Ir al contenido
Inicio Implantación SGSI DORA
DORA

DORA: Resiliencia Operativa Digital

Adapte su organización al Reglamento UE de Resiliencia Operativa Digital que protege al sector financiero frente a riesgos tecnológicos, incluidos ciberataques y fallos de sistemas.

Reglamento UE 2022/2554 · Aplicable desde 17 ene 2025 · +20 años en cumplimiento financiero

Resiliencia operativa digital sector financiero

Aplicación directa desde enero 2025 · supervisión Banco de España, CNMV, DGSFP
REGLAMENTO UE
Marcos relacionados con DORA
ISO 27001Base SGSI
NIS 2Directiva ciberseguridad UE
ISO 22301Continuidad de negocio
NIST CSFCybersecurity Framework
TIBER-EUPruebas TLPT
ENISAAgencia ciberseguridad UE
5 pilares
Gestión riesgo TIC · Incidentes · Pruebas · Terceros · Información
1 %
Sanción máxima · Volumen de negocio mundial
24 h / 72 h
Notificación incidentes · Alerta inicial y informe

Cifras pendientes de validar con cliente.

QUÉ ES

¿Qué es DORA?

DORA (Digital Operational Resilience Act · Reglamento UE 2022/2554) es el reglamento europeo que fortalece la capacidad de las entidades financieras para resistir, responder y recuperarse de todo tipo de incidentes tecnológicos. Es de aplicación directa desde el 17 de enero de 2025 y establece requisitos en gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia y supervisión de proveedores tecnológicos.

Se estructura en cinco pilares y afecta tanto a entidades financieras como a sus proveedores TIC críticos, incluidos los proveedores cloud y los servicios SaaS especializados.

Sector financiero UE

Bancos, aseguradoras, gestoras, plataformas de pago y proveedores TIC críticos.

Reglamento de aplicación directa

No requiere transposición · vigente desde enero 2025.

Notificación obligatoria de incidentes

Alerta inicial 24h, informe intermedio 72h, informe final 1 mes.

Pruebas de resiliencia

TLPT (Threat-Led Penetration Testing) cada tres años en entidades grandes.

A QUIÉN APLICA

¿A quién aplica DORA?

Sector financiero europeo y su cadena tecnológica.

Entidades de crédito · bancos comerciales, cajas, cooperativas de crédito
Aseguradoras, reaseguradoras y mediadores de seguros
Gestoras de fondos, instituciones de inversión colectiva y SGIIC
Plataformas de pago, EDE, EME y proveedores de servicios de criptoactivos
Proveedores TIC críticos del sector financiero · cloud, software core, ciberseguridad
Sucursales en la UE de entidades de terceros países

¿Su caso no aparece aquí? Cuéntenos su situación →

ENTREGABLES

¿Qué te aporta Grupo CFI?

Documentación auditable y acompañamiento ante supervisores financieros.

Gap analysis 5 pilares DORA INFORME
Mapa de riesgos TIC clasificado
Plan de adecuación priorizado PLAN
Procedimiento de notificación incidentes
Evidencias auditables por pilar
Cláusulas DORA para contratos TIC
Bolsa de horas de soporte continuo
ISO Director módulo riesgo TIC

Acompañamiento ante inspecciones de Banco de España, CNMV o DGSFP.

METODOLOGÍA

Hoja de ruta para la adecuación a DORA

Cinco pasos que cubren los cinco pilares del reglamento.

1
GAP ANALYSIS
Gap analysis 5 pilares

Análisis frente a gestión riesgo TIC, gestión incidentes, pruebas resiliencia, riesgo terceros e intercambio información.

3-5 semanas
2
GOBERNANZA
Marco de gobernanza TIC

Diseño del marco de gobernanza de riesgos TIC alineado con la entidad y su perfil.

4-6 semanas
3
INCIDENTES
Gestión de incidentes

Procesos de gestión e informe a autoridades competentes con plazos 24h/72h/1 mes.

4-6 semanas
4
TLPT
Pruebas de resiliencia

Pruebas de resiliencia operativa digital · TLPT donde aplique.

8-12 semanas
5
TERCEROS
Riesgo de terceros

Adecuación de contratos con proveedores TIC críticos a los requisitos DORA.

6-8 semanas
BENEFICIOS

¿Por qué adecuarse a DORA?

Cuatro razones por las que DORA es mucho más que una obligación regulatoria.

Evita sanciones graves

Hasta 1% del volumen de negocio mundial · supervisión activa de Banco de España, CNMV y DGSFP.

Resiliencia real

Reducción de impacto de ciberataques y fallos sistémicos.

Marco UE armonizado

Facilita operar transfronterizamente en la UE.

Control del riesgo de terceros

Reducción del riesgo de concentración tecnológica en proveedores críticos.

SOFTWARE PROPIO · INCLUIDO OPCIONAL

Gestione su cumplimiento de DORA con ISO Director

Plataforma integral para mantener viva su resiliencia operativa digital conforme a DORA. Desarrollada por nuestro equipo, utilizada por entidades del sector financiero.

Software propio · Incluido opcional
ISO Director

ISO Director

Centraliza documentación, evidencias, controles, auditorías y riesgos. Alineada con ISO 27001, ENS, TISAX, DORA y NIS 2.

  • Documentación viva con control de versiones
  • Análisis de riesgos guiado
  • Matriz SoA actualizable
  • Gestión de incidentes
  • Evidencias trazables
ISO Director · panel del SGSI integrado en un portátil
POR QUÉ CFI

Consultores con experiencia en sector financiero

Cuatro razones por las que entidades financieras confían en Grupo CFI para adecuarse a DORA.

20+ años en sector financiero

Consultoría a bancos y aseguradoras desde 2003.

Equipo especializado

Profesionales con experiencia previa en entidades financieras.

Lead Auditor ISO 27001

Acompañamiento técnico ante supervisores.

Certificaciones corporativas

ISO 9001, ISO 27001, ENS Alto e ISO 14001.

FAQ

Preguntas frecuentes sobre DORA

Las dudas más habituales antes de iniciar el proceso de adecuación.

¿Desde cuándo es obligatorio DORA?
DORA es aplicable directamente desde el 17 de enero de 2025. Las autoridades competentes (Banco de España, CNMV y DGSFP) ya están realizando inspecciones de cumplimiento desde esa fecha.
¿Qué pasa con los proveedores TIC que no son entidades financieras?
DORA aplica también a proveedores TIC críticos del sector. La entidad cliente debe asegurar que su proveedor cumple los requisitos, normalmente por cláusulas contractuales obligatorias y derecho de auditoría.
¿Qué es el TLPT y cuándo aplica?
Threat-Led Penetration Testing · pruebas avanzadas de penetración basadas en escenarios reales de amenazas. Aplica a entidades grandes según criterios de la autoridad competente. Cada tres años para las afectadas.
¿Es compatible con NIS 2?
Sí. NIS 2 es la norma horizontal de ciberseguridad UE para sectores críticos, DORA es la específica del sector financiero. Para entidades financieras prevalecen las disposiciones DORA sobre NIS 2 en materia ciberseguridad TIC.
¿Qué plazos hay para notificar incidentes?
Alerta inicial dentro de las 24 horas posteriores a la detección, informe intermedio en 72 horas y informe final en 1 mes. La autoridad competente puede solicitar información adicional en cualquier momento.
¿Cuáles son las sanciones por incumplimiento?
Hasta el 1% del volumen de negocio mundial diario por infracciones de proveedores TIC críticos, y multas administrativas significativas para entidades financieras. La supervisión es continua, no solo inspecciones periódicas.
¿COMENZAMOS?

Prepare su entidad para la supervisión DORA.

Un gap analysis inicial le indica exactamente qué le falta sobre los cinco pilares de DORA y cómo organizarlo en un plan de adecuación realista. Hablemos sin compromiso.