Navegar por DORA: el reglamento de la UE para la resistencia digital en las finanzas

Siarhei Sukhadolski

12 de mayo de 2025 10 minutos de lectura

Desde su entrada en vigor, la Ley de Resiliencia Operativa Digital (DORA) se ha convertido en una fuerza definitoria de la forma en que el sector financiero aborda el riesgo de las TIC, la seguridad y las dependencias de terceros. Aunque el significado de la DORA es claro en teoría (un marco unificado para reforzar la resiliencia digital), su aplicación a sistemas, proveedores y operaciones sigue dejando a muchas entidades sumidas en la incertidumbre.

No se trata de otro resumen de la normativa DORA. Usted ya conoce lo que está en juego. La verdadera pregunta es: ¿Están sus sistemas, socios y controles internos realmente alineados con el marco del DORA, y cuál es su estrategia para un cumplimiento sostenible a largo plazo?

Así pues, siéntese: le explicaré lo que DORA espera realmente de su empresa y, lo que es más importante, cómo cumplir esas expectativas sin ralentizar el ritmo.

El marco DORA y el impulso a la gobernanza unificada del riesgo digital

DORA, conocido formalmente como Reglamento (UE) 2022/2554, es un reglamento vinculante de la UE que entró en vigor el 16 de enero de 2023 y será aplicable el 17 de enero de 2025. Su puesta en marcha no fue un movimiento teórico. Fue una respuesta directa a la escalada de las ciberamenazas en el sector financiero. A medida que las instituciones financieras dependen cada vez más de la infraestructura en la nube, las plataformas SaaS y otros socios externos para prestar servicios digitales, también se han vuelto más vulnerables a los riesgos interconectados que son difíciles de predecir, contener y de los que es difícil recuperarse.

Las cifras hablan por sí solas: en 2024, el coste medio de una filtración de datos en el sector financiero ascenderá a 1.000 millones de euros. $6,08 millonesque es 22% superior que la media mundial de $4,88 millones en todos los sectores.

Los incidentes del mundo real no han hecho más que reforzar la necesidad de una mayor resiliencia. En 2018, TSB intentó una importante migración de la plataforma bancaria central. La mala gestión de riesgos, las pruebas inadecuadas y la gestión ineficaz de los incidentes provocaron interrupciones generalizadas, bloqueando las cuentas de miles de clientes. Como resultado, los reguladores multaron a TSB 48,65 millones de libras por riesgo operativo y fallos de gobernanza.

Del mismo modo, en 2019, Capital One sufrió una brecha masiva debido a un cortafuegos mal configurado en su infraestructura en la nube, dejando al descubierto datos de más de 100 millones de clientes. Las secuelas incluyeron $80 millones en sanciones y grandes costes de reparación.

Los problemas no acabaron ahí. El sitio Interrupción de CrowdStrike en julio de 2024 hizo dolorosamente evidente la interconexión de la infraestructura digital. Provocado por una actualización defectuosa, se propagó por los sistemas críticos, dejando en tierra vuelos, congelando operaciones bancarias y deteniendo servicios profesionales. No se trató sólo de un fallo tecnológico, sino de una crisis de continuidad de negocio a gran escala, que demostró cómo los fallos de las TIC de terceros pueden tener consecuencias sistémicas.

Así surgió el DORA como respuesta de la UE: una normativa completa y de obligado cumplimiento creada para cerrar la brecha de la resiliencia digital con una rendición de cuentas clara, normas armonizadas y un marco adaptado a la economía interconectada de hoy en día.

Por qué el cumplimiento de la DORA es ahora una prioridad empresarial crítica

Piénselo de esta manera: la ciberseguridad solía ser algo que se comprobaba con auditorías anuales, algunos manuales de incidentes y un puñado de políticas aisladas escondidas en un rincón de TI. Pero con DORA, ese modelo ya no es suficiente. Ahora, la seguridad DORA es responsabilidad de todos, desde los ingenieros hasta los ejecutivos.

No se trata solo de demostrar que se dispone de un cortafuegos, sino de demostrar que toda la cadena de suministro digital puede soportar un ataque y seguir funcionando. DORA saca la ciberseguridad de las sombras y la lleva a la sala de juntas, obligando a las empresas a tratar el riesgo digital como una cuestión crítica para el negocio, no solo técnica.

¿Quién debe cumplir la normativa?

El Reglamento DORA de la UE se aplica a más de 20 categorías de entidades financieras de toda la UE, entre ellas:

Bancos, aseguradoras y empresas de inversión
Entidades de pago y dinero electrónico
Proveedores de servicios de criptoactivos
Centros de negociación, cámaras de compensación y depositarios centrales de valores
Agencias de calificación crediticia, plataformas de crowdfunding y más

Pero el significado del DORA va más allá de las finanzas tradicionales. El reglamento también pone a los proveedores de servicios TIC críticos bajo la lupa del cumplimiento. Esto significa que si suministra tecnología que respalda cualquier función básica de una entidad financiera, ya sea infraestructura en la nube, análisis de datos, SaaS para pagos o incorporación, herramientas KYC/AML, detección de fraude basada en IA o incluso plataformas API que conectan sistemas básicos, ahora forma parte de la cadena de cumplimiento.

Riesgos de incumplimiento

No cumplir las normas del DORA supone un riesgo para sus operaciones, su reputación y su estrategia a largo plazo. En virtud del DORA, la Autoridades Europeas de Supervisión (ABE, AEVM y AESPJ) tienen ahora potestad para imponer sanciones económicas, amonestaciones públicas y medidas correctoras vinculantes. Y lo que es más importante, en los casos en que se considere que un proveedor externo de TIC constituye una amenaza para la estabilidad operativa, el DORA permite a los reguladores obligar a rescindir los contratos, incluso con aquellos proveedores que suministran infraestructuras básicas o servicios digitales esenciales.

Pero las consecuencias normativas son sólo una parte del cuadro. El coste real del incumplimiento es multidimensional:

Reputación reglamentaria: Las entidades que no cumplan los requisitos del DORA pueden ser señaladas como de alto riesgo, lo que conlleva una supervisión más estricta, más inspecciones y menos flexibilidad en las interacciones reguladoras.
Reputación reglamentaria: Las entidades que no cumplan los requisitos del DORA pueden ser señaladas como de alto riesgo, lo que conlleva una supervisión más estricta, más inspecciones y menos flexibilidad en las interacciones reguladoras.
Responsabilidad a nivel del Consejo: El DORA enmarca la resistencia operativa como una cuestión de gobernanza. Los consejos de administración deben fijar umbrales de riesgo, aprobar marcos de TIC y supervisar el tratamiento de los riesgos, con la posible responsabilidad personal en caso de fallos graves.
Continuidad de las actividades: Un solo fallo de las TIC, ya sea interno o de terceros, puede causar trastornos generalizados e incumplimientos, que dañan la confianza y la reputación.
Escrutinio de inversores y medios de comunicación: Los fracasos públicos de las TIC pueden acaparar titulares y valoraciones, con efectos duraderos en la confianza de los clientes, la confianza de los inversores y la moral de los equipos.

Por eso, las entidades financieras no sólo buscan proveedores, sino socios con capacidad de recuperación. Quieren proveedores de tecnología que entiendan los requisitos de cumplimiento de la DORA, ofrezcan soluciones auditables y compartan la responsabilidad a través de acuerdos de nivel de servicio sólidos, procesos transparentes y pruebas colaborativas.

Proteja su empresa. Cumpla la normativa DORA con confianza.

La verdadera ventaja de la regulación de la financiación del DORA

Para las entidades financieras, el marco DORA marca un cambio fundamental en la forma en que la resistencia operativa define el liderazgo en el mercado. Ya no basta con cumplir las normas. El DORA obliga a las empresas financieras a demostrar que pueden mantener servicios críticos en caso de graves perturbaciones de las TIC - incluso cuando se producen fallos en ecosistemas externalizados que escapan a su control directo.

Aquí es donde surge el valor estratégico:

La resiliencia como credencial de mercado: Las entidades que se ajustan a las normas del DORA y pueden demostrar una resistencia operativa real -probada, auditable y supervisada de forma continua- están mejor posicionadas para ganarse la confianza de los clientes, asegurar las asociaciones B2B y atraer la confianza de los inversores. En un sector financiero que se define cada vez más por la experiencia digital y la continuidad, la resiliencia demostrada se convierte en un elemento diferenciador tan poderoso como la fijación de precios o la innovación de productos.
Una recuperación más rápida como ventaja estratégica: Pensemos en dos proveedores de servicios de pago afectados por la misma interrupción del servicio en la nube. La empresa que redirige las transacciones en cuestión de minutos, gracias a sistemas de conmutación por error probados y una sólida planificación de contingencias de terceros, conserva clientes y reputación en el mercado. La empresa que tarda horas en recuperarse se arriesga a la pérdida de clientes, a sanciones reglamentarias y al escrutinio público.
El control de terceros como estabilidad operativa: El DORA obliga a las empresas a ampliar la gobernanza sobre las funciones TIC externalizadas y exige plenos derechos contractuales para auditar, supervisar e intervenir en las operaciones de terceros. Las instituciones que gestionan proactivamente estas dependencias pueden evitar los graves riesgos derivados de las relaciones no estructuradas con los proveedores.
La integración en el consejo como señal de confianza: La capacidad de recuperación ya no es una función de TI enterrada en los departamentos técnicos. Según el reglamento DORA de la UE, los consejos de administración deben gestionar activamente los riesgos de las TIC. Las entidades que integran los indicadores clave de resistencia en los marcos de riesgo empresarial, junto con el capital, la liquidez y el riesgo de crédito, demuestran a reguladores, clientes y socios que se toman en serio la durabilidad operativa.

En efecto, la regulación financiera del DORA transforma la capacidad de recuperación de un ejercicio de cumplimiento defensivo en una estrategia empresarial proactiva. Las entidades que traten el DORA como una oportunidad avanzarán más rápido, se recuperarán mejor y generarán más confianza que los competidores que sigan centrándose únicamente en medidas técnicas de seguridad.

"En Innowise, hemos analizado a fondo los requisitos de DORA y reforzado nuestro compromiso con la resiliencia digital en todos los niveles. Ya sea que necesite consultoría, integración DevSecOps, pruebas de resiliencia o soporte de cumplimiento completo, tenemos la experiencia para mantenerlo a la vanguardia. También aportamos las herramientas adecuadas y la disciplina operativa para ayudarle a construir el futuro de las finanzas seguras."

Dzianis Kryvitski

Gestor de entregas en FinTech

Normas DORA frente a marcos de ciberseguridad existentes

Quizá se pregunte: si ya existían normativas como la NIS 2 (Directiva sobre seguridad de las redes y de la información) y el GDPR (Reglamento general de protección de datos), ¿por qué era necesario el DORA? Buena pregunta. De hecho, la NIS 2 y el GDPR siguen desempeñando un papel importante en el refuerzo de la ciberseguridad y la protección de datos en toda la UE. Sin embargo, la principal diferencia es que el marco del DORA va más allá de salvaguardar la información. Se centra en garantizar la prestación continua de servicios financieros críticos, incluso durante graves interrupciones de las TIC.

Para que las distinciones queden claras, he recopilado las principales diferencias en la siguiente tabla:

Descripción	DORA	NEI 2	GDPR
Alcance	Se aplica a las entidades financieras y a los proveedores de TIC críticos del sector financiero de la UE.	Se aplica a las entidades esenciales e importantes de los sectores críticos de la UE	Se aplica globalmente a las organizaciones que manejan datos personales de ciudadanos de la UE
Propósito	Reforzar la gestión de riesgos de las TIC, la supervisión de terceros y la resistencia operativa para la prestación ininterrumpida de servicios financieros.	Mejorar las normas generales de ciberseguridad en servicios esenciales como la energía, el transporte, la sanidad y las infraestructuras digitales.	Proteger los datos personales y el derecho a la intimidad de los ciudadanos de la UE
Notificación de incidentes	Los incidentes graves relacionados con las TIC deben notificarse sin demora utilizando plantillas normalizadas.	Los incidentes significativos de ciberseguridad deben notificarse en 24 horas a las autoridades nacionales	Las violaciones de datos personales deben comunicarse en un plazo de 72 horas a la autoridad de control
Gestión de riesgos de terceros	Supervisión contractual obligatoria, control y estrategias de salida para los proveedores de TIC críticos.	Se fomenta la gestión de riesgos de ciberseguridad en la cadena de suministro, pero es menos prescriptiva que el DORA	Los encargados del tratamiento deben garantizar la seguridad de los datos personales, pero no se definen los requisitos de resistencia operativa para los vendedores
Requisitos de ensayo y auditoría	Exige pruebas periódicas de resistencia, incluidas pruebas de penetración dirigidas por amenazas avanzadas (TLPT) cada tres años para las entidades críticas.	Exige evaluaciones de riesgos y medidas generales de ciberseguridad, pero no normas obligatorias de resistencia o pruebas de penetración.	Exige medidas de seguridad técnicas y organizativas adecuadas, pero no pruebas de resistencia obligatorias.
Gobernanza y responsabilidad	El Consejo y el órgano de dirección deben definir, aprobar, supervisar y rendir cuentas de la gestión de riesgos de las TIC.	La dirección debe aprobar las medidas de ciberseguridad, pero la gobernanza de la resistencia operativa es menos detallada	Los responsables y encargados del tratamiento son responsables de la protección de datos, pero no existe ningún requisito específico de gobernanza en materia de resistencia operativa.
enalties	No se definen sanciones fijas; los supervisores nacionales y de la UE tienen autoridad para imponer multas, órdenes de reparación u ordenar la rescisión de contratos críticos con terceros.	Entidades esenciales: hasta 10 millones de euros o 2% de facturación global; Entidades importantes: hasta 7 millones de euros o 1,4% de facturación global.	Infracciones graves: hasta 20 millones de euros o 4% del volumen de negocios mundial; Infracciones menos graves: hasta 10 millones de euros o 2% de facturación global.

Convertir los requisitos de cumplimiento del DORA en acciones empresariales

El cumplimiento del DORA se basa en cinco pilares. Juntos, estos pilares desafían a las instituciones financieras a replantearse cómo gestionan el riesgo digital como una capacidad empresarial básica. Repasemos lo que más importa y cómo Innowise puede ayudarle a dar los pasos adecuados hacia el pleno cumplimiento.

1. Gestión de riesgos de las TIC: incorporar la resistencia digital a las operaciones básicas

El DORA exige a las entidades financieras que incorporen la resistencia digital a cada parte de sus operaciones, desde la identificación de riesgos hasta la protección, detección, respuesta y recuperación. No se trata de reaccionar cuando algo va mal. Se trata de ir un paso por delante, minimizar las interrupciones y reforzar los sistemas antes de que surjan problemas.

Cómo puede ayudarle Innowise

Sistemas críticos y cartografía de riesgos: Trazamos un mapa de sus principales funciones empresariales y activos de TIC para detectar los puntos débiles antes de que se conviertan en crisis.
Detección de amenazas en tiempo real: Nuestros equipos configuran y ajustan las plataformas SIEM y SOAR para proporcionar una supervisión continua alineada con los principios de seguridad de DORA.
Integración de plataformas GRC: Le ayudamos a elegir, personalizar y conectar las herramientas de GRC a sus flujos de trabajo y a hacer que el seguimiento de riesgos forme parte de su actividad diaria.
Pruebas y supervisión continuas de los riesgos: Realizamos periódicamente modelos de amenazas, pruebas de penetración y análisis de código automatizados para detectar los riesgos en una fase temprana y reforzar las defensas.
Mejores prácticas de DevSecOps: Integramos las comprobaciones de seguridad directamente en sus procesos de desarrollo, por lo que la resistencia está integrada, no añadida.

2. Notificación de incidentes: agilizar la detección y las notificaciones reglamentarias

Las entidades financieras deben detectar, clasificar y notificar rápidamente a los reguladores los incidentes relacionados con las TIC, siguiendo plantillas y plazos estrictos. Una respuesta desorganizada o tardía puede provocar daños a la reputación, sanciones reglamentarias o, lo que es peor, la pérdida de confianza del mercado. Para cumplir las exigencias del DORA, las empresas deben convertir los procesos ad hoc en flujos de trabajo racionalizados y auditables.

Cómo puede ayudarle Innowise

Detección y respuesta automatizadas: Establecemos sistemas inteligentes que marcan, clasifican y escalan los incidentes al instante en función de su criticidad.
Herramientas de información preparadas para la normativa: Nuestros expertos crean o ajustan sus sistemas de elaboración de informes para generar automáticamente informes que cumplan los requisitos de la DORA.
Simulacros y pruebas de mesa: Organizamos ejercicios con fuego real para poner a prueba sus procesos de respuesta a incidentes e información.
Apoyo rápido en caso de incidente: Nuestros equipos están aquí para guiarle a través de escaladas de incidentes reales y plazos de notificación sin que cunda el pánico.
Detección de incidentes desde el punto de vista de la seguridad: También asesoramos sobre la aplicación de prácticas de codificación seguras y la supervisión en tiempo real para detectar los problemas antes, no después de que el daño esté hecho.

3. Pruebas de resistencia operativa digital: pruebas de estrés de los sistemas antes de que fallen

DORA no sólo exige que las empresas declaren su capacidad de recuperación. Exige que la demuestren mediante pruebas periódicas de resistencia operativa digital (TLPT) dirigidas a las amenazas. Las instituciones deben someter los sistemas críticos a escenarios extremos y realistas para sacar a la luz las vulnerabilidades ocultas y validar las capacidades de recuperación.

Cómo puede ayudarle Innowise

Pruebas de penetración y red teaming: Simulamos ciberataques y fallos de sistemas del mundo real para encontrar puntos débiles antes de que lo hagan los atacantes.
Programas de pruebas basados en amenazas: Nuestros especialistas diseñan programas de TLPT adaptados a los riesgos de su empresa y a sus necesidades normativas.
Pruebas del plan de recuperación en caso de catástrofe: Realizamos simulacros completos de recuperación en caso de catástrofe y pruebas de puntos de recuperación para comprobar si su empresa puede recuperarse cuando es necesario. .
Marcos de pruebas automatizadas: Le ayudamos a automatizar las pruebas de resistencia y a hacer un seguimiento de los resultados para que pueda mostrar a los reguladores pruebas reales.
Desarrollo seguro y resiliencia: También asesoramos sobre prácticas seguras de desarrollo de software, modelado de amenazas y evaluación de riesgos para reforzar los sistemas antes de probarlos.

4. Gestión de riesgos de las TIC frente a terceros: controlar los riesgos más allá de su perímetro

En virtud de la DORA, las entidades financieras son directamente responsables de la resistencia de sus proveedores TIC externos, desde los servicios en la nube y los proveedores de software hasta los socios informáticos subcontratados. El fallo de un proveedor podría convertirse instantáneamente en una crisis regulatoria para usted. Por eso, la normativa financiera DORA exige una supervisión continua y controles documentados de todos los socios de TIC.

Cómo puede ayudarle Innowise

Elaboración de inventarios de riesgos de proveedores: Innowise crea sistemas centralizados que realizan un seguimiento de todos sus proveedores de TIC, dependencias y deficiencias de resistencia.
Auditorías y evaluaciones de terceros: Nuestros equipos realizan auditorías detalladas de la capacidad de recuperación de proveedores críticos, desde las defensas de ciberseguridad hasta la preparación para responder a incidentes.
Supervisión de terceros en tiempo real: Integramos herramientas inteligentes que realizan un seguimiento continuo de los riesgos de los proveedores, el cumplimiento de los contratos y las señales de alerta temprana. .
Contratar consultoría de resiliencia: Nuestros expertos revisan y refuerzan los contratos de proveedores de TIC con cláusulas integradas de mitigación de riesgos, transparencia y salida.
Alineación DevSecOps de terceros: Le ayudamos a asegurarse de que sus proveedores más importantes cumplen las normas de desarrollo y funcionamiento desde el primer momento.

5. Intercambio de información: reforzar la resiliencia de todo el sector de forma colaborativa

La normativa de ciberseguridad del DORA anima a las entidades financieras a compartir activamente información sobre ciberamenazas, vulnerabilidades e incidentes, no como una formalidad, sino como un mecanismo estratégico de defensa. Al contribuir a las redes de confianza, las organizaciones fortalecen la resiliencia colectiva y obtienen inteligencia de alerta temprana que podría evitar interrupciones importantes.

Cómo puede ayudarle Innowise

Configuración de la plataforma de inteligencia de amenazas: Conectamos sus sistemas a redes de inteligencia de confianza e integramos las fuentes de amenazas en sus defensas internas.
Flujos de trabajo seguros para compartir información: Nuestros asesores crean formas seguras y conformes para compartir y recibir información sobre amenazas sin exponer datos confidenciales.
Análisis de ciberinteligencia: Le ayudamos a convertir las amenazas entrantes en información clara y práctica que mejore su situación de riesgo..
Apoyo a la colaboración público-privada: Ayudamos con marcos técnicos y jurídicos para colaborar estrechamente con los reguladores y los programas de resiliencia del sector.
Modelización proactiva del riesgo: También le ayudamos a modelar los riesgos basándonos en información sobre amenazas externas, para que se prepare para lo que está por venir, en lugar de reaccionar ante lo que ya ha ocurrido.

Desarrolle una resistencia imparable y manténgase a la vanguardia con Innowise.

Inicie su viaje hacia la plena seguridad DORA

Cumplir los requisitos de la DORA exige un enfoque claro y estructurado que conecte la gestión de riesgos, la respuesta ante incidentes, la supervisión por terceros y las pruebas operativas. He trazado los pasos esenciales para ayudarle a pasar del cumplimiento sobre el papel a la resiliencia en la práctica.

Revise su marco de gestión de riesgos TIC

Compruebe si dispone de un marco formal de gestión de riesgos TIC. Si no es así, lo primero que debe hacer es crear uno. Utilice las normas establecidas como base y alinéelas con el ciclo de vida completo del riesgo de DORA.

Identificar las lagunas con respecto a los requisitos del DORA

Evalúe si su marco actual cumple plenamente las expectativas del DORA. Centrarse en pruebas de seguridadLa gestión de riesgos, los indicadores clave de rendimiento, la gestión de riesgos de terceros y la gobernanza determinarán sus prioridades inmediatas.

Refuerce su respuesta a los incidentes y la elaboración de informes

Evalúe su sistema de detección, escalado y notificación de incidentes. Confirme que cumplen los plazos y los requisitos de contenido de DORA. Si es necesario, actualice los flujos de trabajo, las plantillas de informes y las rutas de escalado.

Crear un programa de pruebas basado en amenazas

Elabore un plan de pruebas de resistencia. Defina qué sistemas probará, con qué frecuencia y cómo se documentarán los resultados. Incluya pruebas de penetración, simulacros basados en escenarios y red teaming cuando proceda.

Elaborar una hoja de ruta para el cumplimiento del DORA

Crear una hoja de ruta estructurada que cubra las inversiones necesarias, las actualizaciones de los sistemas, los cambios en la gobernanza y la formación del personal. Priorice primero las áreas críticas y ajuste los plazos a los hitos normativos.

Automatice la supervisión de riesgos y los informes de cumplimiento

Automatice las evaluaciones de riesgos, el seguimiento de incidentes y los informes de cumplimiento. El software personalizado, las prácticas DevSecOps y las herramientas de supervisión integradas hacen que el cumplimiento sea escalable, repetible y auditable.

01 Revise su marco de gestión de riesgos TIC

02 Identificar las lagunas con respecto a los requisitos del DORA

03 Refuerce su respuesta a los incidentes y la elaboración de informes

04 Crear un programa de pruebas basado en amenazas

05 Elaborar una hoja de ruta para el cumplimiento del DORA

06 Automatice la supervisión de riesgos y los informes de cumplimiento

Aunque estos pasos proporcionan un punto de partida sólido, el camino de cada empresa hacia la seguridad DORA será un poco diferente. Es posible que necesite un alcance más amplio, un enfoque más profundo o simplemente más confianza en que no se ha pasado nada por alto. En estos casos, lo más inteligente es tener expertos en ciberseguridad a su lado: profesionales que pueden guiarle a lo largo de todo el proceso y profundizar en las áreas críticas.

Experiencia de Innowise en el cumplimiento del DORA

Lograr el cumplimiento de DORA exige una experiencia probada en ciberseguridad, resistencia operativa y preparación normativa. En Innowise, aportamos una sólida base de normas reconocidas, marcos y capacidades técnicas del mundo real que se alinean directamente con Requisitos del DORA.

Nuestra experiencia en cumplimiento y resistencia incluye

Certificación ISO 27001 (sistema de gestión de la seguridad de la información)

Aplicamos las mejores prácticas de la norma ISO 27001 para crear sólidos marcos de gestión de riesgos, gobernanza y respuesta a incidentes, que son los cimientos fundamentales para el cumplimiento de la DORA.

Alineación con el marco de ciberseguridad del NIST

Estructuramos nuestros programas de resiliencia en torno a los principios del NIST, que abarcan la identificación de amenazas, la protección, la detección, la respuesta y la recuperación, en total consonancia con el enfoque de riesgo operativo de DORA.

Cumplimiento SOC 2 Tipo II (para servicios basados en la nube y gestionados)

Al prestar servicios gestionados o en la nube, nuestro cumplimiento de la norma SOC 2 garantiza controles sólidos de la seguridad, disponibilidad y confidencialidad de los datos para cumplir los requisitos de supervisión de terceros de DORA.

Gestión avanzada de posturas de seguridad Cloud (CSPM)

Utilizamos herramientas líderes de CSPM (como Chef Compliance, tfsec, OpenSCAP, CloudBots) para detectar y corregir errores de configuración en entornos de nube, reduciendo así el riesgo operativo.

Control e informes continuos sobre el cumplimiento

Herramientas como ELK, Nagios, Prometheus, Grafana y Kibana nos permiten ofrecer el estado de cumplimiento en tiempo real, perspectivas de incidentes y tendencias de resiliencia, que son fundamentales para las expectativas de supervisión y generación de informes de DORA.

Controles de conformidad integrados

Nuestras prácticas operativas y de desarrollo incorporan controles de cumplimiento preaprobados a través de herramientas como Terraform y Ansible, garantizando la preparación normativa en cada etapa del ciclo de vida de la tecnología.

Auditorías de conformidad automatizadas

Las auditorías periódicas de resistencia que utilizan plataformas como Lynis, Wazuh, Checkov, OpenSCAP y CIS-CAT mantienen actualizadas las prácticas de resistencia operativa y las preparan para el escrutinio normativo.

Prepare su cumplimiento para el futuro con la experiencia de Innowise.

DORA y el futuro de la ciberseguridad financiera

DORA está sacudiendo el mundo financiero, y no en silencio. La normativa está ahora en pleno apogeo, pero para muchas instituciones y proveedores, las cosas todavía parecen un poco inciertas. Últimamente he mantenido innumerables conversaciones con responsables de tecnología, equipos de cumplimiento y miembros de consejos de administración para tratar de desentrañar el significado del DORA en términos reales y operativos. Así que voy a exponer las preguntas más comunes que me hacen y cómo veo yo el desarrollo de todo esto.

DORA está aquí. ¿Y ahora qué?

Ahora que el DORA ya está en marcha, la mayoría de las entidades financieras han pasado de la planificación a la acción. Pero la realidad es que muchas empresas aún no lo han hecho del todo. Según un Encuesta McKinsey a partir de mediados de 2024, sólo un tercio de las empresas confiaba en cumplir todos los requisitos del DORA en enero de 2025. Incluso las más seguras admitieron que seguirían perfeccionando los procesos hasta bien entrado el año. ¿Cuál es el mayor problema? La gestión del riesgo de terceros a gran escala. Para muchas, el mero hecho de averiguar qué proveedores se consideran "críticos" en el marco del DORA ha sido un proyecto en sí mismo.

¿Qué está ocurriendo sobre el terreno? Los equipos se están organizando mejor. Las empresas están creando programas dedicados al DORA, incorporando a personal de TI, jurídico, de cumplimiento y de compras, e invirtiendo en plataformas que lo reúnen todo bajo un mismo techo. También se está pasando de tratar el DORA como "un asunto informático más" a convertirlo en una conversación a nivel directivo. Un reto recurrente es trabajar con proveedores tecnológicos más pequeños que, sencillamente, no disponen de los recursos necesarios para cumplir todos los requisitos. Esto significa que algunas instituciones financieras actúan ahora como socios de apoyo, no sólo como clientes.

Y la presión no se detiene en el DORA. Dentro de la UE, la NIS 2 está endureciendo las normas sobre infraestructuras críticas, y la Ley de Ciberresiliencia está a punto de poner bajo la lupa la seguridad de los productos. Mientras tanto, los reguladores de fuera de la UE vigilan de cerca. La FCA y la PRA del Reino Unido ya han puesto en marcha sus propias normas de resistencia, y en Estados Unidos, la SEC espera ahora que las empresas públicas revelen cómo gestionan los riesgos cibernéticos. Si piensa a largo plazo, la normativa sobre financiación del DORA no es sólo una norma europea: es un punto de partida mundial.

¿La IA y la automatización harán que el cumplimiento de la normativa sea menos quebradero de cabeza?

IA para el cumplimiento de la normativa va a desempeñar un papel cada vez más importante, no sólo en teoría, sino en las operaciones cotidianas. Muchos equipos ya utilizan herramientas de procesamiento del lenguaje natural (PLN) para revisar montones de contratos y acuerdos con proveedores. Estas herramientas ayudan a detectar automáticamente señales de alarma, como la ausencia de derechos de auditoría o garantías imprecisas de tiempo de recuperación. En lugar de depender de abogados o responsables de cumplimiento para que analicen manualmente cada línea, las empresas están incorporando la IA para detectar riesgos por adelantado y mantener la documentación rigurosa desde el primer día.

En lo que respecta a la automatización, las cosas avanzan rápidamente. Herramientas como SOAR (Security Orchestration, Automation, and Response) facilitan enormemente la gestión de incidentes sin caer en el caos. Digamos que algo se rompe. Estas plataformas pueden activar alertas, bloquear las cosas e incluso generar el informe inicial conforme a DORA para los reguladores, todo ello sin necesidad de que intervenga una persona. Y las plataformas GRC como ServiceNow o MetricStream también están subiendo de nivel. Están añadiendo cuadros de mando inteligentes, pruebas de resistencia automatizadas y bots que recuerdan a los equipos cuándo deben realizar simulacros o comprobar los KPI de terceros.

¿Cómo afecta el DORA a la externalización del desarrollo de software?

El DORA no regula directamente a los proveedores de tecnología, pero hace plenamente responsables a las entidades financieras de la resistencia del software que utilizan. Esto es muy importante. Significa que los bancos, las aseguradoras y las empresas de tecnología financiera ya no pueden elegir un equipo de desarrollo en función de la velocidad o el presupuesto. Si su código termina en algo remotamente crítico -como pagos, onboarding, plataformas de negociación- entonces su cliente necesita demostrar que el software es seguro, probado y trazable de extremo a extremo.

¿Qué significa esto en la práctica? Los equipos de contratación piden ahora por adelantado documentación segura sobre el proceso de desarrollo de software, registros de pruebas automatizados e informes de análisis de vulnerabilidades. Los contratos se actualizan con cláusulas de resistencia que cubren todo, desde los tiempos de recuperación de copias de seguridad hasta las responsabilidades de respuesta ante incidentes. Algunas empresas incluso organizan sesiones de pruebas conjuntas con sus proveedores para poner a prueba los tiempos de respuesta. En resumidas cuentas, si estás construyendo software financiero para un cliente, ahora formas parte de su historia de cumplimiento.

Reflexiones finales

Espero que tras leer este artículo te sientas un poco más seguro sobre el DORA o, al menos, que te plantees las preguntas adecuadas. Y, sinceramente, eso ya es un gran paso. Tanto si estás empezando a desentrañar la normativa como si estás metido de lleno en su aplicación, el camino hacia el cumplimiento no tiene por qué ser abrumador.

En Innowise, estamos aquí para ayudarle a entender el laberinto DORA, construir una verdadera resistencia digital, y mantener su negocio protegido no sólo ahora, sino para lo que venga después.

Comparte:

Siarhei Sukhadolski

Experto en FinTech

Siarhei lidera nuestra dirección de FinTech con un profundo conocimiento del sector y una visión clara de hacia dónde se dirigen las finanzas digitales. Ayuda a los clientes a navegar por complejas normativas y opciones técnicas, dando forma a soluciones que no solo son seguras, sino que están pensadas para el crecimiento.

Índice

Contáctenos

Reservar una llamada o rellene el siguiente formulario y nos pondremos en contacto con usted una vez hayamos procesado su

Nombre

Empresa

Correo electrónico

Teléfono

Mensaje Por favor, facilítenos detalles del proyecto, duración, tecnologías, especialistas informáticos necesarios y otra información relevante.

Grabe un mensaje de voz sobre su proyecto
para ayudarnos a comprenderlo mejor.

Adjunte los documentos adicionales si es necesario

Cargar archivo

Puede adjuntar hasta 1 archivo de 2 MB en total. Archivos válidos: pdf, jpg, jpeg, png

Le informamos de que, al hacer clic en el botón Enviar, el Grupo Innowise procesará sus datos personales de acuerdo con nuestra política de privacidad. Política de privacidad con el fin de proporcionarle información adecuada. Al facilitar un número de teléfono y enviar este formulario, acepta que nos pongamos en contacto con usted por SMS. Pueden aplicarse tarifas de mensajes y datos. Puede responder STOP para no recibir más mensajes. Responda a Ayuda para obtener más información.