Com ajuda V-PROOF en el compliment DORA i el sector financer

DORA i el sector financer: què exigeix i com V-PROOF genera l'evidència — V-PROOF Journal
Normativa · Sector Financer

DORA i el sector financer: què exigeix el reglament i com V-PROOF genera l'evidència

El Reglament (UE) 2022/2554 està en plena aplicació des de gener de 2025. Més de 22.000 entitats financeres europees han de demostrar controls TIC verificables. La pregunta ja no és si complir — sinó com acreditar-ho davant el regulador.

Publicat: Juliol de 2026
Cobertura normativa: DORA · Arts. 9, 10, 11, 12, 13, 17
Categoria: Regulació
DORA · UE 2022/2554 Proveïdor europeu Sector financer

Punts clau

  • DORA és d'aplicació obligatòria des del 17 de gener de 2025 per a totes les entitats financeres regulades a la UE, sense període de gràcia addicional.
  • Els Arts. 9, 10, 11 i 17 exigeixen registres tècnics verificables de controls TIC, logs de detecció d'anomalies i classificació d'incidents — no simples declaracions.
  • L'EBA, l'ESMA i l'EIOPA han publicat els Regulatory Technical Standards (RTS) i les Guidelines que concreten quina documentació exigiran en inspeccions.
  • V-PROOF genera evidència criptogràfica immutable per als controls DORA actiu per actiu, amb timestamp blockchain verificable per qualsevol supervisor.
  • La convergència DORA + EU AI Act crea una obligació dual per a entitats que utilitzen IA en decisions financeres: V-PROOF cobreix ambdues amb una sola integració.
  • Com a proveïdor amb seu legal a Espanya, V-PROOF no està subjecte al CLOUD Act — garantia essencial per a entitats amb dades subjectes a sobirania europea.

Què és DORA i per què és diferent de qualsevol regulació anterior

El Digital Operational Resilience Act no és un altre marc de ciberseguretat voluntari. És un reglament europeu d'aplicació directa que estableix requisits jurídicament vinculants de resiliència operativa digital per al sector financer — i que exigeix evidència tècnica, no només polítiques documentades.

Publicat al Diari Oficial de la UE el 27 de desembre de 2022 (Reglament (UE) 2022/2554), DORA va entrar en vigor el 16 de gener de 2023 i és de plena aplicació des del 17 de gener de 2025. No hi ha pròrroga. Les autoritats supervisores nacionals —sota coordinació de l'EBA, l'ESMA i l'EIOPA— van iniciar inspeccions el primer semestre de 2025.

El reglament afecta un espectre amplíssim d'entitats: bancs, caixes d'estalvis, cooperatives de crèdit, empreses d'inversió, fons d'inversió alternativa i UCITS, gestors de fons de pensions, companyies d'assegurances i reassegurances, plataformes de crowdfunding, emissors de criptoactius sota MiCA, i proveïdors TIC tercers que prestin serveis crítics al sector financer. En total, més de 22.000 entitats a la UE.

La diferència estructural de DORA

Els marcs de ciberseguretat anteriors (ISO 27001, ENS, fins i tot NIS) es basaven en l'autodeclaració de controls. DORA estableix que els supervisors verificaran aquesta resiliència operativa mitjançant inspeccions in situ i a distància. La diferència no és filosòfica — és jurídica: l'incompliment pot comportar multes de fins al 2% de la facturació global anual, i per a persones físiques responsables, fins a 1 milió d'euros.

El reglament s'estructura en cinc pilars: gestió de riscos TIC (Arts. 5–16), notificació d'incidents greus (Arts. 17–23), proves de resiliència operativa digital (Arts. 24–27), gestió de riscos de tercers TIC (Arts. 28–44) i intercanvi d'informació sobre ciberamenaces (Arts. 45–46). V-PROOF actua directament sobre els tres primers.

El calendari DORA: on som ara

27 de desembre de 2022
Publicació al DOUE
El Reglament (UE) 2022/2554 i la Directiva (UE) 2022/2556 (DORA modificativa) es publiquen al Diari Oficial de la Unió Europea.
16 gener 2023
Entrada en vigor
El reglament entra en vigor. S'inicia el període de 24 mesos perquè les entitats preparin la seva implementació.
2023 – 2024
Publicació de RTS i Guidelines
L'EBA, l'ESMA i l'EIOPA publiquen els Regulatory Technical Standards (RTS) i les Guidelines que especifiquen els requisits tècnics detallats. El Batch 1 d'RTS s'aprova el gener de 2024; el Batch 2 el juliol de 2024.
17 gener 2025 — AVUI
Plena aplicació obligatòria
DORA és de plena aplicació per a totes les entitats en el seu àmbit d'aplicació. Les autoritats supervisores nacionals han iniciat revisions i inspeccions. No hi ha període de gràcia addicional.
2025 – 2026
Inspeccions i primeres sancions
Els supervisors nacionals (Banc d'Espanya, CNMV, DGSFP a Espanya) estan executant revisions de compliment. Les primeres sancions rellevants s'esperen el segon semestre de 2026 per a entitats sense documentació tècnica verificable.
2025 – 2027
TLPT — Proves de penetració avançades
Les entitats significatives han de completar el seu primer cicle de Threat-Led Penetration Testing (TLPT) sota el marc TIBER-EU. L'evidència de les proves i els seus resultats ha de ser registrada i conservada.

Els articles que exigeixen evidència tècnica — i quins registres concrets demanen

DORA no exigeix declaracions d'intenció. El Reglament i els RTS derivats especifiquen els tipus de registres tècnics que les autoritats supervisores sol·licitaran en una inspecció. Aquests són els articles directament coberts per l'arquitectura V-PROOF:

Art. 9 — Gestió de riscos TIC
Protecció i prevenció: controls amb traçabilitat verificable
Les entitats han de disposar de mecanismes de protecció i prevenció basats en polítiques de seguretat documentades, amb registres tècnics que acreditin que aquests controls existeixen i funcionen — no només que estiguin escrits en un document de política.
Evidència V-PROOF V-Seal Core genera un registre criptogràfic immutable de cada control implementat: quina configuració es va establir, qui la va aprovar, quan i en quin estat. El Hash SHA-256 ancorat a Base L2 és verificable per qualsevol auditor sense accés als sistemes interns.
Art. 10 — Detecció
Mecanismes de detecció d'activitats anòmales amb logs immutables
Les entitats han d'implementar mecanismes robustos per detectar activitats anòmales, incloent problemes de rendiment de xarxes i incidents TIC. Els RTS especifiquen que aquests logs han de ser íntegres i no manipulables — exactament el que l'arquitectura blockchain de V-PROOF garanteix.
Evidència V-PROOF Cada esdeveniment de seguretat o anomalia registrat a través de V-PROOF rep un Timestamp blockchain immutable. La integritat del log és verificable criptogràficament: qualsevol manipulació posterior del registre genera una divergència de Hash detectable.
Art. 11 — Resposta i recuperació
Evidència de procediments de resposta davant d'incidents TIC
Les entitats han de documentar les seves capacitats de resposta i recuperació, incloent evidència que els procediments han estat provats. Els supervisors poden sol·licitar registres dels exercicis de continuïtat i recuperació realitzats.
Evidència V-PROOF V-PROOF genera registres segellats criptogràficament de cada prova de recuperació realitzada: data, participants, sistemes provats, resultat i aprovació humana verificable. La traçabilitat dels exercicis queda fora de l'abast de manipulació interna.
Art. 13 — Aprenentatge i evolució
Traçabilitat del codi i els sistemes TIC crítics
Les entitats han d'aprendre dels incidents passats i evolucionar els seus sistemes TIC de forma documentada. Això inclou l'historial de canvis en els sistemes crítics — una exigència que el mòdul Git Integration de V-PROOF cobreix de forma nativa per al programari desenvolupat internament.
Evidencia V-PROOF Git Integration sella criptográficamente cada commit del ciclo de vida del software financiero crítico. El historial de cambios en sistemas de trading, gestión de riesgos o cumplimiento queda registrado con identidad del desarrollador, fecha exacta e integridad verificable.

Art. 17 — Classificació d'incidents greus

L'article 17 i els RTS derivats estableixen criteris específics per classificar incidents TIC com a greus (impacte en clients, durada, extensió geogràfica, impacte en la reputació). Les entitats han de mantenir un registre classificat d'incidents amb evidència de la classificació aplicada. V-PROOF permet segellar la classificació de cada incident amb timestamp blockchain, creant un registre inalterable que acredita quan es va identificar l'incident, com es va classificar i qui va prendre la decisió.

Cobertura V-PROOF per article DORA

Article DORA Obligació Cobertura Mòdul V-PROOF
Gestió de Riscos TIC — Arts. 5–16
Art. 9Protecció i prevenció Registres verificables de controls TIC implementats ✓ Completa V-Seal Core
Art. 10Detecció Logs immutables d'activitats anòmales i incidents TIC ✓ Completa V-Seal Core
Art. 11Resposta i recuperació Evidència de procediments de resposta i exercicis de recuperació ✓ Completa V-Seal Core
Art. 12Política de còpia de seguretat Verificació d'integritat de còpies de seguretat ◐ Parcial V-Seal Core
Art. 13Aprenentatge i evolució Traçabilitat de canvis en sistemes TIC crítics ✓ Completa Git Integration
Notificació d'Incidents — Arts. 17–23
Art. 17Classificació d'incidents Registre immutable de classificació d'incidents TIC greus ✓ Completa V-Seal Core
Arts. 19–20Notificació a supervisors Notificació inicial, intermèdia i final a EBA/ESMA/EIOPA — Responsabilitat del client Procés regulador intern
Proves de Resiliència — Arts. 24–27
Arts. 24–25Proves bàsiques Evidència de proves de resiliència periòdiques (vuln. assessments, pen tests) ◐ Parcial V-Seal Core
Art. 26TLPT Threat-Led Penetration Testing certificat — Executors certificats externs Fora d'abast V-PROOF
Convergència DORA + EU AI Act — Per a entitats que utilitzen IA en decisions financeres
DORA Art. 9+ EU AI Act Art. 14 Supervisió humana verificable en sistemes d'IA financers d'alt risc ✓ Completa AI Orchestrator V-Proof AI
DORA Art. 13+ EU AI Act Art. 12 Registre d'esdeveniments de models d'IA en entorns financers crítics ✓ Completa AI Orchestrator

— Parcial = V-PROOF genera l'evidència del procés; l'acció operativa (executar el backup, contractar el pentest) correspon a l'entitat.

La convergència DORA + EU AI Act: el risc que ningú està calculant

Existeix un punt d'intersecció regulatòria que molt poques entitats financeres han identificat correctament: les que utilitzen sistemes d'IA en decisions financeres estan subjectes simultàniament a DORA i a l'EU AI Act. I cap de les dues normatives accepta que el compliment de l'altra sigui suficient.

Els models de scoring creditici, els sistemes de detecció de frau, els algorismes de trading algorítmic o els sistemes d'avaluació de riscos que utilitzen aprenentatge automàtic són sistemes d'IA d'alt risc sota l'Annex III de l'EU AI Act. Això significa que, a més dels requisits DORA de resiliència operativa, aquestes entitats han de complir els Arts. 9, 12, 13, 14 i 16 de l'EU AI Act: gestió de riscos del sistema d'IA, registre d'esdeveniments, traçabilitat de dades d'entrenament, supervisió humana verificable i documentació tècnica.

Una sola integració, dos marcs normatius

V-PROOF és l'única infraestructura que cobreix ambdues obligacions simultàniament. El mòdul AI Orchestrator genera evidència criptogràfica del cicle de vida complet dels models ML — des de les dades d'entrenament fins a cada decisió en producció — complint els requisits de traçabilitat de DORA (Art. 13) i els de registre d'esdeveniments de l'EU AI Act (Art. 12) amb la mateixa integració. El mòdul V-Proof AI registra la intervenció humana en cada decisió crítica del sistema, cobrint l'Art. 14 de l'EU AI Act i els requisits de control de DORA de forma simultània.

L'EBA ja ha publicat orientacions específiques sobre l'ús de models d'IA en el sector financer que reforcen aquesta convergència. Les entitats que no tinguin evidència tècnica verificable del funcionament dels seus models d'IA — no només polítiques internes, sinó registres criptogràficament verificables — s'enfronten a un risc regulatori doble: sanció sota DORA per manca de traçabilitat TIC i sanció sota l'EU AI Act per absència de governança d'IA verificable.

Sobirania de dades · Rellevància DORA

Per què la seu legal del proveïdor TIC importa sota DORA

DORA introdueix un nou concepte en la regulació financera: el risc de concentració en proveïdors TIC tercers. Els Arts. 28–44 exigeixen que les entitats financeres avaluïn els riscos jurídics dels seus proveïdors TIC, incloent-hi el risc que terceres jurisdiccions puguin accedir a les dades gestionades per aquests proveïdors.

Aquí el CLOUD Act (18 U.S.C. § 2713) crea una fricció regulatòria concreta: qualsevol proveïdor TIC amb seu als Estats Units pot ser obligat per ordre judicial americana a lliurar dades de clients europeus, independentment d'on estiguin allotjades aquestes dades. Això inclou els grans proveïdors de plataformes GRC i governança d'IA amb seu als EUA que operen en el mercat europeu.

V-PROOF té seu legal a Espanya. No pot ser requerit sota cap mandat judicial estatunidenc. Els seus clients financers europeus tenen la garantia jurídica que els seus registres de compliment DORA romanen sota sobirania de la UE — no només tècnicament, sinó jurídicament.

La protecció plena davant el CLOUD Act també depèn de la infraestructura sobre la qual el client desplega V-PROOF. La sobirania completa es garanteix combinant V-PROOF amb infraestructura cloud de seu legal europea (OVHcloud, IONOS, Deutsche Telekom, etc.).
Anàlisi estratègica

V-PROOF davant DORA

Fortaleses, casos d'ús regulatori i límits de l'abast

F
Fortaleses · El que V-PROOF aporta a DORA
  • Registres inalterables de controls TIC implementats, verificables per qualsevol supervisor sense accés a sistemes interns Art. 9 — Protecció i prevenció
  • Logs d'esdeveniments amb Timestamp blockchain: la integritat és criptogràficament verificable — qualsevol manipulació genera divergència de Hash detectable Art. 10 — Detecció
  • Evidència segellada de proves de resposta i recuperació: data, participants, sistemes i resultat amb aprovació humana verificable Art. 11 — Resposta i recuperació
  • Traçabilitat de codi de sistemes financers crítics commit a commit — historial inalterable per a auditories d'evolució TIC Art. 13 — Git Integration
  • Proveïdor amb seu legal a Espanya: sense CLOUD Act, sobirania europea garantida per a registres de compliment financer Arts. 28–44 · Risc de proveïdors TIC
  • Cobertura dual DORA + EU AI Act en una sola integració per a entitats amb models d'IA en decisions financeres Convergència normativa 2025–2027
On actua · Casos d'ús regulatori
  • Bancs, caixes d'estalvis i cooperatives de crèdit amb obligació DORA plena des de gener de 2025 Entitats de crèdit — Arts. 5–16
  • Empreses d'inversió i gestores de fons (UCITS, FIA) que utilitzen proveïdors TIC cloud o models d'IA ESMA scope — Art. 2.1
  • Fintechs i neobancs amb sistemes de decisió automatitzada (scoring, frau, KYC) sota obligacions DORA + EU AI Act simultànies DORA + EU AI Act · Convergència
  • Proveïdors TIC de serveis crítics al sector financer que volen acreditar la seva resiliència davant clients i reguladors Arts. 28–44 · CTPP framework
  • CISOs i CROs preparant la documentació tècnica per a inspeccions del Banc d'Espanya, CNMV o DGSFP el 2026 Inspeccions supervisores · 2026
Fora d'abast · Responsabilitat del client
  • Proves de penetració avançades TLPT (Art. 26): requereixen executors certificats sota el marc TIBER-EU. V-PROOF pot segellar els resultats, però no executa les proves. Art. 26 — TLPT
  • Pla de continuïtat de negoci (BCP) i pla de recuperació davant desastres (DRP): el seu disseny és responsabilitat de l'entitat. V-PROOF certifica que existeixen i es proven. Art. 11 — Continuïtat
  • Notificació formal d'incidents greus a EBA, ESMA o EIOPA (Arts. 19–20): procés regulador intern. V-PROOF genera el registre segellat de l'incident classificat. Arts. 19–20 — Notificació
  • SIEM, EDR i eines de ciberseguretat operativa: V-PROOF no reemplaça la detecció activa d'amenaces — genera evidència inalterable dels esdeveniments detectats per aquestes eines. Art. 10 — Límit de scope
Diagnòstic DORA

Té la seva entitat els registres que un supervisor exigiria demà?

V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions DORA aplicables a la seva entitat, identifica els gaps d'evidència tècnica existents i defineix l'abast d'integració necessari.

Sol·licitar Diagnòstic Estratègic DORA

Fonts i referències normatives

  1. Reglament (UE) 2022/2554 del Parlament Europeu i del Consell, de 14 de desembre de 2022 — EUR-Lex CELEX:32022R2554
  2. EBA — Final Report on Draft RTS on ICT Risk Management Framework (Batch 1), gener de 2024 — eba.europa.eu
  3. EBA — Final Report on Draft RTS under DORA (Batch 2), juliol de 2024 — eba.europa.eu
  4. ESMA — Guidelines on DORA ICT risk management framework for investment firms — esma.europa.eu
  5. Banc d'Espanya — Comunicació supervisora sobre DORA, primer trimestre de 2025 — bde.es
  6. EBA — Opinion on the use of Machine Learning for Internal Ratings-Based models (convergència EU AI Act + DORA) — eba.europa.eu
  7. ENISA — DORA Supervisory Convergence Report, 2025 — enisa.europa.eu
Anterior
Anterior

EU CRA: traçabilitat de codi i gestió de vulnerabilitats com a llei

Següent
Següent

RGPD i ENS en l'era de la IA: com demostrar accountability amb evidència criptogràfica V-PROOF