El reglamento europeo DORA: Garantías de resiliencia en el sector financiero

Introducción

En el complejo ecosistema digital que caracteriza al sector financiero contemporáneo, la resiliencia operativa se ha convertido en un pilar fundamental que sustenta la confianza de los usuarios en el sistema. La creciente digitalización de los servicios financieros, acelerada en parte por la pandemia global y las nuevas demandas de los consumidores, ha generado un escenario de dependencia tecnológica que, a pesar de ofrecer innumerables ventajas supone también una serie de vulnerabilidades que requieren respuestas regulatorias.

El Reglamento sobre la Resiliencia Operativa Digital del Sector Financiero, conocido como DORA (Digital Operational Resilience Act), representa la respuesta más ambiciosa y estructurada de la Unión Europea ante este desafío. Aprobado en diciembre de 2022 y con aplicación efectiva desde el 17 de enero de 2025, este instrumento normativo establece un marco uniforme y coherente para garantizar que las entidades financieras puedan soportar, responder y recuperarse de todo tipo de perturbaciones e incidentes relacionados con las Tecnologías de la Información y la Comunicación (TIC).

Contexto y Justificación del Reglamento Dora

El sector financiero se ha posicionado como uno de los principales blancos de ciberataques y disrupciones tecnológicas.  La interconexión con los sistemas financieros globales amplifica el potencial impacto de cualquier incidente, pudiendo desencadenar efectos sistémicos que trascienden fronteras y sectores económicos.

El apagón digital de 19 de julio de 2024 provocado por un error en una actualización de software de CrowdStrike que afectó a millones de sistemas Windows en todo el mundo, puso de manifiesto la fragilidad de nuestra infraestructura digital. Este incidente, considerado uno de los mayores fallos tecnológicos de la historia reciente, provocó la caída de numerosos servicios financieros online, incluyendo banca electrónica, sistemas de pago y plataformas de trading, dejando a millones de usuarios sin acceso a sus cuentas y servicios bancarios durante casi 48 horas.

Las entidades financieras experimentaron graves problemas en sus sistemas de TIC, con interrupciones en servicios críticos y fallos en los mecanismos de respaldo, lo que evidencio las múltiples vulnerabilidades en la resiliencia. Este tipo de eventos refuerza la necesidad de contar con marcos regulatorios sólidos como DORA, que establezcan protocolos claros de gestión de crisis y mecanismos de recuperación efectivos.

Hacia una Regulación Digital Unificada

Antes de la aprobación del Reglamento DORA, la regulación sobre resiliencia operativa digital en el sector financiero europeo estaba marcada por la fragmentación y la disparidad. Cada Estado miembro había desarrollado sus propios requisitos y enfoques supervisores, lo que generaba inconsistencias significativas. Estas diferencias dificultaban la gestión de riesgos para las entidades con operaciones transfronterizas y reducían la eficiencia del mercado único digital.

DORA surge como un pilar clave dentro de la estrategia de finanzas digitales de la Comisión Europea, con el propósito de armonizar y reforzar los requisitos de resiliencia operativa en todo el espacio económico europeo. Su objetivo principal es garantizar un nivel homogéneo de protección para los consumidores de servicios financieros y establecer un marco regulatorio claro y uniforme para todos los actores del ecosistema financiero.

Una de las características más relevantes de DORA es su amplio alcance, que incluye prácticamente a todos los sectores regulados del ámbito financiero:

  • Entidades de crédito y financieras
  • Empresas de servicios de inversión
  • Proveedores de servicios de pago y entidades de dinero electrónico
  • Aseguradoras, reaseguradoras y gestores de fondos de inversión
  • Fondos de pensiones y plataformas de financiación participativa
  • Proveedores de servicios de criptoactivos
  • Depositarios centrales de valores y entidades de contrapartida central
  • Agencias de calificación crediticia
  • Proveedores terceros críticos de servicios TIC al sector financiero

Este extenso ámbito de aplicación refleja un entendimiento profundo por parte del legislador europeo: la interconexión del ecosistema financiero exige que todos sus componentes mantengan altos estándares de resiliencia operativa digital. Esto incluye a los proveedores de servicios TIC críticos, quienes desempeñan un papel esencial en la estabilidad y seguridad del sistema financiero europeo.

Pilares fundamentales del Reglamento

El Reglamento DORA se centra en cinco pilares para gestionar los riesgos dentro del el sector financiero. En primer lugar, establece ciertos requisitos de gobernanza y gestión de riesgos TIC, asignando al órgano de administración la responsabilidad de supervisar estos riesgos mediante marcos de gestión que incluyan estrategias, políticas y herramientas adaptadas al perfil de riesgo de cada entidad. Además, exige la gestión de incidentes relacionados con las TIC, mediante procesos que permitan detectar, gestionar y notificar eventos graves dentro de plazos específicos, fomentando el intercambio de información sobre amenazas en el sector.

Por otro lado, DORA introduce la obligatoriedad de realizar pruebas periódicas de resiliencia operativa digital, desde evaluaciones básicas hasta ejercicios avanzados como el ethical hacking, para garantizar la preparación frente a incidentes. También regula la gestión de riesgos de terceros proveedores de TIC, obligando a las entidades a implementar estrategias de riesgo, realizar diligencias previas y establecer contratos con disposiciones específicas sobre seguridad y continuidad. Finalmente, crea un marco de supervisión para proveedores terceros críticos, liderado por las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA), para monitorear centralizadamente a aquellos proveedores cuya interrupción podría tener un impacto sistémico en el sector financiero europeo.

Apagón informático de 19 de julio de 2024: Lecciones Aprendidas y la Relevancia de Dora

El apagón informático global provocado por una actualización defectuosa de CrowdStrike en julio de 2024 evidenció la interdependencia tecnológica del sector financiero con proveedores externos críticos, un claro ejemplo del riesgo sistémico que puede surgir de esta relación. Este incidente subraya la importancia del enfoque de supervisión directa introducido por el Reglamento DORA, que busca monitorear a los proveedores terceros críticos para mitigar el impacto de interrupciones significativas en el sector financiero europeo.

Asimismo, el apagón resaltó la necesidad de contar con una capacidad de recuperación ante desastres y planes de contingencia robustos. Muchas entidades financieras y sectores afectados enfrentaron dificultades para restablecer sus servicios, lo que pone de manifiesto la relevancia de implementar estrategias efectivas para garantizar la continuidad operativa durante crisis tecnológicas de gran escala.

Durante el incidente, quedó claro que la comunicación transparente y oportuna con clientes, reguladores y otras partes interesadas es esencial para gestionar las expectativas y mantener la confianza en momentos críticos. La falta de información inmediata sobre el alcance y la duración del apagón generó incertidumbre y frustración entre los usuarios afectados.

Finalmente, el evento también destacó la importancia de la colaboración sectorial y el intercambio de información sobre amenazas y mejores prácticas. La experiencia del apagón de 2024 refuerza la necesidad de que las entidades financieras trabajen conjuntamente para fortalecer la resiliencia colectiva del sistema financiero, tal como promueve DORA, fomentando un enfoque proactivo frente a riesgos tecnológicos emergentes.

De manera similar, el apagón masivo ocurrido en España en abril de 2025 pone de relieve los riesgos sistémicos asociados a la interdependencia tecnológica no solo en el sector financiero, sino también en infraestructuras críticas como la energía y las telecomunicaciones. Este evento refuerza la relevancia del marco regulatorio de DORA, que no solo busca fortalecer la resiliencia operativa de las entidades financieras, sino también garantizar que los proveedores externos críticos sean supervisados de manera adecuada para prevenir interrupciones de gran escala.

Conclusiones

El Reglamento DORA marca un antes y un después en la regulación de la resiliencia operativa digital del sector financiero europeo. Su enfoque integral, que abarca desde la gobernanza hasta la supervisión de proveedores críticos, establece un nuevo estándar de exigencia que refleja la importancia crítica de la tecnología para el funcionamiento del sistema financiero.

El reciente apagón global de abril de 2025 ha demostrado la pertinencia y necesidad de este marco regulatorio, evidenciando cómo las entidades que han avanzado en su implementación han podido gestionar con mayor eficacia esta crisis sin precedentes.

Desde el Departamento de Derecho Mercantil de Belzuz Abogados, S.L.P., consideramos que DORA representa no solo un desafío de cumplimiento normativo, sino una oportunidad para que las entidades financieras junto con sus proveedores críticos refuercen su resiliencia operativa digital. En un entorno donde la confianza de los clientes es un activo fundamental, la capacidad para garantizar la continuidad y seguridad de los servicios financieros digitales se convierte en un diferenciador estratégico de primer orden.

Otras publicaciones

Portugal_Prueba del error médico – obligación de probar los requisitos de la responsabilidad civil extracontractual por actos realizados en una unidad del SNS

En un caso de negligencia médica y/o error médico, la prueba es siempre uno de los principales «obstáculos» para el éxito de una demanda de esta naturaleza, ya que corresponde al demandante (paciente)

Leer más

Pérdida de beneficios en virtud de un contrato de seguro multirriesgo industrial – Incumplimiento del deber de diligencia

En primer lugar, cabe mencionar que la cobertura por pérdida de beneficios, especialmente en los contratos de seguro multirriesgo para actividades industriales, no es obligatoria y puede o no ser contratada y, por

Leer más

Presentar la declaración del IRPF fuera de plazo: qué puede hacer todavía y qué consecuencias puede tener

El 30 de junio de 2025 ha finalizado el plazo para presentar la declaración de la Renta Modelo 3 correspondiente al ejercicio 2024. Sin embargo, aún puede presentarla fuera de plazo, lo que

Leer más

Transición al Régimen de Exención de IVA – Procedimientos y Obligaciones a partir del 1 de julio de 2025

Los sujetos pasivos actualmente encuadrados en el régimen normal de IVA que cumplan con los requisitos del régimen especial de exención previsto en el artículo 53.º del Código del IVA (CIVA) podrán optar

Leer más

¿Puede renunciarse a la pensión compensatoria en base a un acuerdo prematrimonial?

En un proceso de divorcio la esposa demandante solicita pensión compensatoria. Unos meses antes de contraer matrimonio las partes firmaron ante notario acuerdo prematrimonial expresando, en caso de separación o divorcio, su renuncia

Leer más

La Responsabilidad Bancaria frente al Fraude Digital: Análisis de la Sentencia del Tribunal Supremo 571/2025

Introducción En el complejo ecosistema digital que caracteriza la banca contemporánea, la seguridad de las transacciones electrónicas se ha convertido en un pilar fundamental que sustenta la confianza de los usuarios en el

Leer más