Uno de cada tres incidentes TIC graves registrados durante 2025 tuvo impacto en más de un Estado miembro de la Unión Europea (UE). Es decir, fueron incidentes con impacto transfronterizo. El primer balance del Reglamento DORA confirma que la gestión del riesgo tecnológico exige una visión capaz de integrar la infraestructura, los proveedores TIC y la continuidad del negocio.

 

El 3 de junio de 2026, las Autoridades Europeas de Supervisión, la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), publicaron el primer informe sobre incidentes graves relacionados con las tecnologías de la información y las comunicaciones (TIC) notificados por las entidades financieras bajo el Reglamento DORA (Digital Operational Resilience Act o Reglamento sobre la Resiliencia Operativa Digital).

Cabe recordar que, desde el 17 de enero de 2025, el Reglamento DORA es de aplicación obligatoria para bancos, aseguradoras, entidades de pago, sociedades de inversión y otras entidades financieras de la UE. Su objetivo es reforzar la resiliencia operativa digital del sector financiero con un marco común para prevenir, detectar, responder y recuperarse de incidentes relacionados con el entorno digital.

El informe analiza 3.383 incidentes TIC graves ocurridos en 2025 y cerrados con informe final antes del 5 de febrero de 2026. Constituye la primera evaluación oficial del nuevo régimen de notificación de incidentes graves bajo DORA. Uno de sus datos resulta especialmente revelador: 1.056 incidentes tuvieron impacto transfronterizo y afectaron a entidades, servicios o infraestructuras situadas en más de un Estado miembro. Este dato refleja hasta qué punto el sistema financiero europeo funciona hoy como un ecosistema profundamente interconectado.

Índice del contenido

El primer año de DORA, en cifras

El informe ofrece la primera fotografía conjunta del comportamiento de los incidentes TIC graves en el sector financiero europeo. Entre sus principales conclusiones destacan:

 

  • 3.383 incidentes TIC graves incluidos en el análisis de 2025.
  • Una media de 282 incidentes al mes.
  • 1.056 incidentes tuvieron impacto transfronterizo.
  • El 29 % de los incidentes tuvo como causa un fallo atribuible a proveedores terceros de servicios (third-party service providers o TPP), entre ellos proveedores TIC, otras entidades financieras o proveedores de infraestructuras.
  • Dos de cada tres incidentes tuvieron un impacto nulo o limitado sobre clientes y transacciones, en un contexto en el que el informe apunta a la detección temprana y a la rápida aplicación de medidas correctoras como factores de contención.
  • Solo alrededor del 10 % fue clasificado como incidente relacionado con la ciberseguridad. La mayoría tuvo su origen en fallos de sistemas, eventos externos y fallos de proceso.

 

Las cifras muestran cómo la continuidad de la actividad depende cada vez más de infraestructuras digitales complejas, con múltiples dependencias externas: proveedores cloud, operadores de telecomunicaciones, centros de datos, servicios de ciberseguridad gestionada, plataformas de pago, proveedores de identidad digital o servicios tecnológicos críticos, entre otros.

Para las entidades financieras, esto implica que la resiliencia operativa va más allá de proteger la infraestructura propia: es necesario conocer las dependencias externas, supervisar a los proveedores tecnológicos y disponer de una infraestructura preparada para operar en entornos distribuidos.

El bajo peso de los incidentes relacionados con la ciberseguridad frente al resto de causas también amplía la visión tradicional del riesgo tecnológico. La resiliencia operativa exige tanto protegerse de ciberataques como garantizar la disponibilidad de los sistemas y reducir el impacto de fallos operativos o de proveedores.

 

Detectar con rapidez reduce el impacto

Otro dato significativo: dos de cada tres incidentes tuvieron un impacto nulo o limitado sobre clientes y transacciones. El informe desglosa esta cifra:

 

  • Clientes: en torno al 60 % de los incidentes no afectó a ningún cliente o afectó a menos de 1.000.
  • Transacciones: un 32 % de los incidentes no afectó a ninguna transacción y un 26 % adicional afectó a menos de 1.000.
  • Otras entidades financieras: menos del 18 % de los incidentes tuvo repercusión sobre otras entidades o infraestructuras financieras con las que una entidad mantiene relaciones operativas, contractuales o transaccionales.

 

Sin embargo, esta mayoría de impacto contenido no significa ausencia de incidentes severos: 30 incidentes, el 1 % del total, llegaron a afectar a más de un millón de transacciones, principalmente en los sectores de crédito y pagos. El informe presenta este dato precisamente como contrapunto: la pauta general fue un impacto limitado, pero una minoría de casos tuvo consecuencias de gran magnitud, lo que confirma que la gestión de incidentes de baja frecuencia y alto impacto sigue siendo un reto.

Para la mayoría de los casos, es decir, dejando a un lado esa minoría de incidentes severos, el propio informe apunta a dos factores principales para explicar el impacto contenido: la detección oportuna de los incidentes y la rápida implementación de medidas correctoras, que permitieron contener sus efectos antes de que escalaran a disrupciones más amplias. A esto se suma la solidez de las salvaguardas ya implantadas por las entidades, que ayudaron a mitigar el efecto contagio incluso en un entorno de fuerte interdependencia.

Para las entidades financieras, la monitorización continua, la observabilidad de la infraestructura y la capacidad para identificar anomalías en tiempo real se consolidan como elementos fundamentales para reducir el impacto operativo de un incidente. La rapidez de respuesta constituye uno de los principales factores que marcan la diferencia entre un incidente contenido y uno con consecuencias mayores.

 

Medir la resiliencia operativa

La información recopilada bajo DORA permite, por primera vez, construir una base homogénea de conocimiento sobre los incidentes TIC graves registrados en el sistema financiero europeo.

Esta información facilita:

 

  • Identificar tendencias comunes.
  • Comparar la evolución de los incidentes.
  • Comprender mejor dónde se concentran los principales riesgos tecnológicos.
  • Orientar las prioridades de supervisión y las estrategias de resiliencia operativa.

 

Más allá de las cifras, el informe constituye el primer instrumento europeo que permite analizar de forma estructurada cómo evoluciona el riesgo tecnológico en el sector financiero.

 

La infraestructura de red, pieza estratégica

El informe no entra en el detalle de la infraestructura de red como tal, pero sus principales hallazgos, la interconexión del sistema financiero, el peso de las dependencias de terceros y la importancia de la detección temprana para contener el impacto, apuntan a una misma idea de fondo: la resiliencia operativa depende cada vez más de la capacidad de gestionar infraestructuras digitales distribuidas y las dependencias tecnológicas que conllevan.

En ese contexto, desde Saima Systems creemos que la infraestructura de red ocupa una posición estratégica dentro de cualquier plan de resiliencia operativa. Es el punto donde convergen usuarios, sedes, centros de datos, aplicaciones críticas, servicios en la nube y proveedores externos, y la capa desde la que pueden aplicarse políticas homogéneas de seguridad, segmentar comunicaciones, priorizar aplicaciones críticas, reforzar la observabilidad y garantizar la continuidad de las operaciones.

Las plataformas de SD-WAN responden precisamente a esta necesidad: permiten gestionar de forma centralizada infraestructuras distribuidas, mejorar la visibilidad de la red y reforzar la resiliencia frente a incidentes. Soluciones como SAIWALL Secure SD-WAN, de Saima Systems, ayudan a las entidades financieras a trasladar estos principios a su infraestructura existente y dotarla de un mayor control sobre la conectividad, la seguridad y la continuidad del servicio.

El primer informe de DORA subraya una conclusión: la continuidad en el sector financiero europeo pasa por gestionar infraestructuras distribuidas y controlar las dependencias tecnológicas. Desde nuestra perspectiva, la infraestructura de red es una de las piezas clave para hacerlo posible en un sistema financiero cada vez más interdependiente.

 

Para saber más

Informe técnico completo: 2025 Report on major ICT-related incidents, Joint Committee of the ESAs (JC 2026 16), 3 de junio de 2026.