Inicio Regulación y Public Policy Digitalización Novedades DORA julio 2025

Novedades DORA julio 2025

A continuación, se resumen las principales novedades en materia de resiliencia operativa digital:

  • Pruebas de penetración basadas en amenazas

Se han publicado en el DOUE las normas de nivel II de DORA que desarrollan las obligaciones en materia de pruebas de penetración basadas en amenazas (Reglamento Delegado (UE) 2025/1190 de la Comisión, de 13 de febrero de 2025).

Estas pruebas no se aplicarán a todas las entidades por defecto, sino solo a aquellas cuya importancia sistémica, perfil de riesgo tecnológico o madurez en sus sistemas TIC lo justifiquen. Entre los tipos de entidades obligadas directamente a realizar este tipo de pruebas no se encuentran las Gestoras de IICs ni de pensiones.

DORA configura estas pruebas con un alto grado de detalle. No se trata de pruebas de intrusión al uso, sino de un tipo específico de evaluación técnica cuyo alcance, metodología y requisitos están definidos con precisión por la normativa.

Según este marco, la entidad despliega equipos de control, defensa (azul) y ataque (rojo), mientras la autoridad competente supervisa con su propio equipo cibernético y un proveedor de inteligencia diseña escenarios realistas. Estas pruebas se realizan con estricta confidencialidad para simular un ataque real, reservando la transparencia para una fase posterior centrada en las lecciones aprendidas.

  • Subcontratación

Se ha publicado en el DOUE la norma de nivel II de DORA en materia de subcontratación (Reglamento Delegado (UE) 2025/532 de la Comisión, de 24 de marzo de 2025). Este texto llega tras un proceso complejo en el que la Comisión Europea rechazó una versión previa del RTS por exceder el mandato normativo, especialmente en lo relativo a la supervisión de la cadena de subcontratación. Se consideró que incluía obligaciones no directamente vinculadas a las condiciones de subcontratación. Su eliminación aporta claridad y evita cargas operativas adicionales para las entidades.

  • Directrices sobre la externalización de servicios a proveedores de servicios en la nube

ESMA ha modificado las Directrices sobre la externalización de servicios a proveedores de servicios en la nube, concretamente su ámbito de aplicación para para excluir a las entidades financieras cubiertas por el Reglamento DORA. No obstante, dichas Directrices se mantienen para ciertas entidades no sujetos a DORA. Al margen de este ajuste, no se han introducido otras modificaciones sustanciales.

  • Directrices sobre las actividades de supervisión en el marco del Reglamento de Resiliencia Operativa Digital (DORA)

Las Autoridades Europeas de Supervisión (EBA, EIOPA, ESMA – las ESAs) el 15 de julio publicaron unas Directrices sobre las actividades de supervisión en el marco del Reglamento de Resiliencia Operativa Digital (DORA).

El objetivo de esta guía es ofrecer una visión general de los procesos utilizados por las ESAs del marco de supervisión de los proveedores críticos de servicios de tecnologías de la información y la comunicación (TIC) de terceros (CTPP). Las Directrices incluyen una síntesis de la estructura de gobernanza, los procesos de supervisión y expectativas sobre los puntos de coordinación con las CTPP de la UE y filiales extracomunitarias, los principios fundamentales y las herramientas disponibles para los supervisores.

Descarga