El Reglamento DORA (UE 2022/2554) lleva en vigor desde enero de 2025 y han pasado 18 meses. DORA en banca y seguros ya no es una cuestión teórica: las primeras auditorías de supervisión están activas y los gaps de cumplimiento empiezan a salir a la luz. La pregunta ya no es si los bancos y aseguradoras tienen que cumplir, sino cuánto han avanzado realmente y qué queda por cerrar.  

Este artículo parte de lo que vemos en proyectos concretos con bancos y entidades aseguradoras: qué han hecho bien, dónde se concentran los problemas más habituales y qué hoja de ruta tiene más sentido para cerrarlos. 

¿A quién afecta DORA? A bancos, entidades de crédito, empresas de inversión, entidades de pago, aseguradoras y reaseguradoras, fondos de pensiones, gestoras de activos, plataformas de negociación, depositarios y proveedores críticos de servicios TIC para el sector financiero.   

Si eres proveedor tecnológico de cualquiera de estas entidades, DORA también te afecta. 

La realidad del cumplimiento a mitad de 2026  

En la práctica, el avance es desigual. Algunas entidades completaron el análisis de gaps en 2024. Otras han abordado los pilares más visibles (contratos con proveedores, registro de incidentes) pero aún tienen pendiente el marco de gestión del riesgo TIC o los planes de continuidad y recuperación.  

Los problemas más habituales que encontramos son:  

• Marco de riesgo TIC sin integración operativa real. Muchas entidades tienen documentos de políticas, pero sin traducción en controles técnicos activos, métricas de seguimiento ni responsables claros.  

• Gestión de terceros incompleta. El inventario de proveedores TIC críticos existe, pero los contratos no se han actualizado con las cláusulas que exige DORA, y los planes de salida ante dependencias críticas no están formalizados.  

• Pruebas de resiliencia insuficientes. Los tests existentes no cubren los escenarios que DORA considera relevantes, o no se realizan con la frecuencia adecuada.  

• Notificación de incidentes sin proceso operativo. Los plazos de DORA (notificación inicial, informes de progreso, informe final) requieren un proceso claro y rodado. Improvisarlo cuando ocurre el incidente no funciona.   

Qué significa construir resiliencia en la práctica  

Para entender qué implican exactamente las exigencias de DORA sobre el terreno, vale la pena partir de proyectos concretos.  

Trabajamos con entidades de servicios bancarios y pasarelas de pago que operan infraestructuras de comunicaciones altamente críticas: millones de operaciones procesadas de forma continua, disponibilidad 24×7 y sin margen para interrupciones. Cualquier organización de este tipo no puede permitirse un incidente operativo. Y precisamente por eso, cuando DORA entró en vigor, tenían ante sí un trabajo real.  

Contexto típico de nuestros clientes:  

• Infraestructura de red muy compleja con crecimiento desestructurado. 

• Visibilidad limitada. 

• Alta dependencia de sistemas legacy. 

Lo que ello implica en la práctica es que cualquier intervención debe realizarse en ventanas de actuación estrictas, fuera del horario habitual, para no afectar a la continuidad operativa del negocio. Es una tarea tediosa y compleja.  

¿Cómo apoya SATEC el cumplimiento de DORA en estos casos?  

Dependiendo del caso concreto, para este tipo de clientes que trabajan con pasarelas de pago, proponemos: 

• La transformación de la arquitectura de red hacia un modelo centralizado y automatizado.  

• Rediseño de la infraestructura de comunicaciones para ganar visibilidad, redundancia y capacidad de respuesta.  

• Migración por fases para no comprometer la disponibilidad del servicio.  

• Despliegue de herramientas de monitorización y orquestación que permiten detectar y aislar incidencias antes de que afecten a la operación.  

El resultado de todo esto es una red más estructurada, con mejor visibilidad y control, menor complejidad operativa y capacidad real de respuesta ante incidentes. Una infraestructura que, por primera vez, puede demostrar su resiliencia, para cumplir con los requisitos de visibilidad, trazabilidad y recuperación que exige la normativa europea.   

Este tipo de proyectos muestra algo que se repite en banca y seguros: DORA exige que la infraestructura tecnológica funcione como dice que funciona cuando algo falla. Y eso requiere, en la mayoría de los casos, trabajo técnico real.  

Hoja de ruta: qué hacer ahora  

Si tu entidad tiene problemas abiertos en el cumplimiento de DORA, la secuencia más efectiva suele seguir este orden:  

• Inventario y clasificación real. Mapear todos los sistemas y proveedores TIC críticos. No los que “deberían” estar, sino los que realmente están operando. La shadow IT y los proveedores no documentados son los riesgos más comunes.  

• Gap analysis contra los cinco pilares. Evaluar qué controles están activos de verdad (no solo documentados) y qué distancia hay respecto a lo que DORA exige.  

• Priorizar por riesgo real. No todos los gaps tienen el mismo impacto. Priorizar los que afectan a sistemas críticos y los que quedarían expuestos en una auditoría de supervisión.  

• Actualizar contratos con terceros. El pilar de gestión de terceros es uno de los más expuestos. Los contratos con proveedores TIC críticos necesitan revisión antes de que lo haga el supervisor.  

• Poner a prueba los planes. Un plan de continuidad que no se ha probado no cuenta. Los tests de resiliencia son obligatorios y deben documentarse.  

En SATEC acompañamos a bancos y aseguradoras en el análisis de estas problemáticas, la remediación técnica y la preparación para auditorías de DORA. Si quieres una evaluación de tu situación actual, habla con nuestro equipo.  

Preguntas frecuentes sobre DORA