⚖️ Análisis regulatorio

DORA: Resiliencia Operativa Digital del Sector Financiero

Análisis del Reglamento (UE) 2022/2554 (DORA) aplicable desde el 17-ene-2025: los 5 pilares (riesgos TIC, incidentes, tests, terceros, intercambio), supervisión en España y obligaciones de las entidades financieras.

Por Fernando Hierro · Actualizado: 14 de mayo de 2026 · 12 min

𝕏 in

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), es la primera norma europea que homogeneiza las exigencias de ciberresiliencia para todo el sector financiero. Es aplicable desde el 17 de enero de 2025 a más de 20 tipos de entidades: bancos, entidades de pago, dinero electrónico, gestoras de fondos, aseguradoras, proveedores de servicios cripto y proveedores TIC críticos. Esta página explica los cinco pilares de DORA, qué entidades del sector de microcréditos están afectadas en España y qué papel juegan el Banco de España, la CNMV y la DGSFP como supervisores.

⚡

En 30 segundos

● DORA es aplicable desde el 17 de enero de 2025 a las entidades financieras de la UE. Cinco pilares: gestión de riesgos TIC, reporte de incidentes graves, tests de resiliencia, gestión de proveedores TIC y compartición de información.
● En España las EFC (Establecimientos Financieros de Crédito) supervisadas por el Banco de España están plenamente dentro del ámbito. Los prestamistas no bancarios puros (que solo operan con CCD1/CCD2) NO están explícitamente incluidos, pero la Comisión los estudia para revisión 2027.
● Si tu financiera sufre un incidente grave (ciberataque, caída del servicio, fuga de datos), debe notificarlo al supervisor en 4 horas (alerta temprana), informe intermedio en 72 horas y final en 1 mes.
● Las entidades grandes y críticas deben pasar Threat-Led Penetration Testing (TLPT) cada 3 años — pruebas avanzadas que simulan ataques reales. Coordinadas por las autoridades.
● Los proveedores TIC críticos (CTPPs) — Microsoft, Google, AWS, Oracle, IBM y otros designados por las ESAs en julio 2025 — quedan bajo supervisión directa europea, no nacional.

📑 Contenido

🛡️ ¿Qué es DORA y por qué nace?

El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero se publicó en el DOUE el 27 de diciembre de 2022, entró en vigor el 16 de enero de 2023 y es aplicable desde el 17 de enero de 2025.

Hasta DORA, cada Estado miembro y cada subsector financiero tenía sus propias normas de ciberseguridad (banca por sus circulares del BdE, seguros por las normas de la DGSFP, inversiones por la CNMV, etc.). Esto generaba inconsistencias, agujeros y carga administrativa redundante. DORA armoniza un marco único para toda la UE.

El detonante directo fueron los incidentes masivos de ciberseguridad en banca durante 2018-2022 (ataques de ransomware a entidades europeas, caídas en sistemas de pago, brechas de datos personales). La Comisión Europea documentó que la dependencia del sector financiero de proveedores TIC (cloud, ciberseguridad, software de pago) había crecido exponencialmente sin un marco regulatorio adecuado.

DORA es un Reglamento, no una Directiva: aplica directamente en todos los Estados miembros, sin necesidad de transposición nacional. Junto con DORA se publicó la Directiva (UE) 2022/2556, que modifica varias directivas sectoriales (DCRR, MiFID, AIFMD, etc.) para coordinarlas con DORA.

📏 ¿Qué entidades están dentro de DORA?

DORA aplica a más de 20 categorías de entidades financieras. Las principales son:

Entidades de crédito (bancos comerciales, cajas, cooperativas de crédito). Entidades de pago autorizadas bajo PSD2 (proveedores de transferencias, monederos electrónicos, agregadores). Entidades de dinero electrónico (EDE). Empresas de servicios de inversión (brokers, gestoras de carteras). Aseguradoras y reaseguradoras.

Gestoras de instituciones de inversión colectiva (SGIIC). Gestoras de fondos de inversión alternativa (AIFMs). Depositarios centrales de valores. Entidades de contrapartida central (ECC). Centros de negociación (mercados regulados, sistemas multilaterales).

Proveedores de servicios de criptoactivos (CASPs) autorizados bajo MiCA. Emisores de tokens referenciados a activos. Depositarios centrales de valores de la zona euro. Administradores de índices de referencia (benchmarks) críticos. Plataformas de financiación participativa autorizadas bajo el Reglamento UE 2020/1503.

Para el sector de microcréditos español: las Entidades de Crédito y los Establecimientos Financieros de Crédito (EFC) supervisados por el Banco de España están plenamente dentro. Los prestamistas no bancarios puros (que solo prestan al consumo sin captar depósitos y sin ser EFC) NO están explícitamente incluidos. Sin embargo, la Comisión Europea ha indicado que en la revisión de 2027 estudiará ampliar el ámbito.

Hay un régimen simplificado para microempresas (menos de 10 empleados y volumen anual inferior a 2 millones de euros), que evita la mayoría de obligaciones documentales y de tests.

🔒 Pilar 1: Gestión de riesgos TIC

El primer pilar (Capítulo II, artículos 5-15) exige que cada entidad financiera implante un marco interno de gestión de riesgos TIC integrado en su gobierno corporativo.

Componentes mínimos del marco: (1) gobernanza con responsabilidad última del órgano de administración (consejo) sobre la gestión de riesgos TIC, (2) política documentada de seguridad de la información, (3) identificación y clasificación de activos críticos y funciones esenciales, (4) controles de protección y prevención (segregación de redes, gestión de identidades y accesos, criptografía), (5) capacidades de detección de anomalías y de ciberseguridad operativa 24/7, (6) procedimientos de respuesta y recuperación con objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) documentados, (7) revisión y aprendizaje continuo de incidentes pasados.

El órgano de administración (consejo) tiene responsabilidad personal sobre la gestión de riesgos TIC. No puede delegarla completamente al CIO o al CISO: debe aprobar el marco, recibir reportes periódicos y ser informado de incidentes graves.

Los planes de continuidad de negocio y de recuperación frente a desastres (BCP/DRP) deben probarse al menos anualmente. Las copias de seguridad deben estar geográficamente separadas y protegidas frente a ataques.

🚨 Pilar 2: Clasificación y reporte de incidentes

El segundo pilar (Capítulo III, artículos 17-23) impone una obligación armonizada de reportar incidentes TIC graves al supervisor.

Un incidente es "grave" (major) cuando supera umbrales cuantitativos definidos por las ESAs en normas técnicas regulatorias: número de clientes afectados, duración, impacto económico, criticidad de la función afectada, propagación geográfica, impacto reputacional.

Plazos de notificación. El reporte se hace en tres etapas: (a) alerta temprana en 4 horas desde la detección o desde la clasificación como grave; (b) informe intermedio en 72 horas con análisis preliminar; (c) informe final en 1 mes con causa raíz y medidas correctivas.

Destinatario. En España, el supervisor competente recibe el reporte: Banco de España para entidades de crédito y EFC, CNMV para servicios de inversión, DGSFP para seguros. El supervisor reporta a la ESA correspondiente (EBA, ESMA o EIOPA), que centraliza la información.

Las entidades también pueden notificar incidentes graves a sus clientes si el incidente afecta a los intereses financieros de éstos. Esta comunicación al cliente es obligatoria si hay riesgo material para sus operaciones.

El reporte tiene formato estandarizado (RTS de la EBA) para facilitar comparación y agregación. Hay un sistema único de reporte para evitar duplicidades cuando un incidente afecta a varios subsectores.

🧪 Pilar 3: Tests de resiliencia operativa

El tercer pilar (Capítulo IV, artículos 24-27) exige tests periódicos de resiliencia operativa.

Tests anuales básicos. Todas las entidades dentro del ámbito de DORA deben realizar tests anuales: análisis de vulnerabilidades, evaluación de seguridad de redes, tests de penetración básicos, pruebas de continuidad de negocio. Los resultados se documentan y las brechas detectadas se cierran con plan de acción.

Threat-Led Penetration Testing (TLPT). Las entidades de mayor tamaño o criticidad sistémica deben someterse a TLPT al menos cada 3 años. Son tests avanzados que simulan ataques reales (red team) coordinados con las autoridades. Siguen la metodología TIBER-EU del BCE con adaptaciones a DORA.

Quién hace los tests. Los TLPT deben ser realizados por proveedores externos especializados, certificados, con experiencia demostrable. La entidad financiera no puede usar su equipo interno de red team para TLPT bajo DORA.

Cobertura. Los tests deben cubrir los sistemas críticos y las funciones esenciales. Si la entidad usa proveedores TIC críticos (cloud, ciberseguridad externa), los tests deben coordinar con esos proveedores cuando sea posible.

Para microempresas y EFC pequeñas. El régimen simplificado limita las obligaciones de tests a controles básicos de vulnerabilidades y revisiones documentales.

🤝 Pilar 4: Gestión de riesgos de proveedores TIC

El cuarto pilar (Capítulo V, artículos 28-44) es el más extenso. Regula la externalización de servicios TIC, que se ha convertido en el principal riesgo operacional del sector financiero.

Registro de proveedores TIC. Cada entidad debe mantener un registro completo de todos los contratos con proveedores TIC (cloud, software como servicio, ciberseguridad gestionada, procesamiento de pagos, etc.). El registro se reporta al supervisor anualmente.

Análisis de concentración. Antes de contratar un proveedor TIC, hay que analizar el riesgo de concentración: cuánto del negocio depende de ese proveedor, qué pasaría si falla, alternativas disponibles. Si un proveedor concentra excesivamente el riesgo del sector (caso de los hyperscalers cloud), las autoridades pueden imponer límites.

Estrategia de salida. Para cada proveedor TIC crítico debe existir una estrategia documentada de salida: cómo se transfiere el servicio a otro proveedor o cómo se reinternaliza si el contrato termina (planificado o por incidente). El plan debe probarse periódicamente.

Cláusulas obligatorias. Los contratos con proveedores TIC deben incluir cláusulas mínimas armonizadas: descripción del servicio, ubicación de los datos, derechos de auditoría, requisitos de seguridad, planes de continuidad, niveles de servicio (SLAs), notificación de incidentes, cooperación con supervisores, condiciones de terminación.

Proveedores TIC críticos (CTPPs). Las ESAs (EBA, EIOPA, ESMA) designan a los proveedores TIC más críticos para el sector financiero europeo. En julio de 2025 publicaron la primera lista, que incluye a Microsoft, Google Cloud, AWS, Oracle, IBM y otros. Estos quedan bajo supervisión directa de las ESAs (no de los supervisores nacionales). Sanciones específicas hasta el 1 % del volumen anual mundial.

🔄 Pilar 5: Compartición de información sobre amenazas

El quinto pilar (Capítulo VI, artículo 45) promueve el intercambio voluntario de información sobre amenazas cibernéticas entre entidades financieras.

La idea: si una entidad detecta un ataque o intento de ataque, compartir indicadores (IoCs — indicators of compromise, técnicas, tácticas, vulnerabilidades explotadas) ayuda a otras entidades a protegerse antes de ser víctimas.

DORA establece un marco legal seguro para este intercambio: protege a las entidades que comparten información de buena fe frente a responsabilidad por revelación de datos personales o secretos, siempre que cumplan las condiciones (consentimiento entre partes, datos anonimizados cuando proceda, no compartir información comercialmente sensible).

En la práctica, este intercambio se canaliza a través de ISACs (Information Sharing and Analysis Centers) sectoriales y de la cooperación con CERTs nacionales y el CERT-EU.

🇪🇸 Supervisores en España

DORA se aplica directamente, pero los supervisores son los habituales del sector según el tipo de entidad:

Banco de España (BdE). Supervisa entidades de crédito, EFC, entidades de pago y entidades de dinero electrónico. Recibe los reportes DORA de estos. Coordina con la EBA.

CNMV (Comisión Nacional del Mercado de Valores). Supervisa servicios de inversión, gestoras de IIC, depositarios centrales de valores, mercados, plataformas de financiación participativa. Coordina con la ESMA.

DGSFP (Dirección General de Seguros y Fondos de Pensiones). Supervisa aseguradoras, reaseguradoras, mediadores de seguros. Coordina con la EIOPA.

ESAs (EBA, ESMA, EIOPA) y ECB-SSM. Para entidades sistémicas o transfronterizas. Para proveedores TIC críticos (CTPPs) la supervisión es DIRECTA por las ESAs, no por el supervisor nacional. Esto es novedoso: Microsoft, AWS y otros proveedores cloud están supervisados directamente por la UE en su rol como CTPPs del sector financiero.

Coordinación. Los supervisores nacionales comparten información entre sí y con las ESAs. Si una entidad opera en varios países, hay supervisor "líder" (home) y otros "host". Para conglomerados financieros (banca + seguros + inversiones) la coordinación es entre BdE, CNMV y DGSFP.

⚖️ Sanciones y consecuencias del incumplimiento

DORA no fija cuantías sancionadoras unificadas (a diferencia del GDPR o del AI Act). Cada Estado miembro establece sanciones efectivas, proporcionadas y disuasorias en su Derecho nacional.

En España. La transposición complementaria (la parte que requiere ley nacional, principalmente régimen sancionador y autoridades) sigue en tramitación parcial. El régimen aplicable mientras tanto es el de las leyes sectoriales en vigor: Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito (sanciones BdE de hasta 10 millones € o 5 % de los recursos propios para infracciones muy graves), normativa específica de seguros (DGSFP) e inversiones (CNMV).

Para proveedores TIC críticos (CTPPs). Las ESAs pueden imponer sanciones financieras de hasta el 1 % del volumen anual mundial del proveedor por incumplir las recomendaciones u órdenes de las autoridades. Para un proveedor como Microsoft, eso son cientos de millones de euros.

Otras consecuencias. Si la entidad incumple gravemente, los supervisores pueden imponer medidas correctoras (planes de remediación con plazos), suspender actividades temporales, exigir refuerzo de capital, e incluso revocar la autorización para operar en casos extremos.

Las personas con responsabilidades directivas pueden ser sancionadas individualmente. El órgano de administración (consejo) responde personalmente del cumplimiento del marco de gestión de riesgos TIC.

💸 Impacto en el sector de microcréditos en España

Para el ecosistema de financieras del catálogo del portal, DORA tiene impacto diferenciado según el estatus regulatorio:

EFC (Establecimientos Financieros de Crédito) supervisados por el BdE. Están plenamente dentro del ámbito. Han debido adaptar sus marcos de gestión de riesgos TIC, procedimientos de reporte de incidentes y contratos con proveedores TIC antes del 17 de enero de 2025. Los más pequeños se benefician del régimen simplificado.

Entidades de pago / EDE. Si una financiera opera adicionalmente como entidad de pago o emisor de dinero electrónico (PSD2), está dentro del ámbito DORA.

Prestamistas no bancarios puros. Las financieras que solo prestan al consumo bajo el régimen de la Ley 16/2011 (futuro CCD2) y que no son EFC, no están explícitamente cubiertas por DORA. Sin embargo, la Comisión está estudiando incluirlas en la revisión de 2027.

Cloud y proveedores TIC. Independientemente del estatus regulatorio, casi todas las financieras del catálogo dependen de proveedores cloud (AWS, Azure, Google Cloud). Si su cliente principal (banca/EDE) está sujeto a DORA, ellos como proveedores también están sujetos indirectamente vía cláusulas contractuales obligatorias.

Prácticas recomendadas. Aunque no estés legalmente obligado, adoptar prácticas DORA es buena gestión: marco de riesgos TIC documentado, plan de respuesta a incidentes, registro de proveedores cloud, tests anuales básicos, copias de seguridad probadas. Hace que la entidad sea más resiliente y reduce el coste de adaptación si DORA se amplía en 2027.

Conexión con otras regulaciones de este hub: DORA + AI Act + PSD3 conviven. Un microcrédito online típico está sujeto a evaluación de solvencia con IA (AI Act), procesa pagos instantáneos (PSD3) y opera sobre infraestructura cloud (DORA si la entidad es EFC).

💡 Ejemplos prácticos con cifras reales

Caso 1

Una EFC supervisada por el BdE sufre un ciberataque que paraliza la concesión de créditos durante 6 horas

Tu derecho: Bajo DORA art. 19, la entidad debe notificar al Banco de España en las primeras 4 horas (alerta temprana). Informe intermedio en 72 horas y final en 1 mes con causa raíz.

Cálculo estimado: Si la entidad no notifica en plazo, hay sanción del BdE. Si el incidente afecta a clientes, comunicación adicional a éstos.

Caso 2

Una entidad de pago externaliza el procesamiento a un proveedor cloud sin documentar plan de salida

Tu derecho: Incumplimiento de DORA art. 28. La entidad debe tener estrategia de salida documentada y probada para cada proveedor TIC crítico.

Cálculo estimado: Sanción del supervisor por incumplimiento. Posible exigencia de regularización inmediata o suspensión temporal de operaciones críticas.

Caso 3

AWS sufre una caída global que afecta a múltiples bancos europeos durante 12 horas

Tu derecho: Como CTPP designado, AWS está bajo supervisión directa de las ESAs. Estas pueden investigar e imponer sanciones de hasta 1 % del volumen anual mundial.

Cálculo estimado: AWS facturó ~80.000 M USD en 2024. Una sanción del 1 % serían 800 M USD. Cifras de orden de magnitud disuasorio.

Caso 4

Una entidad pequeña EFC (microempresa) que se acoge al régimen simplificado: ¿qué obligaciones tiene?

Tu derecho: Régimen simplificado DORA: gestión de riesgos TIC con menor formalización documental, tests básicos anuales (sin TLPT obligatorio), reporte de incidentes graves pero con formato simplificado, registro de proveedores TIC esencial.

Cálculo estimado: Coste de cumplimiento mucho menor pero principios DORA se siguen aplicando.

📝 Plantilla de comunicación a clientes en caso de incidente grave

Modelo de comunicación al cliente cuando una entidad sujeta a DORA sufre un incidente grave que afecta a sus intereses financieros (Art. 19.3 del Reglamento). Adapta a la realidad del incidente y verifica con asesoría legal antes de envío masivo.

[NOMBRE DE LA ENTIDAD]
[Dirección postal]

[CIUDAD], [FECHA]

Estimado/a cliente:

En cumplimiento del artículo 19.3 del Reglamento (UE) 2022/2554 (DORA), le informamos de que el día [FECHA] hemos detectado un incidente operativo de carácter grave en nuestros sistemas que ha podido afectar a sus operaciones con nuestra entidad.

Hechos:
[Descripción objetiva del incidente, sin atribuir responsabilidades antes del análisis de causa raíz. Ejemplos:
— "El sistema de banca electrónica no estuvo disponible entre las [HORA] y las [HORA]."
— "Detectamos un acceso no autorizado a [sistema concreto]. La investigación inicial confirma que [tipo de datos] de aproximadamente [número] clientes pudo verse expuesto."
— "El procesamiento de transferencias instantáneas estuvo degradado durante [duración]. Algunas órdenes pueden haberse demorado."]

Estado actual:
[Describir si el incidente está contenido, si hay servicios afectados aún, y los plazos previstos de plena normalización.]

Qué hemos hecho:
— Activamos nuestro plan de respuesta a incidentes en cuanto se detectó el problema.
— Notificamos a [Banco de España / CNMV / DGSFP] en el plazo previsto en la regulación (4 horas de alerta temprana).
— Hemos puesto en marcha medidas correctivas para restablecer la normalidad y evitar la repetición.

Qué le recomendamos:
[Recomendaciones específicas al cliente según el tipo de incidente. Ejemplos:
— "Revise sus movimientos recientes y reporte cualquier operación que no reconozca."
— "Como medida de precaución, le recomendamos cambiar su contraseña de acceso desde la app oficial."
— "Si introdujo datos en el sistema durante el periodo afectado, contacte con nosotros para verificación."]

Sus derechos:
— Puede solicitar información adicional sobre el incidente y su impacto en sus cuentas.
— Si considera que ha sufrido perjuicio económico derivado del incidente, puede presentar reclamación a nuestro Servicio de Atención al Cliente.
— Puede dirigirse al supervisor: [Servicio de Reclamaciones del Banco de España / CNMV / DGSFP según corresponda].

Contacto:
[Teléfono, email, formulario web específicos para este incidente]

Le agradecemos su confianza. Estamos a su disposición para cualquier consulta.

Atentamente,
[Cargo responsable — habitualmente Servicio de Atención al Cliente o equivalente]
[NOMBRE DE LA ENTIDAD]

Adapta los campos entre [corchetes] a tus datos y al caso concreto. Conserva el justificante de envío (email certificado, formulario web con número de referencia o correo postal con acuse de recibo).

📞 Dónde acudir

🏛️

Banco de España — Servicio de Reclamaciones ↗

Para reclamaciones contra entidades de crédito, EFC, entidades de pago y EDE. Recibe también reportes DORA de estos supervisados.

📈

CNMV — Comisión Nacional del Mercado de Valores ↗

Supervisor de servicios de inversión, gestoras, mercados, plataformas de financiación participativa. Coordina con ESMA en DORA.

☂️

DGSFP — Dirección General de Seguros ↗

Supervisor de aseguradoras y mediadores de seguros. Coordina con EIOPA en DORA.

🛡️

INCIBE — Instituto Nacional de Ciberseguridad ↗

Coordina la respuesta a incidentes cibernéticos en España. Operador del CSIRT nacional. Coopera con supervisores financieros en incidentes graves.

🇪🇺

EBA — European Banking Authority ↗

Autoridad bancaria europea. Coordina la supervisión DORA en banca, publica RTS técnicos.

📚

EUR-Lex — Texto del Reglamento DORA ↗

Texto íntegro del Reglamento (UE) 2022/2554 en español y demás lenguas oficiales.

❓ Preguntas frecuentes

DORA es aplicable desde el 17 de enero de 2025 en toda la UE. Las entidades dentro del ámbito han debido adaptarse antes de esa fecha. La revisión de DORA por la Comisión está prevista para enero de 2027.

Más de 20 categorías: bancos, EFC, entidades de pago, EDE, empresas de servicios de inversión, aseguradoras, reaseguradoras, gestoras de fondos, depositarios centrales, ECC, mercados regulados, proveedores de servicios cripto (MiCA), plataformas de financiación participativa, administradores de benchmarks críticos, y proveedores TIC críticos (CTPPs).

No de forma explícita si no es Entidad de Crédito ni EFC ni entidad de pago/EDE. Sin embargo, si su cliente principal (el banco que le presta la financiación o el procesador de pagos que utiliza) está sujeto a DORA, le exigirá indirectamente cláusulas DORA en sus contratos. La Comisión Europea estudia incluir prestamistas no bancarios en la revisión 2027.

Tres etapas: alerta temprana en 4 horas desde la clasificación como grave, informe intermedio en 72 horas, informe final en 1 mes. Los plazos no se cuentan desde la detección bruta sino desde la clasificación, lo que requiere capacidad rápida de análisis.

Un incidente que supera umbrales cuantitativos definidos por las ESAs: número de clientes afectados, duración, impacto económico, criticidad de la función afectada, propagación geográfica, impacto reputacional. Los criterios concretos están en RTS de la EBA publicadas en diciembre 2024.

Threat-Led Penetration Testing. Tests avanzados de penetración basados en inteligencia de amenazas reales. Obligatorios cada 3 años para entidades grandes o críticas del sector. Coordinados con el supervisor y realizados por proveedores externos certificados, siguiendo metodología TIBER-EU del BCE adaptada a DORA.

Sí. Las ESAs designaron a varios de ellos como Proveedores TIC Críticos (CTPPs) en julio de 2025. Como CTPPs quedan bajo supervisión directa de las ESAs (no del supervisor nacional) y se les puede imponer sanciones de hasta 1 % de su volumen anual mundial. Es el primer caso en que la UE supervisa directamente a hyperscalers.

No, los complementa. DORA regula incidentes TIC en el sector financiero. GDPR regula brechas de seguridad de datos personales. Si un incidente DORA implica brecha de datos personales (típicamente sí), hay que notificar a ambos: supervisor financiero (DORA) y AEPD (GDPR). Plazos distintos (4h DORA vs 72h GDPR).

Los contratos en vigor a 17-ene-2025 deben renegociarse o renovarse para incluir las cláusulas DORA obligatorias (descripción del servicio, ubicación de datos, derechos de auditoría, planes de continuidad, SLAs, notificación de incidentes, cooperación con supervisores, condiciones de terminación). Hay un proceso ordenado de adaptación.

Sí. Las microempresas (menos de 10 empleados y volumen anual inferior a 2 millones de euros) tienen obligaciones reducidas: gestión de riesgos TIC con menor formalización, tests básicos sin TLPT, reporte de incidentes con formato simplificado, registro de proveedores TIC esencial. Los principios siguen aplicando.

DORA no fija cuantías unificadas: las fija cada Estado miembro. En España, mientras se completa la transposición, aplican las sanciones sectoriales: hasta 10 millones € o 5 % de los recursos propios para infracciones muy graves en banca (Ley 10/2014), cuantías equivalentes en CNMV y DGSFP. Los CTPPs (proveedores TIC críticos) tienen régimen propio: hasta 1 % del volumen anual mundial.

NIS2 (Directiva UE 2022/2555) es la Directiva general de ciberseguridad para sectores esenciales (incluye finanzas, energía, salud, transportes, etc.). DORA es lex specialis para finanzas: si una entidad financiera está bajo DORA, no se le aplica NIS2 en lo cubierto por DORA. Las prácticas son similares en filosofía, pero DORA es más detallada y específica para finanzas.

🕒 Actualizaciones y mantenimiento

13 may 2026 Publicación inicial de la guía técnica sobre DORA.
31 jul 2025 Hito externo: las ESAs publican la primera lista de Proveedores TIC Críticos (CTPPs) bajo supervisión directa UE.
17 ene 2025 Hito externo: aplicación plena de DORA en la UE.
16 ene 2023 Hito externo: entrada en vigor del Reglamento (UE) 2022/2554.
27 dic 2022 Hito externo: publicación de DORA en el DOUE.

📚 Marco normativo de referencia

UE · Reglamento Reglamento (UE) 2022/2554 (DORA) ↗
UE · Directiva Directiva (UE) 2022/2556 (modificaciones DORA) ↗
UE · Directiva Directiva (UE) 2022/2555 (NIS2) ↗
España · Ley Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito ↗
UE · Reglamento Reglamento (UE) 2016/679 (GDPR) ↗

Los enlaces externos conducen a fuentes oficiales (EUR-Lex, BOE, Banco de España). Esta página es informativa y no constituye asesoramiento jurídico. Revisión legal: 13 de mayo de 2026.

Etiquetas: #DORA#Reglamento UE 2022/2554#resiliencia operativa digital#ciberseguridad financiera#incidentes TIC#TLPT#CTPP#Banco de España#CNMV#EBA

Más sobre regulación

PSD3 y SEPA Instant España: Guía Técnica 2026

Análisis del Reglamento SEPA Instant (UE 2024/886) y PSD3 en España: calendario, VoP, derechos del consumidor y plantilla para reclamar al Banco de España.

CCD2 — Directiva Crédito al Consumo: Guía España 2026

Análisis de la Directiva (UE) 2023/2225 (CCD2) que sustituye a la Directiva 2008/48/CE: ámbito ampliado a microcréditos y BNPL, evaluación de solvencia obligatoria, límites a la publicidad y plazo de transposición en España hasta 20-nov-2025.

AI Act y Scoring Crediticio: Qué Cambia desde Agosto 2026

Análisis del Reglamento (UE) 2024/1689 (AI Act) aplicado al scoring crediticio: por qué es sistema de "alto riesgo" (Anexo III, 5b), obligaciones para las financieras y derechos del consumidor frente a decisiones automatizadas.

EUDI Wallet: la Cartera Europea de Identidad Digital en España

Análisis del Reglamento (UE) 2024/1183 (eIDAS 2) que crea la EUDI Wallet: deadline de los Estados miembros 24-nov-2026 para ofrecerla, qué bancos y plataformas deben aceptarla desde 2027, y cómo afecta al KYC en préstamos online.

¿Quieres el marco regulatorio completo?

Banco de España, Ley de Usura, ASNEF, derechos del consumidor y directivas europeas en una sola guía.

Ver guía completa

Supervisado editorialmente por

Fernando Hierro

Editor Principal · Dineritoahora.es

Esta guía ha sido verificada y supervisada por nuestro equipo editorial para garantizar la exactitud de la información y la objetividad de los consejos.

📋 Política editorial 🔍 Metodología 👤 Sobre el autor