DORA (Regulation 2022/2554) is the EU's Digital Operational Resilience Act. It establishes a uniform framework for managing ICT risks in the financial sector. Unlike directives, DORA is directly applicable in all EU member states without national transposition.

When did DORA take effect?

DORA entered into force on January 16, 2023 and applies since January 17, 2025. All financial entities in scope must now comply with its requirements for ICT risk management, incident reporting, resilience testing, and third-party risk management.

Who must comply with DORA?

DORA applies to 21 types of financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers, and fund managers. It also applies to critical ICT third-party service providers (cloud, SaaS, data analytics) serving the financial sector.

What are the penalties for DORA non-compliance?

Financial entities face administrative fines up to 2% of total annual worldwide turnover. For critical ICT third-party providers, fines can reach up to 5 million euros or 1% of average daily worldwide turnover. National competent authorities can also impose periodic penalty payments.

How does SiteGuardian help with DORA compliance?

SiteGuardian continuously monitors your ICT security posture (TLS/SSL, headers, DNS, email authentication), detects incidents in real time with 4-hour major incident reporting support, runs automated resilience tests from multiple regions, and provides 5-level supplier risk scoring for ICT third-party risk management under DORA Art. 28.

Reglamento UE 2022/2554

DORA está en vigor.
¿Está preparada su resiliencia TIC?

El Digital Operational Resilience Act exige a las entidades financieras gestionar los riesgos TIC, notificar incidentes en un plazo de 4 horas y probar la resiliencia operativa — o enfrentar multas de hasta el 2 % de la facturación global.

En vigor desde el 17 de enero de 2025

Analice su sitio web ahora Ver planes de cumplimiento

¿Se le aplica DORA?

DORA se aplica a 21 tipos de entidades financieras y sus proveedores críticos de servicios TIC de terceros. Si opera en el sector financiero de la UE, muy probablemente está dentro del alcance.

Bancos

Entidad financiera

Seguros

Entidad financiera

Empresas de inversión

Entidad financiera

Entidades de pago

Entidad financiera

Proveedores de criptoactivos

Entidad financiera

Gestoras de fondos

Entidad financiera

Agencias de calificación crediticia

Entidad financiera

Proveedores TIC de terceros

Proveedor crítico

El costo del incumplimiento

Entidades financieras

de la facturación anual mundial total

multas administrativas determinadas por las autoridades nacionales competentes

Proveedores críticos de TIC de terceros

5 M€

o el 1 % de la facturación media diaria mundial

más pagos periódicos de penalización por incumplimiento continuado

Las autoridades nacionales competentes también pueden restringir o suspender actividades y responsabilizar personalmente a la dirección.

Los 5 pilares de DORA — y lo que SiteGuardian monitorea

DORA establece cinco pilares para la resiliencia operativa digital. SiteGuardian monitorea continuamente cuatro de ellos para su infraestructura TIC expuesta a la web.

Art. 5–15

Gestión de riesgos TIC

Monitorizados

SiteGuardian proporciona monitorización continua de la postura de seguridad de su infraestructura expuesta a la web: validación TLS/SSL, seguimiento del ciclo de vida de certificados, detección de vulnerabilidades, aplicación de cabeceras de seguridad, verificación DNSSEC y una pista de auditoría inmutable para demostrar la gobernanza de gestión de riesgos.

Art. 17–23

Gestión de incidentes TIC

Monitorizados

SiteGuardian detecta incidentes en tiempo real, los clasifica por gravedad y soporta flujos de trabajo de notificación conformes con DORA — incluida la notificación inicial de 4 horas para incidentes TIC graves, informes intermedios de 72 horas e informes finales de 1 mes. Los informes de incidentes prerrellenados para su autoridad nacional competente se generan automáticamente.

Art. 24–27

Pruebas de resiliencia operativa digital

Monitorizados

SiteGuardian ejecuta análisis de seguridad automatizados que cubren la configuración TLS, cabeceras de seguridad HTTP, fortalecimiento de DNS, autenticación de correo electrónico (DMARC/SPF/DKIM) y validación de certificados desde múltiples regiones geográficas — proporcionando pruebas continuas de resiliencia base según lo requerido por el Art. 25.

Art. 28–30

Gestión de riesgos de terceros TIC

Monitorizados

SiteGuardian evalúa la postura de seguridad de proveedores en 5 niveles de madurez, rastrea el riesgo de concentración en proveedores TIC críticos, monitoriza la seguridad TLS y de correo electrónico de terceros, y soporta la generación del Registro de información DORA (Art. 28(3)) para todos los acuerdos contractuales con proveedores TIC de terceros.

Art. 31–44

Supervisión de proveedores críticos de TIC de terceros

Este pilar se aplica a proveedores TIC designados como críticos por las Autoridades Europeas de Supervisión (ESAs). El Supervisor Principal realiza inspecciones, emite recomendaciones y puede imponer sanciones. SiteGuardian no cubre los procesos de supervisión de las ESAs directamente.

El cumplimiento de DORA comienza con la visibilidad

Analice su sitio web para evaluar su postura de seguridad TIC. SiteGuardian asigna cada hallazgo a artículos de DORA — para que sepa exactamente dónde se encuentra.

Escaneo de seguridad gratuito Ver planes de cumplimiento

Gratis para siempre para 1 monitor. No se requiere tarjeta de crédito.

Preguntas frecuentes

¿Qué es DORA?

DORA (Reglamento 2022/2554) es el Reglamento de Resiliencia Operativa Digital de la UE. Crea un marco integral para la gestión de riesgos TIC en el sector financiero, abarcando la gobernanza de riesgos, la notificación de incidentes, las pruebas de resiliencia, la gestión de riesgos de terceros y el intercambio de información. A diferencia de una directiva, DORA es directamente aplicable en todos los estados miembros de la UE.

¿Cuándo pasó a ser aplicable DORA?

DORA entró en vigor el 16 de enero de 2023 y es plenamente aplicable desde el 17 de enero de 2025. Todas las entidades financieras dentro del alcance y los proveedores críticos de TIC de terceros deben cumplir ahora sus requisitos.

¿Se aplica DORA a los proveedores TIC?

Sí. DORA no solo se aplica a las entidades financieras, sino también a sus proveedores críticos de servicios TIC de terceros — incluidas plataformas en la nube, proveedores SaaS, servicios de análisis de datos y proveedores de software. Las Autoridades Europeas de Supervisión (ESAs) designan qué proveedores se consideran críticos y están sujetos a supervisión directa.

¿Cuáles son los plazos de notificación de incidentes según DORA?

Para incidentes TIC graves, DORA exige: una notificación inicial en un plazo de 4 horas desde la clasificación (y no más de 24 horas después de la detección), un informe intermedio en 72 horas y un informe final en 1 mes. SiteGuardian realiza el seguimiento de estos plazos automáticamente y genera informes prerrellenados.

¿Cómo ayuda SiteGuardian con el cumplimiento de DORA?

SiteGuardian monitorea continuamente su infraestructura TIC expuesta a la web en busca de riesgos de seguridad (TLS, cabeceras, DNS, autenticación de correo), detecta incidentes en tiempo real, ejecuta pruebas automatizadas de resiliencia desde múltiples regiones y proporciona una puntuación de riesgo de proveedores en 5 niveles. Los hallazgos se asignan a artículos de DORA y los informes de cumplimiento están listos para auditoría.

DORA está en vigor. ¿Está preparada su resiliencia TIC?

¿Se le aplica DORA?

El costo del incumplimiento

Los 5 pilares de DORA — y lo que SiteGuardian monitorea

Gestión de riesgos TIC

Gestión de incidentes TIC

Pruebas de resiliencia operativa digital

Gestión de riesgos de terceros TIC

Supervisión de proveedores críticos de TIC de terceros

El cumplimiento de DORA comienza con la visibilidad

Preguntas frecuentes

¿Esta seguro?

DORA está en vigor.
¿Está preparada su resiliencia TIC?