Padre | Project Manager | Emprendedor | Formador | Escritor | Podcaster

Cultura Organizacional Dirección de Proyectos Tecnología Transformación Digital

🛡️ DORA y la Gestión de Proyectos de IT: Liderar en tiempos de resiliencia digital

Desde la entrada en vigor de la normativa a inicios de este año, como Project Manager he venido sufriendo (y aprendiendo) de primera mano las múltiples adaptaciones que han sido necesarias estos meses. Ya sea porque:

  • El proceso inicial no estaba del todo claro, como ocurre con toda novedad normativa
  • Hubo escasa gestión del cambio procedimental en muchas organizaciones
  • O porque los ajustes requeridos tensionaban aún más un proceso de licitación que suele estar ya de por sí en conflicto con:

Dicho esto, DORA no es solo una obligación regulatoria: es un desafío real para quienes estamos en el día a día de la ejecución.

¿Qué es DORA?

Hablamos del Reglamento de Resiliencia Operativa Digital del sector financiero (DORA), que entra en aplicación el 17 de enero de 2025 en toda la UE.

Su objetivo es claro: garantizar que el ecosistema financiero europeo pueda resistir, responder y recuperarse ante cualquier incidente tecnológico (ciberataques, caídas de sistemas, errores humanos, interrupciones de terceros…).

Y eso nos afecta directamente a quienes gestionamos proyectos en este entorno: cambia qué se pide, cómo se contrata, con quién se colabora y qué se entrega.

¿A quién afecta DORA?

No, no es solo cosa de bancos.

DORA impacta a todo el sector financiero y tecnológico que lo soporta. Incluye:

  • Bancos, cooperativas de crédito, cajas de ahorro
  • Aseguradoras, reaseguradoras, mutuas, mediadores
  • Empresas de inversión, gestoras, brokers, plataformas
  • Fintechs, neobancos, servicios de pago y cripto
  • Infraestructuras del mercado (clearing, depositarios, etc.)
  • Y proveedores TIC que ofrecen servicios esenciales a cualquiera de los anteriores

Si participas en el diseño, provisión, operación o mantenimiento de soluciones tecnológicas en este ecosistema, DORA te afecta.

¿Qué son los niveles de criticidad (TIER)?

Aunque DORA no utiliza la palabra «TIER» oficialmente, en la práctica muchas organizaciones han estructurado sus proveedores TIC en niveles de criticidad, para facilitar la gestión de riesgos y el cumplimiento:

🔹 TIER 1 – Proveedores TIC Críticos

  • Alto impacto sistémico
  • Servicios usados por múltiples entidades
  • Supervisión directa por EBA, ESMA o EIOPA
  • Exigencias máximas: resiliencia, test, auditorías, reportes formales

🔹 TIER 2 – Proveedores Significativos

  • Importancia operativa relevante pero sin riesgo sistémico
  • Supervisión por autoridades nacionales o entidades contratantes
  • Requisitos proporcionados al riesgo

🔹 TIER 3 – Proveedores No Críticos

  • Bajo impacto, fácilmente sustituibles
  • Supervisión mínima, pero con trazabilidad básica exigida

⚠️ Algunas organizaciones han creado internamente un TIER 4 informal, para clasificar proveedores con riesgo residual. Pero esto no forma parte del marco legal de DORA.

¿Cómo impacta DORA en los proyectos de IT?

Desde el terreno, los impactos que hemos vivido son muy reales:

  • 📋 Procesos de licitación más largos y complejos — Evaluaciones de riesgo, due diligence documental, revisiones legales
  • 👥 Mayor participación de stakeholders — Compliance, riesgos, ciberseguridad, continuidad, legal… todos en la mesa
  • 📊 Carga documental adicional — Informes, trazabilidad, políticas, planes de continuidad, SLAs revisados
  • 🧭 Cambios en cronogramas y alcance — Validaciones regulatorias, hitos nuevos, coordinación con terceros

Y a veces, todo esto sin un rediseño claro del proceso de gestión interna, lo que genera fricción entre los objetivos del proyecto y las nuevas exigencias regulatorias.

El papel clave de la PMO

En este nuevo contexto, la Oficina de Gestión de Proyectos (PMO) se vuelve pieza estratégica para:

  • 🧩 Incorporar DORA a los marcos metodológicos
  • 📈 Estandarizar documentación y cumplimiento
  • 🧠 Formar a los equipos en resiliencia operativa y cultura regulatoria
  • 🔄 Servir de enlace entre IT, negocio, legal, riesgos y proveedores
  • 📌 Hacer seguimiento de TIERs y criticidad como parte de la planificación

Ya no basta con ser PMO de procesos: ahora necesitamos ser PMO de resiliencia y cumplimiento.

Lecciones aprendidas desde el terreno

Después de varios proyectos vividos en este nuevo entorno, me llevo varias lecciones:

  1. Si no se gestiona bien el cambio interno, la regulación se convierte en freno.
  2. El cumplimiento ya no es un extra: es parte del diseño del proyecto.
  3. Entender la regulación es una competencia clave del liderazgo tecnológico.
  4. Compliance debe estar desde la ficha inicial del proyecto, no llegar a última hora.
  5. Una buena PMO puede marcar la diferencia entre avanzar o quedarse bloqueado.

En resumen

DORA es más que una regulación: es una nueva forma de pensar la tecnología en el sector financiero. Quienes gestionamos proyectos tenemos ahora la responsabilidad y la oportunidad de traducir ese marco normativo en soluciones prácticas, eficientes y resilientes.

No es fácil. No es rápido. Pero sí es posible. Y si lo hacemos bien, elevamos no solo nuestros proyectos, sino toda nuestra organización.

¿Cómo lo estás viviendo tú?

¿Ya has sentido el impacto de DORA en tus proyectos?

¿Tu PMO se ha adaptado a esta nueva realidad?

Cuéntamelo en los comentarios.

💡Aprende 🔄 Comparte ➡️ Actúa

Etiquetas:

Entradas populares

¿Cómo hacer un WBS y pasarlo a MS Project Professional?

Manuales certificaciones CAPM® y PMP® ya en español!

Nueva versión del estándar de Gestión de Proyectos del PMI (PMBOK 5ta Edición)

¿Cuánto te pagaron por renunciar a tus sueños?

¿Cómo hacer un WBS?

«Instalando» SCRUM paso a paso (I)

Puede que también te guste...

Estadísticas PMI – Noviembre 2009

Estadísticas PMI – Noviembre 2012

“Instalando” SCRUM paso a paso (II) – Cambiar la mentalidad de la organización

La certificación CAPM aumenta tus habilidades y tu currículo

Estadísticas PMI – Setiembre 2010

Construyendo un Equipo de Trabajo Eficaz – Parte II

×