Un año de DORA: qué revisa la BaFin y dónde deben mejorar los institutos financieros
8 min de lectura
Desde enero de 2025 rige en toda la UE el Digital Operational Resilience Act (DORA). Desde entonces, la BaFin ha registrado más de 600 incidentes informáticos graves en instituciones financieras. Amenazan sanciones económicas de hasta el uno por ciento del volumen de negocio mundial diario. La fase de tolerancia ha terminado: 2025 es el año de la aplicación estricta. Quien aún tenga lagunas en la gestión de riesgos informáticos arriesga algo más que una multa.
Lo más importante en breve
- 600+ incidentes informáticos graves notificados a la BaFin desde la entrada en vigor de DORA en enero de 2025, con tendencia ascendente. (Supervisión IT de BaFin, 2025)
- Sanciones económicas de hasta el 1 por ciento del volumen global diario de negocios por infracción, lo que puede suponer cifras de varios millones para grandes bancos.
- Obligación de notificación en un plazo de 24 horas para incidentes informáticos críticos; muchos institutos aún no han adaptado sus procesos de respuesta ante incidentes.
- Gestión de riesgos de terceros proveedores de TI: según la BaFin, es el mayor punto débil; las entidades financieras subestiman su dependencia de servicios externos de tecnología de la información.
- Obligación de registro de información: todos los proveedores de servicios informáticos deben registrarse en un sistema estructurado y comunicarse a la BaFin.
Lo que DORA exige concretamente
DORA no es una recomendación ni un marco orientativo. Es un reglamento de la Unión Europea de efecto directo en todos los Estados miembros. Afecta a bancos, compañías de seguros, firmas de servicios de valores, proveedores de servicios de pago, proveedores de servicios cripto y sus proveedores externos críticos de TI. El reglamento establece cinco pilares que toda institución debe implementar obligatoriamente.
● Gestión de riesgos de TIC: Las empresas financieras deben disponer de un marco documentado para la identificación, protección, detección y recuperación tras incidentes informáticos. Esto no afecta únicamente al departamento de TI: la dirección ejecutiva asume responsabilidad personal.
● Comunicación de incidentes: Los incidentes informáticos graves deben notificarse a la BaFin en un plazo de 24 horas. A las 72 horas se presentará un informe intermedio, y uno definitivo al mes.
● Pruebas de resistencia: Evaluaciones periódicas de la estabilidad operativa digital, desde escaneos básicos de vulnerabilidades hasta pruebas de penetración guiadas por amenazas (Threat-Led Penetration Testing, TLPT) para instituciones sistémicamente relevantes.
● Gestión de riesgos de terceros: Todo contrato con proveedores de servicios de TI debe incluir cláusulas conformes con DORA. Además, es obligatorio contar con estrategias de salida.
● Intercambio de información: Intercambio voluntario, aunque deseado, de información sobre ciberamenazas entre instituciones financieras.
Dónde mira exactamente la BaFin
En febrero de 2026, la BaFin organizó un taller sobre la presentación de los registros de información. La señal es clara: la autoridad supervisora quiere saber qué proveedores de servicios informáticos utilizan las instituciones financieras y en qué medida dependen de proveedores individuales. Los cloud-hyperscalers como AWS, Azure y Google Cloud están especialmente en el punto de mira.
Según datos de la BaFin, las deficiencias más frecuentes detectadas en auditorías son: una gestión incompleta de vulnerabilidades, la ausencia de estrategias de salida respecto a proveedores de TI y una notificación deficiente de incidentes. Muchas instituciones sí han definido procesos, pero nunca los han puesto a prueba en condiciones reales. DORA exige precisamente esto último, y la BaFin verifica si dichas pruebas se llevan a cabo efectivamente.
Particularmente delicada es la superposición con NIS2. Ambas regulaciones exigen la gestión de riesgos informáticos y la notificación de incidentes, pero con plazos y definiciones diferentes. Las instituciones financieras que operan en varios países de la UE deben cumplir ambos marcos normativos simultáneamente.
«Muchas instituciones financieras aún tienen un importante déficit en la gestión de vulnerabilidades y en la evaluación de riesgos de sus proveedores.»
Supervisión de TI de la BaFin, intervención en la implementación de DORA, diciembre de 2025
El problema de las partes terceras
El núcleo de DORA es una constatación clara: las entidades financieras son tan resilientes como lo sea su dependencia tecnológica más débil. Una interrupción en un proveedor de servicios en la nube puede afectar simultáneamente a decenas de bancos. Un proveedor de pagos comprometido puede desencadenar una reacción en cadena.
Por ello, DORA exige llevar un registro completo de todos los proveedores de servicios informáticos, con una evaluación de su nivel de criticidad. Cada contrato deberá incluir cláusulas sobre acceso a datos, derechos de auditoría, transparencia respecto a subcontratistas y planes de salida. Además, las autoridades europeas de supervisión (ESAs, por sus siglas en inglés) supervisarán directamente a aquellos proveedores externos de tecnología considerados críticos, una novedad en la regulación financiera europea.
Para las instituciones financieras de tamaño medio, esto implica que cada contrato SaaS, cada instancia en la nube y cada servicio técnico externo deberán documentarse y evaluarse. Supone un esfuerzo considerable, pero la alternativa son sanciones económicas e, incluso, en el peor de los casos, la pérdida de la licencia operativa.
Calendario y prioridades
DORA está en vigor desde el 17 de enero de 2025. Ya no existe período de transición. La BaFin puede inspeccionar y sancionar de inmediato. Aun así, existe una priorización de facto: los institutos sistémicamente relevantes serán auditados primero; las entidades financieras más pequeñas disponen de algo más de margen temporal, pero no de forma ilimitada.
Los hitos clave para 2025 y 2026:
● Presentar el registro de información: La BaFin recopila los registros de proveedores de servicios de TI y los transmite a las AEAs (Autoridades Europeas de Supervisión). Quienes presenten datos incompletos llamarán inmediatamente la atención.
● Obligación de TLPT para instituciones sistémicas: Deberán realizarse y documentarse pruebas de penetración guiadas por amenazas (Threat-Led Penetration Tests) según el marco TIBER-EU.
● Vigilancia directa de proveedores críticos de TI: Por primera vez, las AEAs supervisarán directamente a los hiperscaladores cloud y a los grandes proveedores de servicios de TI.
Qué deberían hacer ahora las instituciones financieras
La buena noticia: quien ya haya modernizado su entorno informático e implementado BAIT/VAIT dispone de una ventaja inicial. La mala noticia: DORA va mucho más allá que los requisitos alemanes hasta ahora vigentes.
Tres medidas inmediatas que debería adoptar cada institución: primero, realizar un análisis comparativo (gap assessment) entre la gestión actual de riesgos informáticos y los requisitos de DORA. Segundo, completar el registro de proveedores de servicios informáticos con una evaluación de su grado de criticidad. Tercero, poner a prueba el proceso de notificación de incidentes – no sobre el papel, sino mediante simulaciones en condiciones reales.
DORA no es un proyecto con fecha de finalización. Es un estado operativo permanente. Las instituciones financieras que han comprendido esto no invierten en proyectos puntuales de cumplimiento normativo, sino en estructuras que convierten la resiliencia digital en un componente fijo de su actividad operativa diaria.
Preguntas frecuentes
¿A quién afecta DORA?
Todas las empresas financieras de la UE: bancos, aseguradoras, firmas de servicios de valores, instituciones de pago, instituciones de dinero electrónico, proveedores de servicios cripto y sus proveedores externos críticos de TI. También están incluidas las fintechs y los neobancos.
¿Cuál es la cuantía de las sanciones por incumplimiento de DORA?
Hasta un 1 % del volumen de negocios mundial medio diario – por día, mientras el incumplimiento persista. Para un gran banco con un volumen anual de 10 000 millones de euros, esto supondría aproximadamente 274 000 euros por día.
¿Cuál es la diferencia entre DORA y NIS2?
DORA está específicamente dirigida al sector financiero y, como reglamento de la UE, es directamente aplicable. NIS2 es una directiva que debe transponerse al derecho nacional y se aplica transversalmente a sectores. Para instituciones financieras, DORA prevalece (lex specialis), aunque pueden aplicarse además requisitos de NIS2.
¿Deben cumplir también DORA los pequeños proveedores de servicios financieros?
Sí, pero se aplica un principio de proporcionalidad. Las entidades más pequeñas no deben realizar pruebas tan exhaustivas como los bancos sistémicamente relevantes. Sin embargo, los requisitos básicos en materia de gestión de riesgos informáticos, notificación de incidentes y gestión de terceros son obligatorios para todos.
¿Qué es el registro de información según DORA?
Un directorio estructurado de todos los proveedores de servicios de TI que utiliza una entidad financiera. Incluye datos contractuales, evaluaciones de criticidad y análisis de dependencias. Este registro debe presentarse a la BaFin (Autoridad Federal de Supervisión Financiera alemana) bajo demanda y sirve como base para supervisar los riesgos sistémicos en TI.
Lectura recomendada
- Auge de ciberseguridad: Por qué la NIS2 convierte al sector de seguridad de Alemania en un motor de crecimiento
- Qué pueden aprender los bancos tradicionales de los neobancos
- NIS2 en Alemania: Lo que las empresas deben saber e implementar ahora (SecurityToday)
- Agenda CIO 2026: Entre la presión de costes y el imperativo de innovación (Digital Chiefs)
Imagen de portada: Pexels / Markus Winkler
Evernine Media GmbH
Tobias Massow ist Geschäftsführer der Evernine Media GmbH und Herausgeber von MyBusinessFuture. Er verantwortet die strategische Ausrichtung des Magazins und des gesamten MBF Media Netzwerks mit vier B2B-Fachmagazinen für IT-Entscheider im deutschsprachigen Raum.