Cómo ayuda V-PROOF en el cumplimento DORA y el sector financiero

DORA y el sector financiero: qué exige y cómo V-PROOF genera la evidencia — V-PROOF Journal
Normativa · Sector Financiero

DORA y el sector financiero: qué exige el reglamento y cómo V-PROOF genera la evidencia

El Reglamento (UE) 2022/2554 está en plena aplicación desde enero de 2025. Más de 22.000 entidades financieras europeas deben demostrar controles TIC verificables. La pregunta ya no es si cumplir — sino cómo acreditarlo ante el regulador.

Publicado: Julio de 2026
Cobertura normativa: DORA · Arts. 9, 10, 11, 12, 13, 17
Categoría: Regulación
DORA · UE 2022/2554 Proveedor europeo Sector financiero

Puntos clave

  • DORA es de aplicación obligatoria desde el 17 de enero de 2025 para todas las entidades financieras reguladas en la UE, sin período de gracia adicional.
  • Los Arts. 9, 10, 11 y 17 exigen registros técnicos verificables de controles TIC, logs de detección de anomalías y clasificación de incidentes — no simples declaraciones.
  • La EBA, ESMA y EIOPA han publicado los Regulatory Technical Standards (RTS) y Guidelines que concretan qué documentación exigirán en inspecciones.
  • V-PROOF genera evidencia criptográfica inmutable para los controles DORA activo por activo, con timestamp blockchain verificable por cualquier supervisor.
  • La convergencia DORA + EU AI Act crea una obligación dual para entidades que usan IA en decisiones financieras: V-PROOF cubre ambas con una sola integración.
  • Como proveedor con sede legal en España, V-PROOF no está sujeto al CLOUD Act — garantía esencial para entidades con datos sujetos a soberanía europea.

Qué es DORA y por qué es diferente a cualquier regulación anterior

El Digital Operational Resilience Act no es otro marco de ciberseguridad voluntario. Es un reglamento europeo de aplicación directa que establece requisitos jurídicamente vinculantes de resiliencia operativa digital para el sector financiero — y que exige evidencia técnica, no solo políticas documentadas.

Publicado en el Diario Oficial de la UE el 27 de diciembre de 2022 (Reglamento (UE) 2022/2554), DORA entró en vigor el 16 de enero de 2023 y es de plena aplicación desde el 17 de enero de 2025. No existe prórroga. Las autoridades supervisoras nacionales —bajo coordinación de la EBA, ESMA y EIOPA— iniciaron inspecciones en el primer semestre de 2025.

El reglamento afecta a un espectro amplísimo de entidades: bancos, cajas de ahorro, cooperativas de crédito, empresas de inversión, fondos de inversión alternativa y UCITS, gestoras de fondos de pensiones, compañías de seguros y reaseguros, plataformas de crowdfunding, emisores de criptoactivos bajo MiCA, y proveedores TIC terceros que presten servicios críticos al sector financiero. En total, más de 22.000 entidades en la UE.

La diferencia estructural de DORA

Los marcos de ciberseguridad anteriores (ISO 27001, ENS, incluso NIS) se basaban en la autodeclaración de controles. DORA establece que los supervisores verificarán esa resiliencia operativa mediante inspecciones in situ y a distancia. La diferencia no es filosófica — es jurídica: el incumplimiento puede comportar multas de hasta el 2% de la facturación global anual, y para personas físicas responsables, hasta 1 millón de euros.

El reglamento se estructura en cinco pilares: gestión de riesgos TIC (Arts. 5–16), notificación de incidentes graves (Arts. 17–23), pruebas de resiliencia operativa digital (Arts. 24–27), gestión de riesgos de terceros TIC (Arts. 28–44) e intercambio de información sobre ciberamenazas (Arts. 45–46). V-PROOF actúa directamente sobre los tres primeros.

El calendario DORA: dónde estamos ahora

27 diciembre 2022
Publicación en el DOUE
El Reglamento (UE) 2022/2554 y la Directiva (UE) 2022/2556 (DORA modificativa) se publican en el Diario Oficial de la Unión Europea.
16 enero 2023
Entrada en vigor
El reglamento entra en vigor. Se inicia el período de 24 meses para que las entidades preparen su implementación.
2023 – 2024
Publicación de RTS y Guidelines
La EBA, ESMA y EIOPA publican los Regulatory Technical Standards (RTS) y las Guidelines que especifican los requisitos técnicos detallados. El Batch 1 de RTS se aprueba en enero de 2024; el Batch 2 en julio de 2024.
17 enero 2025 — HOY
Plena aplicación obligatoria
DORA es de plena aplicación para todas las entidades en su ámbito de aplicación. Las autoridades supervisoras nacionales han iniciado revisiones e inspecciones. No existe período de gracia adicional.
2025 – 2026
Inspecciones y primeras sanciones
Los supervisores nacionales (Banco de España, CNMV, DGSFP en España) están ejecutando revisiones de cumplimiento. Las primeras sanciones relevantes se esperan en el segundo semestre de 2026 para entidades sin documentación técnica verificable.
2025 – 2027
TLPT — Pruebas de penetración avanzadas
Las entidades significativas deben completar su primer ciclo de Threat-Led Penetration Testing (TLPT) bajo el marco TIBER-EU. La evidencia de las pruebas y sus resultados debe ser registrada y conservada.

Los artículos que exigen evidencia técnica — y qué registros concretos piden

DORA no exige declaraciones de intención. El Reglamento y los RTS derivados especifican los tipos de registros técnicos que las autoridades supervisoras solicitarán en una inspección. Estos son los artículos directamente cubiertos por la arquitectura V-PROOF:

Art. 9 — Gestión de riesgos TIC
Protección y prevención: controles con trazabilidad verificable
Las entidades deben disponer de mecanismos de protección y prevención basados en políticas de seguridad documentadas, con registros técnicos que acrediten que esos controles existen y funcionan — no solo que están escritos en un documento de política.
Evidencia V-PROOF V-Seal Core genera un registro criptográfico inmutable de cada control implementado: qué configuración se estableció, quién la aprobó, cuándo y en qué estado. El hash SHA-256 anclado en Base L2 es verificable por cualquier auditor sin acceso a los sistemas internos.
Art. 10 — Detección
Mecanismos de detección de actividades anómalas con logs inmutables
Las entidades deben implementar mecanismos robustos para detectar actividades anómalas, incluyendo problemas de rendimiento de redes e incidentes TIC. Los RTS especifican que estos logs deben ser íntegros y no manipulables — exactamente lo que la arquitectura blockchain de V-PROOF garantiza.
Evidencia V-PROOF Cada evento de seguridad o anomalía registrado a través de V-PROOF recibe un timestamp blockchain inmutable. La integridad del log es verificable criptográficamente: cualquier manipulación posterior del registro genera una divergencia de hash detectable.
Art. 11 — Respuesta y recuperación
Evidencia de procedimientos de respuesta ante incidentes TIC
Las entidades deben documentar sus capacidades de respuesta y recuperación, incluyendo evidencia de que los procedimientos han sido probados. Los supervisores pueden solicitar registros de los ejercicios de continuidad y recuperación realizados.
Evidencia V-PROOF V-PROOF genera registros sellados criptográficamente de cada prueba de recuperación realizada: fecha, participantes, sistemas probados, resultado y aprobación humana verificable. La trazabilidad de los ejercicios queda fuera del alcance de manipulación interna.
Art. 13 — Aprendizaje y evolución
Trazabilidad del código y los sistemas TIC críticos
Las entidades deben aprender de los incidentes pasados y evolucionar sus sistemas TIC de forma documentada. Esto incluye el historial de cambios en los sistemas críticos — una exigencia que el módulo Git Integration de V-PROOF cubre de forma nativa para el software desarrollado internamente.
Evidencia V-PROOF Git Integration sella criptográficamente cada commit del ciclo de vida del software financiero crítico. El historial de cambios en sistemas de trading, gestión de riesgos o cumplimiento queda registrado con identidad del desarrollador, fecha exacta e integridad verificable.

Art. 17 — Clasificación de incidentes graves

El artículo 17 y los RTS derivados establecen criterios específicos para clasificar incidentes TIC como graves (impacto en clientes, duración, extensión geográfica, impacto en la reputación). Las entidades deben mantener un registro clasificado de incidentes con evidencia de la clasificación aplicada. V-PROOF permite sellar la clasificación de cada incidente con timestamp blockchain, creando un registro inalterable que acredita cuándo se identificó el incidente, cómo se clasificó y quién tomó la decisión.

Cobertura V-PROOF por artículo DORA

Artículo DORA Obligación Cobertura Módulo V-PROOF
Gestión de Riesgos TIC — Arts. 5–16
Art. 9Protección y prevención Registros verificables de controles TIC implementados ✓ Completa V-Seal Core
Art. 10Detección Logs inmutables de actividades anómalas e incidentes TIC ✓ Completa V-Seal Core
Art. 11Respuesta y recuperación Evidencia de procedimientos de respuesta y ejercicios de recuperación ✓ Completa V-Seal Core
Art. 12Política de backup Verificación de integridad de copias de seguridad ◐ Parcial V-Seal Core
Art. 13Aprendizaje y evolución Trazabilidad de cambios en sistemas TIC críticos ✓ Completa Git Integration
Notificación de Incidentes — Arts. 17–23
Art. 17Clasificación de incidentes Registro inmutable de clasificación de incidentes TIC graves ✓ Completa V-Seal Core
Arts. 19–20Notificación a supervisores Notificación inicial, intermedia y final a EBA/ESMA/EIOPA — Responsabilidad del cliente Proceso regulatorio interno
Pruebas de Resiliencia — Arts. 24–27
Arts. 24–25Pruebas básicas Evidencia de pruebas de resiliencia periódicas (vuln. assessments, pen tests) ◐ Parcial V-Seal Core
Art. 26TLPT Threat-Led Penetration Testing certificado — Ejecutores certificados externos Fuera de scope V-PROOF
Convergencia DORA + EU AI Act — Para entidades que usan IA en decisiones financieras
DORA Art. 9+ EU AI Act Art. 14 Supervisión humana verificable en sistemas de IA financieros de alto riesgo ✓ Completa AI Orchestrator V-Proof AI
DORA Art. 13+ EU AI Act Art. 12 Registro de eventos de modelos de IA en entornos financieros críticos ✓ Completa AI Orchestrator

◐ Parcial = V-PROOF genera la evidencia del proceso; la acción operativa (ejecutar el backup, contratar el pentest) corresponde a la entidad.

La convergencia DORA + EU AI Act: el riesgo que nadie está calculando

Existe un punto de intersección regulatorio que muy pocas entidades financieras han identificado correctamente: las que usan sistemas de IA en decisiones financieras están sujetas simultáneamente a DORA y al EU AI Act. Y ninguna de las dos normativas acepta que el cumplimiento de la otra sea suficiente.

Los modelos de scoring crediticio, los sistemas de detección de fraude, los algoritmos de trading algorítmico o los sistemas de evaluación de riesgos que utilizan aprendizaje automático son sistemas de IA de alto riesgo bajo el Anexo III del EU AI Act. Esto significa que, además de los requisitos DORA de resiliencia operativa, estas entidades deben cumplir los Arts. 9, 12, 13, 14 y 16 del EU AI Act: gestión de riesgos del sistema de IA, registro de eventos, trazabilidad de datos de entrenamiento, supervisión humana verificable y documentación técnica.

Una sola integración, dos marcos normativos

V-PROOF es la única infraestructura que cubre ambas obligaciones simultáneamente. El módulo AI Orchestrator genera evidencia criptográfica del ciclo de vida completo de los modelos ML — desde los datos de entrenamiento hasta cada decisión en producción — cumpliendo los requisitos de trazabilidad de DORA (Art. 13) y los de registro de eventos del EU AI Act (Art. 12) con la misma integración. El módulo V-Proof AI registra la intervención humana en cada decisión crítica del sistema, cubriendo el Art. 14 del EU AI Act y los requisitos de control de DORA de forma simultánea.

La EBA ha publicado ya orientaciones específicas sobre el uso de modelos de IA en el sector financiero que refuerzan esta convergencia. Las entidades que no tengan evidencia técnica verificable del funcionamiento de sus modelos de IA — no solo políticas internas, sino registros criptográficamente verificables — enfrentan un riesgo regulatorio doble: sanción bajo DORA por falta de trazabilidad TIC y sanción bajo el EU AI Act por ausencia de gobernanza de IA verificable.

Soberanía de datos · Relevancia DORA

Por qué la sede legal del proveedor TIC importa bajo DORA

DORA introduce un nuevo concepto en la regulación financiera: el riesgo de concentración en proveedores TIC terceros. Los Arts. 28–44 exigen que las entidades financieras evalúen los riesgos jurídicos de sus proveedores TIC, incluyendo el riesgo de que terceras jurisdicciones puedan acceder a los datos gestionados por esos proveedores.

Aquí el CLOUD Act (18 U.S.C. § 2713) crea una fricción regulatoria concreta: cualquier proveedor TIC con sede en Estados Unidos puede ser obligado por orden judicial americana a entregar datos de clientes europeos, independientemente de dónde estén alojados esos datos. Esto incluye a los grandes proveedores de plataformas GRC y AI Governance con sede en EE.UU. que operan en el mercado europeo.

V-PROOF tiene sede legal en España. No puede ser requerido bajo ningún mandato judicial estadounidense. Sus clientes financieros europeos tienen la garantía jurídica de que sus registros de cumplimiento DORA permanecen bajo soberanía de la UE — no solo técnicamente, sino jurídicamente.

La protección plena frente al CLOUD Act también depende de la infraestructura sobre la que el cliente despliega V-PROOF. La soberanía completa se garantiza combinando V-PROOF con infraestructura cloud de sede legal europea (OVHcloud, IONOS, Deutsche Telekom, etc.).
Análisis estratégico

V-PROOF ante DORA

Fortalezas, casos de uso regulatorio y límites del alcance

F
Fortalezas · Lo que V-PROOF aporta a DORA
  • Registros inmutables de controles TIC implementados, verificables por cualquier supervisor sin acceso a sistemas internos Art. 9 — Protección y prevención
  • Logs de eventos con timestamp blockchain: la integridad es criptográficamente verificable — cualquier manipulación genera divergencia de hash detectable Art. 10 — Detección
  • Evidencia sellada de pruebas de respuesta y recuperación: fecha, participantes, sistemas y resultado con aprobación humana verificable Art. 11 — Respuesta y recuperación
  • Trazabilidad de código de sistemas financieros críticos commit a commit — historial inalterable para auditorías de evolución TIC Art. 13 — Git Integration
  • Proveedor con sede legal en España: sin CLOUD Act, soberanía europea garantizada para registros de cumplimiento financiero Arts. 28–44 · Riesgo de proveedores TIC
  • Cobertura dual DORA + EU AI Act en una sola integración para entidades con modelos de IA en decisiones financieras Convergencia normativa 2025–2027
Dónde actúa · Casos de uso regulatorio
  • Bancos, cajas de ahorro y cooperativas de crédito con obligación DORA plena desde enero 2025 Entidades de crédito — Arts. 5–16
  • Empresas de inversión y gestoras de fondos (UCITS, FIA) que usan proveedores TIC cloud o modelos de IA ESMA scope — Art. 2.1
  • Fintechs y neobancos con sistemas de decisión automatizada (scoring, fraude, KYC) bajo obligaciones DORA + AI Act simultáneas DORA + EU AI Act · Convergencia
  • Proveedores TIC de servicios críticos al sector financiero que quieren acreditar su resiliencia ante clientes y reguladores Arts. 28–44 · CTPP framework
  • CISOs y CROs preparando la documentación técnica para inspecciones del Banco de España, CNMV o DGSFP en 2026 Inspecciones supervisoras · 2026
Fuera de scope · Responsabilidad del cliente
  • Pruebas de penetración avanzadas TLPT (Art. 26): requieren ejecutores certificados bajo el marco TIBER-EU. V-PROOF puede sellar los resultados, pero no ejecuta las pruebas. Art. 26 — TLPT
  • Plan de continuidad de negocio (BCP) y plan de recuperación ante desastres (DRP): su diseño es responsabilidad de la entidad. V-PROOF certifica que existen y se prueban. Art. 11 — Continuidad
  • Notificación formal de incidentes graves a EBA, ESMA o EIOPA (Arts. 19–20): proceso regulatorio interno. V-PROOF genera el registro sellado del incidente clasificado. Arts. 19–20 — Notificación
  • SIEM, EDR y herramientas de ciberseguridad operativa: V-PROOF no reemplaza la detección activa de amenazas — genera evidencia inmutable de los eventos detectados por esas herramientas. Art. 10 — Límite de scope
Diagnóstico DORA

¿Tiene su entidad los registros que un supervisor exigiría mañana?

V-PROOF ofrece un diagnóstico estratégico de 48 horas que mapea las obligaciones DORA aplicables a su entidad, identifica los gaps de evidencia técnica existentes y define el alcance de integración necesario.

Solicitar Diagnóstico Estratégico DORA

Fuentes y referencias normativas

  1. Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 — EUR-Lex CELEX:32022R2554
  2. EBA — Final Report on Draft RTS on ICT Risk Management Framework (Batch 1), enero 2024 — eba.europa.eu
  3. EBA — Final Report on Draft RTS under DORA (Batch 2), julio 2024 — eba.europa.eu
  4. ESMA — Guidelines on DORA ICT risk management framework for investment firms — esma.europa.eu
  5. Banco de España — Comunicación supervisora sobre DORA, primer trimestre 2025 — bde.es
  6. EBA — Opinion on the use of Machine Learning for Internal Ratings-Based models (convergencia AI Act + DORA) — eba.europa.eu
  7. ENISA — DORA Supervisory Convergence Report, 2025 — enisa.europa.eu
Anterior
Anterior

EU CRA: trazabilidad de código y gestión de vulnerabilidades como ley

Siguiente
Siguiente

RGPD y ENS en la era de la IA: cómo demostrar accountability con evidencia criptográfica V-PROOF