El reglamento DORA (Digital Operational Resilience Act, reglamento UE 2022/2554) es aplicable desde el 17 de enero de 2025. Establece un marco europeo armonizado de resiliencia operativa digital para el sector financiero, que cubre un amplio abanico de entidades financieras listadas en el artículo 2(1) y a sus proveedores de servicios TIC. Para bancos europeos, gestoras de activos, aseguradoras y proveedores TIC que sirven a clientes financieros, DORA no es un texto al que mirar de lejos: su impacto es directo, vía los contratos comerciales con las entidades UE, las filiales europeas de grupos internacionales y el dispositivo de designación de proveedores terceros críticos (artículo 36).
Esta guía cubre todas las exigencias: los cinco pilares, las entidades afectadas según el artículo 2, el calendario de aplicación, las sanciones, la gobernanza y la articulación práctica con la directiva NIS 2. Está dirigida a CISO, responsables de cumplimiento, gestores de riesgos y directivos de instituciones financieras y proveedores TIC que deben demostrar su conformidad en 2026.
En Abilene Academy, único socio PECB Titanium en Suiza, hemos formado a más de 2 500 profesionales en 120 países, con una tasa de éxito en los exámenes PECB del 99 %. Las páginas que siguen reflejan lo que nuestros formadores observan sobre el terreno: lo que realmente bloquea a las entidades expuestas a DORA en 2026, y lo que marca la diferencia entre la conformidad teórica y la conformidad auditable.
Fecha de plena aplicación de DORA
17 de enero de 2025. Fuente: Reglamento (UE) 2022/2554, artículo 64. Desde esta fecha, el conjunto de exigencias del reglamento y de las normas técnicas asociadas son plenamente aplicables en los 27 Estados miembros de la UE.
99 % de éxito en los exámenes PECB
Tasa de éxito de los candidatos de Abilene Academy en los exámenes de certificación PECB (datos internos verificados, 2025). Abilene Academy es el único socio PECB Titanium en Suiza.
¿Qué es el reglamento DORA?
DORA es el reglamento europeo (UE) 2022/2554 del 14 de diciembre de 2022 que impone un marco armonizado de resiliencia operativa digital al sector financiero. Aplicable desde el 17 de enero de 2025, unifica por primera vez las exigencias de gestión de riesgos TIC a escala de los 27 Estados miembros de la Unión Europea.
DORA: Digital Operational Resilience Act
Reglamento europeo que armoniza las exigencias de resiliencia operativa digital para las entidades financieras y sus proveedores TIC, aplicable desde el 17 de enero de 2025 en los 27 Estados miembros de la UE. Fuente: Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, 14 de diciembre de 2022.
Antes de DORA, la resiliencia digital de las entidades financieras se regía por un mosaico de textos sectoriales, como la CRD para los bancos, Solvencia II para las aseguradoras o MiFID II para los mercados, además de exigencias nacionales heterogéneas. Cada supervisor tenía su interpretación, cada entidad transfronteriza hacía malabares con marcos paralelos. DORA pone fin a esta fragmentación.
El texto se inscribe en el Paquete Finanzas Digitales de la Unión Europea, junto al reglamento MiCA sobre los criptoactivos y al reglamento sobre el régimen piloto DLT. Es la piedra angular de la estrategia europea de ciberseguridad financiera.
Un punto a retener para entender lo que sigue: DORA es un reglamento, no una directiva. Tiene fuerza de ley directamente en cada Estado miembro, sin transposición. Los Estados pueden añadir exigencias nacionales más estrictas (gold plating), pero no pueden ni diluir ni retrasar el texto.
¿A quién afecta el reglamento DORA?
DORA se aplica a las entidades financieras listadas en el artículo 2(1) del reglamento: entidades de crédito, empresas de servicios de inversión, aseguradoras, gestoras de fondos, entidades de pago, proveedores de servicios de criptoactivos, entre otras; el reglamento cubre igualmente a sus proveedores de servicios TIC terceros. Un proveedor TIC solo está sometido a la supervisión directa de la Unión Europea si es designado proveedor tercero crítico (CTPP) por las autoridades europeas; los demás permanecen encuadrados por la relación contractual con su cliente financiero.
El artículo 2(1) del reglamento enumera las entidades afectadas bajo las letras a) a u). El perímetro incluye en particular las entidades de crédito, las entidades de pago, los proveedores de servicios de información sobre cuentas, las entidades de dinero electrónico, las empresas de servicios de inversión, los proveedores de servicios de criptoactivos autorizados (régimen MiCA), los depositarios centrales de valores, las entidades de contrapartida central, los centros de negociación, los registros de operaciones, los gestores de fondos de inversión alternativos, las sociedades gestoras, los proveedores de servicios de comunicación de datos, las empresas de seguros y reaseguros, los intermediarios de seguros y reaseguros, los fondos de pensiones de empleo, las agencias de calificación crediticia, los administradores de índices de referencia de importancia crítica, los proveedores de servicios de financiación participativa, los registros de titulizaciones y los proveedores terceros de servicios TIC.
La formulación exacta, con sus remisiones a los textos europeos asociados (CRD, Solvencia II, MiFID II, MiCA, AIFMD, UCITS, etc.), figura en el texto oficial del reglamento; es él el que prevalece para determinar el estatus de una entidad dada. Algunas letras agrupan varias subcategorías y la calificación precisa de una entidad requiere un análisis caso por caso.
Este último punto es determinante. Un proveedor cloud como AWS, Azure o Google Cloud, un editor de software de trading, un operador de centro de datos puede entrar en el perímetro de DORA cuando presta servicios a una entidad financiera europea. Coexisten dos niveles de implicación: los proveedores designados críticos (CTPP) por las autoridades europeas de supervisión están sujetos a la supervisión directa de un Lead Overseer europeo; los demás proveedores se enmarcan en la relación contractual obligatoria con su cliente financiero (cláusulas de auditoría, localización de datos, estrategias de salida).
Principio de proporcionalidad
Las obligaciones se modulan según el tamaño, el perfil de riesgo y la complejidad de la entidad. Las microempresas se benefician de un régimen simplificado para el marco de gestión de riesgos TIC, útil de conocer para las fintech en arranque y las pequeñas entidades de seguros.
El alcance del reglamento en España y en la UE
DORA aplica directamente en los 27 Estados miembros de la UE, sin transposición. España, Francia, Alemania, Italia, los Países Bajos: todas las entidades financieras de estos países cumplen el mismo texto, con un margen reducido de gold plating nacional. Para las filiales europeas de grupos suizos, británicos o estadounidenses, el reglamento se aplica plenamente desde el momento en que la filial está autorizada en un Estado miembro de la UE.
Para el supervisor español, el Banco de España, la CNMV y la DGSFP coordinan la aplicación de DORA según el tipo de entidad. Las entidades de crédito y empresas de servicios de inversión están bajo la supervisión del Banco de España y la CNMV; las aseguradoras dependen de la DGSFP. El reglamento se aplica directamente sin transposición, pero las autoridades nacionales pueden adoptar disposiciones complementarias o guías técnicas para precisar las modalidades de control.
Artículo 36 del reglamento: los proveedores TIC establecidos fuera de la UE que prestan servicios críticos a entidades financieras europeas pueden ser designados proveedores terceros críticos de servicios TIC (CTPP, Critical Third Party Provider) y sometidos a la supervisión directa de un Lead Overseer europeo. Un proveedor cloud o editor de software basado fuera de la UE que sirve a un banco español o francés puede encontrarse bajo regulación europea directa.
Filiales europeas de grupos extranjeros: un grupo bancario suizo, británico o estadounidense que explota una filial autorizada en un Estado miembro (España, Luxemburgo, Francia, Alemania) debe aplicar DORA a esa filial. Si los servicios TIC están mutualizados desde la matriz extranjera, las exigencias DORA suben mecánicamente hacia la matriz.
Exigencias contractuales impuestas por los clientes UE: las entidades financieras europeas deben integrar las cláusulas contractuales obligatorias de DORA en sus contratos con todos sus proveedores TIC, incluidos los extracomunitarios. Derechos de auditoría, localización de los datos, estrategias de salida, obligaciones de reporting: un proveedor TIC que quiera conservar a sus clientes UE deberá renegociar.
Riesgo operativo 2026
Algunas entidades descubren en 2026, al renegociar con sus clientes europeos, que llevan entre 12 y 18 meses de retraso sobre las cláusulas contractuales DORA. El coste de recuperación supera sistemáticamente el coste de una puesta en conformidad planificada. Iniciar el análisis de exposición ahora evita este escenario.
Calendario de aplicación de DORA
DORA fue adoptado el 14 de diciembre de 2022, publicado en el Diario Oficial de la UE el 27 de diciembre de 2022, y entró en vigor el 16 de enero de 2023. La fecha de aplicación de las obligaciones está fijada para el 17 de enero de 2025. Desde esa fecha, el conjunto de exigencias del reglamento y de las normas técnicas asociadas son plenamente aplicables.
Línea de tiempo vertical de los hitos DORA de 2022 a 2026+: adopción, publicación DOUE, entrada en vigor, periodo transitorio, segundo paquete RTS/ITS, aplicación plena, supervisión efectiva, ciclos TLPT.
En 2026, la fase de actualización ha terminado. Las autoridades competentes, Banco de España y CNMV en España, ACPR y AMF en Francia, BaFin en Alemania, CSSF en Luxemburgo, controlan la conformidad efectiva. Se espera el primer balance de supervisión europea en el transcurso del año.
Los 5 pilares del reglamento DORA
DORA se estructura en 9 capítulos y 64 artículos, cuyas obligaciones operativas se organizan en cinco pilares: gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia, gestión de riesgos de terceros TIC e intercambio de información sobre ciberamenazas. Cada pilar impone un conjunto de obligaciones específicas a las entidades financieras y a sus proveedores.
Diagrama en cuadrícula de los 5 pilares DORA con rango de artículos e icono para cada pilar.
Pilar 1: gestión de riesgos TIC (artículos 5 a 16)
Es el cimiento del reglamento. Las entidades financieras deben implantar un marco de gestión de riesgos TIC completo, documentado, actualizado periódicamente y validado por el órgano de dirección. Este marco debe cubrir cinco funciones esenciales: identificación (cartografiar activos TIC, funciones críticas, dependencias de terceros; el artículo 8 exige una revisión anual); protección (controles de acceso, cifrado, gestión de parches, segmentación; exigencias precisadas por el reglamento delegado (UE) 2024/1774 del 13 de marzo de 2024); detección (vigilancia continua, detección de anomalías, alertas en tiempo real); respuesta y recuperación (planes de incidente, continuidad TIC, recuperación ante desastres); y aprendizaje y evolución (retroalimentación sistemática). Una función de gestión de riesgos TIC debe ser designada, con un nivel de independencia suficiente respecto a las funciones operativas.
Pilar 2: notificación de incidentes TIC (artículos 17 a 23)
Las entidades deben detectar, clasificar y notificar sus incidentes TIC según un régimen armonizado. La clasificación se apoya en criterios precisos definidos por los RTS: número de clientes afectados, duración del incidente, alcance geográfico, pérdidas de datos, impacto económico, criticidad de los servicios afectados. Para un incidente clasificado como mayor, el proceso de notificación es en tres tiempos: notificación inicial en plazos muy cortos tras la clasificación (típicamente 4 horas), notificación intermedia con los elementos de análisis consolidados, y luego informe final una vez tratado el incidente. Las entidades también deben llevar un registro de todos los incidentes TIC, incluidos los no mayores, a disposición de la autoridad competente.
Pilar 3: pruebas de resiliencia operativa digital (artículos 24 a 27)
Coexisten dos niveles de pruebas. Las pruebas de base son obligatorias para todas las entidades, al menos una vez al año: evaluaciones de vulnerabilidad, pruebas de seguridad de redes, análisis de brechas, auditorías de código fuente, pruebas de rendimiento, pruebas de escenarios, exámenes de seguridad física.
TLPT: Threat-Led Penetration Testing
Pruebas avanzadas de penetración basadas en la amenaza, inspiradas en el marco TIBER-EU. Obligatorias únicamente para las entidades designadas por las autoridades competentes según un criterio de importancia sistémica, con una frecuencia mínima de tres años. Fuente: Reglamento (UE) 2022/2554, artículos 26 y 27.
Las pruebas TLPT simulan ataques realistas llevados a cabo por testers externos cualificados contra las funciones críticas de la entidad. Los resultados deben comunicarse a la autoridad competente y dar lugar a planes de remediación con seguimiento.
Pilar 4: gestión de los riesgos asociados a los proveedores terceros de servicios TIC (artículos 28 a 44)
Es la innovación más destacada del reglamento y la sección que extiende por primera vez la vigilancia regulatoria europea más allá de las entidades financieras mismas, hacia sus proveedores tecnológicos. Coexisten dos marcos.
Marco de gestión de riesgos de terceros TIC (aplicable a todas las entidades): evaluación de los riesgos antes de toda externalización, integración de cláusulas contractuales obligatorias en los contratos TIC (derechos de auditoría in situ, localización de los datos, estrategias de salida, garantías de continuidad), y mantenimiento de un registro de acuerdos contractuales transmitido regularmente a la autoridad competente. Plataformas especializadas como Supplier Shield industrializan la llevanza de este registro, la cartografía de criticidad y la vigilancia continua de las cláusulas DORA en los contratos TIC.
CTPP: Critical Third Party Provider
Proveedor tercero de servicios TIC designado crítico por las autoridades europeas de supervisión (EBA, EIOPA, ESMA), sometido a la supervisión directa de un Lead Overseer europeo con poder de inspección in situ, recomendaciones y multas coercitivas. Fuente: Reglamento (UE) 2022/2554, artículos 31 a 35.
Marco de supervisión directa de los proveedores TIC críticos (CTPP): el Lead Overseer puede llevar a cabo inspecciones in situ, formular recomendaciones y, en último recurso, pedir a las entidades financieras que suspendan o rompan sus relaciones contractuales con un proveedor no conforme. Para las entidades que ya utilizan la plataforma Supplier Shield para la gestión de sus riesgos de terceros, DORA hace que las exigencias de cartografía, criticidad y revisión contractual sean oponibles, y por tanto auditables.
Pilar 5: intercambio de información sobre ciberamenazas (artículo 45)
Quinto pilar, más ligero en el plano obligacional: las entidades son animadas a compartir entre ellas información e inteligencia sobre ciberamenazas, en el seno de comunidades de confianza, en cumplimiento del RGPD y de las reglas de competencia. El intercambio es voluntario, pero el reglamento lo encuadra para dar un marco jurídico claro a estos intercambios.
DORA y NIS 2: el principio de lex specialis
Para las entidades financieras que dependen a la vez del reglamento DORA y de la directiva NIS 2, prevalece DORA en virtud del principio de lex specialis; la ley especial deroga a la ley general. Un banco o una aseguradora que aplica DORA no tiene que aplicar NIS 2 en los ámbitos cubiertos por DORA, pero NIS 2 puede seguir siendo pertinente para los aspectos no cubiertos (seguridad de la cadena de suministro en sentido amplio, ciertas obligaciones de seguridad de los datos).
Ambos textos tratan de ciberseguridad y resiliencia, y sus ámbitos de aplicación se solapan parcialmente. El legislador europeo anticipó el conflicto y lo resolvió: para las entidades financieras, DORA es la legislación sectorial de referencia. Las obligaciones NIS 2 que serían redundantes con DORA quedan reemplazadas por DORA.
En la práctica, esto significa:
- Para un banco: se aplica DORA, no NIS 2 en cuanto a riesgos TIC, gestión de incidentes, pruebas de resiliencia y gestión de terceros TIC.
- Para un proveedor TIC no financiero: se aplica NIS 2 si responde a los criterios de la directiva (tamaño, sector esencial o importante).
- Para un proveedor TIC que sirve a un banco UE: potencialmente ambos marcos se aplican, con obligaciones diferentes según el cliente final.
Para profundizar en las obligaciones NIS 2 propiamente dichas, en particular el ámbito de aplicación, las sanciones, el artículo 21 y la transposición en los Estados miembros, consulte nuestra guía completa de la directiva NIS 2 (2026). Para un proveedor TIC no financiero que sirve a la vez a clientes financieros UE y a infraestructuras críticas, ambas guías se leen en conjunto.
Sanciones y multas coercitivas DORA
El reglamento DORA deja a los Estados miembros la responsabilidad de definir su régimen de sanciones aplicable a las entidades financieras, pero impone principios: las sanciones deben ser efectivas, proporcionadas y disuasorias. Para los proveedores TIC críticos (CTPP), el Lead Overseer europeo puede imponer multas coercitivas que pueden alcanzar el 1 % del volumen de negocios mundial diario medio, durante seis meses como máximo (artículo 35).
Las sanciones disponibles para las autoridades nacionales competentes (Banco de España, CNMV, ACPR, AMF, BaFin, CSSF, etc.):
- Requerimientos de subsanación: orden formal de corregir un incumplimiento en un plazo determinado.
- Sanciones administrativas pecuniarias: importes definidos por cada Estado miembro.
- Multas coercitivas diarias: para forzar la conformidad.
- Retirada o suspensión de la autorización: en los casos más graves, equivale al cese de actividad.
- Declaraciones públicas: la autoridad puede hacer pública la identidad de la persona responsable y la naturaleza del incumplimiento (artículo 50(4)).
- Sanciones penales: los Estados pueden preverlas en caso de infracción.
Para los proveedores TIC críticos, el artículo 35 prevé un régimen específico: el Lead Overseer europeo puede imponer multas coercitivas diarias de hasta 1 % del volumen de negocios mundial diario medio del proveedor, durante un máximo de seis meses, para forzar la puesta en conformidad.
Para situarlo respecto a otros textos europeos: la directiva NIS 2 prevé para las entidades esenciales multas administrativas que pueden alcanzar 10 millones de euros o el 2 % del volumen de negocios mundial anual total, según el régimen nacional de transposición. DORA adopta una lógica diferente, hecha de sanciones graduadas, multas coercitivas y medidas prudenciales, y deja a los Estados miembros la fijación de los topes de las multas para las entidades financieras en su territorio. El régimen aplicable a una situación concreta depende por tanto del Estado miembro, del tipo de entidad afectada y de la naturaleza del incumplimiento.
Gobernanza DORA: la responsabilidad del consejo de administración
DORA atribuye la responsabilidad de la resiliencia operativa digital al órgano de dirección de la entidad financiera. Esta responsabilidad es directa, personal y no puede delegarse en la función de cumplimiento ni en el departamento de IT. El consejo de administración debe definir, aprobar, supervisar y revisar periódicamente el marco de gestión de riesgos TIC, asignar un presupuesto suficiente y formarse regularmente en los riesgos digitales.
Las obligaciones específicas del consejo de administración (u órgano equivalente):
- Definir y aprobar la estrategia de resiliencia operativa digital
- Aprobar el marco de gestión de riesgos TIC y supervisar su implementación
- Aprobar la política de continuidad de las actividades TIC y los planes de recuperación ante desastres
- Aprobar y revisar periódicamente los planes de auditoría TIC
- Asignar un presupuesto suficiente a la resiliencia operativa digital
- Formarse regularmente en los riesgos TIC y en su evolución
Es un cambio cultural mayor. En muchas instituciones, la ciberseguridad recaía históricamente en un nivel operativo (CIO, CISO). DORA la lleva al nivel estratégico; pasa a ser una cuestión de gobernanza al mismo nivel que la solvencia o la liquidez.
Resiliencia operativa no es continuidad de actividad
Ambas nociones se confunden con frecuencia. La resiliencia operativa, en el sentido de DORA, cubre la capacidad de mantener los servicios críticos bajo cualquier forma de perturbación TIC, más allá del perímetro clásico del BCM ISO 22301. Para un banco UE que quiera alinear su dispositivo BCM con las expectativas DORA, la lectura cruzada de ambos marcos es la norma.
Los 8 pasos prácticos de la puesta en conformidad DORA
La puesta en conformidad DORA sigue un enfoque estructurado en ocho pasos, desde el análisis de aplicabilidad hasta la integración en los procesos de control interno. La duración y el coste dependen fuertemente del tamaño de la entidad, de la complejidad de su sistema TIC y de su nivel de madurez inicial; las instituciones complejas movilizan generalmente presupuestos y plazos sustanciales.
- 1. Análisis de aplicabilidad: confirmar la entrada en el ámbito de aplicación (artículo 2) e identificar las obligaciones específicas según el tamaño y el perfil de riesgo.
- 2. Diagnóstico del existente: evaluar la madurez actual en materia de resiliencia operativa digital respecto a las exigencias del reglamento. Identificar las brechas críticas.
- 3. Gobernanza: responsabilizar formalmente al órgano de dirección, designar la función de gestión de riesgos TIC, formalizar la estrategia de resiliencia.
- 4. Marco de gestión de riesgos TIC: elaborar o actualizar el marco conforme a las exigencias del reglamento y del reglamento delegado (UE) 2024/1774.
- 5. Gestión de los proveedores terceros: inventariar los acuerdos contractuales TIC, evaluar los riesgos de concentración, renegociar los contratos para integrar las cláusulas obligatorias.
- 6. Pruebas de resiliencia: planificar y ejecutar el programa de pruebas, incluidas las TLPT para las entidades afectadas.
- 7. Notificación de incidentes: implantar el dispositivo de detección, clasificación y notificación de incidentes TIC, con procedimientos de escalado 24/7.
- 8. Mejora continua: integrar la resiliencia operativa digital en los procesos de gobernanza, de auditoría interna y de control permanente.
Las encuestas de mercado realizadas antes de la fecha límite de enero de 2025 señalaban un nivel de preparación heterogéneo en el sector. En 2026, comienza la fase de supervisión efectiva y los rezagados entran en el campo de control de las autoridades competentes.
Escenarios transfronterizos para las entidades expuestas a DORA
Una entidad puede verse afectada por DORA en tres escenarios principales: presta servicios TIC críticos a una entidad financiera europea, explota una filial autorizada en un Estado miembro, o utiliza ella misma proveedores TIC que dependen de DORA. En cada caso, el análisis de exposición y la renegociación contractual deben llevarse a cabo de inmediato.
Escenario 1: proveedor TIC de un banco europeo. Una sociedad presta un software de core banking, un servicio cloud o un servicio de análisis de datos a un banco español o francés. Si esos servicios son calificados de críticos por el banco cliente, el proveedor deberá aceptar la integración de las cláusulas contractuales DORA (derechos de auditoría, localización de los datos, estrategia de salida, obligaciones de reporting). Si su importancia sistémica lo justifica, puede ser designado CTPP y sometido a la supervisión directa de un Lead Overseer europeo en virtud del artículo 36.
Escenario 2: grupo internacional con filial autorizada en la UE. Un grupo financiero internacional explota una filial en España, Luxemburgo, Alemania o Francia. La filial está directamente sometida a DORA. Si los servicios TIC están mutualizados a nivel de grupo desde la matriz, las exigencias DORA suben mecánicamente hacia la matriz: marco de gestión de riesgos TIC coherente, registro de acuerdos contractuales consolidado, gobernanza de grupo alineada.
Escenario 3: entidad financiera que utiliza proveedores TIC designados CTPP. Si los proveedores TIC de la entidad son ellos mismos CTPP en virtud de DORA, la coordinación con el Lead Overseer puede afectar a la continuidad del servicio. En algunos casos extremos, una recomendación del Lead Overseer puede obligar a un proveedor crítico a reestructurar su actividad, con un impacto en cascada en sus clientes.
Acciones a llevar a cabo en 2026 para una entidad expuesta:
- Inventariar todos los contratos con entidades UE y todos los contratos en los que el proveedor sea potencialmente CTPP.
- Calificar la criticidad de los servicios prestados o recibidos.
- Anticipar la renegociación contractual: cláusulas de auditoría, SLA, estrategias de salida.
- Alinear el marco interno de resiliencia con DORA y FINMA 23/01 para evitar la duplicación de esfuerzos.
- Formar a los equipos de cumplimiento, riesgo y TI sobre las exigencias específicas de DORA. Para los proyectos complejos, apoyarse en Abilene Advisors, la consultora GRC del grupo Abilene, que interviene en todo el ciclo DORA: análisis de exposición, mapeo de CTPP, renegociación contractual, alineación ISO 27001 / FINMA 23/01 / NIS 2.
Formación y certificación PECB DORA Lead Manager
La certificación PECB DORA Lead Manager es la vía de referencia para los profesionales que dirigen la puesta en conformidad con DORA dentro de una entidad financiera o de un proveedor TIC. Acredita el dominio de los 5 pilares del reglamento, la capacidad de implementar un marco de gestión de riesgos TIC, y las competencias necesarias para conducir todo el proyecto de cumplimiento. La formación se desarrolla en 5 días, con examen el último día.
Público objetivo:
- CISO, CIO, Responsable de Seguridad de la Información de entidades financieras europeas y suizas
- Responsables de cumplimiento, risk managers, auditores internos en el sector bancario, seguros, gestión de activos
- Responsables de la continuidad de negocio y de la resiliencia operativa
- Consultores GRC especializados en el sector financiero
- Directivos y miembros del comité de auditoría que deben supervisar la gobernanza DORA
Lo que cubre la formación:
- Panorama regulatorio europeo y articulación con los demás textos (NIS 2, RGPD, MiCA, Solvencia II)
- Los 5 pilares del reglamento y sus artículos respectivos
- Implementación práctica de un marco de gestión de riesgos TIC
- Gestión de proveedores externos, registro de acuerdos contractuales, cláusulas obligatorias
- Pruebas de resiliencia y metodología TLPT
- Gobernanza, roles y responsabilidades del órgano de dirección
- Preparación para el examen de certificación
Requisitos previos: comprensión fundamental de los conceptos de seguridad de la información y de ciberseguridad, familiaridad con los principios de gestión de riesgos TIC. Una base sólida en ISO 27001 es una ventaja importante; los profesionales certificados ISO 27001 Lead Implementer alcanzan la conformidad con DORA más rápidamente gracias a la alineación de los marcos de controles.
Para los profesionales basados en Suiza, la formación DORA Lead Manager adquiere todo su sentido combinada con una comprensión fina de la Circular FINMA 23/01 y del marco prudencial suizo. Abilene Academy es el único partner PECB Titanium en Suiza, con una tasa de aprobación del 99 % en los exámenes PECB y más de 2.500 profesionales formados en 120 países. La formación está disponible en francés, inglés y español, con varios formatos a elegir: presencial, aula virtual, eLearning o autoaprendizaje. Otros idiomas están disponibles bajo demanda.
Itinerario recomendado para un profesional que empieza: ISO 27001 Lead Implementer → PECB DORA Lead Manager → formación continua sobre la evolución del reglamento en 2026-2027. Para un perfil más orientado a resiliencia operativa y continuidad de negocio, la certificación PECB Lead Operational Resilience Manager es un complemento natural.
Para situar DORA en el ecosistema GRC suizo más amplio, ver también nuestra guía completa de las formaciones ISO 27001 en Suiza (2026).
Las normas técnicas complementarias (RTS e ITS)
El reglamento DORA se complementa con un conjunto de normas técnicas de regulación (RTS) y normas técnicas de ejecución (ITS) adoptadas por las autoridades europeas de supervisión (EBA, EIOPA, ESMA). Estas normas precisan las modalidades operativas del reglamento: marco de gestión de riesgos TIC, clasificación de incidentes, metodología TLPT, formato del registro de acuerdos contractuales, criterios de designación de los CTPP.
Los principales textos delegados y de ejecución publicados hasta la fecha:
- Reglamento delegado (UE) 2024/1774 de 13 de marzo de 2024: precisa las exigencias de gestión de riesgos TIC, especialmente el control de acceso a los activos TIC.
- Normas técnicas sobre la clasificación de incidentes: umbrales de materialidad, plantillas de notificación.
- Normas técnicas sobre el registro de acuerdos contractuales: formato y contenido del registro que debe transmitirse a las autoridades.
- Normas técnicas sobre los TLPT: metodología, cualificaciones de los testers, perímetros de prueba.
- Normas técnicas sobre la supervisión de los CTPP: criterios de designación, poderes del Lead Overseer.
Estas normas técnicas constituyen el nivel de detalle indispensable para la puesta en marcha concreta del reglamento. Su seguimiento es una tarea permanente para la función de gestión de riesgos TIC.
En resumen
DORA ya no es un proyecto por preparar. Desde el 17 de enero de 2025, es un marco aplicable, controlable y sancionable. Para las entidades financieras europeas, 2026 es el año en el que el cumplimiento teórico se encuentra con la supervisión real. Para los actores suizos, especialmente los bancos con filiales en la UE, los proveedores TIC que sirven a clientes europeos y los grupos financieros transfronterizos, DORA impone una doble lectura con la Circular FINMA 23/01, y una renegociación contractual sistemática.
El factor de éxito más citado por los equipos que ya han avanzado: la coherencia entre los marcos de referencia. No tratar DORA, FINMA 23/01 y NIS 2 en silos separados, sino alinear el marco de controles sobre una base común, típicamente ISO 27001, y conectar por encima las exigencias específicas de cada texto. Las plataformas GRC unificadas como Acuna industrializan este enfoque al consolidar los controles ISO 27001 / DORA / FINMA / NIS 2 en un marco único y auditable.
La mirada de campo de Alexis Hirschhorn, Senior Trainer, Abilene Academy
«La trampa de DORA, en 2026, no es regulatoria: es cultural. En muchos consejos de administración, la ciberseguridad sigue mentalmente archivada en el departamento técnico, en algún lugar entre el CIO y el CISO. DORA la traslada un piso más arriba: se convierte en una responsabilidad personal, no delegable, del consejo. Las entidades que no hayan operado este desplazamiento en la cabeza de sus administradores estarán en conformidad sobre el papel y expuestas en los hechos.»
Fuentes y referencias
- Reglamento (UE) 2022/2554: DORA (EUR-Lex, Parlamento Europeo y Consejo, 14 de diciembre de 2022).
- Reglamento delegado (UE) 2024/1774 de 13 de marzo de 2024 (EUR-Lex, Comisión Europea): gestión de riesgos TIC y control de acceso.
- Circular FINMA 2023/1: Riesgos y resiliencia operativos para bancos (FINMA, en vigor desde el 1 de enero de 2024).
- Circular FINMA 2018/3: Outsourcing para bancos y aseguradoras (FINMA, en vigor desde el 1 de abril de 2018, revisada).
- Marco TIBER-EU: Threat Intelligence-based Ethical Red Teaming (Banco Central Europeo, referencia para la metodología TLPT).
- Digital Finance Package (Comisión Europea): estrategia europea sobre las finanzas digitales, marco en el que se inscribe DORA.
- PECB DORA Lead Manager: ficha de certificación (PECB, marco oficial de la certificación).
