search-icon
Habla con un experto Blog Envíanos tu CV Empleados
  1. knowmad mood - Inicio

  2. Blog

Sanciones por incumplimiento de DORA en España: guía completa y autoevaluación en ciberseguridad

Feb 09 2026

El 17 de enero de 2025 marcó un punto de inflexión en la ciberseguridad del sector financiero europeo. El Reglamento DORA (Digital Operational Resilience Act) entró en vigor de forma directa en todos los Estados miembros, estableciendo un marco normativo sin precedentes para la resiliencia operativa digital. Esta nueva realidad regulatory supone un cambio radical en cómo las entidades financieras españolas deben gestionar sus riesgos tecnológicos, con sanciones que pueden alcanzar cifras millonarias.

A diferencia de marcos normativos anteriores, DORA no es una directiva que requiera transposición nacional, sino un reglamento de aplicación directa que armoniza los estándares de ciberseguridad en toda la Unión Europea. Para las empresas españolas del sector financiero, esto significa que desde el primer día de 2025 deben cumplir con unos requisitos específicos en materia de gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia y control de terceros proveedores.

El impacto va más allá del cumplimiento normativo. DORA representa una transformación cultural que sitúa la ciberseguridad en el centro de la estrategia empresarial, exigiendo que los consejos de administración asuman responsabilidad directa sobre la resiliencia digital. Las sanciones por incumplimiento no son solo económicas: incluyen medidas correctivas, suspensión de licencias y daños reputacionales que pueden comprometer la viabilidad de las entidades.

Qué es DORA y a quién aplica en España

Definición y alcance del Reglamento DORA

El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero establece requisitos uniformes para la gestión del riesgo de las tecnologías de la información y la comunicación (TIC) aplicables a las entidades financieras. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse de todo tipo de alteraciones e interrupciones relacionadas con las TIC.

Entidades afectadas en España

DORA se aplica a un amplio espectro de entidades financieras reguladas en España:

Entidades de crédito supervisadas por el Banco de España:

  • Bancos, cajas de ahorro y cooperativas de crédito
  • Sucursales españolas de entidades extranjeras
  • Entidades de dinero electrónico y de pago

    Entidades supervisadas por la CNMV:
  • Empresas de servicios de inversión
  • Gestoras de fondos de inversión y SICAV
  • Mercados e infraestructuras de mercado
  • Entidades emisoras de criptoactivos

    Entidades supervisadas por la DGSFP:
  • Compañías de seguros y reaseguros
  • Fondos de pensiones y sus gestoras
  • Entidades aseguradoras de otros Estados miembros

    Proveedores críticos de servicios TIC: Un aspecto innovador de DORA es su extensión a proveedores terceros que prestan servicios críticos a las entidades financieras, incluyendo servicios de computación en la nube, centros de datos, software especializado y servicios de ciberseguridad.

Organismos supervisores y de coordinación

La supervisión de DORA en España se articula a través de múltiples organismos:

  • Banco de España: Autoridad competente para entidades de crédito
  • CNMV: Supervisión de mercados de valores e inversión
  • DGSFP: Control de seguros y fondos de pensiones
  • INCIBE: Coordinación técnica y apoyo en ciberseguridad
  • AEPD: Coordinación en aspectos de protección de datos

Tipos de sanciones por incumplimiento de DORA

Clasificación de infracciones

El régimen sancionador de DORA se estructura en tres categorías principales, siguiendo el modelo establecido por el RGPD y otras normativas europeas:

Infracciones leves

  • Retrasos menores en la notificación de incidentes
  • Deficiencias administrativas en la documentación
  • Incumplimientos parciales de obligaciones de reporte
  • Sanciones: Amonestaciones, multas de hasta 100.000 euros

Infracciones graves

  • Fallos en la gestión del riesgo de TIC
  • Incumplimiento de obligaciones de pruebas de resiliencia
  • Deficiencias significativas en el control de terceros
  • No implementación de medidas de continuidad de negocio
  • Sanciones: Multas entre 100.000 y 1 millón de euros, medidas correctivas

Infracciones muy graves

  • Ausencia total de marco de gestión de riesgos TIC
  • No notificación de incidentes críticos
  • Falta de designación de responsables de TIC
  • Incumplimientos reiterados tras requerimientos
  • Compromiso grave de la estabilidad financiera
  • Sanciones: Multas millonarias, suspensión de operaciones, inhabilitación de directivos

Principio de proporcionalidad

Las autoridades españolas aplicarán el principio de proporcionalidad establecido en DORA, considerando:

  • Tamaño y complejidad de la entidad
  • Naturaleza y alcance del incumplimiento
  • Intencionalidad o negligencia
  • Medidas adoptadas para paliar el daño
  • Cooperación con las autoridades

Cuantía de las multas: impacto económico sin precedentes

Marco sancionador económico

Aunque DORA no establece cuantías específicas, la práctica supervisora en España se está alineando con los estándares europeos más exigentes. Las proyecciones basadas en la legislación financiera existente indican:

Para infracciones muy graves:

  • Hasta 10 millones de euros o
  • 2% de la facturación anual global del ejercicio anterior
  • Se aplica la cuantía superior

    Para infracciones graves:
  • Entre 100.000 euros y 1 millón de euros o
  • 0,5% de la facturación anual global

    Características del régimen sancionador:
  1. Sanciones acumulativas: Pueden aplicarse múltiples sanciones por diferentes incumplimientos
  2. Responsabilidad de directivos: Los administradores pueden ser sancionados personalmente
  3. Publicidad de sanciones: Las infracciones graves y muy graves se publican en registros oficiales
  4. Medidas cautelares: Suspensión temporal de actividades durante la investigación

Comparativa con marcos normativos existentes

Para contextualizar el impacto, las multas de DORA superan las típicamente aplicadas en el sector financiero español:

  • RGPD: Hasta 20 millones de euros o 4% facturación (máximo aplicado)
  • Ley de Mercado de Valores: Históricamente entre 30.000 y 600.000 euros
  • Legislación bancaria: Multas que raramente superaban los 500.000 euros

Ejemplos prácticos: lecciones del RGPD y casos españoles

Precedentes del RGPD en el sector financiero

El RGPD ha marcado un precedente claro sobre la aplicación de sanciones millonarias en el sector financiero europeo:

Casos destacados en Europa:

  • Intesa Sanpaolo (Italia): 2,8 millones de euros por deficiencias en tratamiento de datos
  • Deutsche Bank: 1,17 millones de euros por filtración de datos de clientes
  • Banco Santander (Polonia): 350.000 euros por prácticas de marketing no autorizadas

Casos españoles relevantes

Sanciones CNMV recientes: En agosto de 2025, la CNMV sancionó a Grifols y varios directivos con 1,4 millones de euros por información financiera inexacta, demostrando la aplicación efectiva de sanciones significativas en el sector financiero español.

Deficiencias en ciberseguridad detectadas: El Banco de España ha documentado múltiples casos de entidades con deficiencias en:

  • Sistemas de backup inadecuados
  • Falta de procedimientos de recuperación
  • Ausencia de pruebas de contingencia
  • Deficiencias en control de accesos

Proyección para DORA

Basándose en estos precedentes, las autoridades españolas han señalado que aplicarán sanciones proporcionales pero contundentes. Una entidad mediana podría enfrentar multas de 500.000 a 2 millones de euros por incumplimientos graves, mientras que las grandes entidades sistémicas podrían ver sanciones que superen los 10 millones de euros.

Comparativa normativa: DORA, NIS2 y RGPD

Aspecto

DORA

NIS2

RGPD

Ámbito de aplicación

Sector financiero y proveedores TIC críticos

Sectores estratégicos (energía, transporte, salud, etc.)

Universal (todos los sectores)

Naturaleza jurídica

Reglamento UE (aplicación directa)

Directiva (requiere transposición)

Reglamento UE (aplicación directa)

Multas máximas

10M€ o 2% facturación global

10M€ o 2% (esenciales) / 7M€ o 1,4% (importantes)

20M€ o 4% facturación global

Autoridad supervisora

Banco España, CNMV, DGSFP

Autoridades sectoriales + CCN-CERT

AEPD

Fecha aplicación

17 enero 2025

18 octubre 2024 (España: enero 2025)

25 mayo 2018

Enfoque principal

Resiliencia operativa digital

Ciberseguridad de infraestructuras críticas

Protección de datos personales

Responsabilidad directiva

Consejo administración obligatorio

Designación responsable seguridad

DPO en casos específicos

Pruebas obligatorias

Pen-testing, simulacros crisis

Evaluaciones periódicas riesgo

Evaluaciones impacto

Control terceros

Supervisión directa proveedores críticos

Gestión cadena suministro

Contratos tratamiento datos

Interacciones entre normativas

Las empresas españolas deben considerar las sinergias y solapamientos:

  1. Complementariedad: DORA refuerza RGPD en aspectos de seguridad técnica
  2. Coordinación supervisora: INCIBE actúa como nexo entre autoridades
  3. Enfoque integral: Las empresas necesitan marcos unificados de cumplimiento
  4. Optimización de recursos: Sistemas comunes pueden cumplir múltiples normativas

Grandes dolores de las empresas ante DORA

Coste de adecuación: inversión sin retorno inmediato

Las empresas financieras españolas enfrentan costes significativos para alcanzar el cumplimiento:

Inversión tecnológica:

  • Sistemas de monitorización avanzados: 200.000-500.000 euros
  • Plataformas de gestión de incidentes: 150.000-300.000 euros
  • Herramientas de backup inmutable: 100.000-250.000 euros
  • Soluciones EDR/XDR: 50.000-200.000 euros anuales

    Recursos humanos especializados:
  • CISO senior: 80.000-120.000 euros anuales
  • Analistas de ciberseguridad: 45.000-65.000 euros anuales
  • Consultores especializados DORA: 800-1.500 euros/día

    Costes de certificación y auditoría:
  • Auditorías de cumplimiento: 50.000-150.000 euros anuales
  • Certificaciones ISO 27001: 30.000-80.000 euros
  • Pruebas de penetración: 20.000-50.000 euros anuales

Falta de madurez en reporting de incidentes

Muchas entidades carecen de la madurez necesaria para el reporting estructurado que exige DORA:

Deficiencias comunes:

  • Ausencia de clasificación automatizada de incidentes
  • Falta de procedimientos de escalado claros
  • Sistemas de registro manuales e inconsistentes
  • Dificultades para evaluar el impacto real
  • Retrasos en la comunicación interna

    Impacto en cumplimiento:
  • Riesgo de incumplir plazos de notificación (4-24 horas según gravedad)
  • Información incompleta o imprecisa en reportes
  • Falta de trazabilidad en la gestión del incidente

Riesgo de sanción por terceros (proveedores TIC)

DORA responsabiliza a las entidades financieras por el cumplimiento de sus proveedores críticos:

Riesgos identificados:

  • Contratos existentes sin cláusulas DORA
  • Proveedores internacionales no familiarizados con normativa europea
  • Falta de capacidad para auditar proveedores de nube
  • Dependencia excesiva de grandes tech (Microsoft, Google)

    Consecuencias potenciales:
  • Sanciones por incumplimientos de terceros
  • Necesidad de cambiar proveedores críticos
  • Renegociación costosa de contratos
  • Auditorías exhaustivas de la cadena de suministro

Sobrecarga de auditorías y falta de personal cualificado

El sector financiero español experimenta una escasez crítica de profesionales de ciberseguridad:

Datos del mercado laboral:

  • Déficit de 15.000 profesionales de ciberseguridad en España
  • Rotación del 25% anual en puestos de seguridad
  • Salarios incrementados un 15-20% en 2024-2025
  • Tiempo medio de contratación: 4-6 meses para perfiles senior

    Impacto organizacional:
  • Sobrecarga de equipos existentes
  • Dependencia excesiva de consultoras externas
  • Dificultades para mantener conocimiento interno
  • Riesgo de burnout en equipos de ciberseguridad

La era post-DORA

El cumplimiento de DORA representa mucho más que una obligación regulatoria; constituye una oportunidad para que las entidades financieras españolas fortalezcan su posición competitiva a través de la excelencia en resiliencia digital. Las organizaciones que aborden DORA de manera estratégica, integrándolo con otros marcos normativos como NIS2 y RGPD, construirán ventajas sostenibles en un entorno cada vez más digitalizado.

La experiencia internacional demuestra que las entidades proactivas no solo evitan sanciones, sino que obtienen beneficios tangibles: reducción de costes operativos por incidentes, mejora de la confianza del cliente, acceso a mejores condiciones de financiación y fortalecimiento de la reputación corporativa.

Las sanciones por incumplimiento de DORA en España no son solo un riesgo económico; representan una amenaza existencial para entidades que no logren adaptarse a la nueva realidad regulatoria. Sin embargo, las organizaciones que inviertan en transformar su aproximiación a la ciberseguridad encontrarán en DORA un catalizador para la innovación y la excelencia operativa.

El momento de actuar es ahora. Las autoridades españolas han demostrado su compromiso con la aplicación efectiva de sanciones significativas, y la ventana de adaptación gradual se está cerrando rápidamente.

 

¿Está tu organización preparada para las nuevas normativas de ciberseguridad? Descubre tu nivel de madurez ahora.

Realizar Autoevaluación Gratuita ENS-NIS2-ISO27001-DORA →

Cuestionario profesional de 26 preguntas que evalúa su cumplimiento actual en las principales normativas de ciberseguridad europeas y españolas. Obtenga un diagnóstico inmediato de su situación.

¿Qué evaluamos en 15 minutos?

Gestión de Identidades y Accesos

  • Autenticación multifactor y acceso condicional
  • Políticas de contraseñas y usuarios privilegiados
  • Centralización de identidades (AD, Azure AD, Okta)

    Protección y Detección de Amenazas
  • Sistemas EDR/XDR y capacidades SIEM
  • Protección del correo electrónico avanzada
  • Filtrado web y prevención de ataques DoS

    Continuidad y Resiliencia Operativa
  • Planes de continuidad documentados y testados
  • Repositorios seguros ante ransomware
  • Medios alternativos y recuperación en la nube

    Entornos Críticos y OT
  • Seguridad en tecnologías operativas
  • Auditorías de caja negra periódicas
  • Gestión de vulnerabilidades automatizada

Al completar la evaluación recibirá:

  • Puntuación de madurez
  • Identificación de gaps críticos para DORA, NIS2 e ISO 27001

Consulta gratuita con nuestros especialistas

Un especialista certificado de nuestro equipo se pondrá en contacto en las próximas 24 horas para revisar sus resultados y proporcionarle un plan de acción personalizado.
 

🧠 ¿Cumples con las normativas europeas de ciberseguridad?

 

FIRMA

Sergi Sinyol López 

Responsable técnico de ciberseguridad de knowmad mood

Comparte este artículo

Utilizamos cookies propias y de terceros para ofrecerte una mejor experiencia y servicio, dentro de nuestra Web de acuerdo a tus hábitos de navegación. Si continúas navegando, consideramos que aceptas expresamente su utilización. Puedes obtener más información de cómo gestionar y configurar las cookies en nuestra Política de Cookies.

×

Preferencias de Cookies


Cookies esenciales

Las cookies esenciales son absolutamente necesarias para que la web funcione correctamente. Estas cookies aseguran funcionalidades básicas y características de seguridad de la web, anónimamente.

Cookies funcionales

Las cookies funcionales ayudan a realizar ciertas funcionalidades, como compartir el contenido del sitio web en plataformas de redes sociales, recopilar comentarios y otras características de terceros.

Cookies de análisis

Son aquellas que, tratadas por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

Cookies de marketing

Las cookies de marketing se utilizan para rastrear a los visitantes en las páginas web. La intención es mostrar anuncios relevantes y atractivos para el usuario individual, y por lo tanto, más valiosos para los editores.

Guardar preferencias