DORA en España: qué deben cumplir fintechs, neobancos y proveedores SaaS del sector financiero en 2026 | SCANDO UP Madrid

Evalúa tu cumplimiento DORA · Evaluación gratuita 30 min

DORA · Resiliencia Digital · Fintech · SaaS · España 2026

DORA en España:
qué deben cumplir fintechs,
neobancos y proveedores SaaS
del sector financiero

Q: ¿Afecta DORA a mi empresa SaaS si tengo clientes en el sector financiero?

Sí, pero de forma indirecta. DORA exige a las entidades financieras que gestionen activamente el riesgo de sus proveedores TIC externos. Esto significa que si tu SaaS, plataforma cloud o software de gestión da servicio a un banco, aseguradora, fintech o empresa de inversión, ese cliente te va a exigir contractualmente que cumplas con determinados estándares de seguridad, continuidad y notificación de incidentes que derivan de DORA. Los contratos entre entidades DORA y sus proveedores TIC deben incluir cláusulas específicas obligatorias definidas en el Reglamento.

Q: ¿Cuáles son los plazos de notificación de incidentes bajo DORA?

DORA establece tres hitos de notificación para incidentes graves relacionados con TIC: notificación inicial en un plazo de 4 horas desde la clasificación del incidente como grave (y no más tarde de 24 horas desde su detección); notificación intermedia con actualización del análisis en 72 horas; e informe final en un mes. El incumplimiento de estos plazos es infracción autónoma sancionable, aunque el incidente en sí se haya gestionado correctamente.

Q: ¿Qué son las pruebas TLPT y qué empresas deben realizarlas?

Las TLPT (Threat-Led Penetration Testing) son pruebas de penetración avanzadas basadas en inteligencia sobre amenazas reales, siguiendo el framework TIBER-EU de los bancos centrales europeos. Son obligatorias para las entidades financieras designadas por las autoridades competentes (Banco de España, CNMV, DGSFP) al menos cada 3 años. No afectan a todos los obligados por DORA; solo a los designados en función de su tamaño, perfil de riesgo y relevancia sistémica. Sin embargo, todas las entidades deben realizar pruebas de resiliencia operativa básicas de forma periódica.

Q: ¿Cuáles son las sanciones por incumplimiento de DORA?

Las sanciones por incumplimiento de DORA pueden alcanzar el 1% de la facturación media diaria mundial del ejercicio anterior, aplicable por cada día de incumplimiento continuado hasta un máximo de seis meses. Para las personas físicas directamente responsables, las multas pueden alcanzar hasta 1 millón de euros. Las sanciones adicionales incluyen la suspensión de autorizaciones, la prohibición de prestar servicios y la publicación nominativa de la sanción. En España, las autoridades competentes son el Banco de España, la CNMV y la DGSFP según el tipo de entidad.

Q: ¿Qué diferencia hay entre DORA y NIS2 para una empresa fintech?

DORA es lex specialis para el sector financiero: prevalece sobre NIS2 en lo que regula específicamente. Las entidades financieras obligadas por DORA no tienen que cumplir NIS2 para las materias que DORA ya cubre de forma más exhaustiva. Sin embargo, NIS2 sigue aplicando en aspectos no cubiertos específicamente por DORA. Para una fintech, DORA es el marco principal y NIS2 es complementario. Para un proveedor SaaS que sirve a una fintech pero que no es entidad financiera, NIS2 aplica directamente y DORA le afecta de forma indirecta a través de los contratos.

El Reglamento DORA es directamente aplicable en España desde el 17 de enero de 2025. Obliga a 21 categorías de entidades financieras y afecta a todos sus proveedores TIC externos. Las multas pueden llegar al 1% de la facturación diaria mundial durante seis meses. Esta guía explica exactamente quién está obligado, qué tienen que hacer y qué pasa si no lo hacen.

Álvaro Ruipérez Candón · SCANDO UP Global Legal Mayo 2026 · 10 min

📍 Santa Engracia, 17 · Madrid 28010 · Atención en toda España

21 categorías de entidades financieras directamente obligadas por DORA en España

1%/día facturación diaria mundial, multa máxima por incumplimiento continuado de DORA

4h plazo para notificación inicial de incidentes graves TIC desde su clasificación

Qué es DORA y por qué es distinto a todo lo que había antes

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), entró en vigor en enero de 2023 y es directamente aplicable en España desde el 17 de enero de 2025. No necesitó transposición nacional: se aplica sin intermediación en todos los Estados miembros de la UE.

Antes de DORA, las entidades financieras en España gestionaban el riesgo tecnológico bajo normativas sectoriales distintas: circulares del Banco de España, guías de la EBA, normativas de la CNMV. Cada supervisor tenía su propio enfoque. DORA unifica todo ese marco en un único reglamento con requisitos homogéneos, plazos concretos y un régimen sancionador que no existía antes.

Compliance digital fintech DORA resiliencia operativa España 2026

El cambio más significativo que introduce DORA no es técnico; es de gobernanza. Antes, el riesgo TIC era responsabilidad del departamento de IT. Ahora es responsabilidad del órgano de administración. Los consejeros tienen que aprobar el marco de gestión de riesgos TIC, supervisar su implementación y responder personalmente si la empresa no cumple. El mismo esquema de responsabilidad personal directiva que introduce NIS2, pero aplicado específicamente al sector financiero y con un régimen sancionador más agresivo.

Lo que muchas fintechs todavía no han procesado

DORA no es una guía de buenas prácticas ni una recomendación de supervisor. Es un Reglamento europeo directamente aplicable. Las inspecciones ya han comenzado en España en 2025-2026. El Banco de España, la CNMV y la DGSFP tienen plenas competencias sancionadoras. Decir que "estamos trabajando en ello" no es defensa válida ante un incidente que activa el procedimiento sancionador.

Quién está obligado: entidades directamente afectadas y proveedores arrastrados

DORA tiene un doble perímetro de aplicación. El primero son las entidades financieras directamente obligadas. El segundo, y el que más sorprende al mercado, son los proveedores TIC que sirven a esas entidades: pueden ser supervisados directamente por las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) si son considerados proveedores TIC críticos.

🏦

Entidades de crédito y bancosIncluidos los neobancos con licencia bancaria completa o limitada

📈

Empresas de servicios de inversiónBrokers, gestoras, asesores financieros regulados

💳

Entidades de pago y dinero electrónicoFintechs de pagos, wallets, pasarelas de pago reguladas

🛡️

Aseguradoras y reaseguradorasIncluidas las insurtech con autorización DGSyFP

🪙

Proveedores de servicios de criptoactivos (MiCA)CASPs autorizados por la CNMV obligados también por DORA

🤝

Plataformas de financiación participativaCrowdfunding de inversión regulado bajo Reglamento UE 2020/1503

📊

Gestoras de fondos de inversiónSGIIC, SGECR, gestoras de pensiones con actividad regulada

🏛️

Mercados regulados y depositariosEntidades de contrapartida central, depositarios de valores

El perímetro que más sorprende: proveedores SaaS y cloud arrastrados por DORA

Si tu empresa SaaS, plataforma cloud o software de gestión da servicio a cualquiera de las entidades anteriores, DORA te afecta de forma indirecta pero muy concreta. Las entidades financieras tienen obligación de gestionar activamente el riesgo de sus proveedores TIC externos e incluir en los contratos cláusulas específicas obligatorias. Si tu cliente es un banco, una aseguradora o una fintech regulada, ya te están o te van a exigir cumplimiento de estándares DORA como condición contractual.

¿Tu empresa da servicio tecnológico a entidades del sector financiero? En SCANDO UP analizamos tu exposición a DORA como proveedor TIC en 30 minutos. Despacho en Madrid, Santa Engracia 17.

Reservar evaluación gratuita

Los 5 pilares de DORA: qué tiene que implementar cada entidad obligada

DORA estructura las obligaciones en cinco bloques. Todos son obligatorios para las entidades directamente afectadas, con niveles de profundidad que varían según el tamaño y el perfil de riesgo de la entidad (principio de proporcionalidad).

Gestión del riesgo TIC

Marco documentado de gestión de riesgos tecnológicos que cubra identificación, protección, detección, respuesta y recuperación. Aprobado por el órgano de administración. Revisado al menos una vez al año o tras incidentes significativos. Incluye inventario de activos TIC críticos y análisis de dependencias.

Gestión y notificación de incidentes graves

Proceso formal de clasificación de incidentes TIC según los criterios del Reglamento Delegado 2025/301. Notificación inicial en 4 horas, intermedia en 72 horas e informe final en un mes. Notificación a clientes cuando el incidente afecte a sus intereses. Coordinación con Banco de España, CNMV o DGSFP según el tipo de entidad.

Pruebas de resiliencia operativa digital

Programa anual de pruebas que incluye escaneo de vulnerabilidades, análisis de código fuente, pruebas de rendimiento y escenarios de continuidad. Las entidades designadas deben realizar TLPT (Threat-Led Penetration Testing) siguiendo el framework TIBER-EU al menos cada 3 años con proveedores acreditados.

Gestión del riesgo de terceros TIC

Inventario completo de todos los proveedores TIC con clasificación por criticidad. Proceso de due diligence antes de contratar. Contratos con cláusulas mínimas obligatorias (art. 30 DORA). Supervisión continua y revisiones periódicas. Estrategia de salida documentada para proveedores críticos.

Intercambio de información sobre amenazas

Participación voluntaria en mecanismos de intercambio de información sobre ciberamenazas con otras entidades del sector y con las autoridades. DORA fomenta activamente este intercambio como mecanismo de resiliencia colectiva del sistema financiero.

DORA no permite que el riesgo TIC siga siendo un problema del departamento de IT. Es una responsabilidad del consejo de administración, con obligación de formación, aprobación de marcos y supervisión activa documentada.

Las cláusulas contractuales obligatorias con proveedores TIC

El artículo 30 de DORA es el que más directamente afecta a los proveedores SaaS, cloud y tecnológicos que sirven al sector financiero. Define las cláusulas mínimas que deben contener los contratos entre entidades financieras y sus proveedores TIC externos. Sin estas cláusulas, el contrato no cumple con DORA y la entidad financiera incumple.

Lo que esto significa en la práctica es que cualquier empresa SaaS, proveedor de infraestructura cloud o plataforma tecnológica que quiera seguir vendiendo a bancos, aseguradoras o fintechs en España tiene que estar preparada para firmar contratos con estas cláusulas y para acreditar que las cumple operativamente.

1
Descripción completa de los servicios y niveles de servicio (SLA). Incluyendo métricas de disponibilidad, tiempos de respuesta ante incidentes y consecuencias del incumplimiento. El SLA de DORA es más exigente que un SLA comercial estándar.
2
Ubicación de los sistemas, datos y subcontratistas. El cliente financiero debe saber en todo momento dónde están físicamente sus datos, qué subcontratistas tienen acceso a ellos y en qué jurisdicciones. Los cambios en subcontratistas críticos requieren notificación previa al cliente.
3
Derecho de auditoría e inspección. La entidad financiera, sus auditores y las autoridades supervisoras tienen derecho a inspeccionar al proveedor TIC, incluso in situ. Este derecho no puede limitarse contractualmente.
4
Procedimientos de notificación de incidentes con plazos concretos. El proveedor TIC debe notificar a la entidad financiera cualquier incidente que afecte a los servicios prestados en plazos que permitan a la entidad cumplir con sus propias obligaciones de notificación a la CNMV, Banco de España o DGSFP.
5
Obligaciones de continuidad de negocio y recuperación ante desastres. El proveedor TIC debe documentar y acreditar sus capacidades de recuperación: RTO, RPO, planes de contingencia y pruebas periódicas de los mismos.
6
Condiciones de terminación y asistencia en la transición. Regulación de cómo termina la relación, en qué plazo, qué ocurre con los datos y qué asistencia presta el proveedor para facilitar la migración a un proveedor alternativo. Esta es la cláusula de portabilidad exigida por DORA.
7
Cumplimiento de estándares de seguridad verificables. El contrato debe especificar qué estándares de seguridad cumple el proveedor (ISO 27001, SOC 2, ENS) y cómo los acredita. Las declaraciones genéricas de "cumplimos con la normativa aplicable" no son suficientes bajo DORA.

¿Tus contratos con clientes del sector financiero tienen estas 7 cláusulas? En SCANDO UP revisamos y adaptamos contratos SaaS y TIC para cumplimiento DORA en 48 horas.

Solicitar revisión de contrato

El régimen sancionador DORA: por qué es el más agresivo del sector

Las sanciones de DORA superan en potencial económico a las del RGPD para muchas entidades financieras. No por los importes máximos absolutos, sino por el mecanismo: mientras el RGPD fija una multa única, DORA permite multas diarias por incumplimiento continuado.

Tipo de infracción	Sanción para entidades	Sanción personal (directivos)
Incumplimiento continuado de obligaciones DORA	1% de facturación diaria mundial, hasta 6 meses	Hasta 1.000.000 €
Incumplimiento grave de obligaciones de notificación	Multa fija según criterios del supervisor nacional	Hasta 500.000 €
Proveedores TIC críticos (supervisión directa EBA/ESMA/EIOPA)	Hasta 1% de facturación diaria mundial, hasta 6 meses	Hasta 1.000.000 €
Sanciones adicionales no económicas	Suspensión de autorización, prohibición de prestar servicios, publicación nominativa de la sanción

← Desliza para ver la tabla completa

La publicación nominativa de la sanción merece atención específica. En el sector financiero, donde la confianza es el activo más importante, aparecer en la web del Banco de España o de la CNMV como entidad sancionada por incumplimiento de resiliencia operativa tiene consecuencias comerciales que pueden superar con creces el importe de la multa.

DORA, NIS2 y RGPD: cómo se relacionan para una fintech en España

Las tres normativas coexisten para las fintechs españolas. Entender la relación entre ellas es lo que permite gestionarlas de forma coordinada sin duplicar esfuerzo ni crear contradicciones documentales.

Normativa	Qué regula	Relación con las otras	Autoridad España
DORA	Resiliencia operativa digital del sector financiero	Lex specialis sobre NIS2 para entidades financieras. Complementario con RGPD cuando hay datos personales	Banco de España, CNMV, DGSFP
NIS2	Ciberseguridad de sistemas de información	Aplicable en lo que DORA no cubre específicamente. Directamente aplicable a proveedores SaaS que no son entidades financieras	CCN-CERT, INCIBE-CERT
RGPD	Tratamiento de datos personales	Independiente y acumulable con DORA y NIS2. Un incidente puede activar los tres simultáneamente	AEPD

← Desliza para ver la tabla completa

La triple sanción que ninguna fintech quiere protagonizar

Un ciberataque que compromete datos de clientes de una fintech puede activar simultáneamente el Banco de España por incumplimiento de notificación DORA, la AEPD por brecha de datos personales bajo el RGPD, y la AESIA si hay un sistema de IA implicado en la gestión del incidente o en los tratamientos afectados. Tres expedientes, tres multas independientes, un mismo incidente. La gestión coordinada de los tres marcos es lo que lo evita.

Qué debe hacer ahora una fintech en España para estar en orden con DORA

En mayo de 2026, con más de un año de aplicación de DORA, las entidades que aún no tienen el marco implementado están en incumplimiento activo. Las inspecciones ya han comenzado. El Banco de España y la CNMV han publicado guías de supervisión. Estas son las prioridades de acción inmediata.

📋

Marco de gestión de riesgos TICDocumento aprobado por el consejo con inventario de activos, análisis de riesgos y medidas por nivel

🚨

Protocolo de notificación de incidentesProcedimiento entrenado: quién clasifica, quién notifica, en qué plazos y con qué formato

📦

Inventario y clasificación de proveedores TICLista completa con evaluación de criticidad y revisión de contratos frente al art. 30 DORA

🔐

Programa de pruebas de resilienciaPlan anual de pruebas documentado y ejecutado, con resultados y plan de mejora

📄

Contratos TIC revisados y actualizadosRevisión de todos los contratos con proveedores tecnológicos críticos e incorporación de las cláusulas art. 30

🎓

Formación del órgano de administraciónRegistro de formación en gestión de riesgos TIC de todos los consejeros con responsabilidad directiva

Por qué las fintechs en Madrid necesitan un abogado especialista en DORA

La implementación de DORA no es solo un proyecto de TI. Es un proyecto de gobernanza legal y operativa que requiere traducir los requisitos técnicos del Reglamento en políticas, contratos, procedimientos y estructuras de supervisión que aguanten una inspección del Banco de España o de la CNMV.

El análisis de si un proveedor TIC es crítico bajo los criterios de DORA. La redacción de las cláusulas del artículo 30 adaptadas al tipo de servicio. La estructuración del marco de riesgo TIC con el nivel de detalle que exige el principio de proporcionalidad para el tamaño de la entidad. La intersección entre DORA, NIS2 y RGPD en los contratos y en los protocolos de notificación. Eso no es trabajo de un consultor de ciberseguridad solo; requiere la capa jurídica.

📍

SCANDO UP Global Legal · Madrid

Despacho boutique especialista en DORA, MiCA, NIS2, RGPD y AI Act para fintechs, neobancos, insurtech y proveedores SaaS del sector financiero. Santa Engracia, 17, Madrid (28010). Diagnóstico de cumplimiento DORA y revisión de contratos TIC. Atención presencial y remota en toda España.

Lo que cambia cuando tienes DORA en orden

Una fintech con el marco DORA implementado puede responder con confianza a las preguntas de cualquier auditor del Banco de España o la CNMV. Puede pasar la due diligence de un socio bancario o de un cliente institucional sin que DORA sea un bloqueante. Puede gestionar un incidente técnico activando simultáneamente los tres protocolos de notificación sin caos interno. Y cuando llegue la inspección, la documentación está lista desde el primer requerimiento.

¿Tu fintech o proveedor TIC tiene el cumplimiento DORA en orden?

Evaluación gratuita de 30 minutos. Analizamos tu situación frente a DORA, NIS2 y RGPD y te decimos qué tienes, qué falta y por dónde empezar. Despacho en Madrid, Santa Engracia 17.

Reservar evaluación gratuita 📞 +34 603 597 478

Álvaro Ruipérez Candón · Abogado especialista en DORA, Fintech y Derecho Digital
SCANDO UP Global Legal · Santa Engracia, 17 · Madrid 28010

Preguntas frecuentes sobre DORA para fintechs en España

¿Qué es DORA y a qué empresas afecta en España?

DORA (Digital Operational Resilience Act) es el Reglamento (UE) 2022/2554, directamente aplicable en España desde el 17 de enero de 2025. Obliga a 21 categorías de entidades financieras: entidades de crédito, empresas de servicios de inversión, entidades de pago y dinero electrónico, aseguradoras, gestoras de fondos, plataformas de financiación participativa, proveedores de servicios de criptoactivos bajo MiCA, y otras. También afecta a los proveedores TIC críticos que sirven a estas entidades, supervisados directamente por las Autoridades Europeas de Supervisión.

¿Afecta DORA a mi empresa SaaS si tengo clientes en el sector financiero?

Sí, de forma indirecta pero muy concreta. DORA exige a las entidades financieras que gestionen activamente el riesgo de sus proveedores TIC externos e incluyan en los contratos cláusulas específicas obligatorias. Si tu SaaS, plataforma cloud o software da servicio a un banco, aseguradora, fintech o empresa de inversión, ese cliente ya te está o te va a exigir contractualmente estándares de seguridad, continuidad y notificación que derivan de DORA.

¿Cuáles son los plazos de notificación de incidentes bajo DORA?

DORA establece tres hitos: notificación inicial en 4 horas desde la clasificación del incidente como grave (y no más tarde de 24 horas desde su detección); notificación intermedia con actualización del análisis en 72 horas; e informe final en un mes. El incumplimiento de estos plazos es infracción autónoma sancionable aunque el incidente en sí se haya gestionado correctamente.

¿Qué son las pruebas TLPT y qué empresas deben realizarlas?

Las TLPT son pruebas de penetración avanzadas basadas en inteligencia sobre amenazas reales, siguiendo el framework TIBER-EU. Son obligatorias para las entidades financieras designadas por las autoridades competentes al menos cada 3 años, con proveedores acreditados. No afectan a todos los obligados por DORA; solo a los designados en función de su tamaño, perfil de riesgo y relevancia sistémica.

¿Cuáles son las sanciones por incumplimiento de DORA?

Las sanciones pueden alcanzar el 1% de la facturación media diaria mundial por cada día de incumplimiento continuado hasta seis meses. Para personas físicas directamente responsables, hasta 1 millón de euros. Las sanciones adicionales incluyen suspensión de autorizaciones, prohibición de prestar servicios y publicación nominativa de la sanción en la web del supervisor.

¿Qué diferencia hay entre DORA y NIS2 para una empresa fintech?

DORA es lex specialis para el sector financiero y prevalece sobre NIS2 en lo que regula específicamente. Las entidades financieras obligadas por DORA no tienen que cumplir NIS2 para las materias que DORA ya cubre de forma más exhaustiva. Sin embargo, NIS2 sigue aplicando en aspectos no cubiertos por DORA. Para un proveedor SaaS que sirve a una fintech pero no es entidad financiera, NIS2 aplica directamente y DORA le afecta de forma indirecta a través de los contratos.

¿Qué cláusulas debe incluir el contrato entre una entidad DORA y su proveedor TIC?

El artículo 30 del Reglamento DORA define las cláusulas mínimas obligatorias: descripción completa de los servicios y SLA; ubicación de los sistemas y datos; derecho de auditoría e inspección; procedimientos de notificación de incidentes con plazos concretos; obligaciones de continuidad y recuperación ante desastres; condiciones de terminación y asistencia en la transición; y cumplimiento de estándares de seguridad verificables. Sin estas cláusulas el contrato no cumple con DORA.

Álvaro Ruipérez Candón Abogado especialista en DORA, MiCA, Fintech y Derecho Digital · Fundador de SCANDO UP Global Legal · Docente en ISDE Law & Business School · Madrid

Experto en Derecho Digital y negocios tecnológicos. Datos e IA. Abogado estratégico para fintechs, neobancos, insurtech y SaaS del sector financiero que diseña la infraestructura legal que permite operar, escalar y cumplir sin fricción ni sanciones (AIM Integrity™).

APTIE Confilegal Europapress ISDE Law & Business School

DORA fintech España 2026