Partimos de tu realidad regulatoria: tipo de entidad (banco, EMI, EDE, ESI, aseguradora, plataforma cripto MiCA, proveedor TIC crítico, etc.), servicios que prestas en la UE y qué funciones son críticas o importantes a ojos de Banco de España, CNMV o DGSFP. A partir de ahí, definimos el alcance DORA real: qué procesos, sistemas, proveedores y jurisdicciones entran, y cuál es el nivel de exigencia que te aplica. 

Construimos (o refinamos) tu inventario de activos y servicios TIC: sistemas internos, nubes, integraciones, APIs, proveedores clave y flujos entre ellos. Sobre ese mapa, montamos un marco de gestión de riesgos TIC alineado con DORA: identificación, evaluación, apetito de riesgo, controles, reporting y revisión periódica en comités. El resultado es un esquema de gobierno claro, con roles (Negocio, IT, Seguridad, Riesgos, Compliance) y una trazabilidad que se puede enseñar sin miedo a un auditor o a un supervisor

Diseñamos tu procedimiento de gestión de incidentes TIC: detección, clasificación, análisis de impacto, decisión de notificación y cierre. Definimos umbrales de severidad alineados con DORA y con la práctica que están pidiendo los supervisores (incidentes mayores, significativos, críticos), y preparamos plantillas de notificación para autoridad competente, otras autoridades relevantes y clientes cuando sea necesario. Dejamos claro quién dispara la alerta, quién coordina, quién firma y cómo se documenta todo para superar una revisión ex post.

Definimos un plan anual de pruebas de resiliencia: tests técnicos, simulacros de caída de servicios críticos, ejercicios de crisis entre negocio–IT–riesgos, y, si te aplica, preparación para pruebas avanzadas tipo TLPT (Threat-Led Penetration Testing). Cada ejercicio termina con acta, hallazgos, responsables y plazos de remediación. Esto no solo cumple con DORA: genera evidencias de que tu resiliencia operativa no es un powerpoint, sino algo que se prueba y mejora regularmente

Inventariamos todos tus proveedores de servicios TIC, identificamos cuáles son críticos o importantes y analizamos los contratos a la luz de DORA: cláusulas de resiliencia, notificación de incidentes, acceso a información/auditorías, localización de datos, subcontratación en cadena y condiciones de salida. Preparamos un pack de cláusulas DORA-ready y una matriz de proveedores con KPIs/KRIs, frecuencia de revisión y criterios para marcar un proveedor como “crítico”

Con todo lo anterior, construimos un roadmap DORA priorizado: qué hay que hacer en 3, 6 y 12 meses, con quick wins y proyectos estructurales (riesgo TIC, incidentes, testing, terceros, reporting). Organizamos un repositorio de evidencias DORA (políticas, actas, matrices de riesgo, registros de incidentes, reportes a autoridades, revisiones de proveedores) y, si lo necesitáis, os acompañamos en interacciones con Banco de España, CNMV, DGSFP u otros supervisores, así como en auditorías internas/externas. El resultado: un nivel de cumplimiento defendible, vivo y alineado con cómo se está interpretando DORA en España y en la UE