
DORA: qué exige a fintech y a quien sirve a la banca
El reglamento DORA (Reglamento UE 2022/2554, de resiliencia operativa digital) se aplica desde el 17 de enero de 2025 a más de veinte tipos de entidades financieras de la UE: bancos, aseguradoras, empresas de servicios de inversión, entidades de pago y de dinero electrónico, gestoras de fondos, proveedores de criptoactivos y fintech en general. Les exige gestionar el riesgo tecnológico con un marco formal, notificar los incidentes TIC graves a su supervisor, probar periódicamente su resiliencia y controlar de forma estricta a sus proveedores tecnológicos. Y ahí está la letra pequeña que más afecta al ecosistema español: si tu empresa vende software o servicios TIC a una entidad financiera, DORA te alcanza por contrato, aunque tú no seas una entidad regulada.
En 2026 esto ya no es teoría. La CNMV y el Banco de España han integrado DORA en su supervisión ordinaria, incluida la revisión SREP, con exigencias medibles: registros de proveedores, planes de pruebas y evidencias de gobernanza. El resultado práctico es que las entidades están repapelando sus contratos tecnológicos, y las pymes de software que no saben responder al cuestionario DORA de su cliente bancario están perdiendo renovaciones. Veamos qué pide exactamente la norma y qué debes preparar según tu posición en la cadena.
¿Qué es el reglamento DORA y a quién aplica?
DORA (Digital Operational Resilience Act) parte de una idea sencilla: de poco sirve exigir solvencia financiera a un banco si un fallo tecnológico o un ciberataque puede tumbar sus servicios. Por eso convierte la resiliencia digital en materia regulada, con el mismo rango que el capital o la liquidez. Aplica a las entidades financieras autorizadas en la UE, con proporcionalidad según tamaño y perfil de riesgo, y crea además una figura inédita: los proveedores TIC considerados esenciales para el sistema financiero (grandes nubes, por ejemplo) quedan bajo supervisión directa de las autoridades europeas.
Sus obligaciones se organizan en cinco pilares:
| Pilar | Qué exige | Ejemplo práctico |
|---|---|---|
| 1. Gestión del riesgo TIC | Marco documentado de identificación, protección, detección y recuperación, aprobado por el órgano de dirección | Inventario de activos críticos y planes de continuidad probados |
| 2. Gestión y notificación de incidentes | Clasificar los incidentes TIC y notificar los graves al supervisor con informes inicial, intermedio y final | Una caída del servicio de pagos se reporta con plazos tasados |
| 3. Pruebas de resiliencia | Programa anual de pruebas; las entidades significativas, pruebas de penetración avanzadas (TLPT) cada tres años | Escaneos de vulnerabilidades, pruebas de escenario, red team |
| 4. Riesgo de terceros TIC | Registro de información de todos los contratos TIC, cláusulas obligatorias, estrategia de salida por proveedor crítico | El banco exige a su proveedor de software auditorías y derecho de acceso |
| 5. Intercambio de información | Marcos voluntarios para compartir inteligencia sobre ciberamenazas entre entidades | Participación en comunidades sectoriales de ciberinteligencia |
¿Afecta DORA a los proveedores tecnológicos de los bancos?
Sí, y de dos maneras muy distintas que conviene no confundir:
- Proveedores TIC esenciales: los gigantes de infraestructura designados por las autoridades europeas (ESA) quedan bajo un régimen de supervisión directa, con inspecciones y sanciones propias. Aquí están los grandes hiperescaladores de nube; una pyme española no entra en esta categoría.
- El resto de proveedores TIC: no están regulados directamente, pero sus clientes financieros están obligados a trasladarles requisitos por contrato. El artículo 30 de DORA fija el contenido mínimo de esos contratos: descripción completa del servicio y niveles de servicio, ubicación del tratamiento de datos, obligaciones de asistencia en incidentes, derechos de auditoría y acceso del cliente y de sus supervisores, condiciones de terminación y estrategia de salida, y participación en la formación de resiliencia cuando proceda.
Traducción para una pyme tecnológica: tu cliente bancario o asegurador va a renegociar tu contrato, te pedirá evidencias de seguridad, querrá auditar y exigirá un plan de reversibilidad. Quien llega a esa conversación con los deberes hechos convierte DORA en ventaja competitiva; quien improvisa, en motivo de sustitución.
¿Qué exige DORA a una fintech pequeña?
Si tu empresa es una entidad de pago, de dinero electrónico o una empresa de inversión pequeña, estás dentro del ámbito de DORA como entidad financiera, pero con proporcionalidad: el marco de gestión de riesgos puede ser simplificado según tu tamaño y perfil. El mínimo razonable que los supervisores españoles esperan ver:
- Un responsable identificado del riesgo TIC y compromiso demostrable del consejo, que aprueba el marco y responde de él.
- Inventario de funciones críticas, sistemas que las soportan y proveedores de los que dependen.
- Política de gestión de incidentes con clasificación y procedimiento de notificación al supervisor (Banco de España o CNMV según tu autorización).
- Registro de información de contratos TIC, en el formato de las plantillas europeas, actualizado y disponible a requerimiento.
- Un programa de pruebas anual proporcionado: análisis de vulnerabilidades, pruebas de copias de seguridad y ejercicios de escenario.
¿Es asumible sin un departamento de cumplimiento? Sí, si se automatiza lo automatizable: el registro de proveedores, la recopilación de evidencias y la monitorización continua son procesos que hoy se resuelven con software y agentes, no con carpetas. Es el enfoque que aplicamos con clientes del sector en nuestras soluciones para finanzas.
DORA, NIS2, RGPD y AI Act: quién pide qué
Al sector financiero le cae en paralelo toda la oleada regulatoria digital europea, y ordenar el mapa evita duplicar trabajo. DORA es ley especial para finanzas y prevalece sobre NIS2 en lo que se solapan, así que una entidad financiera cumple su ciberseguridad vía DORA. El RGPD sigue aplicando a cualquier dato personal, con la AEPD como supervisor separado. Y si la entidad usa IA para scoring crediticio o precios de seguros, el AI Act la clasifica como alto riesgo, con obligaciones añadidas desde agosto de 2026. La estrategia sensata no es tres proyectos de cumplimiento, sino un único sistema de gobernanza tecnológica con tres salidas documentales, la misma lógica que recomendamos en la guía de IA para empresas.
Cómo convertir DORA en argumento de venta si eres proveedor
Una opinión desde la trinchera: la mayoría de proveedores tecnológicos vive DORA como una imposición, y es un error de enfoque. Las entidades financieras necesitan proveedores que les hagan fácil el cumplimiento, y los eligen. Tres movimientos rentables:
- Prepara tu dossier DORA: un documento estándar con tus medidas de seguridad, subcontratistas, ubicaciones de datos, SLA y plan de salida. Responder en dos días lo que a tu competencia le cuesta dos meses cierra contratos.
- Adapta tus plantillas de contrato al artículo 30 antes de que te lo pidan, con cláusulas de auditoría y asistencia en incidentes ya redactadas.
- Instrumenta tus evidencias: logs, informes de pruebas y disponibilidad histórica exportables. Si tu software genera las evidencias que el supervisor pide a tu cliente, te vuelves difícil de sustituir.
Preguntas frecuentes sobre el reglamento DORA
¿Qué pruebas de resiliencia digital pide DORA?
Todas las entidades deben ejecutar un programa anual proporcionado: análisis de vulnerabilidades, pruebas de red y de aplicaciones, evaluaciones de escenario y pruebas de continuidad. Las entidades significativas deben además superar pruebas de penetración guiadas por amenazas (TLPT) al menos cada tres años, dirigidas contra sus funciones críticas en producción.
¿Qué sanciones tiene incumplir DORA en España?
DORA remite el régimen sancionador a los Estados y a la normativa sectorial financiera: en España lo aplican el Banco de España, la CNMV y la DGSFP con sus catálogos de infracciones, que permiten multas elevadas e incluso medidas sobre los cargos de administración. Para los proveedores TIC esenciales supervisados directamente hay multas coercitivas específicas.
¿DORA obliga a contratar proveedores europeos?
No obliga, pero condiciona: exige evaluar el riesgo de concentración y de país, pactar la ubicación del tratamiento de datos y garantizar derechos de auditoría efectivos. En la práctica, muchas entidades priorizan proveedores con presencia y soporte en la UE porque simplifican el cumplimiento y la estrategia de salida.
¿Cuál es la diferencia entre DORA y NIS2?
NIS2 es la directiva general de ciberseguridad para sectores esenciales e importantes; DORA es reglamento especial para el sector financiero y prevalece en lo que coinciden. Una fintech cumple con DORA; una empresa de software puede estar sujeta a NIS2 por sí misma y, además, a los requisitos DORA que le trasladen sus clientes financieros.
Si tu empresa vende tecnología al sector financiero, o eres una fintech con el cuestionario del supervisor encima de la mesa, no dejes que el cumplimiento se coma tu roadmap. En IAmanos ayudamos a empresas españolas y europeas a automatizar evidencias, registros de proveedores y monitorización para cumplir DORA sin frenar el negocio. Reserva una consultoría gratuita de 30 minutos y vemos tu caso concreto.
Sigue leyendo
Convierte este conocimiento en resultados
Nuestro equipo implementa soluciones de IA para empresas B2B. Agenda una consultoría gratuita.


