compliance · 16 min de lectura
DORA un año después: 19 CTPPs, primer ciclo TLPT y el fin del periodo de tolerancia
El 17 de enero de 2026 cumple un año la aplicabilidad de DORA. Las ESAs designan 19 proveedores ICT críticos en noviembre de 2025, el primer ciclo TLPT empieza a aterrizar para 2026-2028, las autoridades nacionales cierran el periodo de tolerancia y abren inspección activa. Tabla operativa de qué ha funcionado, qué falta y qué se exige durante 2026.
· Manuel López Pérez · compliance
El 17 de enero de 2026 cumple un año la aplicabilidad del Reglamento (UE) 2022/2554 — DORA. El primer año ha sido lo que las autoridades nacionales llaman grace period informal: foco en documentación, revisión de marcos, identificación de gaps. Para 2026 cambia el tono. Las ESAs publican la primera lista oficial de Critical ICT Third-Party Providers (CTPPs) el 18 de noviembre de 2025 con 19 proveedores designados, el primer ciclo de Threat-Led Penetration Testing entra en calendario operativo con deadline final 17-ene-2028, y los reguladores nacionales abren inspección activa con expectativa de primeras sanciones por reporting failures y Register of Information deficiente durante 2026.
Hace un año, el post sobre la aplicabilidad de DORA cerraba con una sección “Lo que sigue abierto” con cinco puntos pendientes: lista de CTPPs, RTS final sobre TLPT, transposición de NIS2 en España, régimen sancionador efectivo, primer ciclo de inspección. Este post mira esos cinco puntos con los datos del año y entra en los hitos operativos que han aparecido durante 2025.
Lectura: comunicaciones oficiales de EBA / EIOPA / ESMA durante 2025, press release del Joint Committee del 18-nov-2025 sobre designación de CTPPs, ECB MIP news del 11-feb-2025 sobre TIBER-EU alineado con DORA, Joint ESAs Report del 4-dic-2025 sobre auditores, y el Joint Committee Annual Report 2025 publicado el 24-abr-2026 (que cubre el periodo retrospectivamente).
Estado a 17 de enero de 2026 — qué ha pasado durante el año
Resumen operativo, por pilares:
| Pilar | Estado a 17-ene-2026 | Hitos durante 2025 |
|---|---|---|
| ICT risk management framework (Arts. 5–16) | Documentado en la mayoría de entidades sistémicas. Gaps recurrentes en board oversight y en independent control function. | RTS sobre marco simplificado para microempresas en aplicación. |
| Incident management & reporting (Arts. 17–23) | Operativo en grandes entidades. Primer año de reporting agregado por las autoridades; ninguna entidad mayor reporta major incident DORA-classified durante 2025 que haya saltado a prensa especializada. | RTS sobre clasificación y plantillas armonizadas en uso desde Q2 2025. |
| Operational resilience testing (Arts. 24–27) | Testing general anual en plan. TLPT no ejecutado en primer ciclo — deadline final 17-ene-2028. | RTS final TLPT publicado julio 2025. TIBER-EU updated 11-feb-2025 para alinear con DORA. |
| Third-party risk management (Arts. 28–30) | Register of Information entregado por primera vez (abr-2025). 18-nov-2025: lista oficial de 19 CTPPs. | Designación CTPPs cierra incertidumbre principal del pilar. |
| Information sharing (Art. 45) | Voluntario. FS-ISAC EU activo. Sin trusted communities formalmente nuevas. | Sin movimiento regulatorio durante 2025 — el pilar es habilitante, no obligatorio. |
Los tres pilares con tracción real durante 2025: incident reporting (porque se ha estado practicando con casos reales), third-party (porque el Register y la designación CTPPs forzaron acción documentada), y resilience testing (porque el RTS final sobre TLPT cerró la incertidumbre de framework). El pilar 5 sigue siendo aspiracional.
El Register of Information — primera entrega abril 2025
La primera entrega del Register of Information —el inventario armonizado de contractual arrangements con proveedores ICT que cada entidad financiera debe mantener bajo Art. 28.3— se ejecutó entre el 1 y el 15 de abril de 2025 vía los portales de las autoridades nacionales (eDesk en Luxembourg, formularios CSV propios en BdE / CNMV / DGSFP en España, mismo modelo en cada estado miembro). La fecha de referencia: 31 de marzo de 2025.
El formato es CSV plano con la estructura del ITS sobre register of information publicado por las ESAs durante 2024. Cada entidad reporta los contractual arrangements a entidad, sub-consolidado y consolidado, distinguiendo los que soportan funciones críticas o importantes.
El dato operativo del primer año: las ESAs utilizan los datos agregados del Register como input principal para la designación de CTPPs. Esto cierra el círculo —el Register no es solo informe a la autoridad, es la fuente que dispara la designación CTPP. Para 2026 las autoridades nacionales empiezan a hacer cross-check automatizado entre Registers de distintas entidades para detectar inconsistencias —si una entidad reporta a un proveedor como crítico y otra entidad reporta al mismo proveedor como no crítico, hay flag.
La segunda entrega es en abril de 2026 con fecha de referencia 31-mar-2026. La diferencia operativa esperada: las autoridades nacionales miden improvement entre la primera y la segunda. Una entidad cuyo Register no haya mejorado materialmente entre abril 2025 y abril 2026 tiene flag de supervisión.
La lista oficial de CTPPs — 18 de noviembre de 2025
El hito operativo más visible del año. Las ESAs, actuando como Joint Oversight Committee (JOC), publican el 18 de noviembre de 2025 la primera lista de Critical ICT Third-Party Providers bajo el régimen del Art. 31.
Los 19 designados (orden alfabético):
| # | Proveedor | Categoría operativa |
|---|---|---|
| 1 | Accenture | IT services / consulting |
| 2 | Amazon Web Services EMEA | Cloud IaaS/PaaS |
| 3 | Bloomberg | Market data |
| 4 | Capgemini | IT services |
| 5 | Colt Technology Services | Network / connectivity |
| 6 | Deutsche Telekom | Network / connectivity |
| 7 | Equinix (EMEA) | Data center / colocation |
| 8 | Fidelity National Information Services (FIS) | FinTech / core banking |
| 9 | Google Cloud EMEA | Cloud IaaS/PaaS |
| 10 | IBM | Cloud / IT services |
| 11 | InterXion HeadQuarters | Data center / colocation |
| 12 | Kyndryl | IT infrastructure services |
| 13 | LSEG Data and Risk | Market data / risk |
| 14 | Microsoft Ireland Operations | Cloud IaaS/PaaS/SaaS |
| 15 | NTT DATA | IT services |
| 16 | Oracle Nederland | Cloud / database |
| 17 | Orange | Network / connectivity |
| 18 | SAP | ERP / cloud SaaS |
| 19 | Tata Consultancy Services | IT services |
Lectura operativa del listado:
1. Los hiperscalers no son sorpresa. AWS EMEA, Microsoft Ireland, Google Cloud EMEA y Oracle Nederland están en la lista. La sorpresa hubiera sido lo contrario. Lo notable es la entidad jurídica europea designada en cada caso —no Microsoft Corporation, sino Microsoft Ireland Operations— porque la designación va contra la entidad responsable del servicio en EU.
2. Servicios de TI consultores aparecen junto a infraestructura. Accenture, Capgemini, IBM, NTT DATA, Kyndryl, TCS. Esto sí es novedad operativa: una consultora con presencia masiva en outsourcing financiero europeo es CTPP bajo el régimen del Cap. V Sección II. La binding recommendation que las ESAs pueden emitir es exigible al proveedor, no solo a sus clientes financieros.
3. Conectividad y data centers entran como categoría. Colt, Deutsche Telekom, Orange, Equinix, InterXion. La operational resilience del sector financiero depende de la conectividad de red y de la colocación física; el regulador lo reconoce designando los proveedores que dan ese servicio.
4. SWIFT no aparece. SWIFT —la cooperativa financiera con sede en Bélgica— tiene un régimen de supervisión propio históricamente coordinado entre el BCE y la National Bank of Belgium; aparentemente las ESAs han considerado que ese régimen cubre el oversight que DORA buscaría, y no lo añaden a la lista CTPP. Decisión que va a generar análisis durante 2026 —si SWIFT no es CTPP bajo DORA, ¿qué pasa con el resto de proveedores de messaging financiero con perfil similar?
5. Salesforce, Worldline, Temenos, Finastra, Murex, Broadridge — ausentes en algunas listas iniciales secundarias, presentes en otras. Las data sources secundarias durante el mes posterior a la designación reportan listas con ligeras variaciones; la lista oficial es la del press release ESMA / EBA / EIOPA del 18-nov-2025. El detalle a verificar contra el documento oficial es: a quién designan exactamente y con qué entidad jurídica.
Lead Overseer. Cada CTPP recibe un Lead Overseer asignado —una de las tres ESAs como autoridad principal de supervisión directa, con las otras dos en Joint Oversight Network—. Los hiperscalers y proveedores de infraestructura ICT recaen mayoritariamente en EBA por el peso de la banca en su base de clientes; los proveedores con peso en market infrastructure (CSDs, trading systems) caen en ESMA; EIOPA toma menos directamente y participa más en joint por solapamiento. La asignación exacta por proveedor está en el documento publicado por el JOC.
Calendario 2026 para CTPPs. Las ESAs anuncian:
- Q1-Q2 2026: arranque de oversight engagement con cada CTPP designado. Reuniones, recopilación inicial de información, evaluación del marco de riesgo del proveedor.
- Durante 2026: emisión de las primeras binding recommendations del JOC a CTPPs específicos. Las recomendaciones cubren áreas como gestión de riesgos ICT del proveedor, gobierno, continuidad, supply chain del propio CTPP (fourth-party risk).
- Reassessment 2027: las ESAs van a revisar la lista usando datos de 2026 e identificar candidatos nuevos —algunos proveedores que cayeron justo por debajo de los umbrales 2025 entrarán si el peso de su exposición al sector financiero ha crecido.
Para los financial entities con relaciones contractuales con cualquiera de los 19, hay obligación de actualizar el Register of Information marcando al proveedor como designado, y de monitorizar si las binding recommendations emitidas durante 2026 implican cambios contractuales o de configuración.
El primer ciclo TLPT — calendario operativo aterrizado
La pieza más operativamente ambiciosa de DORA es el Threat-Led Penetration Testing del Art. 26. Tres datos cierran el calendario durante 2025:
RTS final TLPT publicado: el Final Regulatory Technical Standard sobre TLPT, que era draft en julio de 2024, se publica en versión final en julio de 2025 tras aprobación de la Comisión y Official Journal publication. El RTS confirma el modelo del draft: ciclo de tres años, intelligence-led, Test Authority nacional, testers acreditados, dos de cada tres ciclos pueden ser equipos internos.
TIBER-EU actualizado: el ECB publica el 11 de febrero de 2025 una versión actualizada del framework TIBER-EU para alinearse formalmente con el RTS sobre TLPT. La consecuencia operativa: un test TIBER-EU bajo la versión nueva del framework cuenta como primer TLPT bajo DORA, con el reloj de tres años empezando desde la fecha de finalización del test. Para entidades que ya estaban en TIBER-EU antes de DORA, esto es buena noticia —no hay duplicidad ni reset.
Deadline final: Art. 26.3 del RTS confirma que las entidades designadas como sujetas a TLPT tienen que haber completado su primer TLPT antes del 17 de enero de 2028. Es decir, tres años desde la aplicabilidad de DORA. El primer ciclo TLPT operativamente entra en calendario durante 2026-2027, con la mayoría de tests ejecutándose en H2-2026 y durante 2027.
¿Quién está designado como sujeto a TLPT? El RTS define umbrales por categoría de entidad. En España, la designación la hace cada autoridad competente nacional —Banco de España, CNMV, DGSFP— para las entidades bajo su supervisión. Las primeras designaciones se comunican durante 2025 vía carta individual a cada entidad. El sector que va a ver más TLPT es el bancario sistémico (Santander, BBVA, CaixaBank y un puñado más en España; equivalentes en cada estado miembro), seguido de market infrastructure (BME, Iberclear), las grandes aseguradoras (Mapfre, Mutua Madrileña) y las gestoras grandes.
Lo operativo que un equipo de red team interno tiene que tener listo para 2026:
- Inventario de funciones críticas en producción —no de prueba— que vayan a estar dentro del scope del TLPT. Esto sale del BIA de Pilar 1 si está bien hecho.
- Lista de TI providers acreditados en su jurisdicción. La acreditación va por banco central nacional. La lista de TI providers acreditados en España la mantiene el equipo TIBER-ES del Banco de España.
- Lista de Red Team providers acreditados si la entidad opta por externo (obligatorio uno de cada tres ciclos).
- Marco de Test Manager interno —rol designado en la entidad que coordina el ejercicio con la Test Authority y con los providers. No puede ser el CISO directamente (separación de funciones); típicamente un rol específico bajo el CISO o bajo el Internal Audit.
- Presupuesto plurianual: un TLPT cuesta del orden de varios cientos de miles de euros (TI de 4-6 semanas + red team de 3-6 meses + reporting). El presupuesto tiene que estar aprobado por el comité de riesgos / consejo antes de arrancar.
Las entidades que arrancan TLPT en H1-2026 con Test Authority formalmente coordinando van a ser las que marcan el tono operativo para el resto del sector. Los lessons learned de esos primeros ejercicios se publican —en agregado, sin atribución a entidad— en los reports de las ESAs durante 2027.
Reporting de incidentes — primer año operativo
El pilar 2 ha estado en operación real durante todo 2025. El proceso DORA exige notificación inicial en 4 horas desde clasificación como major, reporte intermedio en 72 horas, reporte final en 1 mes. Plantillas armonizadas vía el ITS específico publicado por las ESAs.
Datos públicos agregados a 17 de enero de 2026:
- No hay incidentes públicamente atribuidos a categoría major DORA que hayan saltado a prensa especializada con confirmación regulatoria durante 2025. Esto no significa que no haya habido —significa que las autoridades nacionales no han comunicado individualmente, lo cual es coherente con el régimen de confidencialidad del Art. 21.
- EBA / EIOPA / ESMA reportan en agregado que el volumen de major incident notifications durante 2025 está en línea con lo proyectado en el impact assessment del reglamento. Los números exactos por jurisdicción y trimestre aparecen en el Joint Committee Annual Report.
- Los problemas operativos recurrentes identificados por las autoridades en el primer año: dificultad para clasificar major vs significant en tiempo razonable (el RTS sobre clasificación da criterios, pero la operación en las primeras horas suele ser borrosa); plantillas armonizadas con campos que no cuadran con el inventario interno de algunas entidades; coordinación con NIS2 reporting cuando el incidente cruza obligaciones (DORA tiene 4h iniciales, NIS2 tiene early warning a 24h).
Las primeras sanciones por reporting failures las anuncian las autoridades nacionales para 2026 según las supervisory communications públicas. El régimen sancionador en España aplica vía Banco de España, CNMV y DGSFP según el sector, sin tramos específicos de DORA (no como en GDPR o AI Act) —se aplica el régimen sancionador propio de cada autoridad con DORA como base material de la infracción.
El Code of Practice para auditores — qué decidieron las ESAs
Aspecto menos visible pero relevante: el Art. 58.3 de DORA obligaba a la Comisión Europea a revisar antes del 17 de enero de 2026 si auditores externos y audit firms debían quedar incluidos en el ámbito subjetivo de DORA. El Joint ESAs Report del 4 de diciembre de 2025 responde negativamente: los costes operativos de aplicar DORA a auditores superan los beneficios de incluirlos como entidades obligadas, dado que el marco actual (Directiva 2006/43/CE sobre statutory audits) ya contempla referencias indirectas a operational resilience.
Para 2026 los auditores externos siguen fuera del ámbito subjetivo de DORA. Esto cierra una duda operativa que llevaba pendiente desde la entrada en vigor del reglamento.
DORA ↔ NIS2 ↔ AI Act — coexistencia operativa durante 2025
El primer año ha aterrizado la coexistencia entre los tres marcos. Lo que dejó abierto el post original sobre DORA sobre la transposición de NIS2 en España se cierra durante H2 2025 con la publicación de la Ley Orgánica X/2025 (referencia BOE pendiente de verificación exacta en el momento de redacción) que transpone la Directiva 2022/2555. La operativa para una entidad financiera española que aplica los tres marcos a la vez:
- DORA sigue siendo lex specialis para la operación ICT del sector financiero (Art. 1.2 DORA, Art. 4 NIS2). Donde se solapan, DORA prevalece.
- NIS2 transpuesto en España aplica para las actividades de la entidad financiera fuera del ámbito DORA —típicamente, infraestructuras críticas no-ICT (si la entidad opera physical security relevante para NIS2, por ejemplo).
- EU AI Act GPAI obligations en aplicación desde 2 de agosto de 2025 aplica a la entidad financiera cuando despliega modelos GPAI en sus procesos —scoring de crédito, fraud detection AI-based, customer-facing chatbots. El high-risk del Anexo III aplica desde el 2 de agosto de 2026 e incluye explícitamente creditworthiness assessment y risk assessment in life and health insurance.
Para 2026, una entidad financiera sistémica europea está bajo los tres simultáneamente. La operación práctica es mapeo único —un control implementado contra DORA puede satisfacer requisitos de NIS2 y de AI Act si está documentado bien— pero la gobernanza de los tres marcos requiere coordinación entre CISO, DPO, Responsible AI Officer y Internal Audit de forma explícita.
El 19 de noviembre de 2025 la Comisión Europea propone el Digital Omnibus on AI Regulation con simplificaciones del AI Act y retraso de ciertas obligaciones de Anexo III hasta 2-dic-2027. La proposal entra en negociación durante Q1 2026; el acuerdo político se cierra el 7 de mayo de 2026. La consecuencia operativa para entidades financieras con sistemas high-risk Anexo III planificados para 2-ago-2026 es que el calendario puede deslizarse hasta diciembre 2027 en algunos casos —seguir el desarrollo legislativo durante Q1-Q2 2026.
Lo que sigue abierto a 17 de enero de 2026
Comparable con la sección “Lo que sigue abierto” del post del año pasado:
| Pendiente a 17-ene-2025 | Estado a 17-ene-2026 |
|---|---|
| Lista oficial de CTPPs | Cerrado. 19 designados el 18-nov-2025. |
| RTS final sobre TLPT | Cerrado. Versión final publicada julio 2025. TIBER-EU actualizado febrero 2025. |
| Transposición NIS2 en España | Cerrado. LO X/2025 (referencia BOE pendiente de verificar) durante H2 2025. |
| Régimen sancionador efectivo | Abierto. Primer ciclo de sanciones esperado durante 2026. |
| Primer ciclo de inspección | En curso. Grace period informal cerrado. Inspecciones activas durante 2026. |
Nuevos puntos abiertos para 2026:
- Primer ciclo de binding recommendations del JOC a CTPPs. ¿Qué áreas cubrirán las primeras recomendaciones? Esperable durante H2 2026.
- Primer ciclo de TLPT ejecutados. Las entidades que arranquen H1-H2 2026 marcan el patrón operativo.
- Cross-check automatizado del Register of Information. Las autoridades nacionales pasan de revisión manual a verificación automática durante 2026; las inconsistencias entre Registers de distintas entidades sobre el mismo proveedor van a generar requerimientos a esas entidades.
- Primera revisión del listado CTPP. Las ESAs van a reassess durante 2027 con datos de 2026. Algunos proveedores que cayeron por debajo del umbral en 2025 pueden entrar.
- Integración con el Digital Omnibus del AI Act. Si el legislador europeo simplifica el AI Act durante 2026, las entidades financieras que usan modelos GPAI van a recalibrar el calendario.
Qué cambia operativamente para un CISO durante 2026
Resumen para una persona con accountability de seguridad ICT en entidad financiera EU:
- Segunda entrega del Register of Information —deadline abril 2026 con referencia 31-mar-2026. Verificar mejoras vs entrega 2025; las autoridades van a comparar.
- Identificar designaciones CTPP entre proveedores propios. Cualquier relación contractual con cualquiera de los 19 CTPPs designados implica: actualización del Register, monitorización de binding recommendations emitidas durante 2026, revisión de cláusulas contractuales con foco en las áreas que el JOC va a recomendar.
- Plan TLPT formal si la entidad ha sido designada como sujeta a TLPT. Esto incluye: nombramiento de Test Manager interno, selección de TI provider y Red Team provider acreditados, scope agreement con la Test Authority, presupuesto plurianual aprobado.
- Cierre de gaps de reporting. Si la primera entrega del Register tuvo deficiencias, la segunda no las puede repetir. Mismo con las notificaciones de incidentes —cualquier incidente major tiene que cumplir los plazos del Anexo III.
- Mapping unificado DORA / NIS2 / AI Act. La gobernanza dispersa entre los tres marcos es ineficiente. Un único framework de controles con mapping explícito a cada marco evita duplicidad y simplifica auditoría.
El primer año cerró la mayor parte de las incertidumbres del marco. El segundo año mete enforcement real. Las entidades que llegaron al 17 de enero de 2025 con trabajo pendiente pero con plan creíble han tenido 12 meses; las que llegaron sin plan creíble entran 2026 con riesgo de sanción.
Referencias
- Texto oficial DOUE — Reglamento (UE) 2022/2554: https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- ESAs Joint Committee — Press release designación CTPPs (18-nov-2025): https://www.esma.europa.eu/press-news/esma-news/european-supervisory-authorities-designate-critical-ict-third-party-providers
- EBA — Press release CTPP designation: https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital
- ECB MIP news — TIBER-EU update aligned with DORA (11-feb-2025): https://www.ecb.europa.eu/press/intro/news/html/ecb.mipnews250211.en.html
- ESAs Joint Committee — DORA Oversight Guide (julio 2025, JC 2025/29): https://www.esma.europa.eu/sites/default/files/2025-07/JC_2025_29__DORA_Guide_on_oversight_activities.pdf
- Joint ESAs Report — auditors and DORA (JC 2025/85, 4-dic-2025): https://www.esma.europa.eu/sites/default/files/2025-12/JC-2025-85_Joint_ESAs_Report_in_response_to_the_European_Commission_consultation_pursuant_to_Article_58_3__of_Regulation__EU__20222554__DORA_.pdf
- ESAs guidelines on exchange of supervisory information under DORA: https://legal.pwc.de/en/news/articles/esas-publish-final-report-and-joint-guidelines-on-exchange-of-supervisory-information-in-the-context-of-dora
- TIBER-EU framework (BCE): https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
- TIBER-ES (Banco de España): https://www.bde.es/wbe/es/areas-actuacion/estabilidad-financiera-y-politica-macroprudencial/ciberresiliencia/tiber-es.html
- Post previo de IRONHACKERS: DORA aplicable desde el 17 de enero
- Post previo de IRONHACKERS: Boletín — diciembre 2025
- Post relacionado: EU AI Act GPAI obligations — agosto 2025
