Logo-Gigantics
Reglamento DORA Seguridad de datos Cumplimiento normativo

6 min read

Reglamento DORA: cómo reducir exposición, gestionar terceros TIC y generar evidencia auditable

DORA exige evidencia auditable en cada entorno. Automatiza la anonimización, trazabilidad y control de terceros TIC — sin ralentizar tus equipos.

author-image

Sara Codarlupo

Marketing Specialist @Gigantics

El Reglamento DORA (Digital Operational Resilience Act, UE 2022/2554) es el marco europeo que obliga a bancos, aseguradoras y proveedores TIC a demostrar resiliencia operativa digital desde el 17 de enero de 2025. No basta con tener políticas: DORA exige evidencia técnica real de cada control. En la práctica, el mayor riesgo no está en producción — está en los entornos donde los datos viajan sin control: desarrollo, pruebas y terceros TIC.




Los 5 pilares del Reglamento DORA: qué exige cada uno



DORA estructura sus obligaciones en cinco pilares que afectan a entidades financieras y proveedores TIC por igual:


Los 5 pilares del Reglamento DORA (UE 2022/2554)



Alcance del reglamento DORA en España: banca, seguros y pagos


Tipo de entidad Ejemplos Supervisor en España
Entidades de crédito Bancos, cajas de ahorros, cooperativas de crédito Banco de España
Aseguradoras y reaseguradoras Seguros generales, vida, reaseguro, distribuidores DGSFP
Empresas de inversión Bancos de inversión, sociedades de valores, gestoras CNMV
Proveedores de servicios de pago Procesadores de pago, entidades de dinero electrónico Banco de España
Gestores de fondos Fondos de inversión, pensiones, capital riesgo CNMV
Proveedores TIC críticos Cloud, datos, ciberseguridad para entidades financieras EBA / EIOPA / ESMA

En materia de supervisión, el Banco de España es la autoridad competente para las entidades de crédito y ha publicado la guía de notificación de incidentes graves bajo DORA. La DGSFP supervisa aseguradoras y reaseguradoras. Ambas actúan coordinadas con las Autoridades Europeas de Supervisión — EBA, EIOPA y ESMA — que desde noviembre de 2025 ejercen supervisión directa sobre los 19 proveedores TIC críticos designados.



Para el sector asegurador, DORA iguala el nivel de exigencia con la banca: pólizas, siniestros y datos de asegurados en entornos de pruebas quedan bajo el mismo marco de control que cualquier dato financiero crítico. No es un requisito periférico — es el punto donde muchas aseguradoras tienen la mayor brecha de exposición sin saberlo.




Qué cambia con DORA para equipos de tecnología y datos



DORA incrementa el nivel de exigencia en tres dimensiones que afectan a cómo se gestionan datasets fuera de producción:


  • Gobierno y control del riesgo TIC: políticas, procesos y controles técnicos definidos, operativos y revisables.

  • Evidencia verificable: trazabilidad y resultados reproducibles que permitan demostrar ejecución de controles.

  • Riesgo de terceros TIC: el control debe mantenerse cuando el dato se consume en proveedores y servicios externos.



En ejecución, esto se materializa en tres frentes:


  • Seguridad: define políticas, segregación, acceso mínimo, monitorización y logging.

  • Plataforma de datos/DevSecOps: implementa pipelines de publicación, transformaciones y validaciones.

  • Gestión de terceros: gobierna inventario de proveedores, accesos, caducidad y evidencias asociadas.




Control del dato en entornos no productivos: requisito operativo y verificable



Los estándares técnicos complementarios de DORA sobre gestión del riesgo TIC concretan controles aplicables a entornos no productivos. En particular, establecen que estos entornos deben almacenar únicamente datos anonimizados, seudonimizados o aleatorizados - lo que convierte la seguridad de datos en entornos no productivos en el eje técnico de cumplimiento.



El mismo RTS contempla una excepción acotada: los datos de producción reales pueden usarse en pruebas específicas, durante un tiempo limitado, con aprobación previa de la función responsable y notificación a la función de gestión del riesgo TIC.



Operativamente, el control no se mide solo por el endurecimiento del entorno; se mide por el ciclo de vida completo del dataset: qué entra, cómo se transforma, quién lo usa, cuánto tiempo existe y qué evidencia queda. La siguiente sección detalla cómo implementarlo sin ralentizar el delivery.




Cómo implementar datos seguros en cualquier entorno sin frenar el delivery



La forma de escalar cumplimiento y agilidad es convertirlo en un servicio interno: entregar datasets útiles por finalidad, con salvaguardas incorporadas, automatizadas y auditables.



Clasificación y reglas de tratamiento



Empieza por una clasificación de datos accionable y automatizable:


  • Datos personales y categorías especiales (según contexto de negocio).

  • Datos financieros y operativos (por ejemplo: cuentas, pólizas, siniestros, pagos, pricing, fraude).

  • Identificadores y claves de relación (necesarios para consistencia).

  • Secretos operativos: credenciales, tokens, claves API, certificados (no deben propagarse).



A cada clase, asigna una regla por defecto de transformación:


  • Enmascaramiento para preservar formatos y utilidad operativa.

  • Seudonimización cuando necesitas consistencia y trazabilidad controlada.

  • Anonimización o aleatorización cuando el riesgo y el caso de uso lo exigen.


El criterio técnico es mantener utilidad minimizando reidentificación: consistencia por campo, preservación de formato y, cuando aplique, preservación de relaciones.



Publicación controlada de datasets por entorno y finalidad



Estandariza un flujo de publicación que produzca datasets listos para usar según destino:


  1. Selección de origen y alcance (tablas/campos, ventanas temporales, subconjuntos).
  2. Transformación aplicada con reglas versionadas.
  3. Validaciones automáticas: integridad referencial, constraints, distribuciones y checks de fuga.
  4. Publicación al entorno o destino (incluye proveedores si aplica).
  5. Caducidad y rotación: expiración automática del dataset y revocación de accesos.

Este enfoque reduce proliferación de copias y hace que la evidencia de control sea un subproducto del proceso.



Excepciones con aprobación, caducidad y trazabilidad



Cuando se requiera una excepción, conviértela en un procedimiento controlado:


  • Solicitud con motivo, alcance, plazo y entorno.

  • Aprobación por propietario del dato y Seguridad.

  • Controles reforzados: segregación, acceso mínimo, logging exhaustivo.

  • Expiración automática y evidencia de retirada o borrado.


Esto permite cumplir el requisito de excepción acotada y gobernada, en línea con los estándares técnicos.




Terceros TIC: control cuando el dato sale de tu perímetro



DORA refuerza la gestión del riesgo de terceros TIC y la necesidad de mantener un registro de acuerdos y dependencias TIC. Para equipos de datos, el punto crítico es asegurar que el control se mantiene cuando datasets se consumen en plataformas externas (cloud, servicios gestionados, consultoras o tooling).



En términos operativos, el control con terceros se sostiene con tres elementos:


  • Inventario y clasificación de destinos: qué proveedores acceden a datos, con qué finalidad y bajo qué contexto (entorno, proyecto, servicio).

  • Condiciones de salida: qué categorías de datos pueden compartirse, qué transformaciones son obligatorias y qué excepciones están permitidas.

  • Trazabilidad hacia el proveedor: capacidad de reconstruir qué dataset se entregó, a quién y bajo qué condiciones.


Con esto, el registro contractual se complementa con evidencia técnica de uso real.




Cumplimiento DORA: qué evidencia auditable debe demostrar tu entidad



El cumplimiento de DORA no se demuestra con documentación estática. El regulador espera artefactos técnicos reproducibles por ejecución: qué dataset se entregó, a qué entorno o tercero, qué reglas se aplicaron, qué validaciones pasó y cuándo expiró. Un paquete mínimo de evidencia por publicación incluye:

· Identificador del dataset y su versión (origen, alcance, timestamp).
· Reglas de transformación aplicadas y su versión.
· Resultados de validación: integridad referencial y checks de fuga.
· Destino con vigencia explícita y permisos asignados.
· Evidencia de expiración, retirada o borrado verificable.

Sin estos artefactos, una auditoría del supervisor no tiene nada que revisar — y la entidad no puede demostrar control real.




Cómo encaja Gigantics en un programa de resiliencia operativa digital



Gigantics centraliza la entrega gobernada de datasets a entornos internos y de terceros, aplicando políticas de transformación y trazabilidad para reducir exposición de datos sensibles sin perder utilidad operativa.


  • Políticas consistentes y versionadas de enmascaramiento, seudonimización, anonimización o aleatorización por dominio de datos.

  • Mantenimiento de la integridad referencial: preservación de formatos, consistencia entre campos y relaciones.

  • Evidencias por ejecución: registro de qué dataset se entregó, a qué entorno o tercero, qué reglas se aplicaron y cuál es su vigencia/caducidad, facilitando auditoría y control cuando el dato sale del perímetro.


Reglamento DORA · cumplimiento automatizado

¿Tu entidad ya tiene la evidencia auditable que DORA exige?

Gigantics automatiza la anonimización, trazabilidad y control de terceros TIC — sin añadir fricción a tus equipos ni parar el delivery.

Usado por entidades del sector financiero y asegurador

Lockton IMQ Asitur CNP


Preguntas frecuentes sobre el Reglamento DORA



¿Cuándo entró en vigor el Reglamento DORA?



El 17 de enero de 2025. Desde esa fecha el cumplimiento es obligatorio para todas las entidades incluidas en su ámbito de aplicación.



¿Cuáles son los 5 pilares del Reglamento DORA?



Gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia, gestión de terceros TIC y compartición de información sobre ciberamenazas.



¿Qué entidades están obligadas a cumplir el Reglamento DORA?



Bancos, aseguradoras, reaseguradoras, empresas de inversión, gestores de fondos, plataformas de negociación y sus proveedores TIC críticos en la UE.



¿Qué sanciones prevé el Reglamento DORA?



Multas de hasta 10 millones de euros o el 5% del volumen de negocio anual para infracciones graves, además de medidas correctoras y posible retirada de autorización.