Sector Banca / Finanzasbanca

Cumplimiento normativo DORA y EBA: infraestructura eléctrica para entidades financieras

Guía técnica sobre el Reglamento DORA y las directrices EBA sobre riesgo TIC y su impacto en los requisitos de infraestructura eléctrica para bancos y entidades financieras en España.

Publicado 24 de marzo de 202614 min de lecturaDORA regulación banca, EBA directrices TIC

Desde el 17 de enero de 2025, el Reglamento (UE) 2022/2554 sobre Resiliencia Operativa Digital del Sector Financiero —conocido universalmente como DORA (Digital Operational Resilience Act)— es de obligado cumplimiento para todas las entidades financieras autorizadas en la Unión Europea. Lo que en otros sectores podría ser una buena práctica voluntaria, en banca es ahora ley con consecuencias sancionadoras directas: hasta el 1% de la facturación media diaria mundial para infracciones graves.

Para los responsables de infraestructura, CPD y riesgos tecnológicos de bancos, aseguradoras, gestoras y plataformas fintech, DORA no es solo un asunto de ciberseguridad. Sus requisitos alcanzan a la infraestructura física de TIC — incluyendo, explícitamente, los sistemas de alimentación eléctrica ininterrumpida, la climatización y los sistemas de monitorización que soportan los activos TIC críticos.

Qué es DORA y a quién aplica

Ámbito de aplicación

DORA se aplica a prácticamente la totalidad del sector financiero regulado en la UE:

  • Entidades de crédito (bancos, cajas, cooperativas de crédito)
  • Empresas de servicios de inversión
  • Entidades de pago y dinero electrónico
  • Gestoras de fondos de inversión y pensiones (SGIIC, SGFP)
  • Empresas de seguros y reaseguros
  • Infraestructuras de mercados financieros (CCP, CSD)
  • Plataformas de financiación participativa (crowdfunding)
  • Proveedores críticos de servicios TIC a entidades financieras

En España, la supervisión corresponde al Banco de España (entidades de crédito), la CNMV (empresas de servicios de inversión y gestoras) y la DGSFP (entidades aseguradoras). El BCE supervisa directamente los bancos significativos en el marco del Mecanismo Único de Supervisión (MUS).

Proporcionalidad y entidades de menor tamaño

DORA incorpora el principio de proporcionalidad: las microempresas y entidades de menor tamaño y complejidad pueden aplicar un marco simplificado en algunas áreas. Sin embargo, los requisitos fundamentales de gestión del riesgo TIC y notificación de incidentes aplican a todas las entidades del ámbito.

Los cinco pilares de DORA con implicaciones para infraestructura

Pilar 1: Gestión del riesgo TIC (Artículos 5-16)

Este es el pilar con mayor impacto directo en la infraestructura eléctrica. DORA exige que las entidades:

Identifiquen y clasifiquen todos los activos TIC Incluyendo la infraestructura física que los soporta. Un servidor crítico sin SAI documentado, o un SAI sin contrato de mantenimiento activo, puede ser identificado como un riesgo TIC no gestionado adecuadamente.

Protejan los activos TIC frente a riesgos físicos El artículo 9 de DORA establece explícitamente la obligación de implementar "medidas de protección física" que incluyan la continuidad del suministro eléctrico. Los SAIs y los grupos electrógenos son controles físicos reconocidos en el marco de DORA.

Gestionen las dependencias de la infraestructura La cadena de dependencias desde la aplicación hasta el suministro eléctrico debe estar mapeada. Un sistema de liquidación interbancaria crítico depende del servidor, que depende del rack, que depende del PDU, que depende del SAI, que depende de las baterías. Cualquier eslabón sin monitorización activa es un gap de cumplimiento.

Mantengan registros actualizados Los registros de mantenimiento, pruebas de batería, resultados de simulacros y contratos de soporte deben conservarse y estar disponibles para la autoridad competente. Los sistemas de monitorización como Vertiv Trellis Enterprise permiten exportar automáticamente estos registros en formatos auditables.

Pilar 2: Notificación de incidentes (Artículos 17-23)

DORA establece un régimen de notificación de incidentes TIC importantes con plazos muy estrictos:

| Tipo de notificación | Plazo | Contenido | |----------------------|-------|-----------| | Notificación inicial | 4 horas desde clasificación como "mayor" | Clasificación del incidente, impacto estimado | | Notificación intermedia | 72 horas desde la inicial | Actualización del impacto, medidas adoptadas | | Informe final | 1 mes desde resolución | Análisis causa raíz, medidas correctoras |

Un fallo eléctrico que cause la indisponibilidad de un sistema crítico durante más del umbral definido en la política interna de la entidad activa esta cadena de notificaciones. La clasificación de incidentes debe estar automatizada o tener un proceso claro y documentado.

Umbrales indicativos para clasificación como incidente mayor:

  • Número de clientes afectados superior al 5% de la base de clientes
  • Duración superior a 2 horas para servicios críticos
  • Impacto reputacional elevado
  • Afección a sistemas de liquidación o pagos

Pilar 3: Pruebas de resiliencia operativa digital (Artículos 24-27)

DORA exige pruebas periódicas de todos los sistemas que soportan funciones críticas o importantes, incluyendo su infraestructura física:

Pruebas básicas anuales (todas las entidades)

  • Pruebas de vulnerabilidad y conectividad
  • Pruebas de planes de continuidad de negocio
  • Pruebas de los sistemas de alimentación de emergencia: verificación de transferencia a baterías, prueba de autonomía real, arranque de grupos electrógenos

Pruebas avanzadas TLPT cada 3 años (entidades significativas) Los TLPT (Threat-Led Penetration Tests) incluyen pruebas de escenarios que podrían incluir simulación de cortes de suministro y verificación de la capacidad de recuperación de la infraestructura física.

La documentación de todas estas pruebas debe conservarse. Un informe de prueba de SAI fechado y firmado por el técnico de Ionia Energy, con resultados de impedancia de baterías y tiempo de autonomía verificado, es exactamente el tipo de evidencia que un supervisor DORA espera ver.

Pilar 4: Gestión del riesgo de terceros (Artículos 28-44)

DORA exige gestión activa del riesgo de los proveedores TIC, incluyendo los proveedores de infraestructura física crítica. Para la infraestructura eléctrica, esto implica:

  • Contratos con SLA documentados para tiempo de respuesta y resolución de averías
  • Evaluación de la capacidad financiera y operativa del proveedor
  • Planes de salida (exit strategy) en caso de que el proveedor deje de ser viable
  • Para proveedores "críticos" designados por ESMA/EBA/EIOPA: requisitos adicionales de supervisión

Ionia Energy, como distribuidor oficial de Vertiv en España con soporte local, facilita el cumplimiento de estos requisitos al ofrecer acuerdos de nivel de servicio formalizados y una estructura corporativa documentada.

Pilar 5: Intercambio de información (Artículo 45)

DORA prevé mecanismos voluntarios de intercambio de información sobre amenazas e incidentes entre entidades financieras. Aunque este pilar tiene menos impacto directo en la infraestructura eléctrica, las entidades pueden compartir información sobre incidentes relacionados con fallos de suministro para mejorar la resiliencia del sector.

Directrices EBA sobre gestión del riesgo TIC (EBA/GL/2019/04)

Antes de DORA y ahora integradas en su marco de aplicación, las Directrices de la Autoridad Bancaria Europea sobre gestión del riesgo TIC y de seguridad proporcionan una base técnica detallada que complementa el reglamento:

Requisitos específicos sobre continuidad y disponibilidad

Las Directrices EBA (sección 4.4) establecen que las entidades deben:

  1. Definir umbrales de disponibilidad para cada sistema TIC crítico, expresados en términos de RTO (Recovery Time Objective) y RPO (Recovery Point Objective)
  2. Probar regularmente la capacidad de los sistemas de alimentación de emergencia para sostener los sistemas críticos durante el tiempo definido en el RTO
  3. Mantener planes de continuidad que especifiquen las medidas de protección eléctrica como parte del BCP

Para profundizar en los conceptos de RPO y RTO y su aplicación en el sector financiero, consulta el artículo sobre disaster recovery financiero: RPO y RTO.

Gestión de la infraestructura física

La sección 4.2 de las Directrices EBA sobre "Gestión de activos TIC" especifica que las entidades deben:

  • Mantener un inventario actualizado de toda la infraestructura TIC, incluyendo los activos físicos
  • Documentar las dependencias entre sistemas TIC y la infraestructura que los soporta
  • Implementar controles preventivos para los activos identificados como críticos

En la práctica, esto se traduce en un inventario que incluye no solo servidores y red, sino también SAIs, PDUs, grupos electrógenos, sistemas de climatización y sensores ambientales — con su estado de mantenimiento, contratos vigentes y última fecha de prueba.

Requisitos técnicos mínimos derivados de DORA para infraestructura eléctrica

Lo que DORA implica en términos de hardware y monitorización

Aunque DORA no especifica marcas ni modelos de SAI, los requisitos funcionales que establece se traducen en capacidades técnicas concretas:

1. Monitorización continua con alertas proactivas No es suficiente revisar el SAI mensualmente. DORA exige "monitorización continua" de los activos TIC críticos. Los sistemas como Vertiv Intellislot RDU101 (integración SNMP para SAIs existentes) y Vertiv Trellis Enterprise (plataforma DCIM completa) proporcionan esta capacidad, con alertas automáticas ante anomalías de baterías, sobrecargas o fallos de módulos.

2. Registro histórico de eventos con timestamping auditabl Para la notificación de incidentes en 4 horas, es imprescindible tener un registro de eventos con timestamp preciso que permita reconstruir la secuencia de lo ocurrido. Los SAIs Vertiv registran internamente todos los eventos de alarma con timestamp; la integración con Trellis Enterprise centraliza estos registros en una base de datos auditables.

3. Pruebas de continuidad documentadas Las pruebas periódicas de transferencia, autonomía de baterías y simulacros de fallo total deben generar informes documentados. Los sistemas de monitorización Vertiv pueden programar y registrar automáticamente pruebas de batería, generando informes exportables en PDF o CSV.

4. Redundancia adecuada al nivel de criticidad DORA no prescribe el nivel de redundancia, pero sí exige que la entidad demuestre que ha analizado el riesgo y ha implementado controles proporcionales. Para sistemas clasificados como "críticos" en el mapa de activos TIC de la entidad, la redundancia N+1 mínima o 2N es difícilmente cuestionable.

5. Contratos de soporte con SLA formalizados DORA exige que los contratos con proveedores de infraestructura TIC crítica incluyan SLAs claros. Un contrato de mantenimiento con Ionia Energy que especifique tiempo de respuesta (ej. 4 horas para avería crítica, 8 horas para urgente) y resolución máxima (ej. 24 horas) cumple este requisito y puede presentarse como evidencia de gestión del riesgo de proveedores.

Checklist de cumplimiento DORA para infraestructura eléctrica

| Requisito DORA | Control de infraestructura | Evidencia para supervisores | |---------------|---------------------------|----------------------------| | Inventario de activos TIC | Registro de SAIs, PDUs, grupos electrógenos con CMDB | Exportación de inventario actualizado | | Protección física de activos TIC críticos | SAIs con redundancia N+1 o 2N para sistemas críticos | Diagrama de arquitectura eléctrica | | Monitorización continua | Trellis Enterprise o Intellislot RDU101 con alertas | Dashboards e histórico de alertas | | Pruebas periódicas | Test de baterías semestral, simulacro anual | Informes de prueba firmados | | Gestión de riesgo de proveedores | Contrato de mantenimiento con SLA | Contrato en vigor con Ionia Energy | | Notificación de incidentes | Proceso definido y sistema de registro | Playbook de incidentes + logs de eventos | | RTO/RPO documentados | BCP con valores definidos y probados | Plan de continuidad actualizado |

Otras regulaciones financieras con impacto en infraestructura

MiFID II y sistemas de negociación

La Directiva MiFID II y su reglamento de desarrollo MiFIR establecen requisitos de resiliencia específicos para los sistemas de negociación y los centros de datos que los alojan. Los artículos 18 y 48 de MiFID II exigen que los centros de negociación (bolsas, MTF, OTF) y las empresas de servicios de inversión implementen "mecanismos y sistemas eficaces para garantizar la continuidad de los servicios esenciales en caso de fallo del sistema".

Para las mesas de trading de los bancos, esto se traduce en requisitos de disponibilidad de la infraestructura eléctrica comparables a los exigidos para los data centers sistémicos. El artículo sobre trading floor: latencia cero desarrolla los requisitos técnicos específicos.

Guías del BCE para entidades sistémicas (SIFI/G-SIB)

El BCE publica expectativas supervisoras específicas para los bancos significativos bajo su supervisión directa (actualmente, en España: Santander, BBVA, CaixaBank, Sabadell, Bankinter). Estas expectativas, aunque no son reglamento, tienen efecto práctico de obligatoriedad dado el peso del BCE en el proceso de evaluación y revisión supervisora (SREP). Para estas entidades, los requisitos de infraestructura eléctrica son los más exigentes del mercado europeo.

Circular 3/2019 del Banco de España

Transpone en el ámbito español las directrices EBA sobre gobierno interno y riesgos operacionales. Establece la obligación de los bancos de disponer de "planes de contingencia y continuidad de negocio" con cobertura explícita de los riesgos de interrupción de los sistemas tecnológicos, incluyendo los fallos de infraestructura física.

Cómo prepararé mi entidad para una inspección supervisora

Los cuatro documentos clave

Ante una visita de supervisores del Banco de España o del BCE evaluando el cumplimiento DORA, los responsables de infraestructura deben poder presentar:

  1. Mapa de activos TIC actualizado con categorización de criticidad y documentación de los controles de protección física (incluyendo SAIs, grupos electrógenos y redundancias implementadas)

  2. Registros de mantenimiento y pruebas de los últimos 24 meses: fechas, técnico responsable, resultados cuantitativos (impedancia de baterías, tiempo de autonomía medido, resultado de simulacro)

  3. Contratos de soporte activos con proveedores de infraestructura TIC crítica, con SLAs explícitos y datos de contacto de escalada

  4. Plan de continuidad actualizado y probado con escenarios de fallo de suministro eléctrico, tiempos de recuperación documentados (RTO/RPO) y resultados del último simulacro

El rol de Ionia Energy en el cumplimiento DORA

Como distribuidor oficial de Vertiv en España, Ionia Energy puede apoyar a las entidades financieras en múltiples dimensiones del cumplimiento DORA:

  • Auditoría de la infraestructura eléctrica actual con evaluación de gaps respecto a los requisitos DORA
  • Diseño de soluciones de redundancia proporcionadas al nivel de criticidad de cada sistema
  • Implementación de monitorización con Vertiv Trellis Enterprise o Intellislot RDU101 para cumplir el requisito de monitorización continua
  • Contratos de mantenimiento con SLA documentados y auditables para gestión del riesgo de proveedores
  • Informes de prueba de baterías y sistemas de emergencia con formato y detalle adecuados para evidencias regulatorias

Preguntas frecuentes

¿DORA aplica a las fintech y plataformas de pago además de a los bancos tradicionales?

Sí. DORA aplica a todas las entidades enumeradas en su artículo 2, que incluye explícitamente a las entidades de pago, entidades de dinero electrónico, plataformas de financiación participativa y proveedores de servicios de criptoactivos (CASP bajo MiCA). Las fintech con licencia bancaria o de pago están plenamente en el ámbito de aplicación de DORA, aunque con el principio de proporcionalidad las microempresas pueden aplicar el marco simplificado.

¿Cuál es el plazo de notificación si un fallo eléctrico deja fuera de servicio un sistema crítico?

DORA establece un plazo de 4 horas para la notificación inicial al Banco de España (o CNMV según la entidad) una vez que el incidente se clasifica como "mayor" según los criterios definidos en los estándares técnicos de regulación (RTS) de las ESA. La clasificación automática debe ser parte del proceso de gestión de incidentes de la entidad. Un fallo eléctrico que cause la indisponibilidad de un sistema de pagos durante más de 2 horas para más del 5% de los clientes activos superaría los umbrales indicativos habituales.

¿Puede Ionia Energy emitir informes de mantenimiento con el formato requerido para auditorías DORA?

Sí. Los contratos de mantenimiento de Ionia Energy incluyen la emisión de informes técnicos detallados tras cada intervención, con fecha, técnico responsable, resultados cuantitativos (mediciones de impedancia de baterías, tiempos de conmutación medidos, resultado de pruebas de transferencia) y recomendaciones. Estos informes están diseñados para ser válidos como evidencia documental en auditorías regulatorias. Para entidades con requisitos específicos de formato, podemos adaptar el informe a las necesidades de la función de auditoría interna.

¿Cómo afecta DORA a los proveedores TIC de tercer nivel (ej. el fabricante del SAI)?

DORA se enfoca principalmente en los proveedores TIC que prestan servicios directos a la entidad financiera. El fabricante del SAI (Vertiv) no tiene relación contractual directa con el banco, por lo que no entra en el perímetro de gestión de proveedores DORA. El distribuidor y proveedor de servicios (Ionia Energy, que tiene el contrato de mantenimiento con el banco) sí puede ser considerado un proveedor TIC relevante y debe gestionarse según el marco de DORA si el alcance de sus servicios lo justifica.

¿Qué pasa si no cumplo DORA? ¿Cuáles son las sanciones reales?

Las autoridades competentes (Banco de España, CNMV, DGSFP) pueden imponer sanciones administrativas de hasta el 1% de la facturación media diaria global de la entidad por infracción grave, con posibilidad de sanciones periódicas de hasta el 1% de la facturación media diaria durante 6 meses mientras persista el incumplimiento. Para infracciones muy graves, las sanciones pueden incluir la prohibición temporal de actividades o la revocación de la autorización. Adicionalmente, los miembros del órgano de administración pueden ser sancionados individualmente.

¿Buscas equipamiento Vertiv para tu proyecto?

Somos distribuidores Vertiv en España. Te asesoramos sin compromiso.

Hablar con un especialistaVer catálogo de productos

Productos relacionados

Accesorios

Vertiv Trellis Enterprise

Software DCIM de gestión de infraestructura de data center.

Precio bajo pedidoSolicitar presupuesto

Accesorios

Vertiv Power Insight

Software de gestión de UPS gratuito para Windows/Linux.

Precio bajo pedidoSolicitar presupuesto

Accesorios

Vertiv Intellislot RDU101

Tarjeta de comunicaciones SNMP/Web para UPS Vertiv.

Precio bajo pedidoSolicitar presupuesto

SAI/UPS Trifásicos

SAI Vertiv Liebert EXL S1 100kVA

SAI/UPS trifásico modular de alta eficiencia, escalable hasta 1.2MW.

Precio bajo pedidoSolicitar presupuesto

SAI/UPS Trifásicos

SAI Vertiv Liebert APM 60kVA

SAI/UPS trifásico modular de 60kVA con alta disponibilidad.

Precio bajo pedidoSolicitar presupuesto

¿Necesitas un presupuesto?

Nuestros especialistas Vertiv te responden en menos de 24 horas.

Cargando formulario...