Glosario · Regulación financiera de la UE DORA (Digital Operational Resilience Act)
Regulación de la UE que establece requisitos de resiliencia operativa para las entidades financieras, en vigor desde enero de 2025.
## Qué hace realmente DORA
El Digital Operational Resilience Act (Reglamento (UE) 2022/2554) establece un marco unificado de resiliencia operativa para las entidades financieras europeas. Se aplica desde el 17 de enero de 2025 y sustituye un mosaico de orientaciones sectoriales por una regulación intersectorial completa.
DORA cubre específicamente el riesgo TIC (tecnologías de la información y la comunicación): la idea central del reglamento es que la estabilidad financiera depende cada vez más de la resiliencia tecnológica tanto como de la solidez financiera.
## A quién se aplica DORA
DORA se aplica prácticamente a todas las entidades financieras europeas:
- Bancos y entidades de crédito
- Empresas de servicios de inversión
- Entidades de pago y de dinero electrónico
- Empresas de seguros y reaseguros
- Fondos de pensiones (FPE)
- Proveedores de servicios de criptoactivos
- Proveedores de servicios de financiación participativa
- Registros de titulizaciones
- Centros de negociación, contrapartes centrales, depositarios centrales de valores
- Agencias de calificación crediticia
- Firmas de auditoría (para sus clientes del sector financiero)
También crea nuevos requisitos de supervisión para los **proveedores TIC terceros críticos**, es decir, los grandes proveedores cloud (AWS, Microsoft, Google) y otros proveedores tecnológicos de los que dependen las entidades financieras.
## Los cinco pilares de DORA
DORA establece requisitos en cinco áreas:
### 1. Gestión del riesgo TIC
Las entidades financieras deben implementar marcos integrales de gestión de riesgos que cubran identificación, protección, detección, respuesta, recuperación y aprendizaje continuo. Esto incluye estructuras de gobernanza documentadas, evaluaciones periódicas de riesgos y rendición de cuentas explícita a nivel de consejo.
### 2. Notificación de incidentes
Los incidentes TIC importantes deben notificarse a las autoridades según plantillas y plazos estandarizados. También deben notificarse las amenazas cibernéticas significativas. Las obligaciones de notificación son más estrictas que las del marco general de NIS2.
### 3. Pruebas de resiliencia operativa digital
Las entidades financieras deben realizar pruebas periódicas de su resiliencia operativa digital:
- Evaluaciones y escaneos de vulnerabilidades
- Evaluaciones de seguridad de redes
- Pruebas de penetración (mínimo anual)
- Para entidades significativas: **pruebas de penetración basadas en amenazas (TLPT)** cada tres años
Las TLPT son la forma más exigente: deben simular las capacidades reales de actores de amenazas y las realizan proveedores certificados bajo supervisión del regulador.
### 4. Gestión del riesgo de terceros
DORA introduce requisitos específicos para gestionar los riesgos de los proveedores de servicios TIC:
- Cláusulas contractuales estandarizadas obligatorias para externalizaciones TIC
- Diligencia debida precontractual sobre proveedores críticos
- Vigilancia del riesgo de concentración (evitar la dependencia excesiva de un único proveedor)
- Planificación de contingencias ante fallos del proveedor
### 5. Intercambio de información
Se anima a las entidades financieras a compartir información sobre amenazas cibernéticas entre sí y con las autoridades mediante acuerdos fiables de intercambio.
## Por qué DORA cambia las decisiones de proveedor cloud
El pilar de gestión del riesgo de terceros afecta específicamente a las decisiones de cloud y SaaS. DORA exige:
**1. Proveedores TIC terceros críticos bajo supervisión regulatoria directa.** Los supervisores financieros de la UE (ESMA, EBA, EIOPA) pueden ahora supervisar directamente a los proveedores cloud que sirven a múltiples entidades financieras. Esto no tiene precedentes: autoridad regulatoria directa sobre proveedores tecnológicos.
**2. Gestión del riesgo de concentración.** Las entidades financieras no pueden tener toda su infraestructura crítica en un único proveedor cloud. Esto presiona hacia estrategias multinube, que a menudo implican añadir proveedores con residencia UE junto a los hyperscalers estadounidenses.
**3. Requisitos contractuales.** DORA exige cláusulas específicas en los contratos de externalización TIC. Los términos estándar de los proveedores estadounidenses suelen necesitar enmiendas para cumplir.
**4. Consideraciones geográficas.** Aunque DORA no exige explícitamente residencia de datos en la UE, las expectativas de cooperación regulatoria funcionan mejor con proveedores en residencia UE.
## Implicaciones prácticas para la fintech europea
Para las entidades financieras europeas en 2026:
**Opción 1: multinube con UE como primaria.** Usar Hetzner, Scaleway, OVHcloud u Open Telekom Cloud como infraestructura primaria con un hyperscaler estadounidense como secundario. Reduce el riesgo de concentración y mejora la postura DORA.
**Opción 2: nube soberana para cargas sensibles.** Open Telekom Cloud, T-Systems Sovereign Cloud o Cloud de Confiance francés para las aplicaciones más sensibles. Hyperscaler estadounidense para cargas menos sensibles.
**Opción 3: negociar términos conformes con DORA con proveedores estadounidenses.** Posible pero operativamente complejo. Los grandes proveedores estadounidenses han creado ofertas conformes con DORA, pero los términos contractuales específicos siguen requiriendo negociación.
Para las startups fintech europeas, construir desde el principio sobre nube en residencia UE es operativamente más sencillo que adaptar el cumplimiento a posteriori. La diferencia coste-rendimiento (Hetzner/Scaleway vs AWS) hace además la decisión financieramente atractiva.
## Influencia más amplia de DORA
DORA establece un patrón regulatorio que probablemente se extenderá más allá de los servicios financieros:
- **EU AI Act** usa conceptos similares de supervisión de terceros
- **NIS2** tiene estructuras paralelas de notificación de incidentes
- **El futuro EU Cyber Resilience Act** se basa en los conceptos de riesgo de terceros de DORA
Para los proveedores tecnológicos europeos que sirven a múltiples sectores regulados, demostrar resiliencia operativa al estilo DORA se está convirtiendo en una característica competitiva incluso fuera del sector financiero.
## Qué trae 2026
El primer año completo de aplicación de DORA (2025-2026) definirá las expectativas prácticas de cumplimiento. Vigila:
- **Primeros informes importantes de incidentes** bajo las nuevas plantillas de DORA
- **Programas de pruebas de penetración** acelerándose en las entidades financieras europeas
- **Designaciones de proveedores TIC terceros críticos** por los supervisores de la UE
- **Primeras acciones de aplicación** por incumplimiento
Para las empresas europeas que sirven a entidades financieras como proveedores, el cumplimiento de DORA se está convirtiendo en requisito mínimo de compra.
¿Te resultó útil?
¡Gracias por tu opinión!