DORA se completa con normas técnicas de regulación (RTS) y normas técnicas de ejecución (ITS) que detallan cómo cumplir cada obligación. Esta guía resume las más importantes publicadas entre 2024 y 2025.
El texto de DORA establece los principios, pero los detalles técnicos se desarrollan mediante normativa de segundo nivel elaborada por las Autoridades Europeas de Supervisión y adoptada por la Comisión Europea:
Ambos tipos son directamente aplicables y de obligado cumplimiento para las entidades sujetas a DORA.
El Reglamento Delegado (UE) 2024/1774 desarrolla el marco de gestión del riesgo TIC previsto en el artículo 15 de DORA. Detalla, entre otros aspectos:
El Reglamento Delegado (UE) 2024/1772 establece los criterios para clasificar los incidentes graves relacionados con las TIC y las ciberamenazas significativas. Define los siete criterios de evaluación, entre ellos:
Encontrará el detalle del proceso de clasificación en nuestra página de notificación de incidentes.
El Reglamento Delegado (UE) 2025/301 (RTS) y el correspondiente reglamento de ejecución armonizan el contenido y los plazos de la notificación de incidentes graves. Establecen:
El Reglamento de Ejecución (UE) 2024/2956 establece las plantillas normalizadas del registro de información sobre los acuerdos contractuales con terceros proveedores de servicios TIC (artículo 28(3) de DORA). Define las 15 plantillas, el formato xBRL-CSV y los vocabularios controlados (LEI, códigos ISO de país y de moneda). Consulte todos los detalles en nuestra página del registro de información.
Otras normas técnicas relevantes para la gestión del riesgo de terceros y las pruebas avanzadas son:
Aplique las normas: prepare su registro de información →
Las RTS (normas técnicas de regulación) desarrollan los requisitos sustantivos de fondo de DORA, mientras que las ITS (normas técnicas de ejecución) definen los formatos, plantillas y procedimientos uniformes para aplicarlos. Ambas son directamente aplicables.
Sí. Las RTS e ITS se adoptan como reglamentos delegados o de ejecución de la UE y son de obligado cumplimiento y directamente aplicables para las entidades sujetas a DORA.
El Reglamento Delegado (UE) 2024/1774 desarrolla el marco de gestión del riesgo TIC: seguridad de la información, gestión de accesos, control de cambios, vulnerabilidades, detección, respuesta, recuperación y el marco simplificado para entidades pequeñas.
En el Reglamento Delegado (UE) 2024/1772, que establece los siete criterios para clasificar un incidente como grave (clientes afectados, pérdida de datos, duración, alcance geográfico, repercusión económica, criticidad de los servicios, entre otros).
El Reglamento de Ejecución (UE) 2024/2956, que define las 15 plantillas normalizadas, el formato xBRL-CSV y los vocabularios controlados del registro de información exigido por el artículo 28(3) de DORA.
Las pruebas de penetración basadas en amenazas (TLPT) son ejercicios avanzados de simulación de ataques reales, alineados con el marco TIBER-EU, exigidos por DORA a las entidades financieras más significativas y desarrollados por una RTS específica.
Esta página es una ayuda profesional, no asesoramiento jurídico. · Versión en inglés