El Reglamento DORA y su ejecución en España: La "ciber-resiliencia" existe y ya es de plena aplicación

Por si alguien aun no lo conocía, el Reglamento DORA (Digital Operational Resilience Act) es una normativa de la Unión Europea que busca mejorar la resiliencia operativa y la ciberseguridad en el sector financiero. Este Reglamento entró en vigor el 16 de enero de 2023 y se aplica plenamente desde el 17 de enero de 2025. DORA establece nuevos y exigentes requisitos para las entidades financieras en materia de ciberseguridad, que incluyen la gestión de riesgos vinculados con las tecnologías de la información y la comunicación (TIC), la continuidad de operaciones y la resiliencia digital, o lo que se puede denominar como ciberresiliencia, si se permite la creación de este nuevo concepto.

Este Reglamento ha impuesto obligaciones prácticas a las entidades financieras dentro de su ámbito de aplicación, que abarca a todas las supervisadas, salvo algunas excepciones principalmente basadas en su tamaño. Por ejemplo, es obligatorio cumplir con la notificación de incidentes graves y ciberamenazas importantes a las autoridades supervisoras (Banco de España, Dirección General de Seguros y Fondos de Pensiones -DGSFP- y la Comisión Nacional de Mercados de Valores (CNMV)). También, es importante destacar que las entidades financieras deberán disponer de un registro de sus acuerdos contractuales con proveedores de TIC. La DGSFP ha publicado un modelo de comunicación para este registro, aplicable a entidades aseguradoras y mediadores.

El Reglamento DORA no es algo único en términos de normativa referente a ciber-seguridad y resiliencia. Este viene acompañado de una Directiva DORA que incluye importantes normas al respecto y de las Normas Técnicas Reglamentarias para la subcontratación de servicios TIC que apoyen funciones críticas o importantes (DORA Subcontracting RTS o RTS) aprobadas por la Comisión Europea el pasado 25 de marzo de 2025.

Sobre la Directiva, debemos decir que España va con retraso en su implementación puesto que ya debería haber sido traspuesta por el poder legislativo y, por desgracia, las normas que pretenden esta transposición, como el Anteproyecto de Ley de digitalización y modernización del sector financiero, no avanzan. El plazo para sancionar al Estado español ya ha comenzado, por lo que es probable que la Directiva se apruebe mediante una Ley ómnibus o un Real Decreto-ley, aprobado con urgencia y, quizás, sin el debido rigor.

Respecto a los RTS, aunque las Autoridades Europeas de Supervisión (ESAs) publicaron el borrador final de los mismos en julio de 2024, estaba pendiente aún definir el carácter definitivo de estos y su ámbito de aplicación por la Comisión Europea. Finalmente, el 24 de marzo de 2025, la Comisión Europea aprobó los RTS definitivos que especifican los elementos que una entidad financiera debe incluir en sus acuerdos cuando subcontrate funciones críticas en el ámbito TIC. La Comisión ha aligerado levemente las obligaciones que las ESAs habían propuesto, pero sigue siendo necesario el registro al que veníamos haciendo referencia y la inclusión de determinadas cláusulas de protección y ciberseguridad con los subcontratistas.

Los tres supervisores financieros en España que antes citábamos (DGSFP, CNMV y Banco de España) ya han publicado criterios sobre la aplicación de DORA y sus requisitos. En este sentido, la CNMV publicó con carácter previo a la entrada en vigor del Reglamento una nota que contenía los resultados de la autoevaluación sobre la preparación de las entidades con respecto a DORA. La DGSFP también ha realizado publicaciones al respecto, facilitando definiciones del Reglamento, notificación de ciberincidentes graves o ciberamenazas importantes. Adicionalmente, la DGSFP publicó las Directrices conjuntas de las ESAs sobre la cooperación en materia de supervisión y sobre el intercambio de información. Asimismo, el Banco de España hizo públicos nuevos trámites relativos a incidentes y ciberamenazas bajo el Reglamento DORA.

DORA y su normativa de desarrollo no constituyen una iniciativa aislada de la Unión Europea con el propósito de sobre-regular el mercado. Por ejemplo, en el Reino Unido, los supervisores británicos, tanto la Prudential Regulation Authority (PRA) como la Financial Conduct Authority (FCA), han alineado intencionalmente sus propuestas con DORA siempre que ha sido posible.

En la estructura de reporte de incidentes, DORA exige un proceso estructurado para reportar incidentes importantes relacionados con las TIC a las autoridades supervisoras, que incluye una notificación inicial, actualizaciones intermedias y un informe final. Igualmente, los RTS establecen plazos estrictos (informe inicial dentro de las 4-24 horas posteriores a la detección/clasificación del incidente, un informe intermedio dentro de las 72 horas y un informe final dentro de un mes).

De forma similar, las propuestas del Reino Unido reflejan este enfoque de múltiples etapas. La PRA y FCA también requieren un informe inicial (dentro de las 24 horas) y un informe final (dentro de los 30 días hábiles, aproximadamente un mes) con actualizaciones intermedias según sea necesario. La lógica es la misma: alerta rápida de un incidente seguida de un análisis posterior más profundo. En cuanto al contenido de la información, es en gran medida comparable a lo que requiere DORA. La PRA, incluso, señaló que ha alineado campos de datos específicos y taxonomías en el modelo de informe de incidentes del Reino Unido para que coincidan con los de DORA.

Lo mismo ocurre con la gestión de los riesgos de externalización de servicios TIC en terceros proveedores, donde DORA pone un énfasis significativo. DORA exige que las entidades financieras implementen controles sobre los proveedores de servicios TIC, mantengan un registro actualizado de contratos de servicios TIC, y faciliten la supervisión de las autoridades sobre dichos proveedores. Las propuestas del Reino Unido también incluyen como requisito la existencia de un registro completo de acuerdos materiales con terceros y la notificación anticipada de nuevos contratos críticos.

En conclusión, DORA está aquí para quedarse y tendrá una influencia significativa sobre las entidades financieras, estableciendo un nuevo ámbito regulatorio tan relevante como el de protección de datos o el emergente en materia de inteligencia artificial. Consecuentemente, es imprescindible seguir invirtiendo en su implementación o, si esta tarea aún no ha comenzado, invertir en ella.

* Jaime Bofill y Sara Piñero, socio y asociada de Litigación y Arbitraje de Herbert Smith Freehills España