¿Qué es DORA?
La Ley de Resiliencia Operativa Digital —conocida como DORA— es el Reglamento (UE) 2022/2554, adoptado por el Parlamento Europeo y el Consejo el 14 de diciembre de 2022. La UE lo publicó en el Diario Oficial el 27 de diciembre de 2022. Entró en vigor el 16 de enero de 2023 y será plenamente aplicable el 17 de enero de 2025.
DORA aborda una laguna específica en la regulación financiera de la UE. Antes de DORA, las instituciones financieras gestionaban el riesgo operativo principalmente reservando capital. Sin embargo, ese enfoque no cubría adecuadamente las interrupciones relacionadas con las TIC, que pueden afectar a muchas instituciones al mismo tiempo cuando falla un proveedor de tecnología compartido. Por lo tanto, DORA introduce un marco uniforme en toda la UE para la gestión de riesgos de TIC, la notificación de incidentes, las pruebas de resiliencia operativa y la supervisión de proveedores de tecnología externos.
¿Quién debe cumplir con DORA?
DORA se aplica a dos grupos principales de organizaciones involucradas en servicios de tecnología de la información y la comunicación (TIC) dentro del sector financiero.
El primer grupo son las entidades financieras. Estas incluyen instituciones de crédito, instituciones de pago, instituciones de dinero electrónico, empresas de inversión, empresas de seguros y reaseguros, proveedores de servicios de criptoactivos, depositarios centrales de valores, contrapartes centrales y centros de negociación, entre otros enumerados en el Artículo 2 del reglamento.
El segundo grupo son los proveedores de servicios de TIC externos —empresas que suministran servicios tecnológicos a entidades financieras. Este grupo incluye proveedores de computación en la nube, desarrolladores de software, empresas de análisis de datos, empresas de ciberseguridad, proveedores de centros de datos y cualquier otro proveedor cuyos servicios apoyen las operaciones de una institución financiera regulada.
Es importante destacar que DORA también cubre a los proveedores de TIC con sede fuera de la UE. Si una empresa de tecnología en Estados Unidos, Reino Unido o Asia suministra servicios a instituciones financieras reguladas por la UE, DORA se aplica a esa relación.
El requisito LEI según DORA
DORA exige que las entidades financieras mantengan un Registro de Información detallado que cubra a todos sus proveedores de servicios de TIC externos. El Reglamento de Ejecución (UE) 2024/2956 de la Comisión, publicado el 2 de diciembre de 2024, establece las plantillas estándar para este registro.
El Artículo 3(5) de dicho reglamento de ejecución establece directamente:
“Las entidades financieras utilizarán un identificador de entidad jurídica (LEI) válido y activo o el Identificador Único Europeo al que se refiere el artículo 16 de la Directiva (UE) 2017/1132 (‘EUID’), y cuando estén disponibles ambos identificadores, para identificar a todos sus proveedores de servicios de TIC externos que sean personas jurídicas, excepto las personas físicas que actúen en calidad empresarial.”
En otras palabras, cada proveedor de TIC externo que sea una entidad jurídica debe ser identificable utilizando un LEI válido y activo o un EUID. Ambos deben estar vigentes. Un LEI caducado o vencido no satisface este requisito.
LEI o EUID: ¿Cuál se aplica a usted?
Ambos identificadores satisfacen los requisitos de DORA, pero cubren situaciones diferentes. Comprender la diferencia le ayudará a elegir correctamente.
El LEI (Identificador de Entidad Jurídica) es un código alfanumérico de 20 caracteres reconocido globalmente basado en la norma ISO 17442. La Global Legal Entity Identifier Foundation (GLEIF) rige el Sistema Global LEI y pone todos los datos LEI a disposición pública en el Índice Global LEI. El LEI cubre entidades jurídicas en más de 200 jurisdicciones y también incluye datos de propiedad y control.
El EUID (Identificador Único Europeo) se vincula al Sistema de Interconexión de Registros Mercantiles (BRIS) de la UE. Debido a que se conecta exclusivamente a los registros nacionales de la UE, solo cubre entidades registradas en los Estados miembros de la UE.
Aquí el reglamento de ejecución establece una distinción crítica: los proveedores de TIC establecidos fuera de la UE deben ser identificados únicamente mediante el LEI. El EUID simplemente no está disponible para entidades no pertenecientes a la UE. Como resultado, el LEI es el único identificador válido para cualquier proveedor que opere desde fuera de la UE.
Para los proveedores con sede en la UE, cualquiera de los identificadores funciona. Sin embargo, para operaciones globales o proveedores con exposición fuera de la UE, el LEI es la opción más sólida debido a su reconocimiento internacional y su cobertura de datos más amplia.
Lo que significa “Válido y Activo” en la práctica
El reglamento de ejecución exige específicamente un LEI válido y activo. Esto se refiere al estado que aparece en la base de datos global de GLEIF.
Un LEI que muestra el estado “Emitido” es válido y activo, y por lo tanto satisface DORA. Un LEI que muestra “Caducado” ha expirado y, en consecuencia, no satisface el requisito. Las entidades financieras no pueden registrar un LEI caducado como un identificador conforme en su Registro de Información.
Un LEI sigue siendo válido durante un año a partir de la fecha de emisión o de la última renovación. Después de eso, el propietario debe renovarlo para mantener el estado activo. Durante la renovación, la organización emisora vuelve a verificar los datos de referencia de la entidad —incluyendo el nombre legal, la dirección registrada y la estructura de propiedad— con fuentes de registro oficiales. Este proceso garantiza que los datos en la base de datos global de LEI se mantengan precisos y actualizados.
Puede verificar el estado de cualquier LEI utilizando la herramienta de búsqueda de LEI de GLEIF o a través de la búsqueda del Sistema LEI.
Por qué el LEI es el estándar práctico para el cumplimiento de DORA
Los reguladores de DORA eligieron el LEI porque resuelve un problema que ningún identificador nacional puede: la identificación consistente y transfronteriza de entidades jurídicas en un único formato reconocido globalmente.
Los números de registro de empresas nacionales varían significativamente entre países, no siempre son legibles por máquina y no cubren en absoluto a las entidades no pertenecientes a la UE. El LEI, por el contrario, proporciona un código consistente para cualquier entidad jurídica, independientemente de dónde esté constituida. Además, debido a que los datos LEI están disponibles públicamente y son verificables, las instituciones financieras pueden verificar los detalles del proveedor instantáneamente sin solicitar documentos.
Para las instituciones financieras que gestionan muchos proveedores de TIC en diferentes países, esta estandarización reduce significativamente la complejidad administrativa del cumplimiento de DORA. Una única búsqueda de LEI proporciona información verificada sobre el nombre legal del proveedor, los detalles de registro y la estructura de propiedad, todo lo cual es directamente relevante para las obligaciones de gestión de riesgos de terceros de DORA.
Para los proveedores de TIC, tener un LEI válido facilita que los clientes de instituciones financieras los incluyan correctamente en su registro DORA. Los proveedores sin un LEI válido, por otro lado, crean lagunas de cumplimiento para sus clientes y, por lo tanto, corren el riesgo de dañar la relación comercial. GLEIF proporciona más contexto sobre cómo el LEI apoya esto en su resumen del uso regulatorio del LEI.
Lo que los proveedores de TIC deben hacer ahora
Verifique si tiene un LEI válido. Si usted suministra servicios de TIC a cualquier institución financiera regulada por la UE, su cliente debe identificarlo en su Registro de Información DORA. Póngase en contacto con ellos para confirmar si han registrado su LEI y si está actualmente activo.
Registre un LEI si no tiene uno. El proceso es completamente digital y se completa en 24 horas para la mayoría de las jurisdicciones. Debe proporcionar el nombre legal de su empresa, la dirección registrada y el número de registro. En la mayoría de los casos, el sistema verifica estos datos automáticamente con los registros comerciales oficiales. LEI System es un Agente de Registro de GLEIF acreditado. Puede iniciar su registro LEI hoy mismo.
Renueve su LEI si ha caducado. Un LEI caducado debe renovarse antes de que sus clientes puedan usarlo en un registro DORA. La renovación restaura el estado “Emitido” y revalida los datos de referencia de su empresa. Puede renovar su LEI rápidamente a través de LEI System.
Mantenga sus datos LEI actualizados. Si el nombre de su empresa, la dirección registrada o la estructura de propiedad han cambiado, actualice sus datos de referencia LEI en consecuencia. Los datos LEI desactualizados crean complicaciones de cumplimiento para sus clientes de instituciones financieras cuando presentan su registro a las autoridades nacionales.
DORA en el contexto de la regulación más amplia de la UE
DORA no opera de forma aislada. Se sitúa junto a otras regulaciones de la UE que también utilizan el LEI como identificador estándar para entidades jurídicas, incluyendo la notificación de transacciones MiFID II, la notificación de derivados EMIR y el Reglamento de Pagos Instantáneos de la UE. Para las entidades financieras que ya utilizan LEI para la notificación de transacciones, DORA añade, por lo tanto, una dimensión adicional en lugar de un sistema completamente nuevo.
Además, DORA se conecta directamente con la Directiva NIS2 (Directiva (UE) 2022/2555) sobre ciberseguridad. DORA funciona como un acto sectorial específico bajo NIS2 para entidades financieras. Puede leer más sobre NIS2 y el LEI en el artículo NIS2 y LEI de este sitio. Para una visión más amplia de cómo opera el LEI en la regulación financiera de la UE, consulte Cómo funciona el LEI en la práctica en la UE.
DORA y LEI: Datos clave de un vistazo
¿Qué es DORA? Reglamento (UE) 2022/2554 sobre resiliencia operativa digital para el sector financiero.
¿Cuándo entró en vigor DORA? 17 de enero de 2025.
¿Quién debe cumplir? Entidades financieras de la UE y sus proveedores de servicios de TIC externos, incluidos los proveedores no pertenecientes a la UE que prestan servicios a instituciones financieras de la UE.
¿Qué exige DORA para la identificación de proveedores de TIC? Un LEI o EUID válido y activo, según lo especificado en el Reglamento de Ejecución (UE) 2024/2956 de la Comisión.
¿Qué identificador se aplica a los proveedores de TIC no pertenecientes a la UE? Solo LEI. El EUID cubre únicamente a las entidades registradas en la UE.
¿Qué estado de LEI satisface DORA? Solo “Emitido”. Un LEI “Caducado” no satisface el requisito.
¿Dónde puedo registrar o renovar un LEI? A través de un Agente de Registro de GLEIF acreditado como LEI System.