Estadisticas de Cumplimiento DORA 2026: Mas de 60 Datos sobre Alcance, Preparacion y Aplicacion
La Ley de Resiliencia Operativa Digital (DORA) entro en plena aplicacion el 17 de enero de 2025, convirtiendose en uno de los hitos regulatorios mas significativos para el sector financiero europeo. DORA exige a mas de 22.000 entidades financieras y sus proveedores de servicios TIC cumplir estandares estrictos en gestion de riesgos TIC, notificacion de incidentes, pruebas de resiliencia y gestion de riesgos de terceros.
Esta pagina recopila estadisticas verificadas sobre el alcance de DORA, la preparacion para el cumplimiento, el marco sancionador, la supervision de proveedores TIC terceros, las ciberamenazas que enfrenta el sector financiero y los costes de implementacion. Cada cifra proviene de autoridades supervisoras oficiales de la UE, organismos reguladores e informes sectoriales verificados.
Alcance y Dimension de DORA
DORA se aplica a 21 tipos de entidades financieras y sus proveedores de servicios TIC terceros. A diferencia de muchas regulaciones financieras que se centran unicamente en los bancos, DORA abarca toda la amplitud del sector financiero de la UE.
| Estadistica | Fuente |
|---|---|
| Mas de 22.000 entidades financieras y proveedores de servicios TIC estan dentro del alcance de DORA en toda la UE | Palo Alto Networks; PwC |
| 21 tipos de entidades financieras estan cubiertas segun el Articulo 2 de DORA | ESMA DORA Overview |
Entidades Financieras en el Alcance
DORA se aplica a entidades de credito (bancos), entidades de pago, entidades de dinero electronico, empresas de inversion, proveedores de servicios de criptoactivos (CASPs), depositarios centrales de valores (CSDs), entidades de contrapartida central (CCPs), centros de negociacion, registros de operaciones, gestores de fondos de inversion alternativos (AIFMs), sociedades gestoras de UCITS, empresas de seguros y reaseguros, intermediarios de seguros y reaseguros, fondos de pensiones de empleo, agencias de calificacion crediticia, auditores legales y firmas de auditoria, administradores de indices de referencia criticos, proveedores de servicios de financiacion participativa, registros de titulizacion y proveedores de servicios de suministro de datos.
Fuente: LegalNodes DORA Compliance Guide
Preparacion para el Cumplimiento de DORA
Encuestas de multiples fuentes dibujan un panorama claro: el sector financiero tuvo dificultades para alcanzar el pleno cumplimiento de DORA antes de la fecha limite de enero de 2025.
Encuesta de McKinsey (marzo 2024, 18 ejecutivos de principales instituciones financieras de la UE)
| Estadistica | Fuente |
|---|---|
| Solo alrededor de un tercio de las instituciones financieras expresaron confianza en poder cumplir todos los requisitos de DORA para enero de 2025 | McKinsey - "Europe's new resilience regime" (junio 2024) |
| El 70% afirmo que el cumplimiento de DORA resultaria en costes operativos permanentemente mas altos para la tecnologia | McKinsey (junio 2024) |
| En aproximadamente el 50% de las instituciones, la organizacion de TI lidera la implementacion de DORA | McKinsey (junio 2024) |
Encuesta de CSSF Luxemburgo (agosto/septiembre 2024, ~500 entidades)
| Estadistica | Fuente |
|---|---|
| El 90% habia completado su analisis de brechas de DORA | CSSF - Results of DORA readiness survey (octubre 2024) |
| Mas de dos tercios (~67%) se consideraban "parcialmente preparados" | CSSF (octubre 2024) |
| Casi una cuarta parte (~25%) se consideraba "casi preparada" | CSSF (octubre 2024) |
| Solo 1 entidad se percibio como totalmente preparada | CSSF (octubre 2024) |
Encuesta de IDC (mayo 2024)
| Estadistica | Fuente |
|---|---|
| 49% de los encuestados: "Conocemos DORA pero aun no hemos iniciado trabajo exploratorio" | IDC - "Final Countdown to DORA" |
| El 14% admitio: "No conocemos DORA" | IDC - "Final Countdown to DORA" |
Encuesta Europea de Deloitte (principios de 2025, en 28 paises europeos)
| Estadistica | Fuente |
|---|---|
| Solo el 25% de las entidades se sienten conformes en el Pilar I (Gestion de Riesgos TIC) | Deloitte Luxembourg - DORA European Survey 2025 |
| El 48% tiene protocolos de gestion de incidentes TIC preparados (Pilar II) | Deloitte (2025) |
| Solo el 8% alcanzo el pleno cumplimiento en los Pilares III y IV (Pruebas y Riesgo de Terceros) | Deloitte (2025) |
| El 46% identifica el registro de informacion como la tarea mas desafiante | Deloitte (2025) |
Costes de Cumplimiento de DORA
El coste del cumplimiento de DORA varia significativamente segun el tamano y la complejidad de la entidad. Los grandes grupos financieros afrontan programas de varios millones de euros, mientras que los requisitos de pruebas por si solos representan un gasto continuo considerable.
| Estadistica | Fuente |
|---|---|
| El 83% de las entidades financieras tiene una estimacion de costes de cumplimiento | Deloitte - DORA European Survey 2025 |
| El 64% planea gastar EUR 2-5 millones en el cumplimiento de DORA | Deloitte (2025) |
| Dotacion media de personal: 5-8 FTEs por institucion dedicados a DORA | Deloitte (2025) |
| Un gran grupo financiero reporto un gasto total del programa DORA de casi EUR 100 millones | Deloitte (2025) |
| Los costes de pruebas de penetracion basadas en amenazas (TLPT) se estiman en el 0,1%-0,3% del presupuesto total de TIC | Compact.nl, citando a las ESAs |
Sanciones y Aplicacion de DORA
El marco sancionador de DORA esta definido a nivel de la UE pero deja un margen significativo de discrecionalidad a los estados miembros, lo que resulta en implementaciones nacionales divergentes.
Marco Sancionador a Nivel de la UE (Articulo 50 de DORA)
| Tipo de Sancion | Maximo |
|---|---|
| Multas para entidades financieras | Hasta el 2% de la facturacion anual total mundial |
| Multas para personas fisicas en entidades financieras | Hasta EUR 1.000.000 |
| Multas para Proveedores TIC Terceros Criticos (CTPPs) | Hasta EUR 5.000.000 |
| Multas para personas fisicas en CTPPs | Hasta EUR 500.000 |
| Sanciones diarias para CTPPs (incumplimiento continuado) | Hasta el 1% de la facturacion diaria media mundial, durante un maximo de 6 meses |
Fuente: QuoIntelligence - DORA Explained
Divergencia Nacional en la Implementacion de Sanciones
Los estados miembros han implementado las disposiciones sancionadoras de DORA con variaciones significativas, segun lo documentado por DLA Piper en octubre de 2025:
| Pais | Limite Basado en Facturacion | Limite Absoluto (Entidades) | Limite para Personas Fisicas |
|---|---|---|---|
| Spain | 5% de la facturacion | - | - |
| Sweden | 10% de la facturacion | - | - |
| Czech Republic | - | EUR 2 millones | - |
| Italy | - | EUR 20 millones | - |
| Germany | - | - | EUR 5 millones |
| Finland | - | - | EUR 100.000 |
Fuente: DLA Piper - "Divergence in administrative penalties under DORA" (octubre 2025)
Poderes de Aplicacion Adicionales
Mas alla de las sanciones financieras, las autoridades supervisoras tienen la potestad de emitir divulgaciones publicas de infracciones, ordenes correctivas vinculantes, suspension o limitacion de actividades empresariales y revocacion de autorizaciones o licencias.
Fuente: BOC Group - DORA Compliance Penalties
Responsabilidad Penal
El Articulo 52 de DORA permite a los estados miembros imponer sanciones penales. Los miembros del consejo de administracion pueden enfrentar responsabilidad civil personal y potencialmente responsabilidad penal por negligencia grave en el incumplimiento de garantizar la resiliencia operativa digital.
Fuente: Avenga - Guide to DORA's Penalties
Proveedores TIC Terceros Criticos (CTPPs)
El 18 de noviembre de 2025, las Autoridades Europeas de Supervision publicaron la primera lista de Proveedores TIC Terceros Criticos bajo DORA. Estos 19 proveedores estan ahora sujetos a supervision directa por parte del Joint Oversight Forum.
Los 19 Proveedores TIC Terceros Criticos Designados
| # | Proveedor |
|---|---|
| 1 | Accenture plc |
| 2 | Amazon Web Services EMEA Sarl |
| 3 | Bloomberg L.P. |
| 4 | Capgemini SE |
| 5 | Colt Technology Services |
| 6 | Deutsche Telekom AG |
| 7 | Equinix (EMEA) B.V. |
| 8 | Fidelity National Information Services, Inc. (FIS) |
| 9 | Google Cloud EMEA Limited |
| 10 | International Business Machines Corporation (IBM) |
| 11 | InterXion HeadQuarters B.V. |
| 12 | Kyndryl Inc. |
| 13 | LSEG Data and Risk Limited |
| 14 | Microsoft Ireland Operations Limited |
| 15 | NTT DATA Inc. |
| 16 | Oracle Nederland B.V. |
| 17 | Orange SA |
| 18 | SAP SE |
| 19 | Tata Consultancy Services Limited |
Fuente: EIOPA press release (18 de noviembre de 2025); PwC Legal analysis
Registro de Informacion
Todas las entidades financieras bajo DORA deben mantener un registro de todos los acuerdos contractuales con proveedores de servicios TIC terceros. Fecha de referencia: 31 de marzo de 2025. Las autoridades nacionales enviaron los registros a las ESAs antes del 30 de abril de 2025 para el analisis de designacion.
Fuente: EBA - ESAs announce timeline for CTPP designation
Notificacion de Incidentes TIC bajo DORA
DORA introduce uno de los marcos de notificacion de incidentes mas estrictos en la regulacion financiera, con plazos de notificacion medidos en horas en lugar de dias.
Plazos de Notificacion (Reglamento Delegado de la Comision 2025/302)
| Informe | Plazo |
|---|---|
| De la deteccion a la clasificacion | Maximo 24 horas |
| Notificacion inicial | 4 horas despues de la clasificacion como incidente grave |
| Informe intermedio | 72 horas despues de la notificacion inicial |
| Informe final | 1 mes despues del informe intermedio |
Fuente: QuoIntelligence; Securiti - EU Regulation 2025/302
Criterios de Clasificacion
Un incidente TIC se clasifica como grave cuando los servicios criticos se ven adversamente afectados Y se cumple alguna de estas condiciones: (a) se produce un acceso malicioso no autorizado exitoso que puede resultar en perdida de datos, O (b) se alcanzan dos o mas umbrales de materialidad (clientes afectados, contrapartes financieras o transacciones).
Fuente: FMA Austria - DORA ICT-related incidents
Pruebas de Penetracion Basadas en Amenazas (TLPT)
DORA establece pruebas de seguridad avanzadas obligatorias para entidades financieras significativas, basandose en el marco TIBER-EU con requisitos legalmente vinculantes.
| Estadistica | Fuente |
|---|---|
| Las TLPT son obligatorias cada 3 anos para entidades identificadas como "significativas" por su supervisor | DORA Articulo 26 |
| Primer plazo de TLPT: 17 de enero de 2028 (3 anos despues de la fecha de aplicacion de DORA) | TIBER.info |
| El purple teaming es obligatorio bajo DORA (solo recomendado bajo TIBER-EU) | Yogosha |
| El proveedor de inteligencia de amenazas debe ser siempre externo | DORA TLPT RTS |
| Cada tercera prueba debe utilizar un equipo rojo externo | DORA TLPT RTS |
| Las RTS de TLPT se publicaron el 18 de junio de 2025, en vigor desde el 8 de julio de 2025 | TIBER.info |
Ciberamenazas en el Sector Financiero
Los siguientes datos de ENISA y otras fuentes autorizadas ilustran el panorama de amenazas que DORA pretende abordar.
ENISA Threat Landscape: Finance Sector (enero 2023 - junio 2024)
| Estadistica | Fuente |
|---|---|
| 488 incidentes reportados publicamente que afectaron al sector financiero europeo | ENISA - Threat Landscape: Finance Sector (febrero 2025) |
| Los bancos (entidades de credito) fueron el tipo de entidad mas afectado con el 46% de todos los incidentes | ENISA (febrero 2025) |
| Organizaciones financieras publicas: 13% de los incidentes | ENISA (febrero 2025) |
| Ataques DDoS: el 58% tuvo como objetivo especifico a los bancos | ENISA (febrero 2025) |
| Ransomware: el 29% afecto a proveedores de servicios financieros, el 17% afecto a organizaciones de seguros | ENISA (febrero 2025) |
| Aumento del 200% interanual en familias de malware dirigidas a aplicaciones bancarias | ENISA (febrero 2025) |
| 29 ataques relacionados con la cadena de suministro identificados en el sector financiero | ENISA (febrero 2025) |
IMF Global Financial Stability Report (abril 2024)
| Estadistica | Fuente |
|---|---|
| Casi una quinta parte de los incidentes ciberneticos reportados en las ultimas dos decadas afectaron al sector financiero global | IMF GFSR abril 2024, Capitulo 3 |
| USD 12.000 millones en perdidas directas para firmas financieras en dos decadas de incidentes ciberneticos | IMF (abril 2024) |
| USD 2.500 millones en perdidas directas para firmas financieras solo desde 2020 | IMF (abril 2024) |
| Las perdidas extremas por ciberataques se han cuadruplicado desde 2017 | IMF (abril 2024) |
| Solo aproximadamente la mitad de los paises encuestados contaban con una estrategia nacional de ciberseguridad centrada en el sector financiero | IMF (abril 2024) |
Incidentes Globales en el Sector Financiero
| Estadistica | Fuente |
|---|---|
| 3.348 incidentes ciberneticos reportados en la industria financiera a nivel mundial en 2023, frente a 1.829 en 2022 (aumento interanual del 83%) | Statista |
ECB Cyber Resilience Stress Test (julio 2024)
| Estadistica | Fuente |
|---|---|
| Se evaluaron 109 bancos supervisados directamente | ECB Banking Supervision (26 de julio de 2024) |
| 28 bancos se sometieron a pruebas exhaustivas con pruebas reales de recuperacion de TI y visitas in situ | ECB (julio 2024) |
| Escenario probado: todas las medidas preventivas fallan, un ciberataque afecta gravemente las bases de datos de los sistemas centrales | ECB (julio 2024) |
| Conclusion: los bancos cuentan con marcos de respuesta y recuperacion pero "quedan areas de mejora" | ECB (julio 2024) |
Intercambio de Informacion bajo DORA (Articulo 45)
DORA fomenta (pero no obliga) a las entidades financieras a intercambiar inteligencia sobre ciberamenazas. Si bien el intercambio de informacion en si es voluntario, las entidades estan obligadas a informar a los reguladores sobre como participan en acuerdos de intercambio de informacion.
La inteligencia compartida incluye indicadores de compromiso, tacticas/tecnicas/procedimientos, alertas de ciberseguridad y herramientas de configuracion. Los acuerdos deben proteger la informacion sensible, respetar la confidencialidad empresarial, la proteccion de datos personales y la legislacion de competencia.
Fuente: DORA Articulo 45; FS-ISAC DORA Information Sharing Requirements
Estandares Tecnicos de DORA
Las Autoridades Europeas de Supervision (EBA, ESMA, EIOPA) desarrollaron un total de 11 productos regulatorios para operacionalizar DORA:
Primer Lote (enero 2024, publicado en el Diario Oficial en junio 2024): 3 RTS + 1 ITS
- RTS sobre marcos de gestion de riesgos TIC
- RTS sobre criterios para clasificar incidentes relacionados con las TIC
- RTS sobre politicas relativas a servicios TIC proporcionados por terceros que respaldan funciones criticas
- ITS para establecer plantillas del registro de externalizacion
Segundo Lote (julio 2024): 4 RTS + 1 ITS + 2 Directrices
Fuente: EBA - ESAs published second batch of policy products under DORA
Cronologia de DORA
| Fecha | Evento |
|---|---|
| 24 de septiembre de 2020 | La Comision Europea publico la propuesta de DORA |
| 27 de diciembre de 2022 | Publicacion en el Diario Oficial de la Union Europea |
| 16 de enero de 2023 | DORA entro en vigor |
| 17 de enero de 2024 | Primer lote de RTS/ITS finalizado por las ESAs |
| 25 de junio de 2024 | Primer lote de RTS publicado en el Diario Oficial |
| 17 de julio de 2024 | Segundo lote de RTS/ITS/Directrices finalizado por las ESAs |
| 17 de enero de 2025 | DORA entro en plena aplicacion (sin periodo de transicion) |
| 31 de marzo de 2025 | Fecha de referencia para el registro de informacion |
| 11 de abril de 2025 | Plazo de BaFin (Germany) para la presentacion del registro de informacion |
| 15 de abril de 2025 | Plazo de ACPR (France) para la presentacion del registro de informacion |
| 30 de abril de 2025 | Plazo de las ESAs para recopilar registros de las autoridades nacionales |
| 8 de julio de 2025 | Las RTS de TLPT entraron en vigor |
| 18 de noviembre de 2025 | Publicacion de la primera lista de 19 Proveedores TIC Terceros Criticos |
| 17 de enero de 2028 | Plazo para la primera ronda de TLPT obligatoria para entidades significativas |
Los Cinco Pilares de DORA
DORA esta estructurada en torno a cinco pilares, cada uno con requisitos especificos:
Pilar I: Gestion de Riesgos TIC
Las entidades deben establecer marcos integrales de gestion de riesgos TIC que cubran identificacion, proteccion, deteccion, respuesta y recuperacion. Solo el 25% de las entidades reportaron sentirse conformes en este pilar (Deloitte 2025).
Pilar II: Gestion y Notificacion de Incidentes Relacionados con las TIC
Los incidentes TIC graves deben clasificarse en 24 horas y notificarse a las autoridades supervisoras en 4 horas desde la clasificacion. El 48% de las entidades tiene protocolos preparados (Deloitte 2025).
Pilar III: Pruebas de Resiliencia Operativa Digital
Se requieren pruebas periodicas de los sistemas TIC, con TLPT obligatorias cada 3 anos para entidades significativas. Solo el 8% alcanzo el pleno cumplimiento (Deloitte 2025).
Pilar IV: Gestion de Riesgos de Terceros TIC
Las entidades deben mantener un registro de todos los acuerdos con terceros TIC y evaluar el riesgo de concentracion. Solo el 8% alcanzo el pleno cumplimiento (Deloitte 2025). El 46% identifica esto como el requisito mas desafiante.
Pilar V: Intercambio de Informacion
Intercambio voluntario de inteligencia sobre ciberamenazas entre entidades financieras, con divulgacion obligatoria a los reguladores sobre la participacion en acuerdos de intercambio.
Preguntas Frecuentes
P: Cuantas entidades financieras se ven afectadas por DORA?
R: Mas de 22.000 entidades financieras y proveedores de servicios TIC estan dentro del alcance de DORA en toda la UE. Esto incluye 21 tipos de entidades financieras, desde bancos y aseguradoras hasta proveedores de servicios de criptoactivos y plataformas de financiacion participativa, ademas de sus proveedores de servicios TIC terceros.
P: Cuales son las multas maximas de DORA?
R: Las entidades financieras enfrentan multas de hasta el 2% de la facturacion anual total mundial. Las personas fisicas en entidades financieras enfrentan multas de hasta EUR 1.000.000. Los Proveedores TIC Terceros Criticos enfrentan multas de hasta EUR 5.000.000, con sanciones diarias de hasta el 1% de la facturacion diaria media por incumplimiento continuado. Algunos estados miembros han implementado limites mas altos, con Sweden permitiendo hasta el 10% de la facturacion.
P: Que porcentaje de instituciones financieras cumplian con DORA en enero de 2025?
R: Muy pocas. Una encuesta de McKinsey revelo que solo un tercio expresaba confianza en poder cumplir el plazo. Una encuesta de CSSF en Luxemburgo con ~500 entidades encontro que solo 1 entidad se consideraba totalmente preparada. Una encuesta de Deloitte en 28 paises encontro que solo el 8% cumplia plenamente en los pilares de pruebas y riesgo de terceros.
P: Cuanto cuesta el cumplimiento de DORA?
R: Segun una encuesta de Deloitte, el 64% de las entidades financieras planea gastar EUR 2-5 millones en el cumplimiento de DORA, con una dotacion media de 5-8 FTEs dedicados. Un gran grupo financiero reporto un gasto del programa cercano a EUR 100 millones. Los costes de TLPT se estiman en el 0,1%-0,3% del presupuesto total de TIC. McKinsey descubrio que el 70% de los ejecutivos esperan que DORA resulte en costes tecnologicos permanentemente mas altos.
P: Cuales son los plazos de notificacion de incidentes de DORA?
R: DORA exige la clasificacion desde la deteccion en 24 horas, la notificacion inicial en 4 horas desde la clasificacion, un informe intermedio en 72 horas y un informe final en 1 mes.
P: Que proveedores TIC han sido designados como Criticos bajo DORA?
R: El 18 de noviembre de 2025, las ESAs publicaron la primera lista de 19 Proveedores TIC Terceros Criticos. La lista incluye a AWS, Google Cloud, Microsoft, IBM, SAP, Oracle, Accenture, Bloomberg y otros. Estos proveedores estan sujetos a supervision directa por parte del Joint Oversight Forum.
Todas las estadisticas de esta pagina provienen de autoridades supervisoras oficiales de la UE, organismos reguladores e informes sectoriales verificados. Las fuentes principales incluyen las Autoridades Europeas de Supervision (EBA, ESMA, EIOPA), ENISA, ECB Banking Supervision, el IMF Global Financial Stability Report, McKinsey, Deloitte, CSSF Luxembourg, IDC, DLA Piper y el texto de la Directiva DORA. Esta pagina se actualiza periodicamente a medida que se dispone de nuevos datos de aplicacion.
Ultima actualizacion: marzo 2026