DORA en España: Las sorpresas que podrían costar millones a las empresas

La entrada en aplicación del Reglamento DORA el 17 de enero de 2025 marca un antes y un después para el sector financiero europeo… y para todo su ecosistema de proveedores TIC y empresas que dependen de ellos. España no es una excepción: bancos, aseguradoras, fintechs, proveedores cloud, outsourcers de IT e incluso grandes compañías de otros sectores se están viendo obligados a revisar a fondo su resiliencia operativa digital.

La gran pregunta es: ¿está España realmente preparada para DORA o aún hay sorpresas que pueden salir muy caras?

1. Qué es DORA y por qué es clave para las empresas españolas

DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554, que establece normas uniformes de ciberseguridad y resiliencia operativa para unas 20 categorías de entidades financieras (bancos, aseguradoras, empresas de inversión, proveedores de servicios de pago, etc.) y sus proveedores TIC críticos en toda la UE.

En términos prácticos, DORA exige que las entidades sean capaces de resistir, responder y recuperarse ante incidentes TIC graves (ciberataques, fallos de sistemas, interrupciones de servicios cloud, etc.). La regulación se articula en cinco grandes bloques:

• Gestión del riesgo TIC: marco integral, inventario de activos, clasificación de servicios críticos, análisis de impacto y continuidad.
• Gestión de incidentes y notificación: clasificación, reporting a autoridades en plazos muy cortos (24 horas en determinados supuestos) y aprendizaje post-incidente.
• Pruebas de resiliencia operativa digital: desde pruebas internas hasta threat-led penetration testing para entidades significativas.
• Gestión del riesgo de terceros TIC: contratos, registros de servicios, supervisión continua y condiciones especiales para proveedores “críticos”.
• Intercambio de información sobre ciberamenazas entre entidades, bajo ciertas condiciones.

En España, organismos como INCIBE están divulgando activamente el alcance de DORA y subrayan que no es solo “otra norma de ciberseguridad”, sino un cambio estructural de cómo se gobierna el riesgo TIC en el sector financiero.

2. Calendario y marco normativo: de Bruselas a Madrid

El itinerario de DORA ha sido el siguiente:

• Septiembre 2020: la Comisión Europea presenta la propuesta de Reglamento DORA.
• 27 de diciembre de 2022: publicación en el Diario Oficial de la UE.
• 16 de enero de 2023: entrada en vigor (inicio del periodo de adaptación).
• 17 de enero de 2025: DORA pasa a ser plenamente aplicable en toda la UE.

Al ser un reglamento europeo, DORA es directamente aplicable en España, pero el Estado debe:

• Designar autoridades competentes de supervisión y sanción (Banco de España, CNMV, Dirección General de Seguros y Fondos de Pensiones, etc.).
• Adaptar la normativa sectorial interna para articular el régimen sancionador y las competencias de control.
• Coordinar DORA con otras normas como NIS2 y la normativa nacional de ciberseguridad en sectores críticos.

Varios despachos y analistas legales destacan que España trabaja en un proyecto de ley que modifica leyes sectoriales para desplegar el régimen sancionador de DORA y concretar la supervisión.

3. Estado real de la implementación de DORA en España

3.1. Entidades financieras: mucho trabajo hecho, pero no todo

Según análisis de medios especializados y de la prensa económica, el sector financiero español llega a 2025 con un grado de preparación dispar:

• Grandes bancos y aseguradoras:
• Llevan años alineados con normas EBA, EIOPA, guías del BCE y prácticas de resiliencia;
• Han realizado gap analysis, inventario de activos TIC críticos y planes de remediación;
• Están más avanzados en gobierno TIC, continuidad de negocio y pruebas de resiliencia.
• Entidades medianas, pequeñas y determinadas fintechs o gestoras:
• Han empezado más tarde, a menudo “tirando” de consultoras y marcos ya existentes;
• Les cuesta más consolidar un marco integrado de riesgos TIC y gobierno a nivel de consejo;
• Aún tienen lagunas en clasificación de incidentes, reporting y revisión de contratos TIC.
• Aseguradoras y fondos de pensiones supervisados por la Dirección General de Seguros y Fondos de Pensiones reciben guías y materiales informativos, pero la implementación práctica sigue siendo un reto, en especial para entidades pequeñas.

Organismos como EIOPA confirman que los requisitos son ya obligatorios desde el 17 de enero de 2025, por lo que cualquier retraso pasa a ser un riesgo regulatorio real.

3.2. Proveedores TIC y empresas no financieras: el gran punto ciego

Uno de los mayores “puntos ciegos” en España, como en el resto de Europa, son los proveedores TIC (cloud, data centers, software, outsourcing, ciberseguridad gestionada, etc.) y las grandes empresas de otros sectores que prestan servicios críticos a entidades financieras.

DORA no los regula como entidades financieras, pero:

• Impone obligaciones muy estrictas a las entidades para supervisar y controlar a sus proveedores TIC,
• Permite que ciertos proveedores sean designados como críticos y queden sometidos a supervisión directa europea,
• Introduce la posibilidad de multas de hasta un 1 % del volumen de negocio diario medio para proveedores TIC que no cooperen con el supervisor principal.

En España, muchas empresas proveedoras aún están en fases iniciales: revisan contratos, intentan entender qué es una “función crítica o importante” y cómo responder a las exigencias de sus clientes financieros. Esta asimetría de madurez puede generar fricciones contractuales y riesgos de incumplimiento en cadena.

4. Las sorpresas de DORA que pueden costar millones

4.1. Un alcance mucho mayor de lo que muchas empresas pensaban

Varios análisis de cumplimiento subrayan que muchas organizaciones en España subestimaron el alcance de DORA: pensaban que afectaba solo a bancos y se encuentran ahora con que impacta a:

• Proveedores de servicios de pago
• Empresas de inversión y gestoras de fondos
• Aseguradoras y corredurías
• Proveedores TIC críticos (cloud, SaaS, outsourcing)
• Grupos empresariales con filiales financieras (p. ej., financiación al consumo)

Esto implica re-diseñar flujos de gobierno, reportar a varios supervisores y coordinar DORA con otros marcos como GDPR, NIS2 y la normativa de protección de datos y ciberseguridad nacional.

4.2. Régimen sancionador: multas millonarias y más

Aunque el propio Reglamento DORA no fija cifras concretas, varios análisis jurídicos y técnicos estiman que las sanciones en España pueden llegar a:

• Hasta 10 millones de euros o un porcentaje del volumen de negocio anual (5 % en algunos análisis de mercado) para infracciones graves.
• Sanciones adicionales específicas para proveedores TIC críticos.
• Medidas como restricciones operativas, órdenes de corrección o incluso retirada de autorización en casos extremos.

Y, por encima de todo, un impacto reputacional severo si se hace público que la entidad no ha gestionado correctamente incidentes o riesgos TIC.

4.3. Exigencias de notificación de incidentes mucho más estrictas

DORA eleva el listón en materia de notificación de incidentes TIC graves: clasificación detallada, plazos cortos, contenidos estandarizados y coordinación con CSIRTs nacionales.

En España, INCIBE insiste en que muchas entidades aún no tienen procesos internos maduros para cumplir:

• Falta automatización en la detección y correlación de eventos
• Procesos de incident response poco documentados
• Dificultad para consolidar la información necesaria en las primeras 24 horas

Cada fallo de notificación puede traducirse en sanciones y en una mayor desconfianza del supervisor.

4.4. Pruebas de resiliencia y coste oculto de la complejidad

Para las entidades de mayor tamaño, DORA introduce pruebas avanzadas de resiliencia (incluidos threat-led penetration tests periódicos). Estas pruebas son costosas, requieren recursos especializados y coordinación con proveedores.

El coste no está solo en el test en sí, sino en:

• Corregir vulnerabilidades identificadas (a veces con cambios profundos de arquitectura).
• Actualizar continuamente documentación, inventarios y mapas de dependencias.
• Mantener equipos de gobierno TIC y de ciberresiliencia con capacidades adecuadas.

5. ¿Está España preparada para DORA? Una visión honesta

Si se combinan las fuentes oficiales (UE, supervisores españoles), las guías de ciberseguridad y los análisis de consultoras y firmas especializadas, la foto para DORA en España es matizada

• Regulador y marco jurídico
• España está alineando su ordenamiento para articular el régimen sancionador y definir autoridades competentes.
• Los supervisores (Banco de España, CNMV, DGSFP) ya han comenzado a integrar DORA en su actividad de supervisión y reporting.
• Grandes entidades financieras
• Llevan ventaja, han realizado proyectos de adaptación y, aunque aún tienen trabajo pendiente, pueden considerarse “razonablemente preparadas”.
• Entidades medianas/pequeñas y proveedores TIC
• Son el eslabón más débil: a menudo ven DORA como “otra obligación más” y no como un proyecto estructural de resiliencia.
• El riesgo de multas, incidentes mal gestionados o rescisión de contratos por parte de grandes clientes financieros es muy real.

En otras palabras, España no parte de cero, pero la resiliencia operativa digital aún no está al nivel homogéneo que DORA pretende. La rapidez con la que las organizaciones cierren sus brechas de cumplimiento marcará la diferencia entre aprovechar la regulación como ventaja competitiva o sufrirla como fuente de sanciones y pérdidas.

6. Cómo reducir el riesgo y evitar sorpresas costosas

Para minimizar el riesgo de sanciones millonarias y costes ocultos, las empresas en España (financieras y proveedores TIC) deberían

1. Realizar un gap analysis específico de DORA

• Partiendo de marcos existentes (ISO 27001, NIST, EBA/EIOPA guidelines, etc.).
• Identificando qué procesos, registros e informes exige DORA que hoy no existen o están dispersos.

1. Centralizar el inventario de activos y servicios TIC críticos

• Mapeando dependencias internas y de terceros.
• Clasificando qué funciones son “críticas o importantes” según DORA.

1. Reforzar el gobierno TIC y el rol del consejo

• El consejo de administración y la alta dirección deben tener responsabilidades explícitas en resiliencia digital.
• La responsabilidad personal de los directivos en caso de negligencia es un riesgo creciente.

1. Profesionalizar la gestión de proveedores TIC

• Renegociar contratos para incorporar cláusulas DORA (subcontratación, reporting, pruebas, terminación, acceso a datos, etc.).
• Exigir evidencia de cumplimiento y capacidad de soporte durante incidentes.

1. Automatizar reporting, registros e indicadores de riesgo

• Aquí es donde soluciones de compliance automation pueden marcar la diferencia. Plataformas comoCopla se especializan en traducir requisitos como DORA en flujos de trabajo, registros y evidencias auditables, reduciendo esfuerzo manual y riesgo de error.

Para profundizar en el enfoque específico de España y entender cómo impacta DORA más allá del sector financiero estricto, resulta especialmente útil el análisis de DORA en España, donde se detalla cómo la regulación se cruza con otros sectores y qué pasos prácticos pueden dar las organizaciones.