La dependencia tecnológica del sector financiero ya no es un riesgo teórico. Cada día, bancos, aseguradoras y gestoras procesan millones de operaciones a través de sistemas digitales interconectados. Un fallo en uno de esos eslabones —ya sea por un ciberataque, una caída de servidores o un error de un proveedor tecnológico— puede paralizar servicios esenciales y generar pérdidas millonarias en cuestión de horas.

La Unión Europea, consciente de ese riesgo sistémico, aprobó el Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), con un objetivo claro: obligar a las entidades financieras a demostrar que pueden resistir, recuperarse y seguir operando ante cualquier perturbación tecnológica grave. Desde el 17 de enero de 2025 la norma es de plena aplicación, y en 2026 los supervisores están intensificando las auditorías y las actuaciones de vigilancia.

En Interforo Abogados hemos acompañado a entidades financieras y a sus proveedores tecnológicos en este proceso de adaptación. La experiencia nos confirma que DORA no es solo una cuestión de ciberseguridad: afecta directamente a la responsabilidad de los órganos de administración y exige una revisión profunda de los contratos con terceros.

¿Qué es el Reglamento DORA? Definición y alcance

El Reglamento de Resiliencia Operativa Digital (DORA) es un marco regulador único de la UE destinado a consolidar y armonizar los requisitos de seguridad de las redes y sistemas de información que sustentan los procesos operativos de las entidades financieras. Su objetivo: garantizar que el sector pueda mantener la continuidad del servicio incluso ante perturbaciones operativas graves.

A diferencia de directivas anteriores, DORA introduce dos conceptos con implicaciones directas para el ámbito mercantil y corporativo:

Resiliencia operativa digital: la capacidad integral de una entidad para absorber, adaptarse y recuperarse de perturbaciones en sus sistemas TIC, asegurando la prestación ininterrumpida de servicios críticos.

Gestión de riesgos de terceros TIC: un estándar de diligencia legal que obliga a los administradores a supervisar activamente los riesgos derivados de la cadena de suministro tecnológica, desde proveedores de servicios en la nube hasta desarrolladores de software especializado.

¿Qué significa esto en términos prácticos? Que la ciberseguridad deja de ser un asunto exclusivamente técnico para convertirse en una responsabilidad directa del órgano de administración, con consecuencias legales concretas en caso de incumplimiento.

Ámbito de aplicación: entidades obligadas en España

DORA no se limita a la banca tradicional. Su alcance es transversal y afecta a una tipología amplia de organizaciones supervisadas en España por el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones (DGSFP).

Las entidades sujetas al cumplimiento íntegro incluyen: entidades de crédito y establecimientos financieros de crédito; compañías de seguros y reaseguros, así como mutualidades de previsión social; gestoras de fondos de inversión y empresas de servicios de inversión; entidades de pago y de dinero electrónico; proveedores de servicios de criptoactivos; y, de forma especialmente relevante, los proveedores críticos de servicios TIC que presten servicio a las anteriores.

En nuestra práctica, hemos detectado que incluso despachos y consultoras que colaboran estrechamente con entidades financieras deben revisar sus protocolos internos para alinearse con las exigencias que sus clientes les trasladan. No hace falta ser una gran multinacional para verse afectado; basta con formar parte de la cadena de suministro tecnológico de una entidad supervisada.

Calendario y situación actual: un año de plena aplicación

Aunque DORA entró en vigor formalmente el 16 de enero de 2023, las entidades disponían de un periodo de adaptación hasta el 17 de enero de 2025, fecha en que la norma pasó a ser de plena aplicación.

En 2026, la fase de adaptación ha terminado. Los supervisores —tanto nacionales como europeos— han desplazado el foco hacia la verificación real del cumplimiento. Las auditorías son cada vez más detalladas y las entidades deben demostrar con evidencias que la gestión del riesgo TIC está plenamente integrada en su gobernanza y en la toma de decisiones.

Un hito concreto para 2026 en España es la entrega anual de los Registros de Información de Contratos (RoI) a las autoridades competentes, un ejercicio que exige recopilar, documentar y reportar de forma estructurada toda la información sobre contratos con proveedores TIC.

Cronología del Reglamento DORA

Régimen sancionador: qué se arriesga por no cumplir

DORA no se limita a establecer obligaciones; prevé un sistema de sanciones que puede afectar tanto a la entidad como a sus directivos de forma personal. El artículo 50 del Reglamento establece que las autoridades competentes dispondrán de facultades de supervisión, investigación y sanción para garantizar el cumplimiento.

El abanico de consecuencias es amplio: multas económicas que, según la gravedad, pueden alcanzar hasta el 10 % del volumen de negocios anual de la entidad en las infracciones más graves; órdenes de cese de actividad; prohibiciones temporales de ejercer funciones directivas; e incluso el nombramiento de un administrador temporal hasta que la entidad restablezca el cumplimiento.

Uno de los elementos más relevantes —y que sorprende a muchos de nuestros clientes— es que DORA exige que los miembros del órgano de dirección posean conocimientos y competencias suficientes para comprender el riesgo TIC y su impacto. La ignorancia tecnológica no exime de responsabilidad; al contrario, puede agravar la situación.

La adaptación en España: Anteproyecto de ley de digitalización financiera

En diciembre de 2024, el Consejo de Ministros aprobó el Anteproyecto de Ley de Digitalización y Modernización del Sector Financiero, que incorpora al ordenamiento jurídico español los elementos necesarios para aplicar DORA, incluyendo un régimen sancionador específico. Este anteproyecto recibió el dictamen del Consejo Económico y Social en julio de 2025 y continúa su tramitación parlamentaria.

El régimen sancionador que se perfila se estructura sobre dos principios: uniformidad en el tratamiento de infracciones para los tres sectores financieros (banca, valores y seguros) y proporcionalidad de las sanciones respecto a la gravedad y consecuencias del incumplimiento.

Mientras se completa la tramitación legislativa, el Reglamento DORA es directamente aplicable como norma europea. Esperar a que se apruebe la ley nacional no protege frente a las consecuencias de un incumplimiento que ya es exigible.

Los cinco pilares para la adecuación: hoja de ruta práctica

Cualquier entidad afectada —independientemente de su tamaño— debe estructurar su plan de cumplimiento en torno a cinco áreas que el propio Reglamento define:

1. Marco de gestión de riesgos TIC

La entidad debe implantar estrategias, políticas y protocolos documentados para identificar, clasificar y proteger todas las funciones empresariales críticas soportadas por tecnologías de la información. El órgano de administración es el responsable último de definir y aprobar esta estrategia, que debe revisarse y actualizarse periódicamente.

2. Notificación de incidentes graves

Las entidades deben disponer de procesos internos para detectar, gestionar y reportar incidentes graves de ciberseguridad a sus autoridades competentes dentro de plazos estrictos. En España, los canales de notificación están ya operativos: el Banco de España utiliza la plataforma ITW (Intercambio Telemático Web), y tanto la CNMV como la DGSFP han definido sus propios procedimientos.

3. Pruebas de resiliencia operativa

El Reglamento obliga a realizar tests periódicos que validen la eficacia de los controles implementados. Para las entidades calificadas como «significativas» por los supervisores —en función de su tamaño y perfil de riesgo sistémico—, se exigen pruebas de penetración avanzadas (TLPT, «Threat-Led Penetration Testing»).

4. Gestión de riesgos de terceros TIC

Esta es, con diferencia, el área que más trabajo está generando en la práctica. DORA exige revisar los contratos con proveedores tecnológicos para asegurar que incluyen cláusulas específicas sobre niveles de servicio, continuidad operativa, cooperación en caso de incidente y derechos de acceso para auditorías.

En Interforo hemos ayudado a pymes financieras en Palencia y Valladolid a revisar sus acuerdos con proveedores de servicios en la nube. El patrón se repite: contratos firmados hace años que no contemplan las exigencias de DORA y que necesitan una actualización urgente. La buena noticia es que, con un asesoramiento adecuado, la adaptación contractual es un proceso abordable incluso para entidades de tamaño reducido.

5. Intercambio de información sobre ciberamenazas

DORA fomenta la colaboración entre entidades para compartir inteligencia sobre ciberamenazas y vulnerabilidades, siempre dentro de un marco que preserve la confidencialidad. Esta cooperación, que puede articularse a través de acuerdos sectoriales, fortalece la capacidad de respuesta del conjunto del sistema financiero.

Responsabilidad de los administradores: el factor que muchos pasan por alto

DORA no se dirige solo a los departamentos de tecnología. Uno de sus elementos más disruptivos es que, por primera vez en materia de ciberseguridad, una normativa introduce un régimen de rendición de cuentas que alcanza directamente a los miembros de los órganos de dirección.

Esto conecta con un principio que los lectores de nuestro blog ya conocen por otros artículos: el deber de diligencia del administrador. Si tu empresa opera en el sector financiero o forma parte de su cadena de suministro tecnológico, la responsabilidad de los administradores se extiende ahora al ámbito de la resiliencia digital. Desconocer las obligaciones de DORA no es un argumento válido de defensa.