DORA en la práctica: primeras experiencias del sector financiero

1 min de lectura

DORA es plenamente aplicable desde el 17 de enero de 2025. Tras los primeros meses se observa que los requisitos técnicos en materia de gestión de riesgos de TI, pruebas y control de terceros son complejos – pero el mayor cuello de botella no suele ser la tecnología, sino la gobernanza y los contratos con proveedores externos.

En resumen

• DORA obligatorio desde enero de 2025: Todos los institutos financieros de la UE deben cumplir sus requisitos.
• Cinco pilares: Gestión de riesgos de TI, notificación de incidentes, pruebas de resiliencia, gestión de terceros y intercambio de información.
• La gestión de terceros es el mayor obstáculo: Los contratos con proveedores de servicios de TI deben incluir cláusulas específicas de DORA.
• TLPT para institutos sistémicos: Threat-Led Penetration Testing – más exigente y costoso que los pentests tradicionales.
• Solapamientos con NIS2: Las empresas ya conformes con NIS2 parten de una base sólida, pero DORA profundiza en varios aspectos clave.

Los cinco pilares de DORA en resumen

1. Gestión de riesgos de TI: Un marco integral que incluye política de riesgos, inventario de activos, medidas de protección y monitoreo continuo. No basta con documentarlo: debe estar integrado en la práctica diaria y someterse a revisiones periódicas.

2. Notificación de incidentes de TI: Los incidentes significativos deben comunicarse a la autoridad competente en un plazo de 4 horas (aviso preliminar), 24 horas (informe intermedio) y 1 mes (informe definitivo). Es obligatorio definir con claridad qué se considera «significativo».

3. Pruebas de resiliencia operacional digital: Programas anuales de pruebas de TI; además, los institutos más relevantes deben realizar Threat-Led Penetration Testing (TLPT) cada tres años, con probadores externos certificados.

4. Gestión de terceros de TI: Registro exhaustivo de todos los proveedores críticos de servicios de TI, clasificación de su nivel de riesgo, cláusulas contractuales obligatorias (derechos de auditoría, planes de salida, subcontratación) y análisis del riesgo de concentración.

5. Intercambio de información: Intercambio voluntario de información sobre amenazas cibernéticas dentro del sector financiero, formalizado e impulsado por DORA.

Primeras experiencias prácticas: lo que resulta más difícil de lo previsto

Ajuste de contratos con terceros: Miles de contratos vigentes con proveedores de servicios de TI deben actualizarse para incorporar las cláusulas exigidas por DORA. Muchos proveedores se resisten a conceder derechos de auditoría o rechazan aceptar normas de subcontratación alineadas con DORA. El proceso exige tiempo y consume recursos legales y de compras de forma considerable.

Evaluación de criticidad: ¿Qué proveedores de servicios de TI son «críticos»? Aunque los criterios de DORA son explícitos, su aplicación práctica resulta ambigua. Numerosos institutos han identificado más de 50 proveedores críticos; implementar un sistema de monitoreo conforme a DORA para cada uno supera con creces sus capacidades operativas.

Preparación para TLPT: El Threat-Led Penetration Testing es mucho más complejo que los pentests convencionales. Requiere inteligencia de amenazas específica del perfil de riesgo de la institución, un probador externo certificado bajo el marco TIBER-EU y una preparación que puede extenderse durante varios meses.

Lo que funciona bien – y lo que pueden aprovechar las empresas conformes con NIS2

Las empresas que ya cumplen con NIS2 cuentan con una ventaja clara: ya disponen de un marco consolidado de gestión de riesgos de TI, procesos estructurados de respuesta a incidentes y mecanismos de supervisión de terceros. DORA exige mayor granularidad y requisitos de prueba más específicos, pero el fundamento ya está establecido.

Lo que funciona bien: las cadenas de notificación de incidentes son más claras que bajo NIS2 en solitario – los bancos acumulan décadas de experiencia en reportes obligatorios ante BaFin y EBA. El plazo de 4 horas para la primera comunicación es exigente, pero técnicamente viable con sistemas SIEM bien configurados y procesos de atención 24/7 eficientes.

Key Facts en un vistazo

Fecha de entrada en vigor de DORA: 17 de enero de 2025

Institutos afectados: Más de 22.000 entidades financieras en la UE

Plazo para la primera notificación: 4 horas para incidentes significativos de TI

Obligación de TLPT: Cada 3 años para institutos sistémicos (marco TIBER-EU)

Multas: Hasta el 1 % de la facturación diaria global

Dato: Con DORA, más de 22.000 institutos financieros y sus proveedores críticos de TI en toda la UE están obligados a llevar a cabo pruebas de resiliencia digital – un hito regulatorio sin precedentes.

Dato: La BaFin informa que el 38 % de los institutos evaluados presentaron deficiencias en sus marcos de gestión de riesgos de TI durante la primera revisión de preparación para DORA.

Preguntas frecuentes

¿Para quién es obligatorio DORA?

Para todas las empresas financieras reguladas por la UE: bancos, compañías de seguros, firmas de valores, prestadores de servicios de pago, proveedores de servicios de activos criptográficos y proveedores críticos de servicios de TI de terceros del sector financiero.

¿Cuál es la diferencia entre DORA y NIS2?

NIS2 es un marco horizontal aplicable a múltiples sectores. DORA, en cambio, está diseñado específicamente para el sector financiero y va más lejos en varios ámbitos: requisitos de pruebas más detallados, gestión de terceros más rigurosa y supervisión directa de proveedores críticos de TI por parte de las Autoridades Europeas de Supervisión (EBA, EIOPA, ESMA).

¿Qué es un proveedor crítico de servicios de TI de terceros bajo DORA?

Un proveedor cuyo fallo podría provocar efectos sistémicos en el sector financiero. Estos proveedores son supervisados directamente por las Autoridades Europeas de Supervisión, con facultades propias para inspeccionarlos y sancionarlos.

¿Cuáles son las cláusulas contractuales más importantes de DORA?

Cláusulas de salida, derechos de auditoría (incluidos los subproveedores), acuerdos de nivel de servicio para la continuidad del negocio, derechos de acceso a los datos en caso de insolvencia, disposiciones sobre subcontratación y obligación de revelar riesgos de concentración.

¿Cómo se relaciona DORA con TIBER-EU?

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) es el marco europeo para pruebas de penetración orientadas a amenazas. DORA convierte el TLPT según las especificaciones de TIBER-EU en una obligación para los institutos más relevantes, transformando así un marco voluntario en un requisito regulatorio vinculante.

Otros artículos sobre el tema

→ DORA: más seguridad informática y jurídica en el sector financiero

→ Lista de verificación de NIS2 2026

Lectura adicional en la red

FinTech & Regulación: mybusinessfuture.com

Seguridad para el sector financiero: digital-chiefs.de

Artículos relacionados

• DSGVO 2026: lo que cambia y en qué deben fijarse las empresas
• Lista de verificación de NIS2 2026: lo que las empresas deben implementar ahora
• Estudio de caso: migración a la nube de un proveedor de servicios financieros – seguridad desde el principio

Más del red de MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Pexels / Jonathan Borba

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow