DORA lleva un año en vigor: ¿tu organización cumple realmente?
El Digital Operational Resilience Act (DORA) no es una fecha en el horizonte. Lleva en vigor desde el 17 de enero de 2025, y los reguladores europeos ya están auditando.
El problema es que muchas organizaciones dieron los primeros pasos durante el período de adaptación pero no terminaron de consolidar sus marcos de cumplimiento. Tienen documentación parcial, responsables sin formación acreditada o contratos con proveedores TIC que todavía no incorporan las cláusulas que exige el reglamento.
Si trabajas en el sector financiero o en una empresa que presta servicios digitales críticos a entidades bajo supervisión europea, este artículo es para ti.
¿Qué es DORA?
DORA es el Reglamento UE 2022/2554 sobre resiliencia operativa digital del sector financiero. Su objetivo es garantizar que las entidades financieras y sus proveedores tecnológicos críticos puedan resistir, responder y recuperarse ante cualquier tipo de interrupción o incidente relacionado con las TIC.
Dicho de forma directa: si un banco, una aseguradora o una plataforma fintech sufre un ciberataque, un fallo sistémico o una interrupción provocada por un proveedor externo, debe estar preparada para gestionarlo, notificarlo y recuperarse, y debe poder demostrarlo ante el regulador.
DORA vino a unificar y elevar el nivel de una normativa que hasta entonces era fragmentada, desigual entre países y demasiado laxa ante la creciente dependencia de los sistemas digitales en el sector financiero.
¿A quién aplica DORA?
El reglamento afecta a una lista amplia de entidades bajo supervisión regulatoria financiera en la Unión Europea: entidades de crédito (bancos), empresas de inversión y gestoras de fondos, compañías de seguros y reaseguros, entidades de pago y dinero electrónico, plataformas de negociación, cámaras de compensación y depositarios.
El punto que más organizaciones subestiman es el último: DORA alcanza también a los proveedores tecnológicos que prestan servicios a entidades financieras. Si tu empresa es un proveedor IT de un banco o aseguradora y eres considerado proveedor crítico, DORA te aplica directamente, aunque tu actividad principal no sea financiera.
Los 5 pilares de DORA
El reglamento se estructura en cinco áreas de cumplimiento. Todos son auditables, todos requieren documentación, y ninguno admite un enfoque informal.
1. Gestión del riesgo de las TIC
Las organizaciones deben establecer un marco sólido de gestión del riesgo tecnológico: identificación y clasificación de activos IT críticos, evaluación continua de vulnerabilidades e implementación de controles para proteger la continuidad operativa. No se trata de tener un buen antivirus. Se trata de un enfoque sistémico, documentado y auditable.
2. Gestión y notificación de incidentes
Cuando ocurre un incidente TIC grave, DORA exige notificarlo a las autoridades competentes en plazos muy definidos: notificación inicial dentro de las primeras 4 horas desde la clasificación del incidente como grave, informe intermedio en 72 horas e informe final en un mes.
Para cumplir estos plazos, las organizaciones necesitan procesos internos claros de detección, clasificación y escalado, activos y probados, no solo documentados en un manual que nadie consulta.
3. Pruebas de resiliencia operativa digital
Las organizaciones deben demostrar, mediante pruebas periódicas, que sus sistemas son resilientes ante ciberataques, fallos técnicos y otras disrupciones. Las pruebas básicas son obligatorias para todas las entidades. Las consideradas significativas deben realizar pruebas avanzadas de penetración basadas en amenazas (TLPT) al menos cada tres años.
4. Gestión del riesgo de terceros proveedores TIC
Las organizaciones no pueden delegar el riesgo tecnológico a sus proveedores y olvidarse. Deben mantener un registro actualizado de todos los contratos con proveedores TIC, evaluar el riesgo de concentración, establecer cláusulas contractuales específicas sobre resiliencia, auditoría y salida, y notificar a los reguladores cuando contraten proveedores considerados críticos.
Este pilar es donde más gaps están apareciendo en las revisiones regulatorias de 2026.
5. Intercambio de información sobre ciberamenazas
DORA fomenta, y en ciertos contextos obliga, el intercambio de información sobre amenazas, vulnerabilidades e incidentes entre entidades del sector financiero. El objetivo es elevar la resiliencia colectiva del sistema, no solo la individual.
¿Cuáles son las consecuencias de no cumplir DORA?
Las sanciones varían según el tipo de entidad y la gravedad del incumplimiento. Para personas físicas responsables de la gestión, las multas pueden llegar al 1% de la facturación media diaria mundial de la entidad durante el período de incumplimiento. Para personas jurídicas, las cifras son significativamente mayores.
Más allá de las multas, el daño reputacional ante el regulador y el mercado puede ser devastador para cualquier entidad financiera.
El rol del DORA Lead Manager en 2026
El DORA Lead Manager es el profesional responsable de liderar y mantener el marco de cumplimiento DORA en una organización. Sus funciones incluyen coordinar el marco de gestión del riesgo TIC, supervisar los procesos de notificación de incidentes, gestionar las pruebas de resiliencia, mantener las relaciones con proveedores tecnológicos críticos y reportar al regulador y a la dirección.
Es un rol transversal que requiere conocimiento técnico, regulatorio y organizativo. Con el período de adaptación cerrado, las organizaciones que aún no tienen este perfil cubierto, o que lo tienen cubierto por alguien sin formación acreditada, están asumiendo un riesgo regulatorio real.
Cómo acreditar la competencia para liderar DORA
La certificación DORA Lead Manager acredita la capacidad de implementar y mantener el marco de cumplimiento del reglamento. La formación cubre el marco regulatorio completo, la gestión del riesgo TIC, los procesos de notificación de incidentes, las pruebas de resiliencia, la gestión de proveedores terceros y la preparación para el examen oficial.
Es la vía más directa para que un profesional pueda demostrar al regulador y a su organización que tiene las competencias necesarias para el rol.
Formate como DORA Lead Manager en TecnoFor
¿Tienes dudas sobre si esta formación se adapta a tu perfil o al de tu organización?
Escríbenos a info@tecnofor.es y te ayudamos a valorarlo sin compromiso.