El reglamento europeo sobre la resiliencia operativa digital del sector financiero (DORA) impone a las entidades financieras -y, por extensión, a sus proveedores TIC- un registro exhaustivo de los contratos, cláusulas contractuales precisas y pruebas de auditoría fechadas. SYAGA DORA-Express le ayuda a responder a estas exigencias sin improvisar, ya sea usted una entidad financiera o un proveedor.
DORA es un reglamento, no una directiva: se aplica directamente en todos los Estados miembros, sin necesidad de una ley de transposición nacional.
Reglamento (UE) 2022/2554 de 14 de diciembre de 2022, publicado en el DOUE el 27 de diciembre de 2022, en vigor desde el 16 de enero de 2023 y aplicable desde el 17 de enero de 2025. No requiere ninguna transposición nacional: es directamente exigible.
Cada entidad financiera debe mantener actualizado y remitir anualmente a las autoridades un registro completo de sus contratos TIC: proveedor, naturaleza del servicio, criticidad de la función, país de alojamiento de los datos.
Derechos de auditoría e inspección, garantías de disponibilidad e integridad de los datos, planes de salida probados, notificación de incidentes sin demora. Estas cláusulas se trasladan desde su cliente financiero hasta usted si es su proveedor TIC.
Antes de firmar o renovar un contrato, un banco, una aseguradora o un inversor envía un cuestionario ciber (gobernanza, MFA, EDR, cifrado, concienciación). Responderlo sin pruebas documentadas hace perder el contrato.
El 18-19 de noviembre de 2025, las autoridades europeas de supervisión (EBA, ESMA, EIOPA) publicaron la primera lista oficial de proveedores TIC críticos en virtud del artículo 32 de DORA. Entre los nombres confirmados por los comunicados oficiales: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (y otros 14 proveedores no confirmados nominalmente en nuestras fuentes).
Consecuencia concreta: si sus servicios críticos dependen de uno de estos proveedores, su entidad financiera cliente debe ahora documentarlo en su registro TIC -y puede interrogarle sobre su propia cadena de subcontratación.
Fuente: comunicados oficiales de EIOPA y ESMA del 18-19 de noviembre de 2025 (eiopa.europa.eu, esma.europa.eu).
Un acompañamiento estructurado en 5 etapas para documentar su cumplimiento -sin prometer lo que ni una herramienta, ni una consultora, pueden certificar en su lugar.
¿Es usted una entidad financiera directamente sujeta (una de las 21 categorías del artículo 2), o un proveedor TIC afectado indirectamente a través de las cláusulas contractuales de sus clientes financieros (artículo 30)? El alcance exacto condiciona todo lo demás.
Respondemos a su cuestionario de due diligence de banco, inversor o aseguradora (gobernanza, MFA, EDR, cifrado, concienciación...) apoyándonos en una auditoría técnica de su tenant Microsoft 365 como prueba fechada y verificable.
Le ayudamos a estructurar su registro de contratos TIC (art. 28 §3) y a verificar o integrar las cláusulas contractuales mínimas y reforzadas del artículo 30 en sus contratos con proveedores.
Nuestra PRA/PCA Suite ofrece un perfil sectorial Finanzas (DORA, PSD2, ACPR) que cubre los requisitos de pruebas de resiliencia operativa del capítulo IV de DORA, alineado con ISO 22301.
Entrega a su dirección, su CISO o su director financiero de un expediente consolidado, con los puntos precisos que debe resolver su asesoría jurídica antes de cualquier comunicación a las autoridades.
Entregables concretos, con fuentes citadas, sin promesa de certificación que nadie puede garantizar
10 preguntas tipo due diligence banco / M&A, documentadas y con fuente (ILPA DDQ, CSA CAIQ, cuestionarios de aseguradoras ciber).
Síntesis con fuentes del reglamento (UE) 2022/2554.
Estructura del registro exhaustivo exigido por las autoridades.
Para integrar o verificar en sus contratos con proveedores TIC.
Plan de continuidad y recuperación de actividad, perfil sectorial dedicado.
Formatos PDF y DOCX, que consolidan el conjunto de entregables.
Extracto de las 10 preguntas que documentamos para usted, con la fuente de cada pregunta
| Tema | Pregunta | Fuente |
|---|---|---|
| Gobernanza | ¿Su política de seguridad se basa en un referencial reconocido (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Auditoría externa | ¿Realiza una auditoría anual independiente y pruebas de intrusión? | CSA CAIQ v4 |
| Plan de incidentes | ¿Existe un plan formal de respuesta a incidentes, documentado y mantenido? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | ¿Para qué servicios impone la autenticación multifactor? | Travelers - MFA Supplement |
| Cuentas con privilegios | ¿Los accesos siguen el principio de mínimo privilegio, revisados periódicamente? | CSA CAIQ v4 IAM |
| Correo electrónico | ¿Qué licencia M365 utiliza? ¿Defender / threat hunting avanzado activo? | vCSO.ai Cyber DD Checklist |
| Cifrado | ¿Los discos de los equipos están totalmente cifrados? | Google VSAQ |
| Formación | ¿Existe un programa de concienciación en seguridad para todos los empleados? | CSA CAIQ v4 HRS |
Cada entregable indica explícitamente lo que cubre -y lo que no cubre
Registro TIC (art. 28), cláusulas contractuales (art. 30), plazos de notificación (art. 19), referencia a los proveedores TIC críticos designados (art. 32).
DORA es una lex specialis respecto a NIS2 para el sector financiero: las entidades afectadas aplican DORA en lugar de las medidas equivalentes de NIS2.
El perfil PRA/PCA Finanzas se alinea con ISO 22301, referencial de gestión de la continuidad de negocio utilizado como complemento de DORA.
La notificación de incidentes DORA (ACPR/AMF, autoridades francesas) es distinta de la notificación RGPD (CNIL, autoridad francesa) en caso de violación de datos personales: ambas pueden ser requeridas simultáneamente.
Cada expediente DORA es diferente según su estatus - presupuesto personalizado en todos los casos
Usted presta servicios a una o varias entidades financieras
Usted está sujeto directamente a DORA (una de las 21 categorías, art. 2)
Actualización periódica del expediente (obligaciones, contratos, registro)
Contáctenos para recibir un presupuesto personalizado según su estatus (entidad financiera o proveedor TIC).