¿Dónde está DORA?
“¿En qué punto estamos de DORA?” se ha convertido en una pregunta recurrente entre las entidades financieras. Tras el primer envío del Registro de Información en abril de 2025, ahora todas las miradas se centran en la esperada lista que las ESAs deben publicar a finales de año con los proveedores críticos y en el inicio de las actividades de supervisión directa por parte del Supervisor Principal (Lead Overseer).
La lista de proveedores críticos es uno de los grandes objetivos de DORA. Permitirá entender la exposición al riesgo en las relaciones con proveedores técnicos y en qué tipos de servicios existe una mayor dependencia. No es la primera vez que el análisis de las cadenas de suministro se coloca en el centro de las preocupaciones de los legisladores europeos. Ya ocurrió con el registro de externalizaciones (Outsourcing Register).
De aquellos polvos, estos lodos
Tras este primer ejercicio de DORA, las ESAs darán un paso más en relación con los servicios no relacionados con las TIC. El pasado 8 de octubre finalizó la consulta pública sobre las nuevas Guidelines, que sustituirán a las actuales sobre el registro de externalizaciones. Su foco principal serán los acuerdos contractuales con proveedores de servicios no TIC y sus subproveedores.
Aunque a primera vista pueda parecer una mala noticia para los equipos de compliance, una armonización adecuada permitirá analizar mejor las relaciones con los proveedores esenciales y evitar los riesgos derivados de una gestión limitada de los contratos y de los servicios que sustentan funciones críticas.
El objetivo es claro: que los riesgos operacionales no TIC y los riesgos TIC se gestionen mediante marcos específicos, evitando solapamientos o lagunas regulatorias.
La magnitud del valor estratégico
Más allá de los registros, la Unión Europea está construyendo un “escudo regulatorio” en el que DORA, NIS 2 y CRA —aunque con enfoques distintos— convergen en tres ideas clave: mapear dependencias, especialmente de terceros y cuartos niveles; evaluar los riesgos en la cadena de suministro (supply chain risk management); y asegurar la continuidad de los servicios críticos a nivel sistémico en toda la Unión.
Una disrupción prolongada de servicios esenciales —como los pagos electrónicos o el acceso a sistemas de salud, energía o transporte— tendría un impacto directo en el bienestar social y en la confianza pública. Por ello, esta regulación se justifica como una medida proporcional para proteger los servicios esenciales y garantizar la estabilidad del sistema.
La regulación de las cadenas de suministro, a través de DORA, NIS 2 o CRA, se alinea con la visión del Informe Draghi: la seguridad económica y la competitividad ya no dependen solo del precio, sino también de la fiabilidad, la resiliencia y la soberanía de las cadenas de suministro críticas.
Actualizarse o quedarse atrás: la evolución necesaria
Muchas entidades financieras todavía analizan sus cadenas de suministro con hojas de cálculo: registran proveedores, contratos, fechas de renovación y una descripción de los servicios con propósitos financieros más que con la intención de analizar su exposición al riesgo. Es una herramienta histórica, útil por su accesibilidad, pero claramente insuficiente.
DORA y las nuevas Guidelines exigen una visión dinámica, integral y en tiempo real que Excel no puede ofrecer.
Las herramientas tecnológicas son ahora esenciales para automatizar los requisitos de DORA: mapear dependencias, integrar métodos de análisis de riesgo que permitan una evaluación continua y centralizar contratos, auditorías y evidencias.
A estas alturas, mantener procesos históricos cuesta más que avanzar hacia modelos actualizados basados en soluciones tecnológicas modernas.
