REGLAMENTO (UE) 2022/2554 - APLICABLE DESDE EL 17 DE ENERO DE 2025

Su cumplimiento DORA,
documentado y defendible

El reglamento europeo sobre la resiliencia operativa digital del sector financiero (DORA) impone a las entidades financieras -y, por extensión, a sus proveedores TIC- un registro exhaustivo de los contratos, cláusulas contractuales precisas y pruebas de auditoría fechadas. SYAGA DORA-Express le ayuda a responder a estas exigencias sin improvisar, ya sea usted una entidad financiera o un proveedor.

17/01
Aplicable desde 2025
21
Categorías de entidades afectadas (art. 2)
4h
Plazo de notificación de un incidente grave
19
Proveedores TIC críticos ya designados

El contexto normativo

DORA es un reglamento, no una directiva: se aplica directamente en todos los Estados miembros, sin necesidad de una ley de transposición nacional.

DORA se aplica directamente desde el 17 de enero de 2025

Reglamento (UE) 2022/2554 de 14 de diciembre de 2022, publicado en el DOUE el 27 de diciembre de 2022, en vigor desde el 16 de enero de 2023 y aplicable desde el 17 de enero de 2025. No requiere ninguna transposición nacional: es directamente exigible.

📋

Se exige un registro TIC exhaustivo (art. 28 §3)

Cada entidad financiera debe mantener actualizado y remitir anualmente a las autoridades un registro completo de sus contratos TIC: proveedor, naturaleza del servicio, criticidad de la función, país de alojamiento de los datos.

📄

Sus contratos deben contener cláusulas precisas (art. 30)

Derechos de auditoría e inspección, garantías de disponibilidad e integridad de los datos, planes de salida probados, notificación de incidentes sin demora. Estas cláusulas se trasladan desde su cliente financiero hasta usted si es su proveedor TIC.

📧

El cuestionario de due diligence ya está en su bandeja de entrada

Antes de firmar o renovar un contrato, un banco, una aseguradora o un inversor envía un cuestionario ciber (gobernanza, MFA, EDR, cifrado, concienciación). Responderlo sin pruebas documentadas hace perder el contrato.

El detonante del 18 de noviembre de 2025

Sus proveedores de nube acaban de ser designados oficialmente como «críticos»

El 18-19 de noviembre de 2025, las autoridades europeas de supervisión (EBA, ESMA, EIOPA) publicaron la primera lista oficial de proveedores TIC críticos en virtud del artículo 32 de DORA. Entre los nombres confirmados por los comunicados oficiales: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (y otros 14 proveedores no confirmados nominalmente en nuestras fuentes).

Consecuencia concreta: si sus servicios críticos dependen de uno de estos proveedores, su entidad financiera cliente debe ahora documentarlo en su registro TIC -y puede interrogarle sobre su propia cadena de subcontratación.

Fuente: comunicados oficiales de EIOPA y ESMA del 18-19 de noviembre de 2025 (eiopa.europa.eu, esma.europa.eu).

Nuestra respuesta: DORA-Express

Un acompañamiento estructurado en 5 etapas para documentar su cumplimiento -sin prometer lo que ni una herramienta, ni una consultora, pueden certificar en su lugar.

1
Etapa 1 - Calificación

Identificamos su exposición real

¿Es usted una entidad financiera directamente sujeta (una de las 21 categorías del artículo 2), o un proveedor TIC afectado indirectamente a través de las cláusulas contractuales de sus clientes financieros (artículo 30)? El alcance exacto condiciona todo lo demás.

2
Etapa 2 - Due diligence

Respuesta a su cuestionario ciber

Respondemos a su cuestionario de due diligence de banco, inversor o aseguradora (gobernanza, MFA, EDR, cifrado, concienciación...) apoyándonos en una auditoría técnica de su tenant Microsoft 365 como prueba fechada y verificable.

3
Etapa 3 - Registro y contratos

Registro TIC y cláusulas del artículo 30

Le ayudamos a estructurar su registro de contratos TIC (art. 28 §3) y a verificar o integrar las cláusulas contractuales mínimas y reforzadas del artículo 30 en sus contratos con proveedores.

4
Etapa 4 - Continuidad y resiliencia

PRA/PCA perfil sectorial Finanzas

Nuestra PRA/PCA Suite ofrece un perfil sectorial Finanzas (DORA, PSD2, ACPR) que cubre los requisitos de pruebas de resiliencia operativa del capítulo IV de DORA, alineado con ISO 22301.

5
Etapa 5 - Entrega

Un expediente de cumplimiento documentado

Entrega a su dirección, su CISO o su director financiero de un expediente consolidado, con los puntos precisos que debe resolver su asesoría jurídica antes de cualquier comunicación a las autoridades.

Lo que usted recibe

Entregables concretos, con fuentes citadas, sin promesa de certificación que nadie puede garantizar

📝

Respuestas de due diligence ciber

10 preguntas tipo due diligence banco / M&A, documentadas y con fuente (ILPA DDQ, CSA CAIQ, cuestionarios de aseguradoras ciber).

  • Política de seguridad / referencial reconocido
  • MFA, mínimo privilegio, cuentas con privilegios
  • Licencia M365, EDR / threat hunting
  • Protocolos legacy, cifrado de discos
  • Programa de concienciación
📄

Ficha de referencia DORA

Síntesis con fuentes del reglamento (UE) 2022/2554.

  • Alcance: 21 categorías de entidades (art. 2)
  • 5 ámbitos de obligaciones
  • Plazos de notificación (4h / 72h / 1 mes)
  • Articulación con NIS2 (lex specialis)
📋

Registro TIC (plantilla art. 28 §3)

Estructura del registro exhaustivo exigido por las autoridades.

  • Proveedor y naturaleza del servicio
  • Criticidad de la función soportada
  • País de alojamiento de los datos
  • Formato listo para la remisión anual
🔐

Cláusulas contractuales (plantilla art. 30)

Para integrar o verificar en sus contratos con proveedores TIC.

  • Cláusulas mínimas (todos los contratos)
  • Cláusulas reforzadas (funciones críticas)
  • Derechos de auditoría e inspección
  • Planes de salida y extraibilidad de los datos
🏗

PRA/PCA perfil Finanzas

Plan de continuidad y recuperación de actividad, perfil sectorial dedicado.

  • Cobertura del capítulo IV de DORA (pruebas de resiliencia)
  • Alineado con ISO 22301
  • Perfil sectorial DORA / PSD2 / ACPR
  • Procedente de nuestra PRA/PCA Suite existente
💾

Expediente de cumplimiento documentado

Formatos PDF y DOCX, que consolidan el conjunto de entregables.

  • Listo para su dirección / CISO / director financiero
  • Puntos a validar por su abogado señalados
  • Base para sus intercambios con ACPR / AMF
  • Editable para actualización anual

Un ejemplo: el cuestionario de due diligence bancaria

Extracto de las 10 preguntas que documentamos para usted, con la fuente de cada pregunta

Tema Pregunta Fuente
Gobernanza ¿Su política de seguridad se basa en un referencial reconocido (NIST, ISO 27001)? ILPA DDQ 2.0
Auditoría externa ¿Realiza una auditoría anual independiente y pruebas de intrusión? CSA CAIQ v4
Plan de incidentes ¿Existe un plan formal de respuesta a incidentes, documentado y mantenido? CSA CAIQ v4 / ILPA DDQ 2.0
MFA ¿Para qué servicios impone la autenticación multifactor? Travelers - MFA Supplement
Cuentas con privilegios ¿Los accesos siguen el principio de mínimo privilegio, revisados periódicamente? CSA CAIQ v4 IAM
Correo electrónico ¿Qué licencia M365 utiliza? ¿Defender / threat hunting avanzado activo? vCSO.ai Cyber DD Checklist
Cifrado ¿Los discos de los equipos están totalmente cifrados? Google VSAQ
Formación ¿Existe un programa de concienciación en seguridad para todos los empleados? CSA CAIQ v4 HRS

Textos y referenciales cubiertos

Cada entregable indica explícitamente lo que cubre -y lo que no cubre

DO

DORA (Reglamento UE 2022/2554)

Registro TIC (art. 28), cláusulas contractuales (art. 30), plazos de notificación (art. 19), referencia a los proveedores TIC críticos designados (art. 32).

N2

NIS2 - articulación con DORA

DORA es una lex specialis respecto a NIS2 para el sector financiero: las entidades afectadas aplican DORA en lugar de las medidas equivalentes de NIS2.

ISO

ISO 22301 - continuidad de negocio

El perfil PRA/PCA Finanzas se alinea con ISO 22301, referencial de gestión de la continuidad de negocio utilizado como complemento de DORA.

RG

RGPD - notificación distinta

La notificación de incidentes DORA (ACPR/AMF, autoridades francesas) es distinta de la notificación RGPD (CNIL, autoridad francesa) en caso de violación de datos personales: ambas pueden ser requeridas simultáneamente.

Un acompañamiento adaptado a su situación

Cada expediente DORA es diferente según su estatus - presupuesto personalizado en todos los casos

Proveedor TIC

Usted presta servicios a una o varias entidades financieras

Presupuesto
según alcance
  • Respuesta a due diligence ciber
  • Registro TIC del lado del proveedor
  • Revisión de cláusulas del artículo 30
  • Expediente documentado listo para entregar
Solicitar presupuesto

Seguimiento anual

Actualización periódica del expediente (obligaciones, contratos, registro)

Presupuesto
recurrente
  • Actualización del registro TIC
  • Revisión anual de las cláusulas contractuales
  • Vigilancia sobre los proveedores críticos designados
  • Apoyo para sus due diligences de clientes
Solicitar presupuesto

Preguntas frecuentes

¿Mi empresa es una entidad financiera afectada por DORA?
El artículo 2 de DORA enumera 21 categorías de entidades financieras: entidades de crédito y de pago, empresas de inversión, proveedores de criptoactivos autorizados MiCA, seguros y reaseguros, gestión de fondos, agencias de calificación, y otras. Las microempresas (menos de 10 empleados, facturación o balance inferior a 2 M€) se benefician de una proporcionalidad en ciertas obligaciones, pero no quedan totalmente excluidas. Debe verificarse caso por caso con una asesoría jurídica.
No soy un banco, ¿por qué me afecta DORA de todas formas?
Si presta servicios TIC (informática, nube, software, alojamiento) a una entidad financiera, el artículo 30 obliga a su cliente a inscribirle en su registro y a imponerle contractualmente cláusulas precisas: derechos de auditoría, notificación de incidentes sin demora, planes de salida. Estas obligaciones pasan por el contrato de su cliente, no por una supervisión directa de la autoridad -salvo que usted mismo sea designado proveedor TIC crítico (artículo 31).
¿Cuáles son los plazos de notificación de un incidente TIC grave?
Artículo 19: notificación inicial en un plazo de 4 horas tras la clasificación como incidente grave (como máximo 24 horas tras la detección), informe intermedio en 72 horas, informe final en 1 mes. Estas notificaciones son distintas de una eventual notificación RGPD a la CNIL (autoridad francesa) en caso de violación de datos personales.
¿Qué es un «proveedor TIC crítico»?
Son proveedores designados explícitamente por las autoridades europeas de supervisión (EBA, ESMA, EIOPA) según criterios de impacto sistémico, sustituibilidad y dependencia (artículo 31). La primera lista oficial, publicada el 18-19 de noviembre de 2025, cuenta con 19 proveedores. Están sujetos a una supervisión directa (inspecciones, reporting ampliado); los demás proveedores TIC siguen regulados únicamente por las cláusulas contractuales de sus clientes financieros.
¿DORA sustituye a NIS2 en mi sector?
Sí, para las entidades financieras en el sentido del artículo 2: DORA constituye una lex specialis respecto a NIS2 para el sector financiero. Las 21 categorías afectadas aplican DORA en lugar de las medidas equivalentes de NIS2 en materia de gestión de riesgos y notificación de incidentes.
¿Este servicio constituye un dictamen jurídico?
No. DORA-Express es una herramienta de acompañamiento documental, no un dictamen jurídico. La sujeción exacta de su organización a DORA y la conformidad jurídica de sus contratos deben ser validadas por un abogado especializado antes de cualquier decisión vinculante.

¿Listo para documentar su cumplimiento DORA?

Contáctenos para recibir un presupuesto personalizado según su estatus (entidad financiera o proveedor TIC).

DORA-Express es una herramienta de acompañamiento documental y no constituye un dictamen jurídico. La sujeción de su organización a DORA y la validez jurídica de sus contratos y registros deben ser confirmadas por un abogado especializado.