrevistas con responsables clave.
• Recomendaciones formales, medidas correctoras y, en su caso, sanciones financieras significativas

A lo largo de 2025 y 2026, el foco de los supervisores ha ido pasando de la publicación de guías y estándares a la ejecución de revisiones, a inspecciones y pruebas de resiliencia, con un horizonte de madurez que se extiende más allá de 2027.

Marcos técnicos y estándares complementarios

Los actos delegados y normas técnicas publicados por la Comisión y las ESAs regulan aspectos como:

• Métodos de clasificación y notificación de incidentes.
• Contenido mínimo de los marcos de riesgo TIC y de los planes de pruebas.
• Criterios objetivos para designar y supervisar a los CTPPs.
• Modelos y formatos de reporte de riesgos, pruebas e incidentes.

Para las organizaciones, esto se traduce en la necesidad de aterrizar DORA en políticas, procedimientos, herramientas (GRC, IRM, etc.) y cuadros de mando que permitan demostrar cumplimiento en auditorías y revisiones.

5. Beneficios reales para el sector financiero (y para el usuario final)

Más allá de la presión regulatoria, DORA está impulsando mejoras tangibles en la robustez del sistema financiero europeo. Entre los beneficios más visibles se encuentran:

Robustez del sistema y reducción de riesgos sistémicos

• Mejor visibilidad de la cadena de suministro TIC y de las dependencias críticas, lo que reduce puntos únicos de fallo.
• RTO (Recovery Time Objective) y RPO (Recovery Point Objective) ajustados a la realidad, probados y medidos.
• Procesos de notificación y recuperación más rápidos, con información correlacionada entre entidades y autoridades.

Colaboración sectorial y madurez tecnológica

• Compartición de inteligencia de amenazas que permite anticipar ataques coordinados.
• Mayor coherencia en las pruebas de resiliencia y ejercicios de crisis, evitando duplicidades y esfuerzos aislados.
• Obliga a adoptar prácticas modernas de arquitectura resiliente, observabilidad, automatización y diseño “secure‑by‑design”.

Para las entidades que se adelantan y convierten DORA en una palanca de transformación, el resultado es un entorno tecnológico más estable y confiable.

6. Evidencia máxima de que DORA ya está en producción

La mejor prueba de que DORA no es un “ejercicio teórico” es que las autoridades ya han designado y publicado la primera lista de proveedores TIC críticos y han iniciado actividades de supervisión sobre ellos. Esta lista incluye grandes proveedores de nube, centros de datos, telecomunicaciones y plataformas de tecnología financiera con un peso significativo en el ecosistema europeo.

En paralelo:

• Las entidades financieras tienen la obligación de reportar incidentes TIC graves utilizando plantillas armonizadas y dentro de plazos definidos.
• Se están llevando a cabo revisiones formales, tanto off‑site como on‑site, sobre los marcos de riesgo TIC, las pruebas de resiliencia y la gestión de terceros.
• Los incumplimientos pueden conllevar multas sustanciales, alineadas con otros marcos estrictos, y no simples advertencias.

Las tablas de madurez de resiliencia, los indicadores de continuidad y las métricas de RTO/RPO están ya siendo evaluadas explícitamente bajo criterios DORA por supervisores y auditores.

7. Hitos regulatorios recientes (2025–2026)

DORA está evolucionando a través de una agenda regulatoria viva, con hitos que marcan el pulso del sector:

• Junio 2025: publicación de actos delegados que afinan los criterios de evaluación de servicios TIC, métricas de riesgo y composición de equipos de supervisión.
• 18 noviembre 2025: las ESAs publican la primera lista de 19 proveedores TIC críticos (CTPPs), un hito que activa de facto la supervisión directa a nivel europeo.
• 2026: integración progresiva de DORA en los ciclos de Supervisory Review and Evaluation Process (SREP) y consolidación de metodologías de control continuo y pruebas dirigidas.

Para las entidades, esto significa que 2025–2026 no son años “de transición”, sino de plena implementación, con expectativas claras de resultados y evidencias.

8. DORA no es “otra normativa más”

DORA supone un cambio estructural en cómo se mide y se gobierna la resiliencia digital. Algunas ideas clave:

• Ya no basta con rellenar plantillas de cumplimiento: los supervisores quieren ver métricas, evidencias y resultados de pruebas reales.
• La resiliencia debe demostrarse en indicadores concretos (RTO, RPO, disponibilidad, tiempo de detección, tiempo de respuesta) y en ejercicios prácticos.
• La cadena de proveedores TIC tiene que ser visible, cuantificada y auditable, desde el contrato hasta los datos de rendimiento y los planes de salida.

Para 2025, un CISO que no haya alineado su programa de ciberseguridad y resiliencia con DORA no solo está fuera de plazo regulatorio: está perdiendo competitividad frente a organizaciones que convierten la resiliencia en argumento de confianza para clientes, inversores y mercado.

9. Cosmikal, socio estratégico junto a DORA

En un entorno donde DORA exige evidencia operativa, métricas de resiliencia, gestión de accesos y control de proveedores críticos, Cosmikal ofrece capacidades concretas que pueden ayudar a las organizaciones a materializar muchos de esos requisitos regulatorios mediante soluciones probadas y certificadas.

Soluciones orientadas a resiliencia operacional y control de acceso

Cosmikal diseña y desarrolla productos de ciberseguridad enfocados en proteger accesos, activos IT y OT y en blindar entornos de trabajo frente a amenazas avanzadas, lo que encaja con múltiples pilares de DORA relacionados con gestión de riesgos, monitoreo, trazabilidad y control de terceros.

• Endurance es una solución que integra un Espacio de Trabajo Remoto Blindado, combinando gestión de accesos privilegiados (PAM), VDI, DLP, IAM y controles de sesión con aislamiento de protocolos, proporcionando trazabilidad y control exhaustivo sobre accesos a sistemas críticos.
• Ranger aporta un Espacio de Trabajo Local Blindado mediante thin clients, garantizando que los accesos a los activos siempre ocurran desde entornos controlados y restaurables, reduciendo riesgo de vectores de amenaza desde endpoints.

Estas capacidades se alinean con requisitos de DORA en aspectos como control de acceso, segregación de funciones, monitorización atómica de actividad privilegiada y reducción de superficie de ataque, elementos que son auditables y medibles en inspecciones regulatorias.

Certificaciones y reconocimiento oficial

Un hito que refuerza la pertinencia de Cosmikal en este contexto es el Premio CPSTIC 2025 otorgado por el Centro Criptológico Nacional (CCN‑CERT) en la categoría PYME, y la inclusión de Endurance con certificación LINCE dentro de la taxonomía PAM del propio catálogo CPSTIC (Próximamente también en VDI).

Estas distinciones no solo reconocen la calidad técnica y la robustez de las soluciones, sino que proporcionan evidencia independiente de que los productos de Cosmikal cumplen criterios rigurosos de seguridad, interoperabilidad y fiabilidad, todos alineados con prácticas recomendadas en marcos de resiliencia operativa que DORA promueve.

Contribución al cumplimiento normativo más amplio

Aunque DORA no prescribe productos específicos, muchas de sus obligaciones, como la gobernanza de accesos, registro de actividad, supervisión de proveedores TIC y pruebas de resiliencia operativa, requieren herramientas que sean capaces de:

• Capturar y almacenar registros de acceso y sesión con integridad y trazabilidad.
• Controlar y restringir accesos privilegiados sobre sistemas críticos.
• Aislar entornos de acceso para evitar vectores de ataque desde dispositivos comprometedores.
• Generar evidencia técnica que pueda ser utilizada en auditorías, reportes de incidente o revisiones regulatorias.

Las soluciones de Cosmikal están diseñadas justamente para proporcionar controles de acceso y monitoreo con huella técnica auditable, lo que facilita a las organizaciones traducir los requisitos regulatorios de DORA en evidencia operativa tangible.

Posicionamiento estratégico y evidencia de mercado

El reconocimiento técnico del producto, incluida su inclusión en el catálogo de productos de seguridad del CCN, y la presencia de Cosmikal en eventos sectoriales relevantes (como su participación en ENISE 2025) reflejan su perfil de proveedor de ciberseguridad consolidado y referente en España, con soluciones que están siendo demandadas por sectores críticos que, por regulación, necesitan cumplir con requisitos de resiliencia digital.