DORA y el sector financiero español: checklist completo antes de la inspección del Banco de España
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
El Reglamento DORA (Digital Operational Resilience Act, 2022/2554) es aplicable desde el 17 de enero de 2025 a entidades financieras en toda la UE. En España, el Banco de España y la CNMV son los supervisores competentes para sus respectivos ámbitos. Las primeras inspecciones de cumplimiento ya están en marcha: este checklist recorre los 5 pilares del reglamento con los controles específicos que los inspectores verifican en la práctica.
Puntos clave
- 1DORA aplica a bancos, aseguradoras, gestoras de fondos, empresas de servicios de inversión, entidades de pago y sus proveedores TIC críticos.
- 2El Banco de España supervisa bancos, entidades de pago y de dinero electrónico. La CNMV supervisa empresas de inversión y gestoras.
- 3Las normas técnicas (RTS/ITS) elaboradas por EBA, EIOPA y ESMA concretan los requisitos de cada pilar.
- 4Los proveedores TIC críticos quedan bajo supervisión directa de las Autoridades Europeas de Supervisión (EBA, EIOPA, ESMA).
- 5El principio de proporcionalidad permite a micropymes financieras (<5M€ de balance) aplicar un marco simplificado.
Pilar 1 — Gestión de riesgos TIC (arts. 5-16 DORA)
El marco de gestión de riesgos TIC debe estar documentado, aprobado por el órgano de dirección y revisado al menos anualmente. Incluye la identificación de activos TIC críticos, la evaluación continua de riesgos y la definición de estrategias de tolerancia al riesgo. Los RTS de la EBA (publicados en enero 2024) especifican el contenido mínimo del marco.
- ✅ Marco de gestión de riesgos TIC aprobado por el consejo de administración
- ✅ Inventario de activos TIC actualizado (hardware, software, datos, personal clave)
- ✅ Evaluación de riesgos TIC anual con metodología documentada
- ✅ Estrategia de resiliencia digital aprobada formalmente
- ✅ Política de gestión de activos TIC que incluye el ciclo de vida completo
- ✅ Procedimientos de parcheo y gestión de vulnerabilidades con plazos definidos
Pilar 2 — Notificación de incidentes TIC (arts. 17-23 DORA)
DORA establece un sistema de clasificación y notificación de incidentes TIC similar al de NIS2 pero específico para el sector financiero. Los incidentes graves deben notificarse a las autoridades competentes en plazos muy cortos. Los ITS de la EBA definen los umbrales y el formato de los informes.
| Tipo de informe | Plazo | Contenido mínimo | Destinatario |
|---|---|---|---|
| Notificación inicial | 4 horas desde clasificación como grave | Clasificación, impacto estimado, medidas adoptadas | Banco de España / CNMV |
| Informe intermedio | 72 horas | Estado actualizado, alcance real, causa probable | Autoridad competente |
| Informe final | 1 mes | Causa raíz, impacto final, medidas correctoras | Autoridad competente |
Pilar 3 — Pruebas de resiliencia operativa digital (arts. 24-27 DORA)
Las entidades significativas deben realizar threat-led penetration testing (TLPT) al menos cada 3 años, siguiendo el marco TIBER-EU. Las entidades menos significativas pueden sustituirlo por pruebas de resiliencia básicas. El TLPT debe cubrir los sistemas TIC críticos que sustentan las funciones esenciales de la entidad.
- ✅ Plan de pruebas de resiliencia operativa documentado y aprobado
- ✅ Pruebas básicas anuales: escenarios de interrupción, recuperación ante fallos, tests de penetración
- ✅ Para entidades significativas: TLPT cada 3 años siguiendo TIBER-EU
- ✅ Los proveedores TIC críticos deben participar en las pruebas cuando sea necesario
- ✅ Resultados de las pruebas comunicados al órgano de dirección y a la autoridad supervisora
Pilar 4 — Gestión del riesgo de proveedores TIC (arts. 28-44 DORA)
Este pilar es el que más cambios requiere en la práctica. DORA exige un registro de todos los acuerdos contractuales con proveedores TIC, con distinción entre proveedores críticos y no críticos. Los contratos con proveedores críticos deben incluir cláusulas específicas sobre auditoría, localización de datos, planes de salida y subcontratación.
- ✅ Registro completo de todos los acuerdos con proveedores TIC (incluidos cloud, SaaS, outsourcing)
- ✅ Evaluación del nivel de criticidad de cada proveedor TIC (metodología documentada)
- ✅ Contratos con proveedores críticos revisados: incluyen cláusulas de auditoría, SLA mínimos, planes de salida
- ✅ Estrategia de salida documentada para cada proveedor TIC crítico
- ✅ Los proveedores TIC críticos notificados ante cambios relevantes en su cadena de subcontratación
Pilar 5 — Intercambio de información e inteligencia sobre ciberamenazas (art. 45 DORA)
DORA anima activamente al intercambio voluntario de información sobre amenazas, vulnerabilidades y técnicas de ataque entre entidades financieras. Este intercambio puede realizarse a través de grupos de confianza del sector (ISACs financieros). Aunque es voluntario, participar es una buena práctica que los supervisores valoran favorablemente.
- ✅ Política interna de intercambio de inteligencia sobre amenazas aprobada
- ✅ Participación o adhesión a grupos de intercambio de información del sector (ISAC financiero español o europeo)
- ✅ Procedimiento para anonimizar información confidencial antes de compartirla
Próximos pasos recomendados
- 1Realizar un gap analysis contra los 5 pilares DORA usando la matriz de controles publicada por la EBA.
- 2Priorizar el pilar 4 (proveedores TIC) porque suele requerir más tiempo: auditar y renegociar contratos lleva meses.
- 3Designar al responsable de DORA dentro de la organización y asegurarse de que el consejo recibe informes periódicos.
- 4Establecer el proceso de notificación de incidentes TIC graves con los plazos de 4h y 72h.
- 5Planificar las pruebas de resiliencia del año y determinar si la entidad está sujeta a TLPT.
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Reglamento DORA — EUR-Lex — Texto completo del Reglamento UE 2022/2554
- EBA — Normas técnicas DORA (RTS/ITS) — Normas técnicas de la Autoridad Bancaria Europea para DORA
- Banco de España — Supervisión entidades financieras — Portal del Banco de España sobre supervisión prudencial y operativa
- CNMV — Marco de supervisión DORA — Guía de la CNMV para la aplicación de DORA a entidades de inversión
- TIBER-EU Framework — Marco europeo para threat-led penetration testing en el sector financiero