3 segundos
Coronavirus
La segunda dosis
Noticias
Blogs
Videos
Temas
Personajes
Organismos
Lugares
Autores
hemeroteca
Enlaces
Medios
Más servicios
Aviso legal
Política de Privacidad
Política de cookies
Desde que el Reglamento Europeo DORA (Digital Operational Resilience Act) entró plenamente en aplicación el 17 de enero de 2025, las entidades financieras y otros actores regulados en la Unión Europea han tenido que adaptarse a un nuevo estándar obligatorio de resiliencia operativa digital. Este conjunto de normas, concebido para fortalecer la seguridad y continuidad de servicios críticos en un contexto tecnológico altamente interdependiente, ha cambiado no sólo el qué se controla, sino cómo se debe gestionar y reportar la información sobre riesgos TIC y proveedores tecnológicos.
Entre los elementos más críticos y complejos de DORA está el Register of Information (RoI), un registro exhaustivo de todos los acuerdos contractuales con proveedores de servicios de Tecnologías de la Información y la Comunicación (TIC) que son parte integral de las operaciones de la entidad. Aunque muchas organizaciones han intentado gestionar esta obligación con herramientas tradicionales como Excel, la realidad actual en 2026 es clara: las hojas de cálculo ya no son suficientes ni adecuadas para cumplir con los requisitos regulatorios europeos.
Este artículo analiza por qué ese cambio es imperativo, qué exige la normativa y cómo las empresas pueden prepararse eficazmente sin exponerse a sanciones o fallos de cumplimiento innecesarios.
El Register of Information: ¿qué exige DORA?
Según el artículo 28(3) de DORA (Reglamento UE 2022/2554), las entidades financieras deben mantener un registro completo y actualizado que detalle todos los acuerdos con proveedores de servicios TIC de terceros, incluidos los que apoyan funciones críticas o importantes. Esto tiene implicaciones prácticas muy amplias:
- Debe incluir información precisa sobre cada proveedor, función, contrato y riesgo asociado.
- El registro debe estar disponible y accesible para las autoridades competentes nacionales, que luego lo compartirán con las Autoridades Europeas de Supervisión (AES: EBA, EIOPA y ESMA) para sus procesos de supervisión y designación de proveedores críticos.
Además, el registro no es un documento estático: su mantenimiento exige actualizaciones continuas al ritmo de las operaciones y contratos de la entidad, lo que en la práctica requiere automatización y controles robustos de calidad de datos.
El problema con Excel: más allá de las limitaciones funcionales
Durante los ejercicios de preparación y pruebas previas a la plena aplicación de DORA, las propias Supervisiones y organismos del sector detectaron que muchas organizaciones estaban usando plantillas de Excel para recopilar datos del RoI. Incluso se proporcionaron ejemplos estructurados en formatos de hoja de cálculo para pruebas.
Sin embargo, hay tres problemas fundamentales con este enfoque:
1. No es formato válido para presentación regulatoria:
Aunque Excel puede servir para recopilar y revisar datos internamente, no es aceptado como formato de envío oficial ante las autoridades. Los sistemas de supervisión DORA requieren un formato estructurado basado en XBRL-CSV (eXtensible Business Reporting Language – Comma Separated Values). Esto significa que cualquier hoja de cálculo debe transformarse y validarse en un archivo conforme a la taxonomía técnica aprobada por las AES.
2. Riesgo de errores y falta de gobernanza:
Las hojas de cálculo, especialmente en entornos donde múltiples personas editan o consolidan datos, son proclives a errores manuales, duplicados y falta de trazabilidad. Para los auditores y reguladores, esto puede traducirse en deficiencias de cumplimiento o datos no fiables.
3. Escalabilidad y mantenimiento:
Conforme crece la complejidad de contratos TIC —por ejemplo, con proveedores de cloud, servicios de infraestructura y soluciones SaaS— una hoja de cálculo se vuelve inmanejable. Las herramientas tradicionales no ofrecen flujos de actualización automatizados ni mecanismos de control de versiones que son indispensables para un RoI a prueba de auditorías.
Consecuencias regulatorias de una mala gestión del RoI
DORA no es una recomendación: es un reglamento directamente aplicable en todos los Estados miembro de la UE. Eso significa que:
- Las autoridades nacionales competentes (como la CNMV en España o el Banco de España) pueden requerir acceso al RoI o imponer sanciones por incumplimiento.
- Los datos del RoI son utilizados por las AES para identificar proveedores de TIC críticos que podrían requerir supervisión a nivel europeo.
Una presentación deficiente o tardía del RoI puede resultar no solo en sanciones administrativas, sino también en impactos reputacionales y operativos significativos.
¿Qué alternativa existe? Herramientas especializadas para RoI
La solución que muchas organizaciones están adoptando en 2026 es reaprender la gestión del RoI con herramientas diseñadas específicamente para este fin. En lugar de depender exclusivamente de hojas de cálculo, plataformas estructuradas permiten centralizar, automatizar y validar los datos de forma continua.
Un ejemplo emergente de esta nueva generación de herramientas es Copla Registry, una plataforma que facilita:
- Recolectar y estructurar datos de contratos y proveedores TIC de manera continua.
- Integrar directamente con sistemas internos de gestión, evitando duplicados y entradas manuales inseguras.
- Preparar y generar salidas conformes con los formatos de presentación XBRL exigidos por las AES.
La adopción de soluciones especializadas como Copla Registry no solo reduce el riesgo de errores, sino que transforma el RoI en una ventaja operativa más que en una carga administrativa.
Preparación práctica: recomendaciones para 2026
Para las entidades que aún gestionan su RoI con métodos manuales o plantillas de Excel, los pasos para una transición eficiente deberían incluir:
- Mapeo de todos los proveedores TIC y contratos existentes, con categorías claras de función crítica o no crítica.
- Evaluar herramientas de automatización y gestión de datos, buscando soluciones que permitan transformar fácilmente datos internos en formatos regulatorios.
- Establecer revisiones periódicas y gobernanza de datos, para asegurar que el RoI refleje fielmente la situación contractual actual.
- Formación y concienciación interna, especialmente entre equipos de riesgo, cumplimiento y tecnología, sobre los requisitos y plazos de DORA.
Conclusión
En 2026, es claro que la era en la que una hoja de cálculo podía sostener obligaciones regulatorias complejas ha quedado atrás. La naturaleza dinámica y precisa de los requisitos del Register of Information bajo DORA exige herramientas robustas, automatizadas y alineadas con los formatos técnicos definidos por la Unión Europea.
La transición a herramientas automatizadas no es simplemente una mejora operativa: es una respuesta necesaria a un entorno normativo que ya no tolera imprecisiones, lagunas en los datos o procesos manuales obsoletos. Para las entidades que desean cumplir con la DORA de manera sostenible, esta evolución no es opcional, sino una inversión estratégica en resiliencia digital.
Más en Instituciones
CONTRIBUYE CON PERIODISTA DIGITAL
QUEREMOS SEGUIR SIENDO UN MEDIO DE COMUNICACIÓN LIBRE
Buscamos personas comprometidas que nos apoyen
CONTRIBUYE