8 min de lectura<\/p>\n
Desde enero de 2025 rige en toda la UE el Digital Operational Resilience Act (DORA). Desde entonces, la BaFin ha registrado m\u00e1s de 600 incidentes inform\u00e1ticos graves en instituciones financieras. Amenazan sanciones econ\u00f3micas de hasta el uno por ciento del volumen de negocio mundial diario. La fase de tolerancia ha terminado: 2025 es el a\u00f1o de la aplicaci\u00f3n estricta. Quien a\u00fan tenga lagunas en la gesti\u00f3n de riesgos inform\u00e1ticos arriesga algo m\u00e1s que una multa.<\/strong><\/p>\n DORA no es una recomendaci\u00f3n ni un marco orientativo. Es un reglamento de la Uni\u00f3n Europea de efecto directo en todos los Estados miembros. Afecta a bancos, compa\u00f1\u00edas de seguros, firmas de servicios de valores, proveedores de servicios de pago, proveedores de servicios cripto y sus proveedores externos cr\u00edticos de TI. El reglamento establece cinco pilares que toda instituci\u00f3n debe implementar obligatoriamente.<\/p>\n \u25cf Gesti\u00f3n de riesgos de TIC:<\/strong> Las empresas financieras deben disponer de un marco documentado para la identificaci\u00f3n, protecci\u00f3n, detecci\u00f3n y recuperaci\u00f3n tras incidentes inform\u00e1ticos. Esto no afecta \u00fanicamente al departamento de TI: la direcci\u00f3n ejecutiva asume responsabilidad personal.<\/p>\n \u25cf Comunicaci\u00f3n de incidentes:<\/strong> Los incidentes inform\u00e1ticos graves deben notificarse a la BaFin en un plazo de 24 horas. A las 72 horas se presentar\u00e1 un informe intermedio, y uno definitivo al mes.<\/p>\n \u25cf Pruebas de resistencia:<\/strong> Evaluaciones peri\u00f3dicas de la estabilidad operativa digital, desde escaneos b\u00e1sicos de vulnerabilidades hasta pruebas de penetraci\u00f3n guiadas por amenazas (Threat-Led Penetration Testing, TLPT) para instituciones sist\u00e9micamente relevantes.<\/p>\n \u25cf Gesti\u00f3n de riesgos de terceros:<\/strong> Todo contrato con proveedores de servicios de TI debe incluir cl\u00e1usulas conformes con DORA. Adem\u00e1s, es obligatorio contar con estrategias de salida.<\/p>\n \u25cf Intercambio de informaci\u00f3n:<\/strong> Intercambio voluntario, aunque deseado, de informaci\u00f3n sobre ciberamenazas entre instituciones financieras.<\/p>\n En febrero de 2026, la BaFin organiz\u00f3 un taller sobre la presentaci\u00f3n de los registros de informaci\u00f3n. La se\u00f1al es clara: la autoridad supervisora quiere saber qu\u00e9 proveedores de servicios inform\u00e1ticos utilizan las instituciones financieras y en qu\u00e9 medida dependen de proveedores individuales. Los cloud-hyperscalers como AWS, Azure y Google Cloud est\u00e1n especialmente en el punto de mira.<\/p>\n Seg\u00fan datos de la BaFin, las deficiencias m\u00e1s frecuentes detectadas en auditor\u00edas son: una gesti\u00f3n incompleta de vulnerabilidades, la ausencia de estrategias de salida respecto a proveedores de TI y una notificaci\u00f3n deficiente de incidentes. Muchas instituciones s\u00ed han definido procesos, pero nunca los han puesto a prueba en condiciones reales. DORA exige precisamente esto \u00faltimo, y la BaFin verifica si dichas pruebas se llevan a cabo efectivamente.<\/p>\n Particularmente delicada es la superposici\u00f3n con NIS2<\/a>. Ambas regulaciones exigen la gesti\u00f3n de riesgos inform\u00e1ticos y la notificaci\u00f3n de incidentes, pero con plazos y definiciones diferentes. Las instituciones financieras que operan en varios pa\u00edses de la UE deben cumplir ambos marcos normativos simult\u00e1neamente.<\/p>\n \u00abMuchas instituciones financieras a\u00fan tienen un importante d\u00e9ficit en la gesti\u00f3n de vulnerabilidades y en la evaluaci\u00f3n de riesgos de sus proveedores.\u00bb<\/p>\n Supervisi\u00f3n de TI de la BaFin, intervenci\u00f3n en la implementaci\u00f3n de DORA, diciembre de 2025<\/p>\n<\/div>\n El n\u00facleo de DORA es una constataci\u00f3n clara: las entidades financieras son tan resilientes como lo sea su dependencia tecnol\u00f3gica m\u00e1s d\u00e9bil. Una interrupci\u00f3n en un proveedor de servicios en la nube puede afectar simult\u00e1neamente a decenas de bancos. Un proveedor de pagos comprometido puede desencadenar una reacci\u00f3n en cadena.<\/p>\n Por ello, DORA exige llevar un registro completo de todos los proveedores de servicios inform\u00e1ticos, con una evaluaci\u00f3n de su nivel de criticidad. Cada contrato deber\u00e1 incluir cl\u00e1usulas sobre acceso a datos, derechos de auditor\u00eda, transparencia respecto a subcontratistas y planes de salida. Adem\u00e1s, las autoridades europeas de supervisi\u00f3n (ESAs, por sus siglas en ingl\u00e9s) supervisar\u00e1n directamente a aquellos proveedores externos de tecnolog\u00eda considerados cr\u00edticos, una novedad en la regulaci\u00f3n financiera europea.<\/p>\n Para las instituciones financieras de tama\u00f1o medio, esto implica que cada contrato SaaS, cada instancia en la nube y cada servicio t\u00e9cnico externo deber\u00e1n documentarse y evaluarse. Supone un esfuerzo considerable, pero la alternativa son sanciones econ\u00f3micas e, incluso, en el peor de los casos, la p\u00e9rdida de la licencia operativa.<\/p>\n DORA est\u00e1 en vigor desde el 17 de enero de 2025. Ya no existe per\u00edodo de transici\u00f3n. La BaFin puede inspeccionar y sancionar de inmediato. Aun as\u00ed, existe una priorizaci\u00f3n de facto: los institutos sist\u00e9micamente relevantes ser\u00e1n auditados primero; las entidades financieras m\u00e1s peque\u00f1as disponen de algo m\u00e1s de margen temporal, pero no de forma ilimitada.<\/p>\n Los hitos clave para 2025 y 2026:<\/p>\n \u25cf Presentar el registro de informaci\u00f3n:<\/strong> La BaFin recopila los registros de proveedores de servicios de TI y los transmite a las AEAs (Autoridades Europeas de Supervisi\u00f3n). Quienes presenten datos incompletos llamar\u00e1n inmediatamente la atenci\u00f3n.<\/p>\n \u25cf Obligaci\u00f3n de TLPT para instituciones sist\u00e9micas:<\/strong> Deber\u00e1n realizarse y documentarse pruebas de penetraci\u00f3n guiadas por amenazas (Threat-Led Penetration Tests) seg\u00fan el marco TIBER-EU.<\/p>\n \u25cf Vigilancia directa de proveedores cr\u00edticos de TI:<\/strong> Por primera vez, las AEAs supervisar\u00e1n directamente a los hiperscaladores cloud y a los grandes proveedores de servicios de TI.<\/p>\n La buena noticia: quien ya haya modernizado su entorno inform\u00e1tico<\/a> e implementado BAIT\/VAIT dispone de una ventaja inicial. La mala noticia: DORA va mucho m\u00e1s all\u00e1 que los requisitos alemanes hasta ahora vigentes.<\/p>\n Tres medidas inmediatas que deber\u00eda adoptar cada instituci\u00f3n: primero, realizar un an\u00e1lisis comparativo (gap assessment) entre la gesti\u00f3n actual de riesgos inform\u00e1ticos y los requisitos de DORA. Segundo, completar el registro de proveedores de servicios inform\u00e1ticos con una evaluaci\u00f3n de su grado de criticidad. Tercero, poner a prueba el proceso de notificaci\u00f3n de incidentes – no sobre el papel, sino mediante simulaciones en condiciones reales.<\/p>\n DORA no es un proyecto con fecha de finalizaci\u00f3n. Es un estado operativo permanente. Las instituciones financieras que han comprendido esto no invierten en proyectos puntuales de cumplimiento normativo, sino en estructuras que convierten la resiliencia digital en un componente fijo de su actividad operativa diaria.<\/p>\n Todas las empresas financieras de la UE: bancos, aseguradoras, firmas de servicios de valores, instituciones de pago, instituciones de dinero electr\u00f3nico, proveedores de servicios cripto y sus proveedores externos cr\u00edticos de TI. Tambi\u00e9n est\u00e1n incluidas las fintechs y los neobancos.<\/p>\n<\/details>\n Hasta un 1 % del volumen de negocios mundial medio diario – por d\u00eda, mientras el incumplimiento persista. Para un gran banco con un volumen anual de 10\u202f000 millones de euros, esto supondr\u00eda aproximadamente 274\u202f000 euros por d\u00eda.<\/p>\n<\/details>\n DORA est\u00e1 espec\u00edficamente dirigida al sector financiero y, como reglamento de la UE, es directamente aplicable. NIS2 es una directiva que debe transponerse al derecho nacional y se aplica transversalmente a sectores. Para instituciones financieras, DORA prevalece (lex specialis), aunque pueden aplicarse adem\u00e1s requisitos de NIS2.<\/p>\n<\/details>\n S\u00ed, pero se aplica un principio de proporcionalidad. Las entidades m\u00e1s peque\u00f1as no deben realizar pruebas tan exhaustivas como los bancos sist\u00e9micamente relevantes. Sin embargo, los requisitos b\u00e1sicos en materia de gesti\u00f3n de riesgos inform\u00e1ticos, notificaci\u00f3n de incidentes y gesti\u00f3n de terceros son obligatorios para todos.<\/p>\n<\/details>\n Un directorio estructurado de todos los proveedores de servicios de TI que utiliza una entidad financiera. Incluye datos contractuales, evaluaciones de criticidad y an\u00e1lisis de dependencias. Este registro debe presentarse a la BaFin (Autoridad Federal de Supervisi\u00f3n Financiera alemana) bajo demanda y sirve como base para supervisar los riesgos sist\u00e9micos en TI.<\/p>\n<\/details>\n Imagen de portada: Pexels \/ Markus Winkler<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" El Digital Operational Resilience Act est\u00e1 en vigor desde enero de 2025. La BaFin ha registrado m\u00e1s de 600 incidentes inform\u00e1ticos graves.<\/p>\n","protected":false},"author":205,"featured_media":89068,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_yoast_wpseo_focuskw":"regulaci\u00f3n DORA BaFin","_yoast_wpseo_title":"Regulaci\u00f3n DORA BaFin: Gu\u00eda para mejorar tu instituci\u00f3n","_yoast_wpseo_metadesc":"El Digital Operational Resilience Act est\u00e1 en vigor desde enero de 2025. La BaFin ha registrado m\u00e1s de 600 incidentes inform\u00e1ticos graves.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","featured_post_sortierung":0,"featured_post":0,"pre_headline":"","bildquelle":"","teasertext":"","language":"de","footnotes":""},"categories":[1279,2238],"tags":[],"class_list":{"0":"post-93015","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","6":"hentry","7":"category-fintech-financial-services","9":"entry"},"wpml_language":"es","wpml_translation_of":89069,"acf":[],"yoast_head":"\nLo m\u00e1s importante en breve<\/h2>\n
\n
Lo que DORA exige concretamente<\/h2>\n
registrados ante la BaFin (Supervisi\u00f3n de TI 2025)<\/span><\/div>\n<\/div>\n
por cada incumplimiento de los requisitos de DORA<\/span><\/div>\n<\/div>\n<\/div>\nD\u00f3nde mira exactamente la BaFin<\/h2>\n
El problema de las partes terceras<\/h2>\n
Calendario y prioridades<\/h2>\n
Qu\u00e9 deber\u00edan hacer ahora las instituciones financieras<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfA qui\u00e9n afecta DORA?<\/summary>\n
\u00bfCu\u00e1l es la cuant\u00eda de las sanciones por incumplimiento de DORA?<\/summary>\n
\u00bfCu\u00e1l es la diferencia entre DORA y NIS2?<\/summary>\n
\u00bfDeben cumplir tambi\u00e9n DORA los peque\u00f1os proveedores de servicios financieros?<\/summary>\n
\u00bfQu\u00e9 es el registro de informaci\u00f3n seg\u00fan DORA?<\/summary>\n
Lectura recomendada<\/h2>\n
\n