logalty firmaprofesional regtech

Soporte | Contacto

DORA y los TSP cualificados: claves para entender el nuevo marco de resiliencia digital

por Sandra Guijarro | Dic 22, 2025 | Proyectos Firmaprofesional

La Unión Europea está poniendo en marcha reglas cada vez más estrictas para hacer frente a los riesgos cibernéticos que pueden afectar a los servicios financieros, entidades reguladoras y los prestadores tecnológicos.

Dos conceptos fundamentales que conviven ahora en este marco regulatorio son DORA (Digital Operational Resilience Act) y los TSP cualificados (Qualified Trust Service Providers), regulados principalmente bajo eIDAS.

A continuación, explicamos qué implica DORA, qué requisitos tienen los TSP cualificados, cómo se relacionan ambos, y por qué tu organización debe prestarles atención.

¿Qué es DORA?

DORA (Digital Operational Resilience Act) es una regulación introducida por la Unión Europea el 17 de enero de 2025 para fortalecer la resiliencia digital de las entidades financieras.

DORA regula no solo a las entidades financieras (bancos, aseguradoras, gestoras de inversión, etc.), sino también a los propios proveedores de servicios de tecnologías de la información y comunicación (ICT third-party service providers) que les presten servicios críticos.

Los principales ejes de DORA incluyen:

  • Gestión de riesgos de ICT internos.
  • Gestión de riesgos con terceros (proveedores de servicios TIC).
  • Notificación de incidentes digitales significativos.
  • Pruebas de resiliencia operativa (ej: tests de penetración, escenarios de fallo).
  • Intercambio de información sobre amenazas digitales.
  • Supervisión específica de proveedores de terceros críticos (CTPPs).

¿Qué son los TSP cualificados?

Los TSP cualificados (Qualified Trust Service Providers) son entidades reguladas por el Reglamento eIDAS (Reglamento (UE) 910/2014) que prestan servicios de confianza con un nivel cualificado, lo que les confiere una validez legal reforzada en toda la UE.

Algunos de los servicios cualificados incluyen:

Para que un prestador como Firmaprofesional sea considerado cualificado debe:

  • Someterse a auditorías de conformidad ante organismos acreditados.
  • Ser supervisado por la autoridad competente nacional.
  • Cumplir requisitos técnicos (seguridad, integridad de datos, protección de la clave privada, dispositivos seguros, etc.).
  • Aparecer en la Lista de Confianza (“Trusted List”) de su Estado miembro, la cual es accesible públicamente bajo eIDAS.

¿Cómo se relacionan DORA y los TSP cualificados?

Aunque DORA y eIDAS regulan aspectos diferentes, hay aspectos, como la fiabilidad, seguridad y responsabilidad de los proveedores de servicios digitales que se solapan. Algunas conexiones clave son:

  1. Proveedores ICT críticos bajo DORA: Bajo DORA, los proveedores externos críticos o importantes de servicios ICT tienen obligaciones específicas. Si un TSP cualificado presta servicios de confianza o firmas electrónicas, puede estar incluido entre esos proveedores críticos si su servicio es esencial para entidades financieras reguladas.
  2. Contratos con terceros: DORA exige que los contratos con proveedores de TIC incluyan cláusulas detalladas sobre disponibilidad, accesibilidad, seguridad, derecho de auditoría, seguridad, gestión de incidentes, etc. Un TSP cualificado, por su propia naturaleza, ya funciona con estándares elevados que facilitan cumplir esas cláusulas.
  3. Resiliencia operativa: Las firmas electrónicas cualificadas o los servicios de confianza tienen que garantizar la integridad, disponibilidad y autenticidad de los documentos. Si hay una incidencia, contar con un TSP cualificado que tenga procedimientos robustos puede ser la diferencia en la recuperación y en evitar sanciones regulativas bajo DORA.
  4. Confianza jurídica y presunción legal: Los productos ofrecidos por un TSP cualificado tienen una fuerte presunción legal bajo eIDAS (por ejemplo, la firma cualificada se equipara legalmente a la firma manuscrita, y recae sobre la parte que impugna la prueba demostrar lo contrario). Esto refuerza la posición de entidades financieras o clientes en auditorías, litigios o evaluaciones regulatorias exigidas por DORA.

¿Qué deben hacer las empresas y organizaciones para adaptarse?

Para cumplir tanto con DORA como para aprovechar las ventajas de trabajar con TSP cualificados, es recomendable seguir estos pasos:

  • Mapear los proveedores TIC: Identificar cuáles de ellos son críticos o pueden llegar a serlo. Incluir los TSP cualificados que se utilicen para firmas, certificados, autentificación, sellos de tiempo, etc.
  • Revisar contratos: Asegurar que los contratos con proveedores incluyen las cláusulas requeridas por DORA: continuidad del servicio, recuperación ante incidentes, derecho de auditoría, obligaciones de seguridad, etc.
  • Implementar políticas de riesgo TIC: Evaluación de riesgos, controles técnicos, procedimientos de respuesta ante incidentes. Validar que los servicios cualificados cumplen con estándares de seguridad fuertes y que hay respaldo documental e indicios técnicos robustos.
  • Auditorías y conformidad: Trabajar con proveedores que ya sean TSP cualificados, o que estén en proceso. Verificar que pasan auditorías regulares y que mantienen su estatus conforme eIDAS.
  • Capacitación interna: Formación de equipos legales, de seguridad, de cumplimiento (compliance) para que comprendan qué supone DORA, qué supone la cualificación, y cómo se ajustan los servicios digitales al nuevo marco.

¿Por qué confiar en los TSP cualificados como Firmaprofesional?

Firmaprofesional, como autoridad de certificación reconocida, tiene experiencia en emitir certificados digitales seguros y soluciones de firma electrónica conforme a eIDAS. Trabajar con un TSP cualificado aporta:

  • Validez legal reconocida en toda la Unión Europea.
  • Presunción de fiabilidad: en disputas legales, el uso de productos cualificados simplifica la carga de la prueba.
  • Respaldo técnico elevado: dispositivos seguros, dispositivos de creación de firma (QSCD), custodia de claves privadas, sellado de tiempo, trazabilidad.

Para empresas, organizaciones financieras y cualquier entidad que use firmas electrónicas y certificados digitales, apostar por TSP cualificados no es un lujo: es una estrategia de cumplimiento, reducción de riesgo y garantía de confiabilidad. Contacta con Firmaprofesional para más información.

Artículos Relacionados

Share This