En 2018, un fallo tecnológico dejó a 1,9 millones de clientes del banco británico TSB sin poder acceder a sus cuentas durante semanas. Todo comenzó con una migración interna mal gestionada. El resultado: portadas en prensa, pérdida de confianza, investigaciones parlamentarias y millones en compensaciones. Hoy, en 2025, el Reglamento DORA quiere evitar que algo así ocurra en España. Porque, aunque suene lejano, ese fallo podría haber sido el tuyo.
¿Qué busca el Reglamento DORA?
DORA es la nueva norma europea que ha cambiado las reglas del juego para el sector financiero. Desde el 17 de enero de 2025, todas las empresas financieras —y los proveedores tecnológicos que las sostienen— deben cumplirla.
Y no hablamos de un par de ajustes técnicos. Hablamos de un cambio de mentalidad: estar preparados para lo impensable.
En pocas palabras: que ni un ciberataque, ni una caída tecnológica, ni un fallo humano puedan tumbar un banco, una aseguradora o una fintech. El Reglamento DORA obliga a las empresas financieras a ser digitalmente resilientes. No perfectas, sino capaces de resistir, reaccionar y recuperarse rápido cuando todo se pone en contra.
¿Tu empresa entra en el alcance de DORA? Casi seguro que sí. DORA afecta a bancos, aseguradoras, fintech, gestoras, plataformas de criptoactivos… y también a cualquier empresa tecnológica que les proporcione servicios críticos.
¿Qué exige DORA, realmente?
Las 79 páginas del Reglamento DORA pueden sonar intimidantes, pero la lógica detrás de DORA es muy clara. En el fondo, se resume así:
1. Saber dónde estás expuesto
¿Sabes qué sistemas no pueden fallar bajo ningún concepto? ¿Qué pasaría si tu proveedor de servicios cloud cae durante 10 horas? DORA obliga a las empresas a identificar sus puntos críticos y evaluarlos constantemente. Y aquí no vale delegar: los altos directivos deben estar implicados y tomar decisiones.
2. Tener todo preparado para cuando algo falle
Porque algo va a fallar. Siempre lo hace. Lo que importa es cómo respondes. Por eso DORA exige que tengas:
Planes de contingencia
Copias de seguridad
Centros de respaldo
Equipos listos para actuar
Y lo más importante: que todo eso se pruebe con regularidad. No basta con tener el documento en una carpeta. DORA quiere acción.
3. Detectar incidentes y notificar en tiempo récord
¿Un ataque de ransomware? ¿Un error que bloquea transferencias? Si el impacto es grave, tienes 4 horas para avisar al regulador. Luego, tendrás que entregar un informe detallado. DORA quiere que las autoridades sepan lo que pasa en tiempo real y que puedas aprender de cada incidente para no repetirlo.
4. Controlar a tus proveedores como si fueran parte de tu empresa
Si el sistema cae por culpa de tu proveedor TIC, la responsabilidad también es tuya. Por eso, DORA obliga a revisar contratos, exigir cláusulas de seguridad, y saber exactamente quién está haciendo qué. De hecho, cada año tendrás que entregar a tu regulador una lista completa de tus proveedores tecnológicos.
DORA no quiere perfección, quiere resiliencia probada.
¿Qué pasa si no cumples?
Las sanciones no están para decorar. Hablamos de:
Multas económicas fuertes
Restricciones de actividad
Daño reputacional
Y hasta sanciones personales a directivos, si se demuestra negligencia
El mensaje es claro: quien no se toma en serio la resiliencia, no debería operar en el sector financiero.
¿Podría el Reglamento DORA haber evitado un caso como el de TSB?
Al principio de este artículo hablábamos del caso de TSB, el banco británico que en 2018 dejó sin acceso a su banca digital a casi dos millones de clientes por una migración tecnológica mal gestionada. Lo que no contamos entonces —y ahora importa aún más— es todo lo que falló detrás de ese error.
No hubo un ataque externo. No fue culpa de un virus. Fue una decisión técnica mal ejecutada, sin pruebas suficientes, sin planes de recuperación eficaces y con poca supervisión del proveedor. El resultado: caos, dimisiones, una multa millonaria y un daño de reputación difícil de reparar.
Ese es, precisamente, el tipo de situación que DORA pretende evitar.
Si esta normativa hubiera estado en vigor entonces —y se hubiera aplicado bien—, es muy probable que:
La migración se hubiera auditado con más rigor.
Se habrían hecho simulacros antes de activarla.
El proveedor habría estado sujeto a cláusulas de control más estrictas.
Y el banco habría tenido un plan de contingencia robusto para minimizar el impacto.
DORA no elimina los errores humanos, pero obliga a estar preparados para gestionarlos mejor. A construir infraestructuras tecnológicas donde el fallo no se convierte en catástrofe. A tomar decisiones críticas con más análisis, más pruebas y más control.
PORQUE NO SE TRATA DE SI FALLARÁ ALGO. SE TRATA DE CUÁNDO Y DE CÓMO VAS A RESPONDER.
¿Qué están haciendo ya las empresas en España?
Desde 2024, bancos, aseguradoras y fintech han empezado a moverse. Se han organizado simulacros con los reguladores, se han revisado contratos con proveedores, se han instalado herramientas de monitorización y —en los mejores casos— se han hecho pruebas reales de recuperación. Algunas entidades grandes ya han simulado ataques complejos, como un Red Team real, para comprobar si podrían aguantar el golpe.
Y no están solas: INCIBE, los reguladores sectoriales y empresas especializadas están dando apoyo, guías y plantillas. Pero la última responsabilidad siempre es de la entidad financiera.
¿Es diferente de otras normativas como GDPR o NIS2?
Muchos piensan que DORA es “más de lo mismo”, pero no lo es. A diferencia de GDPR, que protege los datos personales, o de NIS2, que pide ciberseguridad general, DORA va más allá: exige que el negocio entero pueda seguir funcionando, incluso si todo lo digital se cae.
En otras palabras: GDPR protege al cliente; DORA protege al sistema financiero.
¿Y cómo se empieza?
Si tu empresa aún no está del todo preparada, este es el camino:
✅ Haz una evaluación realista: ¿Qué tienes cubierto y qué no?
✅ Revisa tus planes de continuidad: ¿Funcionan? ¿Los has probado?
✅ Evalúa a tus proveedores TIC: ¿Puedes confiar en ellos si las cosas se tuercen?
✅ Prepara tus sistemas de alerta y notificación: Necesitarás actuar rápido si ocurre algo.
✅ Involucra a la dirección: No es solo un tema de IT. Es de negocio.
Conclusión: DORA no viene a incomodar, viene a proteger
Aunque DORA parezca una una carga más, es en realidad una oportunidad para detectar fallos antes de que se conviertan en crisis. A día de hoy, la confianza que transmites como empresa lo es todo, y estar preparado es parte de tu reputación, de tu valor de marca y de tu supervivencia.
Así que la pregunta no es si DORA te va a afectar.
La pregunta real es: ¿estás preparado para seguir operando cuando todo falle?
En Ywen, llevamos esa pregunta al centro de nuestra estrategia. Nos hemos consolidado como pioneros en la implementación de DORA en el sector financiero español, no solo cumpliendo con lo exigido, sino anticipándonos con soluciones que fortalecen la resiliencia digital de nuestros clientes.
Contamos con la certificación ISO/IEC 27001, el estándar internacional en gestión de la seguridad de la información, que avala nuestro compromiso con la protección de datos, la disponibilidad de sistemas y la mejora continua.
Además, somos partners de WatchGuard, líder en soluciones de ciberseguridad, lo que nos permite ofrecer una capa adicional de protección y control en entornos críticos.
Trabajamos para que cada organización financiera —ya sea banco, aseguradora, fintech o proveedor tecnológico— pueda evaluar su situación, reducir sus riesgos y cumplir con DORA.
La mejor decisión que puedes tomar hoy es empezar. Evaluación. Pruebas. Compromiso desde la dirección. Hablemos.
Fuentes
