6 min de lectura

Desde el 17 de enero de 2025, DORA es derecho vigente. El reglamento de la UE sobre la resiliencia operativa digital obliga a más de 22.000 empresas financieras de la UE a implantar una gestión uniforme de riesgos ICT. Quince meses después de su entrada en vigor, la situación es clara: solo la mitad de las entidades afectadas había alcanzado el cumplimiento completo en la fecha límite. El segundo Register of Information vence en marzo de 2026 – y el 46 por ciento de las entidades señala precisamente esta obligación como su mayor desafío.

Qué distingue a DORA de las regulaciones IT anteriores

Las empresas financieras están acostumbradas a la regulación. MaRisk, BAIT, directrices de la EBA – la lista de marcos normativos para la seguridad IT y la gestión de riesgos operativos es larga. DORA supone, no obstante, un cambio de paradigma, y esto por tres razones.

Primero: Aplicabilidad directa. DORA es un reglamento de la UE, no una directiva. Se aplica directamente y sin transposición nacional en todos los Estados miembros de la UE. No hay margen de interpretación, ni atenuaciones nacionales ni más períodos de transición. Lo que era aplicable el 17 de enero de 2025 sigue vigente hoy. Las autoridades de supervisión nacionales como la BaFin en Alemania o la FMA en Austria aplican DORA directamente, sin necesidad de una ley nacional de transposición. Para las entidades que hasta ahora trabajaban principalmente con marcos normativos nacionales, esto significa una intensificación de los requisitos acompañada de una supervisión más estrecha.

Segundo: Cobertura de toda la cadena de suministro ICT. DORA no se limita a la entidad financiera en sí. El reglamento cubre explícitamente a todos los proveedores ICT terceros – proveedores cloud, plataformas SaaS, operadores de centros de datos, proveedores de servicios gestionados. Las empresas financieras deben evaluar, documentar y gestionar los riesgos de toda su cadena de suministro ICT. Los contratos con proveedores terceros deben incluir cláusulas obligatorias sobre seguridad, resiliencia y capacidad de salida.

Tercero: El Register of Information. DORA exige a cada entidad financiera un registro completo de todos los contratos de servicios ICT con proveedores terceros. Este registro debe poder presentarse a las autoridades de supervisión cuando lo soliciten. La segunda presentación vence en marzo de 2026. Lo que parece una obligación documental es en la práctica un inventario que lleva a muchas organizaciones al límite de sus procesos, porque deben registrar por primera vez de forma exhaustiva qué servicios ICT externos utilizan realmente. La dificultad se agrava porque el formato y la granularidad de la entrega de datos están definidos con precisión por normas técnicas de regulación (RTS). Una simple lista de Excel no es suficiente.

La brecha de cumplimiento: el 50 por ciento no estaba preparado en la fecha límite

La encuesta Deloitte Wave 3 sobre la implementación de DORA ofrece un panorama aleccionador. Solo el 50 por ciento de las entidades financieras contaba con el cumplimiento completo en la fecha de aplicación de enero de 2025. Un 38 por ciento adicional indicó 2026 como objetivo. El 12 por ciento restante no tenía, en el momento de la encuesta, un calendario concreto.

Eso no significa que la mitad de las entidades estuviera inactiva. Muchas han cumplido requisitos individuales – implementado frameworks de gestión de riesgos ICT, definido procesos de reporte de incidentes, realizado los primeros ajustes contractuales con proveedores terceros. Pero el cumplimiento completo exige que los cinco pilares estén en pie simultáneamente: gestión de riesgos ICT, gestión de incidentes, pruebas de resiliencia, gestión de riesgos de terceros y Register of Information. El paquete completo es el problema. Implementar los pilares de forma aislada no basta – DORA exige un framework integrado en el que todos los elementos se articulen entre sí y estén documentados de forma verificable por las autoridades de supervisión.

Los costes no son el principal cuello de botella. El 96 por ciento de las entidades ha calculado sus costes de cumplimiento, situándose la mayoría entre 2 y 5 millones de euros. Para las grandes entidades, son importes asumibles. Lo que falta no son los recursos, sino la capacidad organizativa para impulsar todos los frentes de trabajo en paralelo.

Transversalmente se observa un patrón: las grandes entidades sistémicas disponen de más recursos, pero también afrontan mayor complejidad. Están además sujetas al Threat-Led Penetration Testing y son supervisadas directamente por las autoridades de supervisión europeas. Las entidades más pequeñas soportan menos presión regulatoria, pero también disponen de menos personal especializado. La franja intermedia – bancos regionales, aseguradoras especializadas, gestores de activos – cae con mayor frecuencia en la brecha de cumplimiento: demasiado grandes para las exenciones, demasiado pequeñas para equipos DORA dedicados.

La cuestión que se plantea para cada dirección general no es si debe alcanzarse el cumplimiento de DORA – eso está fuera de discusión. La cuestión es si la organización consigue utilizar el cumplimiento como una ventaja estratégica en lugar de una mera carga regulatoria. Las entidades que han hecho transparente y gobernable su cadena de suministro ICT pueden reaccionar más rápidamente ante interrupciones, cambiar de proveedor de forma más eficiente y demostrar una mayor resiliencia ante clientes y socios.

Dónde fracasa la implementación: tres cuellos de botella

El Register of Information. El 46 por ciento de las entidades financieras señala el ROI como el mayor desafío individual en la implementación de DORA. La razón: muchas organizaciones no saben completamente qué servicios ICT utilizan. El shadow IT y la fragmentación de los canales de adquisición provocan que los contratos se encuentren en distintos departamentos, a veces sin registro centralizado. El ROI exige un nivel de granularidad en la documentación que los procesos operativos de muchas entidades simplemente no proporcionan.

Gestión de proveedores ICT terceros. DORA no solo exige un inventario, sino una evaluación activa de los riesgos de todos los proveedores terceros y la garantía de estándares de resiliencia contractualmente anclados. Para una entidad financiera media con 50 a 200 proveedores ICT, es un proyecto que compromete simultáneamente a compras, asesoría jurídica, IT y gestión de riesgos. El 39 por ciento de las entidades ha destinado de 5 a 7 personas a tiempo completo exclusivamente al cumplimiento de DORA. El ocho por ciento ni siquiera ha estimado sus necesidades de personal.

Pruebas de resiliencia. DORA prescribe pruebas periódicas de la resiliencia operativa digital, incluido el Threat-Led Penetration Testing (TLPT) para las entidades sistémicas. Estas pruebas requieren un know-how especializado que rara vez está disponible internamente. La capacidad de testers externos cualificados es limitada, los plazos de preparación son largos. Muchas entidades se encuentran en la situación de conocer la obligación de prueba pero no disponer, ni interna ni externamente, de los recursos para implementarla en plazo.

La cuestión de la responsabilidad: personal y severa

DORA endurece la responsabilidad a todos los niveles. El régimen sancionador es progresivo y afecta tanto a la institución como a las personas responsables.

Las entidades financieras pueden recibir multas de hasta el 2 por ciento de su facturación anual mundial. Para un banco mediano con 2.000 millones de euros de facturación, esto equivale a una sanción potencial de 40 millones de euros. A ello se suma la responsabilidad personal: el Senior Management puede ser sancionado personalmente con hasta 1 millón de euros si se acreditan deficiencias en el cumplimiento.

Especialmente relevante para la estrategia IT: los proveedores ICT terceros críticos también pueden ser sancionados directamente. Los Lead Overseers pueden imponer multas del 1 por ciento de la facturación mundial diaria media – por cada día de infracción. Esto genera una nueva dinámica en la negociación con proveedores cloud y operadores de plataformas: el cumplimiento de DORA ya no es solo un asunto de la entidad financiera, sino de toda la cadena de suministro.

Las autoridades de supervisión disponen bajo DORA de amplias facultades: acceso a documentos y datos, inspecciones in situ y orden de medidas correctivas. Los Estados miembros pueden además prever sanciones penales. La aplicación ya no es solo teórica – ha comenzado. Las primeras auditorías están en curso, las autoridades de supervisión amplían activamente sus capacidades y los regímenes sancionadores de los Estados miembros se concretan progresivamente.

Qué hacen las entidades pragmáticas ahora

Las entidades que cierran sistemáticamente su brecha de cumplimiento siguen un enfoque en tres fases.

Fase 1: Priorizar el Register of Information. El ROI es la prueba de cumplimiento más visible y el mayor obstáculo individual. Quien cumple aquí señala a las autoridades de supervisión su capacidad de acción. El enfoque pragmático: no esperar a la perfección total, sino comenzar con la cartera de contratos existente, documentar las lagunas y presentar un plan de completación trazable. Las autoridades de supervisión evalúan el progreso, no solo el statu quo.

Fase 2: Escalonar los contratos con proveedores terceros por criticidad. Los 200 proveedores ICT no tienen todos el mismo perfil de riesgo. Las entidades que priorizan eficientemente clasifican a sus proveedores por criticidad y comienzan la adaptación contractual por los proveedores Tier-1 – infraestructura cloud, sistemas bancarios centrales, sistemas de pago. Los Tier-2 y Tier-3 siguen según un calendario definido. Esto reduce la carga de trabajo en paralelo y libera capacidad para las negociaciones más complejas.

Fase 3: No aplazar las pruebas de resiliencia. El TLPT requiere anticipación, personal especializado y preparación interna. Las entidades que no comiencen la planificación hasta 2026 encontrarán cuellos de botella de capacidad entre los testers externos. La solución pragmática: cerrar ahora contratos marco con proveedores de TLPT y elaborar las primeras definiciones de alcance, aunque las pruebas en sí se realicen más adelante. La preparación es la mitad del cumplimiento.

A lo largo de las tres fases, se impone una regla: el cumplimiento de DORA no es un proyecto con fecha de finalización, sino un modelo operativo permanente. El Register of Information debe actualizarse anualmente, las pruebas de resiliencia deben realizarse periódicamente y la gestión de riesgos ICT debe adaptarse continuamente a las nuevas amenazas. Las entidades que planifican DORA como un proyecto de cumplimiento puntual fracasarán en la próxima auditoría.

Un aspecto frecuentemente subestimado en la discusión sobre la implementación: la dimensión cultural. DORA exige que la gestión de riesgos ICT sea percibida como una responsabilidad de dirección. La responsabilidad no recae solo en el departamento de IT, sino en el órgano de dirección de la entidad financiera. Los miembros del consejo de administración deben aprobar la estrategia de riesgos ICT, revisarla periódicamente y justificar su adecuación ante las autoridades de supervisión. Esto requiere un nivel de competencia ICT en el nivel directivo que en muchas entidades todavía debe construirse.

La valoración honesta: DORA no es un tigre de papel. La combinación de responsabilidad personal, responsabilidad de proveedores terceros y aplicabilidad directa la convierte en la regulación IT más eficaz que el sector financiero europeo haya conocido jamás. Quien trate esto como un mero proyecto de cumplimiento del departamento de IT subestima la dimensión estratégica. DORA transforma la forma en que las entidades financieras gestionan todo su paisaje ICT – desde el aprovisionamiento hasta la respuesta a incidentes.

Preguntas frecuentes

Imagen de título: Pexels / Christian Wasserfallen (px:7327875)