DORA se dirige al conjunto del sector financiero (bancos, aseguradoras, fondos, fintechs, plataformas de inversión y proveedores de criptoactivos, entre otros), así como a sus proveedores de servicios TIC. Su aplicación se adapta al tamaño y complejidad de cada entidad mediante el principio de proporcionalidad.
Entidades financieras: los responsables principales
En el centro de DORA se encuentran las entidades financieras, como bancos, aseguradoras, fintech y gestoras de activos. Hablamos de instituciones como Banco Santander, BBVA, CaixaBank, Mapfre o Revolut.
Estas organizaciones son las directamente obligadas por el reglamento y deben garantizar la continuidad de sus servicios incluso ante incidentes tecnológicos graves, como ciberataques, fallos de sistemas o interrupciones operativas. En la práctica, DORA les exige reforzar su gestión del riesgo TIC, mejorar la capacidad de respuesta ante incidentes y asegurar la recuperación rápida de la actividad, minimizando el impacto en clientes y mercados.
Proveedores TIC críticos: la infraestructura invisible del sistema
El segundo grupo lo forman los proveedores tecnológicos cuya actividad es esencial para el funcionamiento del sistema financiero, como infraestructuras digitales, telecomunicaciones o servicios tecnológicos de gran impacto.
DORA introduce para ellos la figura de los proveedores TIC críticos, que pueden quedar bajo supervisión directa a nivel europeo cuando su papel es lo suficientemente relevante para poner en riesgo la estabilidad del sistema financiero. Su importancia radica en que sostienen servicios clave como conectividad, procesamiento de datos o alojamiento de infraestructuras críticas, lo que los convierte en piezas fundamentales de la cadena operativa.
Proveedores tecnológicos del sector financiero: la capa operativa
El tercer grupo lo forman las empresas que prestan servicios tecnológicos al sector financiero, como consultoras, integradores o proveedores de cloud y software. Aunque no siempre son considerados críticos desde el punto de vista regulatorio, DORA los impacta de forma indirecta de manera significativa.
Esto se traduce en mayores exigencias contractuales por parte de sus clientes financieros, necesidad de garantizar altos niveles de seguridad y disponibilidad, y una mayor trazabilidad de los servicios prestados. En muchos casos, estos proveedores pasan a formar parte de la estrategia de resiliencia de las entidades financieras, al ser piezas clave en la continuidad operativa del negocio.
Ámbito geográfico y operativo
El Reglamento DORA (Digital Operational Resilience Act) adopta un enfoque funcional y transfronterizo, centrado no en dónde está una entidad, sino en qué papel desempeña dentro del sistema financiero europeo.
- Alcance geográfico: DORA se aplica a todas las entidades establecidas en la Unión Europea, incluyendo bancos, aseguradoras, entidades de pago, gestoras de fondos, empresas de inversión y plataformas de criptoactivos reguladas. Este alcance se amplía más allá del territorio europeo, ya que también incluye a proveedores tecnológicos situados en terceros países cuando prestan servicios críticos a entidades financieras que operan en la UE. De este modo, el reglamento cubre toda la cadena de suministro digital que sostiene al sistema financiero europeo, independientemente de su ubicación.
- Segmentación por tipo de entidad: DORA incorpora además un principio de proporcionalidad que ajusta las obligaciones en función del tamaño, la complejidad y la criticidad de cada organización. Las entidades financieras de mayor y mediano tamaño deben cumplir con el conjunto completo de requisitos en materia de gestión de riesgos TIC, resiliencia operativa, notificación de incidentes y pruebas de ciberseguridad. Las pymes, por su parte, se someten a un régimen simplificado que reduce la carga administrativa manteniendo los requisitos esenciales de seguridad. En paralelo, los proveedores TIC críticos, como los servicios cloud o el software esencial, quedan sujetos a una supervisión reforzada por parte de las autoridades europeas debido a su impacto potencial en la estabilidad del sistema financiero.
DORA supone un cambio profundo en la forma en que se entiende la resiliencia operativa en el sector financiero. Ya no se trata solo de que las entidades financieras sean seguras, sino de que todo el ecosistema que las rodea funcione de manera coordinada y resiliente.
En definitiva, DORA no solo regula, sino que redefine el estándar de confianza digital en el sector financiero europeo, elevando la resiliencia operativa a un elemento central para la continuidad del negocio y la estabilidad del sistema.