FRAMEWORK · DORA

DORA — Resiliencia operativa digital.
Reglamento UE 2022/2554.

En vigor desde 17 enero 2025. Aplica a 22.000+ entidades financieras europeas y sus proveedores TIC críticos. Itamite cubre los pilares de gestión riesgo TIC, gestión incidentes, y testing de resiliencia con evidencia firmada para Banco de España, CNMV, EBA.

Ver precios Demo DORA

¿A quién aplica DORA?

Entidades financieras: bancos, cajas, EDE/EDP, aseguradoras y reaseguradoras, gestoras (SGIIC, SGEIC), empresas servicios inversión, infraestructuras mercados (CCP, CSD), proveedores cripto-activos (CASPs), proveedores servicios pagos (PSPs), agencias rating, fondos pensiones, gestoras alternativas (AIFMs), proveedores PEPP.

Y particularmente importante: proveedores TIC críticos que dan servicio a entidades financieras (cloud, data centers, MSPs, software regulado). Si tu empresa presta servicios IT a banca/finanzas, DORA puede aplicarte directamente.

Multas: hasta 10M€ o 5% del volumen anual mundial, lo que sea mayor. Para infracciones graves, posible exclusión del registro de proveedores TIC autorizados → quiebra del proveedor.

CINCO PILARES DORA

Lo que Itamite cubre

Pilar 1: Gestión riesgo TIC (Art. 5-15)

Itamite aporta inventario completo de activos TIC (Art. 8), identificación de funciones críticas, análisis de riesgo continuo via postura medida (Art. 9), protección y prevención (cifrado, parches, AV — Art. 9), detección continua (Art. 10), gestión de continuidad (Art. 11), aprendizaje y evolución basados en datos.

Pilar 2: Gestión incidentes TIC (Art. 17-23)

Auditoría inmutable hash-chain como evidencia incidentes. Clasificación automática por severidad. Notificación inicial 4h tras detección, intermedio 72h, final 1 mes — Itamite proporciona timeline técnico verificable. Integración con SIEM para reportes a autoridades.

Pilar 3: Testing resiliencia (Art. 24-27)

Pruebas básicas anuales (vulnerability assessment, scenario testing). Para entidades significativas: TLPT (Threat-Led Penetration Testing) cada 3 años. Itamite provee inventario y datos para definir alcance del testing y verificar remediación posterior.

Pilar 4: Riesgo terceros TIC (Art. 28-44)

Registro de información sobre todos los acuerdos contractuales con proveedores TIC. Itamite es proveedor TIC: te entregamos documentación contractual estándar DORA-ready (cláusulas Art. 30, exit strategy, derechos de auditoría, sub-contratación).

Pilar 5: Compartir información (Art. 45)

Capacidades opcionales de intercambio de inteligencia sobre amenazas con otras entidades. Itamite expone API + webhooks para integración con plataformas de intercambio (FS-ISAC, EU-FSF).

Itrion como proveedor TIC DORA-ready

Para clientes financieros: contractuales específicos que cumplen Art. 30: descripción funciones críticas, ubicación procesamiento UE, derecho de auditoría in-situ, niveles servicio cuantitativos (SLA), salida ordenada con migración asistida, sub-contratistas pre-aprobados.

PREGUNTAS FRECUENTES

Dudas sobre DORA

¿Quién supervisa el cumplimiento DORA?
En España: Banco de España (banca y crédito), CNMV (mercados y gestoras), DGSFP (seguros). A nivel UE: EBA, ESMA, EIOPA. Para proveedores TIC críticos: marco supervisión específico EU-wide bajo coordinación ESAs.
¿Cuándo me declaran proveedor TIC crítico?
El primer ejercicio de designación lo hicieron las ESAs en 2024. Listado público anual. Si te designan como crítico, supervisión directa europea + obligaciones reforzadas. La mayoría de proveedores TIC NO son críticos en sentido formal pero deben cumplir contractualmente DORA por exigencia de sus clientes.
¿Itrion Software es proveedor TIC crítico DORA?
No designado como crítico EU-wide. Cumplimos DORA contractualmente para nuestros clientes financieros: documentación Art. 30, capacidad de auditoría on-site, exit strategy escrita, hosting UE, sub-contratistas declarados. Lista de clientes financieros: bajo NDA.
¿Cuánto tarda el cumplimiento DORA?
Para entidad financiera con plataforma IT moderna: 6-12 meses. Si parten de cero: 12-18 meses. Itamite acelera la parte de inventario, gestión riesgo TIC y monitorización (3-4 meses ahorrados). El resto (BCP, gobernanza, testing TLPT) requiere consultoría especializada.

Sector financiero sujeto a DORA

Demo Enterprise con caso real banca/seguros + acceso a contractuales DORA-ready.

Ver precios Solicitar demo