DORA en Vigor: ¿Qué Cambia para los 22.000 Bancos y Fintechs Europeos a Partir de Enero de 2025?

La Ley de Resiliencia Operacional Digital (DORA, Reglamento UE 2022/2554) entrará en vigor el 17 de enero de 2025, finalizando un período de preparación de dos años. El reglamento armoniza los requisitos de resiliencia digital para aproximadamente 22.000 entidades financieras en la Unión Europea: bancos, aseguradoras, reaseguradoras, corredoras, instituciones de pago y de moneda electrónica, empresas de inversión y proveedores de activos cripto.

El alcance no se limita a instituciones tradicionales. Fintechs en etapa inicial que operan como plataformas de pago, crédito digital, seguros digitales o exchanges de criptoactivos se enmarcan en las mismas categorías y enfrentan las mismas obligaciones que los grandes bancos. No hay exenciones por tamaño.

Los Cinco Pilares

Gestión de riesgo de TIC: exige que las entidades mantengan marcos documentados de gestión de riesgo tecnológico con una gobernanza clara, aprobados por el consejo de administración. No es suficiente tener un CISO; es necesario demostrar que el consejo supervisa activamente las decisiones de riesgo cibernético.

Respuesta y reporte de incidentes: los incidentes graves de TIC deben ser reportados al regulador dentro de plazos definidos, con notificación inicial en 4 horas, informe intermedio en 72 horas e informe final en un mes.

Gestión de riesgo de terceros: las entidades son responsables por los riesgos introducidos por sus proveedores de tecnología, especialmente proveedores de cloud. Los contratos con proveedores críticos deben incluir cláusulas específicas de auditoría, continuidad de servicio y planes de salida.

Pruebas de resiliencia: organizaciones que superen ciertos umbrales de relevancia sistémica deben llevar a cabo Pruebas de Penetración Dirigidas por Amenazas (TLPT) cada tres años, utilizando la metodología TIBER-EU.

Compartición de información: el DORA incentiva formalmente la compartición de inteligencia de amenazas entre entidades financieras, creando mecanismos legales que antes presentaban ambigüedad regulatoria en relación con datos confidenciales.

La Designación de los 19 Proveedores Críticos

El 18 de noviembre de 2025, las Autoridades de Supervisión Europeas designaron 19 proveedores de servicios de TIC como críticos bajo el DORA, incluyendo AWS, Microsoft Azure y Google Cloud. Esta designación significa que estos proveedores están sujetos a inspecciones directas por parte de los reguladores europeos, independientemente de dónde estén domiciliados. Es la primera vez que los reguladores financieros europeos obtienen autoridad formal de supervisión directa sobre la infraestructura de cloud americana.

Las Penalidades

Las entidades financieras que incumplan con el DORA pueden ser multadas con hasta el 2% de la facturación mundial anual. Para los proveedores de TIC designados como críticos, las penalizaciones pueden llegar al 1% de la facturación media diaria mundial por día de incumplimiento.

Lo Que Aún Está en Abierto

La implementación práctica ha revelado ambigüedades. La interpretación de "incidente grave" para fines de reporte, los criterios exactos de aplicación de las pruebas TLPT para entidades intermedias y la forma de tratar dependencias de subcontratación en cadenas de suministro tecnológico complejas aún están siendo clarificadas por las autoridades nacionales competentes.