Reglamento de Resiliencia Operativa Digital
Reg. (UE) 2022/2554
Marco europeo de resiliencia digital del sector financiero. Aplicable desde 17/01/2025. Define gestión de riesgo TIC, gestión de incidentes, pruebas de resiliencia y contratos con proveedores.
Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.
Datos clave
- A QUIÉN OBLIGA
- Entidades financieras (bancos, aseguradoras, fondos, EDE, EDP, cripto) + sus proveedores TIC críticos.
- SANCIÓN MÁXIMA
- Hasta 1 % facturación diaria · 10 % anual para CTPPs
- EN VIGOR DESDE
- 17/01/2025
- AUTORIDAD
- BdE · CNMV · DGSFP
- FUENTE OFICIAL
- https://eur-lex.europa.eu/eli/reg/2022/2554/oj
Obligaciones y artículos clave
El agente razona y cita literalmente sobre estos puntos. 6 referencias cargadas en el motor — muestra de 4.
DORA se aplica a entidades de crédito; empresas de servicios de inversión; entidades de pago y de dinero electrónico; compañías aseguradoras y reaseguradoras; sociedades gestoras de fondos; infraestructuras de mercado (plataformas de negociación, cámaras de compensación); empresas de servicios de criptoactivos; proveedores de servicios de datos financieros; y otros sujetos enumerados. Adicionalmente, introduce la figura del 'proveedor TIC crítico de terceros' (CTPP) bajo supervisión europea directa por las ESAs.
Las entidades financieras desarrollarán un marco integral, documentado, aprobado por el órgano de dirección, que abarque identificación de activos críticos, evaluación continua de riesgos TIC, mantenimiento de políticas y controles de seguridad, planes de continuidad y recuperación, gestión de cambios, gestión de vulnerabilidades, y formación. El órgano de dirección es responsable personalmente del marco — no puede delegarse el resultado.
Sistema único de clasificación, registro y notificación de incidentes TIC. Un incidente se clasifica como 'grave' si tiene repercusiones negativas en redes y sistemas que sustentan funciones esenciales o importantes, conforme a los criterios del Reglamento Delegado (UE) 2024/1772. La notificación inicial al supervisor sigue plazos armonizados; el formato lo determina el Reglamento de Ejecución (UE) 2025/302. Coordinación obligatoria con AEPD si el incidente afecta a datos personales (cruce con Art. 33 RGPD: 72h).
Las entidades realizan pruebas regulares de resiliencia de sus sistemas TIC incluyendo: evaluaciones de vulnerabilidades, pruebas basadas en escenarios, y para las entidades designadas por la autoridad (en base a perfil de riesgo, tamaño y rol sistémico) pruebas TLPT — Threat-Led Penetration Testing — conforme al framework TIBER-EU al menos cada 3 años con proveedores acreditados. TLPT/TIBER es el cambio más disruptivo de DORA desde el punto de vista técnico.
Qué puedes hacer con este marco en ÆGIS
Un cuestionario adaptativo determina qué obligaciones de DORA aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.
Iniciar evaluación →- Marco de Gestión del Riesgo de las TIC (DORA)
- Plan de Gestión y Respuesta a Incidentes TIC (DORA)
- Registro de Información de Proveedores Terceros TIC (DORA)
Cruces con otros marcos
Estos marcos comparten obligaciones convergentes con DORA. El agente las razona como un sistema, no como silos.
29 €/mes · garantía 60 días · sin tarjeta para probar