Com ajuda V-PROOF en el compliment DORA i el sector financer
DORA i el sector financer: què exigeix el reglament i com V-PROOF genera l'evidència
El Reglament (UE) 2022/2554 està en plena aplicació des de gener de 2025. Més de 22.000 entitats financeres europees han de demostrar controls TIC verificables. La pregunta ja no és si complir — sinó com acreditar-ho davant el regulador.
Punts clau
- DORA és d'aplicació obligatòria des del 17 de gener de 2025 per a totes les entitats financeres regulades a la UE, sense període de gràcia addicional.
- Els Arts. 9, 10, 11 i 17 exigeixen registres tècnics verificables de controls TIC, logs de detecció d'anomalies i classificació d'incidents — no simples declaracions.
- L'EBA, l'ESMA i l'EIOPA han publicat els Regulatory Technical Standards (RTS) i les Guidelines que concreten quina documentació exigiran en inspeccions.
- V-PROOF genera evidència criptogràfica immutable per als controls DORA actiu per actiu, amb timestamp blockchain verificable per qualsevol supervisor.
- La convergència DORA + EU AI Act crea una obligació dual per a entitats que utilitzen IA en decisions financeres: V-PROOF cobreix ambdues amb una sola integració.
- Com a proveïdor amb seu legal a Espanya, V-PROOF no està subjecte al CLOUD Act — garantia essencial per a entitats amb dades subjectes a sobirania europea.
Què és DORA i per què és diferent de qualsevol regulació anterior
El Digital Operational Resilience Act no és un altre marc de ciberseguretat voluntari. És un reglament europeu d'aplicació directa que estableix requisits jurídicament vinculants de resiliència operativa digital per al sector financer — i que exigeix evidència tècnica, no només polítiques documentades.
Publicat al Diari Oficial de la UE el 27 de desembre de 2022 (Reglament (UE) 2022/2554), DORA va entrar en vigor el 16 de gener de 2023 i és de plena aplicació des del 17 de gener de 2025. No hi ha pròrroga. Les autoritats supervisores nacionals —sota coordinació de l'EBA, l'ESMA i l'EIOPA— van iniciar inspeccions el primer semestre de 2025.
El reglament afecta un espectre amplíssim d'entitats: bancs, caixes d'estalvis, cooperatives de crèdit, empreses d'inversió, fons d'inversió alternativa i UCITS, gestors de fons de pensions, companyies d'assegurances i reassegurances, plataformes de crowdfunding, emissors de criptoactius sota MiCA, i proveïdors TIC tercers que prestin serveis crítics al sector financer. En total, més de 22.000 entitats a la UE.
La diferència estructural de DORA
Els marcs de ciberseguretat anteriors (ISO 27001, ENS, fins i tot NIS) es basaven en l'autodeclaració de controls. DORA estableix que els supervisors verificaran aquesta resiliència operativa mitjançant inspeccions in situ i a distància. La diferència no és filosòfica — és jurídica: l'incompliment pot comportar multes de fins al 2% de la facturació global anual, i per a persones físiques responsables, fins a 1 milió d'euros.
El reglament s'estructura en cinc pilars: gestió de riscos TIC (Arts. 5–16), notificació d'incidents greus (Arts. 17–23), proves de resiliència operativa digital (Arts. 24–27), gestió de riscos de tercers TIC (Arts. 28–44) i intercanvi d'informació sobre ciberamenaces (Arts. 45–46). V-PROOF actua directament sobre els tres primers.
El calendari DORA: on som ara
Els articles que exigeixen evidència tècnica — i quins registres concrets demanen
DORA no exigeix declaracions d'intenció. El Reglament i els RTS derivats especifiquen els tipus de registres tècnics que les autoritats supervisores sol·licitaran en una inspecció. Aquests són els articles directament coberts per l'arquitectura V-PROOF:
Art. 17 — Classificació d'incidents greus
L'article 17 i els RTS derivats estableixen criteris específics per classificar incidents TIC com a greus (impacte en clients, durada, extensió geogràfica, impacte en la reputació). Les entitats han de mantenir un registre classificat d'incidents amb evidència de la classificació aplicada. V-PROOF permet segellar la classificació de cada incident amb timestamp blockchain, creant un registre inalterable que acredita quan es va identificar l'incident, com es va classificar i qui va prendre la decisió.
Cobertura V-PROOF per article DORA
| Article DORA | Obligació | Cobertura | Mòdul V-PROOF |
|---|---|---|---|
| Gestió de Riscos TIC — Arts. 5–16 | |||
| Art. 9Protecció i prevenció | Registres verificables de controls TIC implementats | ✓ Completa | V-Seal Core |
| Art. 10Detecció | Logs immutables d'activitats anòmales i incidents TIC | ✓ Completa | V-Seal Core |
| Art. 11Resposta i recuperació | Evidència de procediments de resposta i exercicis de recuperació | ✓ Completa | V-Seal Core |
| Art. 12Política de còpia de seguretat | Verificació d'integritat de còpies de seguretat | ◐ Parcial | V-Seal Core |
| Art. 13Aprenentatge i evolució | Traçabilitat de canvis en sistemes TIC crítics | ✓ Completa | Git Integration |
| Notificació d'Incidents — Arts. 17–23 | |||
| Art. 17Classificació d'incidents | Registre immutable de classificació d'incidents TIC greus | ✓ Completa | V-Seal Core |
| Arts. 19–20Notificació a supervisors | Notificació inicial, intermèdia i final a EBA/ESMA/EIOPA | — Responsabilitat del client | Procés regulador intern |
| Proves de Resiliència — Arts. 24–27 | |||
| Arts. 24–25Proves bàsiques | Evidència de proves de resiliència periòdiques (vuln. assessments, pen tests) | ◐ Parcial | V-Seal Core |
| Art. 26TLPT | Threat-Led Penetration Testing certificat | — Executors certificats externs | Fora d'abast V-PROOF |
| Convergència DORA + EU AI Act — Per a entitats que utilitzen IA en decisions financeres | |||
| DORA Art. 9+ EU AI Act Art. 14 | Supervisió humana verificable en sistemes d'IA financers d'alt risc | ✓ Completa | AI Orchestrator V-Proof AI |
| DORA Art. 13+ EU AI Act Art. 12 | Registre d'esdeveniments de models d'IA en entorns financers crítics | ✓ Completa | AI Orchestrator |
— Parcial = V-PROOF genera l'evidència del procés; l'acció operativa (executar el backup, contractar el pentest) correspon a l'entitat.
La convergència DORA + EU AI Act: el risc que ningú està calculant
Existeix un punt d'intersecció regulatòria que molt poques entitats financeres han identificat correctament: les que utilitzen sistemes d'IA en decisions financeres estan subjectes simultàniament a DORA i a l'EU AI Act. I cap de les dues normatives accepta que el compliment de l'altra sigui suficient.
Els models de scoring creditici, els sistemes de detecció de frau, els algorismes de trading algorítmic o els sistemes d'avaluació de riscos que utilitzen aprenentatge automàtic són sistemes d'IA d'alt risc sota l'Annex III de l'EU AI Act. Això significa que, a més dels requisits DORA de resiliència operativa, aquestes entitats han de complir els Arts. 9, 12, 13, 14 i 16 de l'EU AI Act: gestió de riscos del sistema d'IA, registre d'esdeveniments, traçabilitat de dades d'entrenament, supervisió humana verificable i documentació tècnica.
Una sola integració, dos marcs normatius
V-PROOF és l'única infraestructura que cobreix ambdues obligacions simultàniament. El mòdul AI Orchestrator genera evidència criptogràfica del cicle de vida complet dels models ML — des de les dades d'entrenament fins a cada decisió en producció — complint els requisits de traçabilitat de DORA (Art. 13) i els de registre d'esdeveniments de l'EU AI Act (Art. 12) amb la mateixa integració. El mòdul V-Proof AI registra la intervenció humana en cada decisió crítica del sistema, cobrint l'Art. 14 de l'EU AI Act i els requisits de control de DORA de forma simultània.
L'EBA ja ha publicat orientacions específiques sobre l'ús de models d'IA en el sector financer que reforcen aquesta convergència. Les entitats que no tinguin evidència tècnica verificable del funcionament dels seus models d'IA — no només polítiques internes, sinó registres criptogràficament verificables — s'enfronten a un risc regulatori doble: sanció sota DORA per manca de traçabilitat TIC i sanció sota l'EU AI Act per absència de governança d'IA verificable.
Per què la seu legal del proveïdor TIC importa sota DORA
DORA introdueix un nou concepte en la regulació financera: el risc de concentració en proveïdors TIC tercers. Els Arts. 28–44 exigeixen que les entitats financeres avaluïn els riscos jurídics dels seus proveïdors TIC, incloent-hi el risc que terceres jurisdiccions puguin accedir a les dades gestionades per aquests proveïdors.
Aquí el CLOUD Act (18 U.S.C. § 2713) crea una fricció regulatòria concreta: qualsevol proveïdor TIC amb seu als Estats Units pot ser obligat per ordre judicial americana a lliurar dades de clients europeus, independentment d'on estiguin allotjades aquestes dades. Això inclou els grans proveïdors de plataformes GRC i governança d'IA amb seu als EUA que operen en el mercat europeu.
V-PROOF té seu legal a Espanya. No pot ser requerit sota cap mandat judicial estatunidenc. Els seus clients financers europeus tenen la garantia jurídica que els seus registres de compliment DORA romanen sota sobirania de la UE — no només tècnicament, sinó jurídicament.
V-PROOF davant DORA
Fortaleses, casos d'ús regulatori i límits de l'abast
- Registres inalterables de controls TIC implementats, verificables per qualsevol supervisor sense accés a sistemes interns Art. 9 — Protecció i prevenció
- Logs d'esdeveniments amb Timestamp blockchain: la integritat és criptogràficament verificable — qualsevol manipulació genera divergència de Hash detectable Art. 10 — Detecció
- Evidència segellada de proves de resposta i recuperació: data, participants, sistemes i resultat amb aprovació humana verificable Art. 11 — Resposta i recuperació
- Traçabilitat de codi de sistemes financers crítics commit a commit — historial inalterable per a auditories d'evolució TIC Art. 13 — Git Integration
- Proveïdor amb seu legal a Espanya: sense CLOUD Act, sobirania europea garantida per a registres de compliment financer Arts. 28–44 · Risc de proveïdors TIC
- Cobertura dual DORA + EU AI Act en una sola integració per a entitats amb models d'IA en decisions financeres Convergència normativa 2025–2027
- Bancs, caixes d'estalvis i cooperatives de crèdit amb obligació DORA plena des de gener de 2025 Entitats de crèdit — Arts. 5–16
- Empreses d'inversió i gestores de fons (UCITS, FIA) que utilitzen proveïdors TIC cloud o models d'IA ESMA scope — Art. 2.1
- Fintechs i neobancs amb sistemes de decisió automatitzada (scoring, frau, KYC) sota obligacions DORA + EU AI Act simultànies DORA + EU AI Act · Convergència
- Proveïdors TIC de serveis crítics al sector financer que volen acreditar la seva resiliència davant clients i reguladors Arts. 28–44 · CTPP framework
- CISOs i CROs preparant la documentació tècnica per a inspeccions del Banc d'Espanya, CNMV o DGSFP el 2026 Inspeccions supervisores · 2026
- Proves de penetració avançades TLPT (Art. 26): requereixen executors certificats sota el marc TIBER-EU. V-PROOF pot segellar els resultats, però no executa les proves. Art. 26 — TLPT
- Pla de continuïtat de negoci (BCP) i pla de recuperació davant desastres (DRP): el seu disseny és responsabilitat de l'entitat. V-PROOF certifica que existeixen i es proven. Art. 11 — Continuïtat
- Notificació formal d'incidents greus a EBA, ESMA o EIOPA (Arts. 19–20): procés regulador intern. V-PROOF genera el registre segellat de l'incident classificat. Arts. 19–20 — Notificació
- SIEM, EDR i eines de ciberseguretat operativa: V-PROOF no reemplaça la detecció activa d'amenaces — genera evidència inalterable dels esdeveniments detectats per aquestes eines. Art. 10 — Límit de scope
Té la seva entitat els registres que un supervisor exigiria demà?
V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapeja les obligacions DORA aplicables a la seva entitat, identifica els gaps d'evidència tècnica existents i defineix l'abast d'integració necessari.
Sol·licitar Diagnòstic Estratègic DORAFonts i referències normatives
- Reglament (UE) 2022/2554 del Parlament Europeu i del Consell, de 14 de desembre de 2022 — EUR-Lex CELEX:32022R2554
- EBA — Final Report on Draft RTS on ICT Risk Management Framework (Batch 1), gener de 2024 — eba.europa.eu
- EBA — Final Report on Draft RTS under DORA (Batch 2), juliol de 2024 — eba.europa.eu
- ESMA — Guidelines on DORA ICT risk management framework for investment firms — esma.europa.eu
- Banc d'Espanya — Comunicació supervisora sobre DORA, primer trimestre de 2025 — bde.es
- EBA — Opinion on the use of Machine Learning for Internal Ratings-Based models (convergència EU AI Act + DORA) — eba.europa.eu
- ENISA — DORA Supervisory Convergence Report, 2025 — enisa.europa.eu
