¿Qué exige DORA a tus proveedores TIC?
El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero (DORA) está en aplicación desde el 17 de enero de 2025. Te aplica si eres una entidad financiera supervisada en la UE: banco, asegurador, gestora de activos, ESI, IIC, fondo de pensiones, ECC, DCV, entidad de pago, dinero electrónico, plataforma de crowdfunding regulado y otros 21 tipos enumerados en el artículo 2. DORA impone obligaciones específicas sobre los proveedores TIC: el artículo 30 enumera el contenido mínimo del contrato con prestadores de servicios TIC (descripción precisa del servicio, ubicaciones de procesamiento, disponibilidad, cláusulas de auditoría, plan de salida, notificación de incidentes, cláusulas de subcontratación con derecho a oponerse). Los proveedores TIC críticos están además sujetos a supervisión directa por las Autoridades Europeas de Supervisión (ABE, AESPJ, AEVM) bajo el régimen del Capítulo V.
¿Cómo cubre el plan Enterprise el artículo 30 punto por punto?
El plan Enterprise incluye automáticamente las cláusulas contractuales del artículo 30 DORA, con redacción negociada por nuestro equipo legal con varios bufetes especializados en sector financiero europeo. Cláusula a cláusula: 30(2)(a) descripción precisa del servicio (anexo técnico), 30(2)(b) localizaciones de procesamiento (lista de PoPs UE con ubicación exacta), 30(2)(c) disposiciones sobre disponibilidad (SLA 99,99% con créditos), 30(2)(d) accesibilidad y recuperación de datos al término del contrato (90 días de retención más export estructurado), 30(2)(e) niveles de servicio y rendimiento (métricas medibles), 30(2)(f) asistencia ante incidentes, 30(2)(g) cooperación con autoridades competentes, 30(2)(h) derechos de rescisión y plazos mínimos de preaviso (90 días por causa, 180 por conveniencia), 30(2)(i) participación en programas de formación. El acuerdo se firma en formato bilingüe español/inglés con cláusula de prevalencia del español para clientes regulados por Banco de España o CNMV.
¿Cómo se notifican los incidentes mayores TIC en los plazos DORA?
El artículo 19 obliga a las entidades financieras a notificar a la autoridad competente los incidentes mayores TIC en tres fases: notificación inicial dentro de 4 horas hábiles desde la clasificación (no desde la detección), notificación intermedia en 72 horas con análisis preliminar de causas e impacto, informe final en 1 mes con causa raíz, impacto consolidado y plan de acción. Para que tu equipo pueda cumplir estos plazos cuando la incidencia involucra nuestra infraestructura, nos comprometemos contractualmente a notificarte en 2 horas desde la detección (es decir, 2 horas de margen para tu propia clasificación y notificación inicial). Los informes técnicos posteriores que necesites incluir en la notificación intermedia y final los entregamos en menos de 48 horas tras petición.
Marco español: Banco de España, CNMV, DGSFP.
En España, la aplicación de DORA se coordina entre tres supervisores según el sector: Banco de España para entidades de crédito y entidades de pago, CNMV para empresas de servicios de inversión, IIC y mercados, DGSFP para aseguradoras y fondos de pensiones. La Resolución del Banco de España de 19 de diciembre de 2024 publicó las orientaciones sobre la aplicación de DORA en las entidades supervisadas españolas, incluyendo el listado de servicios TIC críticos y las plantillas de registro de información. La integración con la Circular Bacen 3.909/2018 sobre ciberseguridad y la Ley 10/2014 de ordenación bancaria sigue siendo la base normativa subyacente, complementada por DORA con un régimen específicamente armonizado UE.
¿Dónde está la aplicación de DORA en 2026?
DORA está en aplicación desde el 17 de enero de 2025, y 2026 es el año en que la supervisión pasó de orientación a examen. El 18 de noviembre de 2025 las tres Autoridades Europeas de Supervisión publicaron la primera lista oficial de diecinueve Proveedores TIC Críticos, nombrando a los hyperscalers AWS, Microsoft Azure y Google Cloud junto a plataformas como IBM, Bloomberg, London Stock Exchange Group, Tata Consultancy Services y Orange. Esas firmas quedan ahora bajo supervisión directa de Equipos Conjuntos de Examen liderados por una de las AES. La postura para el resto está orientada a la aplicación: los reguladores examinan a las entidades financieras buscando evidencia de cumplimiento en lugar de aceptar planes de remediación, y el primer ciclo de envío del Registro de Información en el primer trimestre de 2026 fue la primera prueba dura. La cifra de aviso viene del simulacro de 2024, donde solo en torno al 6,5% de cerca de mil firmas pasó todas las comprobaciones de calidad de datos, y las autoridades nacionales cruzan ahora los envíos de forma automática, marcando a proveedores que aparecen en historiales de incidentes pero ausentes del registro y cadenas de subcontratación que se declaran inexistentes. No somos un Proveedor TIC Crítico ni nos acercamos al umbral de designación, pero somos un acuerdo TIC que un cliente financiero tiene que anotar correctamente en su registro, y el valor que añadimos es entregar los campos exactos para que el envío del cliente sobreviva al cruce en lugar de convertirse en un seguimiento supervisor.
¿Qué es el Registro de Información y cómo se cruza tu fila?
El artículo 28(3) exige a toda entidad financiera mantener un registro de sus acuerdos TIC con terceros y presentarlo cada año a su autoridad nacional competente, y DORA estandarizó el formato hasta quince plantillas representadas en xBRL-CSV. El ciclo de 2026 cubre los acuerdos tal como estaban el 31 de diciembre de 2025, y los envíos se enfrentan a más de cien comprobaciones automáticas de calidad de datos. Lo que subió la apuesta es que las autoridades ya no leen estos registros de forma aislada: los cruzan contra el historial de reporte de incidentes y entre sí, así que un proveedor que aparece en una notificación de brecha pero no en el registro, o una cadena de subcontratación que una firma declara vacía cuando el proveedor claramente depende de subcontratistas, emerge como una incoherencia que invita a una mirada más de cerca. Hacemos que tu entrada sea fácil de acertar exportando los campos concretos del registro —tipo de contrato, servicios prestados, categorías de datos, ubicaciones de procesamiento, clasificación de criticidad, fechas del acuerdo y resumen de subcontratación— en una forma que el cliente pliega directamente en su registro. El registro está pensado para describir la realidad, y la parte del email es una fila en él; nuestro trabajo es que esa fila sea lo bastante precisa como para pasar las comprobaciones de calidad en lugar de disparar el seguimiento que un envío incompleto produce ahora de forma fiable.
Designación de Proveedor TIC Crítico, y qué significa que no seamos uno.
El artículo 31 permite a las AES designar a un proveedor TIC como crítico según el impacto sistémico de su fallo, el grado de dependencia del sector financiero respecto a él, su sustituibilidad y la concentración de la dependencia entre firmas. Las primeras diecinueve designaciones fueron a los proveedores que el sector no puede rodear con facilidad, y un proveedor de fuera de la UE que sea designado tiene que establecer una filial en la UE para ser supervisado. Un supervisor principal —la ABE, AESPJ o AEVM— puede entonces solicitar información, conducir investigaciones, realizar inspecciones in situ bajo el artículo 35 e imponer multas coercitivas periódicas de hasta el 1% de la facturación media diaria mundial por falta de cooperación. Estamos lejos de ese umbral, con once clientes del sector financiero de la UE repartidos por ocho Estados miembros, y no anticipamos designación a nuestra escala. La parte que importa para un cliente es el efecto de herencia: una entidad financiera que depende mucho de un proveedor designado tiene que documentar esa dependencia en su registro y evaluar el riesgo de concentración, y puede recibir solicitudes de información de las AES como parte de la supervisión de ese proveedor. Mantener la parte del email en un proveedor UE no designado mantiene esa parte fuera de la cadena de supervisión de CTPP, que es una dependencia menos que un cliente financiero tiene que arrastrar al análisis de riesgo de concentración que su supervisor va a escrutar.
Estrategia de salida y el plan de transición probado que DORA ahora espera.
DORA no deja que una cláusula de salida repose en papel sin probar. Para acuerdos críticos o importantes se espera que una entidad financiera mantenga un plan de transición documentado y probado, así que la pregunta que hace un supervisor no es si el contrato permite salir sino si la firma ha demostrado que de verdad puede irse. Eso traslada la carga al proveedor para hacer la salida creíble en lugar de teórica. La soportamos en concreto: export de datos estructurado en JSON o CSV a través del portal y la API en cualquier momento, un periodo de gracia de noventa días tras la rescisión durante el cual el acceso continúa, y asistencia activa de migración a través del Servicio de Migración, incluidos caminos validados de vuelta a los proveedores a los que un cliente podría regresar. La misma disciplina de migración puente que trae a un cliente a la plataforma sin perder reputación funciona a la inversa para sacarlo, que es el punto: una salida que hundiría la entregabilidad no es una salida real. Un cliente financiero puede por tanto entrar en el acuerdo habiendo visto cómo se iría, y documentar esa transición probada para el registro en lugar de prometer una que nunca ha ensayado. La credibilidad de la salida es parte de lo que un supervisor pondera al juzgar si la dependencia está bien gobernada.
Responsabilidad personal y divulgación pública suben el listón del procurement.
DORA acarrea consecuencias que alcanzan a personas y reputaciones, y no se quedan en los balances corporativos. Las entidades financieras se enfrentan a sanciones de hasta el 10% de la facturación global anual o 10 millones de euros por infracciones graves, los altos directivos pueden ser multados hasta 1 millón de euros en responsabilidad personal, y las decisiones de incumplimiento pueden divulgarse públicamente, lo que añade un coste reputacional sobre el financiero. Esa combinación es la razón por la que el procurement de un proveedor de email en el sector financiero se alarga y hace preguntas duras: las personas que firman cargan con exposición personal, y una respuesta vaga del proveedor es un riesgo que asumen ellas individualmente. Respondemos a ese escrutinio con evidencia en lugar de tranquilizaciones: el addendum del artículo 30 en forma estándar, el export de los campos del registro, la atestación anual de resiliencia operativa que describe los incidentes y las pruebas de continuidad del año anterior, y el compromiso de coordinación de incidentes. La atestación importa porque permite a un cliente financiero mostrar a su supervisor un relato fechado y escrito de cómo se comportó la dependencia de email a lo largo del año en lugar de una foto fija montada la semana antes de una auditoría. Cuando el lado malo incluye la responsabilidad personal de un directivo con nombre, el proveedor que entrega documentación que una persona puede respaldar es el que pasa el procurement, y el que ofrece confianza sin artefactos es el que se atasca en la revisión legal.