¿Qué es DORA? Reglamento (UE) 2022/2554 Explicado

Definición y objetivo de DORA

DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero. Su finalidad es garantizar que las entidades financieras puedan resistir, responder y recuperarse ante todo tipo de perturbaciones y amenazas relacionadas con las tecnologías de la información y la comunicación (TIC).

Antes de DORA, la gestión del riesgo TIC estaba dispersa en distintas normativas sectoriales y nacionales. DORA crea un marco único y armonizado, directamente aplicable en todos los Estados miembros sin necesidad de transposición.

Ámbito de aplicación (artículo 2)

El artículo 2 de DORA define un ámbito de aplicación muy amplio. Quedan sujetas, entre otras, las siguientes entidades financieras:

Entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico.
Empresas de servicios de inversión, gestoras de fondos de inversión y de fondos de inversión alternativos.
Empresas de seguros y de reaseguros, así como mediadores de seguros.
Proveedores de servicios de criptoactivos y de financiación participativa.
Entidades de contrapartida central, depositarios centrales de valores y centros de negociación.
Proveedores terceros de servicios TIC, incluidos los designados como críticos (CTPP).

Se aplica un principio de proporcionalidad: las microempresas y determinadas entidades de menor tamaño se benefician de un marco simplificado de gestión del riesgo TIC.

Los 5 pilares de DORA

El reglamento se articula en cinco pilares fundamentales:

1. Gestión del riesgo TIC: exige un marco de gobernanza sólido, con responsabilidad última del órgano de dirección, que cubra la identificación, protección, detección, respuesta y recuperación.
2. Gestión, clasificación y notificación de incidentes: obliga a detectar, clasificar y notificar los incidentes graves relacionados con las TIC a la autoridad competente.
3. Pruebas de resiliencia operativa digital: incluye un programa de pruebas periódicas y, para las entidades más significativas, pruebas de penetración basadas en amenazas (TLPT).
4. Gestión del riesgo de terceros proveedores de servicios TIC: establece requisitos contractuales, el registro de información y un marco de supervisión de los proveedores críticos.
5. Intercambio de información: fomenta el intercambio voluntario de inteligencia sobre ciberamenazas entre entidades.

Fechas clave

El calendario normativo de DORA es el siguiente:

16 de enero de 2023: entrada en vigor del reglamento.
17 de enero de 2025: fecha a partir de la cual DORA es de plena aplicación y obligatoria para las entidades sujetas.
A partir de 2025: obligación de presentar anualmente el registro de información a la autoridad competente (plazo de referencia en torno al 30 de abril).

Supervisión y autoridades competentes

La supervisión de DORA combina varios niveles. Las autoridades nacionales competentes (en España, el Banco de España, la CNMV y la DGSFP según el tipo de entidad) supervisan a las entidades financieras.

Para los proveedores terceros críticos de servicios TIC (CTPP), DORA crea un marco de supervisión paneuropeo dirigido por las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA), que designan a un supervisor principal con facultades de inspección y de imposición de medidas.

Sanciones por incumplimiento

DORA exige a los Estados miembros que establezcan sanciones administrativas y medidas correctoras eficaces, proporcionadas y disuasorias. Las autoridades competentes pueden imponer requerimientos, publicar el incumplimiento y aplicar multas.

En el caso de los proveedores terceros críticos, el supervisor principal puede imponer multas coercitivas periódicas de hasta el 1 % del volumen de negocios medio mundial diario del proveedor, durante un máximo de seis meses, para obligar al cumplimiento de sus requerimientos.

Siguiente paso: prepare su registro de información →

Preguntas frecuentes

¿Qué significa DORA?

DORA son las siglas de Digital Operational Resilience Act, es decir, el Reglamento de Resiliencia Operativa Digital, formalmente el Reglamento (UE) 2022/2554.

¿Cuándo entró en aplicación DORA?

DORA entró en vigor el 16 de enero de 2023 y es de plena aplicación y obligatoria desde el 17 de enero de 2025.

¿Es DORA un reglamento o una directiva?

Es un reglamento. Por ello es directamente aplicable en todos los Estados miembros de la UE sin necesidad de transposición a la legislación nacional, lo que garantiza un marco armonizado.

¿Quién supervisa el cumplimiento de DORA?

Las autoridades nacionales competentes supervisan a las entidades financieras, mientras que las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA) coordinan la supervisión de los proveedores terceros críticos de servicios TIC.

¿Cuáles son las sanciones por incumplir DORA?

Las autoridades pueden imponer sanciones administrativas proporcionadas, requerimientos y publicación del incumplimiento. A los proveedores críticos se les pueden aplicar multas coercitivas de hasta el 1 % de su volumen de negocios medio mundial diario.

Esta página es una ayuda profesional, no asesoramiento jurídico. · Versión en inglés

¿Qué es DORA? El Reglamento de Resiliencia Operativa Digital