¿Qué es DORA?
La Ley de Resiliencia Operativa Digital —conocida como DORA— es el Reglamento (UE) 2022/2554, adoptado por el Parlamento Europeo y el Consejo el 14 de diciembre de 2022. La UE lo publicó en el Diario Oficial el 27 de diciembre de 2022. Entró en vigor el 16 de enero de 2023 y se hizo plenamente aplicable el 17 de enero de 2025.
DORA aborda una laguna específica en la regulación financiera de la UE. Antes de DORA, las instituciones financieras gestionaban el riesgo operativo principalmente mediante la constitución de reservas de capital. Sin embargo, ese enfoque no cubría adecuadamente las interrupciones relacionadas con las TIC, que pueden afectar a muchas instituciones al mismo tiempo cuando falla un proveedor de tecnología compartido. Por lo tanto, DORA introduce un marco uniforme en toda la UE para la gestión del riesgo de TIC, la notificación de incidentes, las pruebas de resiliencia operativa y la supervisión de proveedores de tecnología externos.
¿Quién debe cumplir con DORA?
DORA se aplica a dos grupos principales de organizaciones involucradas en servicios de tecnologías de la información y la comunicación (TIC) dentro del sector financiero.
El primer grupo son las entidades financieras. Estas incluyen entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, empresas de seguros y reaseguros, proveedores de servicios de criptoactivos, depositarios centrales de valores, entidades de contrapartida central y centros de negociación, entre otras enumeradas en el artículo 2 del reglamento.
El segundo grupo son los proveedores externos de servicios de TIC: empresas que suministran servicios tecnológicos a entidades financieras. Este grupo incluye proveedores de computación en la nube, desarrolladores de software, empresas de análisis de datos, empresas de ciberseguridad, proveedores de centros de datos y cualquier otro proveedor cuyos servicios respalden las operaciones de una institución financiera regulada.
Es importante destacar que DORA también cubre a los proveedores de TIC establecidos fuera de la UE. Si una empresa tecnológica en Estados Unidos, Reino Unido o Asia suministra servicios a instituciones financieras reguladas por la UE, DORA se aplica a esa relación.
El requisito del LEI según DORA
DORA exige que las entidades financieras mantengan un Registro de Información detallado que cubra a todos sus proveedores externos de servicios de TIC. El Reglamento de Ejecución (UE) 2024/2956 de la Comisión, publicado el 2 de diciembre de 2024, establece las plantillas estándar para este registro.
El artículo 3, apartado 5, de dicho reglamento de ejecución establece directamente:
«Las entidades financieras utilizarán un identificador de entidad jurídica (LEI) válido y activo o el Identificador Único Europeo a que se refiere el artículo 16 de la Directiva (UE) 2017/1132 (“EUID”) y, cuando estén disponibles, ambos identificadores, para identificar a todos sus proveedores externos de servicios de TIC que sean personas jurídicas, excepto las personas físicas que actúen en el ejercicio de una actividad empresarial».
En otras palabras, todo proveedor externo de TIC que sea una entidad jurídica debe poder identificarse mediante un LEI válido y activo o un EUID. Ambos deben estar vigentes. Un LEI caducado o vencido no cumple este requisito.
LEI o EUID: ¿cuál se aplica a usted?
Ambos identificadores satisfacen los requisitos de DORA, pero cubren situaciones diferentes. Comprender la diferencia le ayuda a elegir correctamente.
El LEI (Identificador de Entidad Jurídica) es un código alfanumérico de 20 caracteres reconocido mundialmente basado en la norma ISO 17442. La Fundación Global de Identificadores de Entidad Jurídica (GLEIF) gobierna el Sistema Global LEI y pone a disposición pública todos los datos LEI en el Índice Global LEI. El LEI cubre entidades jurídicas en más de 200 jurisdicciones y también incluye datos de propiedad y control.
El EUID (Identificador Único Europeo) se vincula al Sistema de Interconexión de Registros Mercantiles de la UE (BRIS). Dado que se conecta exclusivamente a los registros nacionales de la UE, solo cubre entidades registradas en Estados miembros de la UE.
Aquí el reglamento de ejecución establece una distinción crítica: los proveedores de TIC establecidos fuera de la UE deben ser identificados utilizando únicamente el LEI. El EUID simplemente no está disponible para entidades no pertenecientes a la UE. Como resultado, el LEI es el único identificador válido para cualquier proveedor que opere desde fuera de la UE.
Para los proveedores establecidos en la UE, cualquiera de los dos identificadores funciona. Sin embargo, para operaciones globales o proveedores con exposición fuera de la UE, el LEI es la opción más sólida debido a su reconocimiento internacional y mayor cobertura de datos.
Qué significa «válido y activo» en la práctica
El reglamento de ejecución exige específicamente un LEI válido y activo. Esto se refiere al estado que aparece en la base de datos global de GLEIF.
Un LEI que muestra el estado «Emitido» es válido y activo y, por lo tanto, satisface DORA. Un LEI que muestra «Caducado» ha vencido y, en consecuencia, no satisface el requisito. Las entidades financieras no pueden registrar un LEI caducado como identificador conforme en su Registro de Información.
Un LEI permanece válido durante un año desde la fecha de emisión o última renovación. Después de eso, el titular debe renovarlo para mantener el estado activo. Durante la renovación, la organización emisora vuelve a verificar los datos de referencia de la entidad —incluidos el nombre legal, la dirección registrada y la estructura de propiedad— con fuentes de registro oficiales. Este proceso garantiza que los datos en la base de datos global LEI permanezcan precisos y actualizados.
Puede comprobar el estado de cualquier LEI utilizando la herramienta de búsqueda LEI de GLEIF o a través de la búsqueda de LEI System.
Por qué el LEI es el estándar práctico para el cumplimiento de DORA
Los reguladores de DORA eligieron el LEI porque resuelve un problema que ningún identificador nacional puede resolver: la identificación coherente y transfronteriza de entidades jurídicas en un único formato reconocido mundialmente.
Los números de registro de empresas nacionales varían significativamente entre países, no siempre son legibles por máquina y no cubren en absoluto a las entidades no pertenecientes a la UE. El LEI, por el contrario, proporciona un código coherente para cualquier entidad jurídica, independientemente de dónde esté constituida. Además, dado que los datos LEI están disponibles públicamente y son verificables, las instituciones financieras pueden comprobar los datos del proveedor al instante sin solicitar documentos.
Para las instituciones financieras que gestionan muchos proveedores de TIC en diferentes países, esta estandarización reduce significativamente la complejidad administrativa del cumplimiento de DORA. Una única consulta LEI proporciona información verificada sobre el nombre legal del proveedor, los datos de registro y la estructura de propiedad, todo lo cual es directamente relevante para las obligaciones de gestión de riesgos de terceros de DORA.
Para los proveedores de TIC, poseer un LEI válido facilita que los clientes de instituciones financieras los incluyan correctamente en su registro DORA. Los proveedores sin un LEI válido, por otro lado, crean lagunas de cumplimiento para sus clientes y, por lo tanto, corren el riesgo de dañar la relación comercial. GLEIF proporciona más contexto sobre cómo el LEI respalda esto en su descripción general del uso regulatorio del LEI.
Qué deben hacer ahora los proveedores de TIC
Compruebe si tiene un LEI válido. Si suministra servicios de TIC a cualquier institución financiera regulada por la UE, su cliente debe identificarle en su Registro de Información DORA. Póngase en contacto con ellos para confirmar si han registrado su LEI y si está actualmente activo.
Registre un LEI si no tiene uno. El proceso es completamente digital y se completa en 24 horas para la mayoría de las jurisdicciones. Debe proporcionar el nombre legal de su empresa, la dirección registrada y el número de registro. En la mayoría de los casos, el sistema verifica estos datos automáticamente con los registros mercantiles oficiales. LEI System es un Agente de Registro acreditado por GLEIF. Puede iniciar su registro LEI hoy mismo.
Renueve su LEI si ha caducado. Un LEI caducado debe renovarse antes de que sus clientes puedan utilizarlo en un registro DORA. La renovación restaura el estado «Emitido» y vuelve a validar los datos de referencia de su empresa. Puede renovar su LEI rápidamente a través de LEI System.
Mantenga actualizados los datos de su LEI. Si el nombre de su empresa, la dirección registrada o la estructura de propiedad han cambiado, actualice los datos de referencia de su LEI en consecuencia. Los datos LEI desactualizados crean complicaciones de cumplimiento para sus clientes de instituciones financieras cuando presentan su registro a las autoridades nacionales.
DORA en el contexto de la regulación más amplia de la UE
DORA no opera de forma aislada. Se sitúa junto a otros reglamentos de la UE que también utilizan el LEI como identificador estándar para entidades jurídicas, incluidos los informes de transacciones de MiFID II, los informes de derivados de EMIR y el Reglamento de Pagos Instantáneos de la UE. Para las entidades financieras que ya utilizan LEI para informes de transacciones, DORA añade, por lo tanto, una dimensión adicional en lugar de un sistema completamente nuevo.
Además, DORA se conecta directamente con la Directiva NIS2 (Directiva (UE) 2022/2555) sobre ciberseguridad. DORA funciona como un acto sectorial específico bajo NIS2 para entidades financieras. Puede leer más sobre NIS2 y el LEI en el artículo sobre NIS2 y LEI en este sitio. Para una descripción general más amplia de cómo opera el LEI en la regulación financiera de la UE, consulte Cómo funciona el LEI en la práctica en la UE.
DORA y LEI: datos clave de un vistazo
¿Qué es DORA? Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero.
¿Cuándo se hizo aplicable DORA? 17 de enero de 2025.
¿Quién debe cumplir? Las entidades financieras de la UE y sus proveedores externos de servicios de TIC, incluidos los proveedores no pertenecientes a la UE que prestan servicios a instituciones financieras de la UE.
¿Qué exige DORA para la identificación de proveedores de TIC? Un LEI o EUID válido y activo, según lo especificado en el Reglamento de Ejecución (UE) 2024/2956 de la Comisión.
¿Qué identificador se aplica a los proveedores de TIC no pertenecientes a la UE? Solo LEI. El EUID cubre únicamente a entidades registradas en la UE.
¿Qué estado del LEI satisface DORA? Solo «Emitido». Un LEI «Caducado» no satisface el requisito.
¿Dónde puedo registrar o renovar un LEI? A través de un Agente de Registro acreditado por GLEIF como LEI System.