Saltar al contenido
OS Domains
Regulation

DORA artículo 30 conforme, notificación incidente mayor en 2 horas.

OS Domains da soporte a entidades financieras reguladas por DORA (Reglamento (UE) 2022/2554) como un acuerdo TIC con terceros no crítico: cada provisión contractual del artículo 30(2) es estándar en el addendum DPA Enterprise del sector financiero, y los campos del registro del artículo 28 se exportan en una forma que el cliente pliega directamente en su Registro de Información. El proveedor no es un Proveedor TIC Crítico designado y no se acerca al umbral, sirviendo a once clientes del sector financiero de la UE en ocho Estados miembros. Para el reporte de incidentes el cliente sigue DORA en lugar de la cascada de NIS2, y OS Domains aporta los hechos técnicos, una línea temporal forense y una atestación anual de resiliencia operativa que el cliente lleva a su presentación regulatoria.

El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero (DORA) está en aplicación desde el 17 de enero de 2025. Si eres una entidad financiera supervisada en la UE — banco, asegurador, gestora, ESI, fintech con licencia de pago o dinero electrónico — tus contratos con proveedores TIC deben cumplir el artículo 30. El plan Enterprise incluye las cláusulas del artículo 30 pre-redactadas, registro de información en formato ITS de la EBA, y compromiso de notificación de incidente mayor TIC en 2 horas para que te queden otras 2 horas en la notificación inicial al Banco de España, CNMV o DGSFP.

Si vienes de un proveedor estadounidense, ten en cuenta que la cadena de subcontratación TIC bajo el artículo 28.7 obliga a evaluar la jurisdicción del proveedor a lo largo de toda la cadena. Una dependencia funcional de hyperscaler estadounidense puede invalidar la elegibilidad bajo CLOUD Act y FISA 702. Nuestra infraestructura opera en datacenters UE sin dependencia funcional de hyperscaler estadounidense.

En breve

  • Cada provisión contractual del artículo 30(2) es estándar en el addendum DPA Enterprise del sector financiero, de modo que los equipos legales revisan en lugar de redactar de cero: típicamente 1-2 rondas.
  • Los campos del registro del artículo 28 (tipo de contrato, servicios, categorías de datos, ubicaciones de procesamiento, criticidad, fechas) se exportan para plegarse directamente en el Registro de Información, que el ciclo de 2026 cruza automáticamente contra el historial de incidentes.
  • No designado Proveedor TIC Crítico y por debajo del umbral: once clientes del sector financiero de la UE en ocho Estados miembros, manteniendo la parte del email fuera de la cadena de supervisión de CTPP.
  • El reporte de incidentes sigue DORA como lex specialis bajo el artículo 4(1) de NIS2: el cliente clasifica y presenta, y OS Domains aporta los hechos y, en Enterprise, una línea temporal forense.
  • La salida es probada en lugar de prometida: export JSON/CSV vía portal y API, periodo de gracia de 90 días tras la rescisión y asistencia de migración, para que un cliente financiero documente una transición ensayada en su registro.
Cifras clave
Reglamento (UE)
2022/2554
En aplicación desde
17 ene 2025
Multa máxima
1% facturación / 5.000€ día
Notificación incidente mayor
4h / 72h / 1 mes

¿Qué exige DORA a tus proveedores TIC?

El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero (DORA) está en aplicación desde el 17 de enero de 2025. Te aplica si eres una entidad financiera supervisada en la UE: banco, asegurador, gestora de activos, ESI, IIC, fondo de pensiones, ECC, DCV, entidad de pago, dinero electrónico, plataforma de crowdfunding regulado y otros 21 tipos enumerados en el artículo 2. DORA impone obligaciones específicas sobre los proveedores TIC: el artículo 30 enumera el contenido mínimo del contrato con prestadores de servicios TIC (descripción precisa del servicio, ubicaciones de procesamiento, disponibilidad, cláusulas de auditoría, plan de salida, notificación de incidentes, cláusulas de subcontratación con derecho a oponerse). Los proveedores TIC críticos están además sujetos a supervisión directa por las Autoridades Europeas de Supervisión (ABE, AESPJ, AEVM) bajo el régimen del Capítulo V.

¿Cómo cubre el plan Enterprise el artículo 30 punto por punto?

El plan Enterprise incluye automáticamente las cláusulas contractuales del artículo 30 DORA, con redacción negociada por nuestro equipo legal con varios bufetes especializados en sector financiero europeo. Cláusula a cláusula: 30(2)(a) descripción precisa del servicio (anexo técnico), 30(2)(b) localizaciones de procesamiento (lista de PoPs UE con ubicación exacta), 30(2)(c) disposiciones sobre disponibilidad (SLA 99,99% con créditos), 30(2)(d) accesibilidad y recuperación de datos al término del contrato (90 días de retención más export estructurado), 30(2)(e) niveles de servicio y rendimiento (métricas medibles), 30(2)(f) asistencia ante incidentes, 30(2)(g) cooperación con autoridades competentes, 30(2)(h) derechos de rescisión y plazos mínimos de preaviso (90 días por causa, 180 por conveniencia), 30(2)(i) participación en programas de formación. El acuerdo se firma en formato bilingüe español/inglés con cláusula de prevalencia del español para clientes regulados por Banco de España o CNMV.

¿Cómo se notifican los incidentes mayores TIC en los plazos DORA?

El artículo 19 obliga a las entidades financieras a notificar a la autoridad competente los incidentes mayores TIC en tres fases: notificación inicial dentro de 4 horas hábiles desde la clasificación (no desde la detección), notificación intermedia en 72 horas con análisis preliminar de causas e impacto, informe final en 1 mes con causa raíz, impacto consolidado y plan de acción. Para que tu equipo pueda cumplir estos plazos cuando la incidencia involucra nuestra infraestructura, nos comprometemos contractualmente a notificarte en 2 horas desde la detección (es decir, 2 horas de margen para tu propia clasificación y notificación inicial). Los informes técnicos posteriores que necesites incluir en la notificación intermedia y final los entregamos en menos de 48 horas tras petición.

Marco español: Banco de España, CNMV, DGSFP.

En España, la aplicación de DORA se coordina entre tres supervisores según el sector: Banco de España para entidades de crédito y entidades de pago, CNMV para empresas de servicios de inversión, IIC y mercados, DGSFP para aseguradoras y fondos de pensiones. La Resolución del Banco de España de 19 de diciembre de 2024 publicó las orientaciones sobre la aplicación de DORA en las entidades supervisadas españolas, incluyendo el listado de servicios TIC críticos y las plantillas de registro de información. La integración con la Circular Bacen 3.909/2018 sobre ciberseguridad y la Ley 10/2014 de ordenación bancaria sigue siendo la base normativa subyacente, complementada por DORA con un régimen específicamente armonizado UE.

¿Dónde está la aplicación de DORA en 2026?

DORA está en aplicación desde el 17 de enero de 2025, y 2026 es el año en que la supervisión pasó de orientación a examen. El 18 de noviembre de 2025 las tres Autoridades Europeas de Supervisión publicaron la primera lista oficial de diecinueve Proveedores TIC Críticos, nombrando a los hyperscalers AWS, Microsoft Azure y Google Cloud junto a plataformas como IBM, Bloomberg, London Stock Exchange Group, Tata Consultancy Services y Orange. Esas firmas quedan ahora bajo supervisión directa de Equipos Conjuntos de Examen liderados por una de las AES. La postura para el resto está orientada a la aplicación: los reguladores examinan a las entidades financieras buscando evidencia de cumplimiento en lugar de aceptar planes de remediación, y el primer ciclo de envío del Registro de Información en el primer trimestre de 2026 fue la primera prueba dura. La cifra de aviso viene del simulacro de 2024, donde solo en torno al 6,5% de cerca de mil firmas pasó todas las comprobaciones de calidad de datos, y las autoridades nacionales cruzan ahora los envíos de forma automática, marcando a proveedores que aparecen en historiales de incidentes pero ausentes del registro y cadenas de subcontratación que se declaran inexistentes. No somos un Proveedor TIC Crítico ni nos acercamos al umbral de designación, pero somos un acuerdo TIC que un cliente financiero tiene que anotar correctamente en su registro, y el valor que añadimos es entregar los campos exactos para que el envío del cliente sobreviva al cruce en lugar de convertirse en un seguimiento supervisor.

¿Qué es el Registro de Información y cómo se cruza tu fila?

El artículo 28(3) exige a toda entidad financiera mantener un registro de sus acuerdos TIC con terceros y presentarlo cada año a su autoridad nacional competente, y DORA estandarizó el formato hasta quince plantillas representadas en xBRL-CSV. El ciclo de 2026 cubre los acuerdos tal como estaban el 31 de diciembre de 2025, y los envíos se enfrentan a más de cien comprobaciones automáticas de calidad de datos. Lo que subió la apuesta es que las autoridades ya no leen estos registros de forma aislada: los cruzan contra el historial de reporte de incidentes y entre sí, así que un proveedor que aparece en una notificación de brecha pero no en el registro, o una cadena de subcontratación que una firma declara vacía cuando el proveedor claramente depende de subcontratistas, emerge como una incoherencia que invita a una mirada más de cerca. Hacemos que tu entrada sea fácil de acertar exportando los campos concretos del registro —tipo de contrato, servicios prestados, categorías de datos, ubicaciones de procesamiento, clasificación de criticidad, fechas del acuerdo y resumen de subcontratación— en una forma que el cliente pliega directamente en su registro. El registro está pensado para describir la realidad, y la parte del email es una fila en él; nuestro trabajo es que esa fila sea lo bastante precisa como para pasar las comprobaciones de calidad en lugar de disparar el seguimiento que un envío incompleto produce ahora de forma fiable.

Designación de Proveedor TIC Crítico, y qué significa que no seamos uno.

El artículo 31 permite a las AES designar a un proveedor TIC como crítico según el impacto sistémico de su fallo, el grado de dependencia del sector financiero respecto a él, su sustituibilidad y la concentración de la dependencia entre firmas. Las primeras diecinueve designaciones fueron a los proveedores que el sector no puede rodear con facilidad, y un proveedor de fuera de la UE que sea designado tiene que establecer una filial en la UE para ser supervisado. Un supervisor principal —la ABE, AESPJ o AEVM— puede entonces solicitar información, conducir investigaciones, realizar inspecciones in situ bajo el artículo 35 e imponer multas coercitivas periódicas de hasta el 1% de la facturación media diaria mundial por falta de cooperación. Estamos lejos de ese umbral, con once clientes del sector financiero de la UE repartidos por ocho Estados miembros, y no anticipamos designación a nuestra escala. La parte que importa para un cliente es el efecto de herencia: una entidad financiera que depende mucho de un proveedor designado tiene que documentar esa dependencia en su registro y evaluar el riesgo de concentración, y puede recibir solicitudes de información de las AES como parte de la supervisión de ese proveedor. Mantener la parte del email en un proveedor UE no designado mantiene esa parte fuera de la cadena de supervisión de CTPP, que es una dependencia menos que un cliente financiero tiene que arrastrar al análisis de riesgo de concentración que su supervisor va a escrutar.

Estrategia de salida y el plan de transición probado que DORA ahora espera.

DORA no deja que una cláusula de salida repose en papel sin probar. Para acuerdos críticos o importantes se espera que una entidad financiera mantenga un plan de transición documentado y probado, así que la pregunta que hace un supervisor no es si el contrato permite salir sino si la firma ha demostrado que de verdad puede irse. Eso traslada la carga al proveedor para hacer la salida creíble en lugar de teórica. La soportamos en concreto: export de datos estructurado en JSON o CSV a través del portal y la API en cualquier momento, un periodo de gracia de noventa días tras la rescisión durante el cual el acceso continúa, y asistencia activa de migración a través del Servicio de Migración, incluidos caminos validados de vuelta a los proveedores a los que un cliente podría regresar. La misma disciplina de migración puente que trae a un cliente a la plataforma sin perder reputación funciona a la inversa para sacarlo, que es el punto: una salida que hundiría la entregabilidad no es una salida real. Un cliente financiero puede por tanto entrar en el acuerdo habiendo visto cómo se iría, y documentar esa transición probada para el registro en lugar de prometer una que nunca ha ensayado. La credibilidad de la salida es parte de lo que un supervisor pondera al juzgar si la dependencia está bien gobernada.

Responsabilidad personal y divulgación pública suben el listón del procurement.

DORA acarrea consecuencias que alcanzan a personas y reputaciones, y no se quedan en los balances corporativos. Las entidades financieras se enfrentan a sanciones de hasta el 10% de la facturación global anual o 10 millones de euros por infracciones graves, los altos directivos pueden ser multados hasta 1 millón de euros en responsabilidad personal, y las decisiones de incumplimiento pueden divulgarse públicamente, lo que añade un coste reputacional sobre el financiero. Esa combinación es la razón por la que el procurement de un proveedor de email en el sector financiero se alarga y hace preguntas duras: las personas que firman cargan con exposición personal, y una respuesta vaga del proveedor es un riesgo que asumen ellas individualmente. Respondemos a ese escrutinio con evidencia en lugar de tranquilizaciones: el addendum del artículo 30 en forma estándar, el export de los campos del registro, la atestación anual de resiliencia operativa que describe los incidentes y las pruebas de continuidad del año anterior, y el compromiso de coordinación de incidentes. La atestación importa porque permite a un cliente financiero mostrar a su supervisor un relato fechado y escrito de cómo se comportó la dependencia de email a lo largo del año en lugar de una foto fija montada la semana antes de una auditoría. Cuando el lado malo incluye la responsabilidad personal de un directivo con nombre, el proveedor que entrega documentación que una persona puede respaldar es el que pasa el procurement, y el que ofrece confianza sin artefactos es el que se atasca en la revisión legal.

Cómo lo resolvemos

Las capacidades específicas que importan para este caso.

01

Contrato artículo 30 listo para firmar

El DPA y MSA Enterprise incluyen todas las cláusulas del artículo 30.2 DORA pre-redactadas y revisadas por bufete especializado. Disponible en español y en inglés con cláusula de prevalencia configurable.

02

Registro de información DORA

Mantenemos el registro de información del artículo 28(3) en formato ITS (Implementing Technical Standards) de la EBA: datos del contrato, dependencias, evaluación de criticidad, plan de salida. Compartido con cliente trimestralmente.

03

Notificación incidente mayor en 2h

Compromiso contractual: notificación al cliente de incidencia que pueda activar tu deber del artículo 19 en 2 horas desde nuestra detección. Te quedan 2 horas para la notificación inicial al supervisor.

04

Pruebas de resiliencia TLPT

Nuestra infraestructura está sometida a pruebas TLPT (Threat-Led Penetration Testing) anuales según marco TIBER-EU. Resumen ejecutivo disponible para entidades supervisadas que lo requieran para sus propias pruebas.

05

Plan de salida ordenado

Plan documentado de transición ordenada hasta 6 meses tras notificación: export en formato estructurado, asistencia técnica a tu nuevo proveedor, cláusula de cooperación sin coste adicional para evitar disrupción operativa.

06

Lista de subcontratistas crítica

Inventario público y completo de subcontratistas TIC en /dpa#sub-processors con ubicación, tipo de dato, criticidad. Preaviso de 30 días sobre nuevos subcontratos con derecho a objeción para clientes Enterprise.

Retos habituales

Lo que vemos fallar y cómo lo arreglamos.

Diferenciar incidente operativo de incidente mayor TIC

No todo incidente TIC es "mayor" bajo DORA. Los criterios de clasificación son: número de clientes afectados, duración, datos comprometidos, criticidad del servicio interrumpido, impacto reputacional. El Reglamento Delegado (UE) 2024/1772 de la Comisión Europea publicó los criterios cuantitativos. Si tu sistema no clasifica automáticamente nuestros eventos como "mayor" cuando corresponda, podrías incumplir el plazo de notificación de 4 horas.

Subcontratistas: las cadenas largas son riesgo

El artículo 28.7 obliga a evaluar la cadena de subcontratación TIC en su conjunto. Cuando tu proveedor TIC depende a su vez de hyperscaler estadounidense (AWS, Azure, GCP), la cadena queda expuesta a riesgos jurisdiccionales que pueden invalidar la elegibilidad del proveedor. Nuestra infraestructura opera en datacenters propios y de terceros UE sin dependencia funcional de hyperscaler estadounidense para los servicios productivos.

Pruebas de resiliencia con tu propio CTO

DORA artículo 25 obliga a programas de pruebas operativas anuales y TLPT cada 3 años para entidades grandes. Si necesitas ejecutar pruebas que involucren a nuestra infraestructura (red team scenarios, simulacros de continuidad), el plan Enterprise incluye coordinación y participación de nuestro equipo de seguridad sin coste adicional para hasta 2 ejercicios al año.

Preguntas frecuentes

Las preguntas que más nos hacen.

01

¿Sois proveedor TIC crítico bajo DORA?

Aún no formalmente designados como tales por las Autoridades Europeas de Supervisión (la lista de proveedores TIC críticos se actualiza anualmente). Operamos con criterios equivalentes a CTPP en toda la infraestructura: registro de información completo, pruebas TLPT anuales, plan de salida documentado, cláusulas del artículo 30 estandarizadas. Si en algún momento se nos clasifica como CTPP, las obligaciones adicionales del Capítulo V (supervisión directa) las absorberemos sin cargar coste al cliente.

02

¿Cómo me ayudáis con el registro de información del artículo 28?

Te entregamos trimestralmente la información en formato ITS (Implementing Technical Standards) publicado por la EBA: identificadores LEI, descripción funcional del servicio, ubicaciones, dependencias entre servicios, evaluación de impacto si nos cae, fecha de inicio, condiciones contractuales. Es el formato exacto que tu supervisor te va a pedir.

03

¿Cómo se aplica el plan de salida en la práctica?

En el momento de la rescisión, mantenemos el servicio activo durante 90 días por defecto (extendible a 180 días sin coste si lo notificas con 30 días de antelación). En ese periodo: acceso completo al panel y la API para descarga de datos, asistencia a tu nuevo proveedor sin coste para migración, cooperación con el supervisor si así lo requiere, mantenimiento de los DNS y certificados hasta el corte programado. El export incluye logs históricos, suppression lists, configuración de pools, métricas históricas en formato CSV/JSON estructurado.

04

¿Cómo respondéis a una solicitud de información de mi supervisor?

Cualquier solicitud documentada del Banco de España, CNMV, DGSFP o de cualquier supervisor europeo se atiende en el plazo solicitado, con copia al cliente. Si el supervisor pide auditoría in situ, la facilitamos con preaviso razonable (5 días laborables mínimo). Si la solicitud es urgente por incidente declarado, respondemos en menos de 24 horas. Nuestro equipo legal coordina con tu equipo legal en todo el proceso.

05

¿Cuál es la diferencia entre DORA y NIS2 para una fintech?

NIS2 es directiva general de ciberseguridad para 18 sectores; DORA es reglamento sectorial específicamente financiero. Las fintechs supervisadas (entidades de pago, entidades de dinero electrónico, plataformas de crowdfunding) están bajo DORA exclusivamente (lex specialis). Las fintechs no supervisadas (un fintech B2B SaaS sin licencia de pago) están bajo NIS2 como entidad importante o esencial según tamaño y subsector. Las cláusulas del artículo 30 DORA son más exigentes que las equivalentes NIS2.

Hablamos

Agenda una llamada técnica de 45 minutos con un ingeniero.

Sin SDR, sin comisiones, sin rondas de cualificación. Cuéntanos lo que necesitas, te decimos si encajamos, y te llevas una recomendación sea cual sea la respuesta.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa