Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es el Reglamento DORA? Marco de resiliencia digital de la UE
Cybersecurity 101/Ciberseguridad/Reglamento DORA

¿Qué es el Reglamento DORA? Marco de resiliencia digital de la UE

El Reglamento DORA exige resiliencia operativa digital para las entidades financieras de la UE. Conozca los cinco pilares, los plazos de cumplimiento, las sanciones y las mejores prácticas de implementación.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es la Regulación DORA?
Por qué DORA es importante para las instituciones financieras
¿Quién debe cumplir con DORA?
Requisitos de ciberseguridad de DORA
Cómo funciona DORA
Gestión de riesgos TIC bajo DORA
Requisitos de reporte de incidentes bajo DORA
Sanciones y aplicación de DORA
Desafíos en la implementación de DORA
Mejores prácticas para DORA
Cronograma de cumplimiento de DORA y fechas clave
DORA y regulaciones relacionadas de la UE
Conclusiones clave

Entradas relacionadas

  • Lista de verificación CMMC: Guía de preparación para auditoría para contratistas del DoD
  • ¿Qué es la fijación de sesión? Cómo los atacantes secuestran sesiones de usuario
  • Hacker Ético: Métodos, Herramientas y Guía de Carrera
  • ¿Qué son los ataques adversarios? Amenazas y defensas
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: April 30, 2026

¿Qué es la Regulación DORA?

Las instituciones financieras en la UE enfrentan un marco de cumplimiento obligatorio que entró en vigor el 17 de enero de 2025, con sanciones que alcanzan los 5-10 millones de euros o el 5-10% de la facturación anual por incumplimiento. La Ley de Resiliencia Operativa Digital (DORA), oficialmente Reglamento (UE) 2022/2554, establece requisitos uniformes para la gestión de riesgos TIC en las entidades financieras de la UE. Según el texto oficial del reglamento, DORA exige que las entidades financieras logren un alto nivel común de resiliencia operativa digital, lo que significa que debe demostrar la capacidad de resistir, responder y recuperarse de cualquier interrupción relacionada con tecnologías de la información y comunicación.

DORA regula a las entidades financieras cubiertas, incluyendo entidades de crédito, proveedores de servicios de pago, empresas de inversión, proveedores de servicios de criptoactivos, compañías de seguros y proveedores de servicios TIC externos. Si opera en el sector financiero de la UE, DORA probablemente regula sus operaciones de seguridad.

La investigación del sector revela que solo una pequeña fracción de las instituciones financieras informa cumplimiento total con los requisitos de gestión de riesgos de terceros TIC [TKTK - need source], una de las áreas de cumplimiento más bajas en todos los pilares de DORA. La fecha límite de reporte de terceros del 30 de abril de 2025 requiere acción si aún no ha abordado estas brechas.

Comprender por qué existe esta regulación ayuda a contextualizar el alcance de sus requisitos.

Por qué DORA es importante para las instituciones financieras

DORA establece requisitos armonizados de resiliencia operativa digital en todo el sector financiero de la UE, eliminando la fragmentación que anteriormente generaba complejidad de cumplimiento y brechas de seguridad. Los recientes ciberataques a instituciones financieras demuestran exactamente por qué existe esta regulación.

En 2016, los atacantes explotaron los sistemas de mensajería SWIFT para robar 81 millones de dólares del Banco de Bangladesh, exponiendo debilidades críticas en la gestión de riesgos de terceros TIC que DORA ahora aborda. La brecha de Capital One en 2019 comprometió más de 100 millones de registros de clientes a través de un entorno en la nube mal configurado, destacando la necesidad de marcos unificados de gestión de riesgos TIC en infraestructuras híbridas. En 2018, los atacantes utilizaron malware destructivo para distraer al personal del Banco de Chile mientras simultáneamente robaban 10 millones de dólares mediante transacciones SWIFT fraudulentas, demostrando cómo las interrupciones operativas pueden enmascarar robos financieros.

  • Reducción del riesgo sistémico: Al exigir estándares uniformes de gestión de riesgos TIC, DORA reduce la probabilidad de que fallos operativos en una institución se propaguen por el sistema financiero. Este enfoque uniforme garantiza que las entidades financieras puedan resistir, responder y recuperarse de interrupciones TIC.
  • Transparencia en el riesgo de terceros: El marco de supervisión crítica de proveedores externos aborda el riesgo de concentración que surge cuando el sector financiero depende de un número limitado de proveedores TIC. Según el  marco de supervisión de EIOPA, los artículos 31-44 establecen la supervisión regulatoria directa de proveedores críticos de servicios TIC externos (CTPP), marcando la primera vez que la UE establece tal supervisión a esta escala.
  • Estandarización de la respuesta a incidentes: El requisito de notificación en 4 horas crea coherencia en la forma en que las entidades financieras gestionan los incidentes de seguridad. Cuando los incidentes TIC importantes tienen potencial sistémico, las autoridades coordinan respuestas a través del Marco Europeo de Coordinación de Incidentes Cibernéticos Sistémicos (EU-SCICF).
  • Mejora de la protección al cliente: DORA exige que las entidades financieras informen incidentes TIC importantes y amenazas de ciberseguridad significativas a las autoridades competentes, mientras que cualquier obligación de informar a los clientes surge, en su caso, de otras leyes sectoriales como GDPR o PSD2 y no de DORA en sí.

Estos beneficios se aplican ampliamente en el sector financiero, pero el primer paso es determinar si su organización está dentro del alcance de DORA.

¿Quién debe cumplir con DORA?

DORA se aplica a 21 categorías de entidades financieras que operan dentro de la UE, creando uno de los alcances regulatorios más amplios en ciberseguridad de servicios financieros. El artículo 2 define la lista completa de entidades cubiertas.

Las instituciones financieras tradicionales forman el núcleo del alcance: entidades de crédito, instituciones de pago, entidades de dinero electrónico, empresas de inversión y depositarios centrales de valores. Las empresas de seguros y reaseguros, intermediarios de seguros e instituciones de previsión social también están sujetas a los requisitos de DORA. El reglamento también cubre proveedores de servicios de criptoactivos, proveedores de servicios de financiación participativa y repositorios de titulización.

Las entidades de infraestructura de mercado, incluidos los centros de negociación, repositorios de operaciones, contrapartes centrales y proveedores de servicios de reporte de datos, deben cumplir. Las agencias de calificación crediticia, administradores de índices críticos y proveedores de servicios de información de cuentas completan las categorías de entidades financieras.

Los proveedores de servicios TIC externos enfrentan requisitos de DORA cuando prestan servicios a entidades financieras de la UE, independientemente de dónde tengan su sede. Las empresas tecnológicas no pertenecientes a la UE que proporcionan servicios en la nube, software o servicios gestionados a bancos de la UE deben cumplir con los requisitos contractuales de DORA. Las ESA designan a ciertos proveedores como Proveedores Críticos de Terceros (CTPP) en función de su importancia sistémica, sometiéndolos a supervisión regulatoria directa.

El principio de proporcionalidad del artículo 4 permite que las entidades más pequeñas implementen requisitos proporcionales a su tamaño, perfil de riesgo y complejidad. Las microempresas califican para marcos simplificados de gestión de riesgos TIC según el artículo 16(3), aunque siguen sujetas a obligaciones de reporte de incidentes y supervisión de terceros.

Una vez que determine que DORA se aplica a su organización, la siguiente pregunta es qué obligaciones de seguridad específicas debe cumplir.

Requisitos de ciberseguridad de DORA

DORA aborda específicamente la seguridad de los sistemas de red y de información que respaldan los procesos comerciales del sector financiero. Las interrupciones y amenazas cibernéticas relacionadas con TIC representan riesgos significativos para la estabilidad financiera, la continuidad operativa y la protección del cliente.

El artículo 15 establece requisitos explícitos de ciberseguridad: debe monitorear comportamientos anómalos en patrones de uso de red, horarios, actividad de TI y dispositivos desconocidos. Según el texto oficial del reglamento, las entidades financieras deben implementar el monitoreo de comportamientos anómalos en relación con el riesgo TIC mediante indicadores apropiados.

Los requisitos de reporte de incidentes van más allá de los marcos tradicionales de ciberseguridad. Los artículos 19 y 20 exigen incluir la atribución de actores de amenazas en sus informes de incidentes y amenazas. Debe clasificar los incidentes como mayores o no mayores en un plazo de 4 horas y luego enviar la notificación inicial a su autoridad nacional competente.

DORA funciona como lex specialis para el sector financiero, teniendo prioridad sobre NIS2. Si bien ISO 27001 proporciona una base, DORA amplía los requisitos con la atribución obligatoria de actores de amenazas, obligaciones de notificación al cliente y mecanismos de supervisión de terceros que abordan el riesgo de concentración sistémica.

Estos requisitos de ciberseguridad forman parte de la estructura regulatoria más amplia de DORA, que organiza las obligaciones en cinco pilares distintos.

Cómo funciona DORA

DORA opera a través de requisitos técnicos obligatorios aplicados por autoridades nacionales competentes coordinadas por las Autoridades Europeas de Supervisión.

Su marco de gestión de riesgos TIC requiere estrategias, políticas y procedimientos. El órgano de administración tiene la responsabilidad última de la supervisión del riesgo TIC, como se establece en los requisitos regulatorios de DORA, según el  informe regulatorio de Citi.

Cuando ocurre un incidente, debe clasificarlo inmediatamente tras su identificación utilizando criterios predefinidos. Para incidentes mayores, debe enviar la notificación inicial en un plazo de 4 horas desde la clasificación a su autoridad nacional competente, seguida de notificaciones secuenciales a medida que evoluciona la situación.

El programa de pruebas de resiliencia opera en ciclos definidos. Para la mayoría de las entidades, debe realizar evaluaciones regulares y pruebas basadas en escenarios apropiadas a su perfil de riesgo. Si las autoridades reguladoras identifican su institución como significativa, debe realizar TLPT al menos cada 3 años. Tras la finalización de las pruebas, debe documentar los hallazgos resumidos y los planes de remediación con plazos.

La supervisión de terceros funciona mediante requisitos contractuales y designación regulatoria. Antes de contratar proveedores de servicios TIC, debe verificar que cumplen con los estándares de seguridad de la información de DORA. Según el  artículo 30, sus contratos deben incluir:

  • Acuerdos de nivel de servicio con métricas de desempeño
  • Estándares de seguridad y requisitos de cumplimiento
  • Derechos de auditoría y disposiciones de acceso
  • Estrategias de salida y planificación de transición

Las ESA designan a ciertos proveedores como proveedores críticos de terceros (CTPP) en función de su importancia sistémica. Estos CTPP enfrentan supervisión regulatoria directa independientemente de su domicilio.

Dos de los cinco pilares de DORA tienen el mayor peso operativo para los equipos de seguridad: gestión de riesgos TIC y reporte de incidentes.

Gestión de riesgos TIC bajo DORA

La gestión de riesgos TIC constituye la base del marco regulatorio de DORA. El artículo 6 exige que las entidades financieras establezcan marcos de gestión de riesgos TIC como componente integral de su  sistema de gestión de riesgos general, con responsabilidad directa asignada al órgano de administración.

El órgano de administración debe definir, aprobar, supervisar y ser responsable de los arreglos de gestión de riesgos TIC. Esto incluye establecer niveles de tolerancia al riesgo, aprobar políticas de continuidad de negocio TIC y asignar presupuesto adecuado para la resiliencia operativa digital. DORA deja claro que el riesgo TIC es una responsabilidad a nivel de junta directiva, no una función del departamento de TI.

El artículo 8 exige la identificación de todas las fuentes de riesgo TIC, incluidos los riesgos derivados de dependencias de terceros TIC. Debe mantener un inventario completo de activos TIC, mapear interdependencias entre sistemas y documentar todas las funciones comerciales respaldadas por TIC. Este ejercicio de mapeo revela riesgos de concentración y puntos únicos de fallo que podrían interrumpir servicios financieros críticos.

Los requisitos de protección y prevención del artículo 9 especifican que las entidades financieras deben implementar políticas de seguridad TIC en varios dominios:

  • Seguridad de la información para datos en tránsito y en reposo
  • Gestión y segmentación de seguridad de red
  • Políticas de control de acceso y mecanismos de autenticación
  • Procedimientos de gestión de parches y actualizaciones
  • Seguridad física y ambiental para activos TIC

Estos controles deben operar como un sistema integrado, no como medidas aisladas aplicadas de forma independiente.

Las capacidades de detección son igualmente críticas. El artículo 10 exige mecanismos para detectar rápidamente actividades anómalas, incluidos problemas de rendimiento de red TIC e incidentes relacionados con TIC. Su infraestructura de detección debe monitorear comportamientos anómalos mediante indicadores apropiados y habilitar múltiples capas de control.

Los procedimientos de respuesta y recuperación de los artículos 11 y 12 completan el marco. Debe implementar políticas de continuidad de negocio TIC, planes de recuperación ante desastres y políticas de respaldo. Estos deben probarse regularmente y actualizarse en función de las lecciones aprendidas de interrupciones, pruebas de resiliencia y hallazgos de auditoría.

Cumplir con estas obligaciones de gestión de riesgos TIC crea la base para los igualmente exigentes requisitos de reporte de incidentes de DORA.

Requisitos de reporte de incidentes bajo DORA

DORA establece un marco estructurado y con plazos definidos para el reporte de incidentes que va más allá de lo que la mayoría de las entidades financieras han implementado bajo regulaciones previas. Los artículos 17 al 23 definen criterios de clasificación, plazos de reporte y obligaciones de notificación para incidentes relacionados con TIC.

Debe primero clasificar cada incidente relacionado con TIC utilizando los criterios definidos en el artículo 18. Los factores de clasificación incluyen el número de clientes afectados, la duración y extensión geográfica del incidente, las pérdidas de datos involucradas, la criticidad de los servicios afectados y el impacto económico. Con base en esta evaluación, determina si el incidente califica como "mayor" según los umbrales de DORA.

Para incidentes mayores, el plazo de reporte es estricto:

  • Notificación inicial: Dentro de las 4 horas posteriores a la clasificación del incidente
  • Informe intermedio: Dentro de las 72 horas posteriores a la notificación inicial, cubriendo actualizaciones de progreso, análisis preliminar de causa raíz y medidas temporales implementadas
  • Informe final: Dentro de un mes del informe intermedio, incluyendo análisis confirmado de causa raíz, evaluación del impacto real y acciones de remediación tomadas

Procesos efectivos de  respuesta a incidentes se vuelven esenciales para cumplir estos plazos. Los artículos 19 y 20 también exigen la atribución de actores de amenazas en sus informes de incidentes y amenazas, creando la necesidad de integración de  inteligencia de amenazas en sus flujos de reporte.

Más allá de los incidentes mayores, DORA introduce el reporte voluntario de amenazas cibernéticas significativas bajo el artículo 19. Las entidades financieras pueden notificar a su autoridad competente cuando identifiquen una amenaza cibernética que consideren relevante para el sistema financiero, incluso si la amenaza aún no ha resultado en un incidente.

Estas obligaciones de reporte conllevan consecuencias de aplicación, lo que nos lleva al marco de sanciones de DORA.

Sanciones y aplicación de DORA

La aplicación de DORA opera a través de autoridades nacionales competentes coordinadas por las Autoridades Europeas de Supervisión (EBA, ESMA y EIOPA). Cada estado miembro de la UE implementa su propio marco de sanciones dentro de los parámetros de DORA, creando variaciones en las multas máximas y enfoques de aplicación.

Las estructuras de sanciones difieren significativamente entre los estados miembros. Según el  análisis de DLA Piper, Bélgica impone sanciones máximas de 5 millones de euros o el 10% de la facturación anual neta. Suecia calcula las sanciones como la mayor de 1 millón de euros, el 10% de la facturación anual neta total o tres veces el beneficio derivado de la infracción. El marco de Alemania permite sanciones de hasta 5 millones de euros para personas jurídicas y 500.000 euros para personas físicas en puestos de dirección.

Los poderes de aplicación se extienden más allá de las sanciones financieras. Las autoridades competentes pueden:

  • Emitir órdenes de cese y desistimiento que exijan remediación inmediata
  • Publicar advertencias públicas identificando entidades no conformes por nombre
  • Remover a miembros del consejo responsables de fallos en la supervisión del riesgo TIC

Estas consecuencias reputacionales a menudo superan las sanciones financieras directas en el impacto empresarial a largo plazo.

El artículo 54 exige que las autoridades competentes publiquen las decisiones que imponen sanciones administrativas en sus sitios web oficiales, incluyendo información sobre el tipo y naturaleza de la infracción y la identidad de las personas responsables. Este mecanismo de divulgación pública crea transparencia pero también un riesgo reputacional significativo para las organizaciones no conformes.

Los Proveedores Críticos de Terceros enfrentan supervisión directa del Supervisor Principal designado por las ESA. Los CTPP que no cumplan con las recomendaciones de supervisión enfrentan pagos periódicos de sanciones hasta lograr el cumplimiento, aparte de las sanciones impuestas a las entidades financieras a las que prestan servicios.

Con estas consecuencias de aplicación en mente, comprender las barreras prácticas para el cumplimiento se vuelve esencial.

Desafíos en la implementación de DORA

La investigación del sector revela barreras sistemáticas de implementación en todo el sector financiero, siendo la gestión de riesgos de terceros TIC y las pruebas de resiliencia operativa digital las áreas con menor nivel de cumplimiento.

  1. Complejidad en la gestión de riesgos de terceros: La gestión de riesgos de terceros TIC representa el área de menor cumplimiento en todos los pilares de DORA. Las organizaciones enfrentan la perspectiva de revisiones legales habilitadas por tecnología de potencialmente miles de contratos, cada uno requiriendo verificación de que los proveedores cumplen con los estándares de seguridad de DORA.
  2. Deficiencias en los programas de pruebas: Las pruebas de resiliencia operativa digital muestran niveles de cumplimiento igualmente preocupantes. Esto indica que las organizaciones tienen dificultades para implementar marcos de pruebas de penetración dirigidas por amenazas requeridas por DORA.
  3. Brechas de visibilidad en entornos multicloud: Crear una visión central de sistemas TIC complejos, segregados y segmentados representa un gran desafío. Se requiere la ingesta de metadatos de entornos multicloud, integración de infraestructura on-premise e inventarios completos de activos. Las plataformas de visibilidad unificada que consolidan el monitoreo en entornos multicloud y on-premise ayudan a abordar este desafío.
  4. Requisitos de atribución de incidentes: El mandato de incluir  atribución de actores de amenazas en los informes de incidentes genera una carga operativa más allá de la respuesta tradicional a incidentes. Este requisito demanda acceso a fuentes de inteligencia de amenazas y analistas con experiencia en atribución, junto con flujos de reporte autónomos para soportar la notificación a múltiples partes interesadas, incluida la comunicación con clientes.
  5. Presión por los plazos: El requisito de notificación en 4 horas desde la clasificación del incidente genera una presión operativa significativa. Las plataformas de seguridad con capacidades autónomas reducen el tiempo de respuesta al detectar y clasificar amenazas sin intervención manual. Cuando un incidente ocurre a las 2 a.m., tiene cuatro horas para clasificar la gravedad, evaluar el impacto, determinar los actores de amenazas y enviar la notificación inicial.

Evitar estas barreras requiere estrategias deliberadas que aborden los requisitos más exigentes de DORA.

Mejores prácticas para DORA

La implementación exitosa de DORA requiere enfoques estructurados en las dimensiones de gobernanza, operaciones y tecnología.

Priorice la gestión de riesgos de terceros: Dado que la gestión de riesgos de terceros muestra las tasas de cumplimiento más bajas, realice revisiones legales habilitadas por tecnología de todos los contratos de proveedores de servicios TIC. Implemente enfoques individualizados para proveedores críticos. Establezca monitoreo continuo del cumplimiento de terceros y aborde el riesgo de concentración mediante estrategias de diversificación.

Implemente respuesta autónoma a incidentes: Las plataformas de seguridad que despliegan IA conductual para monitorear comportamientos anómalos en patrones de red, horarios, actividad de TI y dispositivos desconocidos, como exige el artículo 15, permiten una respuesta rápida a incidentes. Necesita  plataformas de seguridad que proporcionen capacidades autónomas para detectar y clasificar amenazas, ayudando a cumplir el plazo de notificación de 4 horas. Asegúrese de que su infraestructura incluya integración de inteligencia de amenazas para soportar el análisis de atribución de actores de amenazas requerido por los artículos 19-20.

Construya programas de pruebas según perfiles de riesgo: Implemente pruebas de penetración dirigidas por amenazas (TLPT) para sistemas críticos identificados al menos cada 3 años. Su programa de pruebas debe incluir:

  • Ejercicios regulares de resiliencia basados en escenarios
  • Resultados de pruebas documentados con hallazgos resumidos
  • Planes de remediación con plazos específicos
  • Integración con la planificación de continuidad de negocio

Implemente plataformas de visibilidad unificada: Establezca visibilidad centralizada en entornos multicloud y on-premise. Mantenga inventarios completos de activos TIC. Implemente gestión continua de postura. Cree una única fuente de verdad para dependencias TIC basada en recomendaciones del sector que aborden los desafíos de visibilidad en infraestructuras multicloud e híbridas.

Establezca cumplimiento continuo: Cree programas de  monitoreo de cumplimiento continuo en lugar de evaluaciones puntuales. Construya bucles de retroalimentación desde las pruebas hacia la gestión de riesgos. Mantenga la conciencia de las expectativas supervisoras en evolución. Planifique para actualizaciones de estándares técnicos regulatorios. Monitoree las designaciones de proveedores críticos de terceros por parte de las autoridades.

Junto a estas prácticas operativas, comprender el cronograma de cumplimiento de DORA ayuda a priorizar los esfuerzos de implementación.

Cronograma de cumplimiento de DORA y fechas clave

DORA sigue un cronograma de implementación por fases que comenzó con su publicación y continúa mediante actualizaciones continuas de estándares técnicos regulatorios. Mantenerse por delante de estos plazos es esencial para mantener el cumplimiento.

DORA se publicó en el  Diario Oficial de la UE el 27 de diciembre de 2022 y entró en vigor el 16 de enero de 2023. Las entidades financieras y los proveedores de servicios TIC externos tuvieron un período de transición de dos años para implementar los requisitos del reglamento.

La fecha principal de aplicación fue el 17 de enero de 2025. A partir de esta fecha, todas las entidades financieras cubiertas deben demostrar cumplimiento con los requisitos centrales de DORA: marcos de gestión de riesgos TIC, procedimientos de reporte de incidentes, programas de pruebas de resiliencia y obligaciones de gestión de riesgos de terceros.

Fechas clave posteriores a la aplicación incluyen:

  • 17 de enero de 2025: Cumplimiento total requerido para todas las entidades cubiertas
  • 30 de abril de 2025: Fecha límite para la primera presentación del registro de información sobre acuerdos TIC de terceros a las autoridades competentes
  • Continuo (cada 3 años): Pruebas de penetración dirigidas por amenazas (TLPT) para entidades identificadas como significativas
  • Continuo: Actualizaciones anuales del registro de terceros TIC y monitoreo continuo del cumplimiento de terceros

Las Autoridades Europeas de Supervisión continúan publicando Normas Técnicas Regulatorias (RTS) y Normas Técnicas de Implementación (ITS) que proporcionan orientación detallada sobre obligaciones específicas de DORA. El  primer lote de RTS sobre gestión de riesgos TIC, clasificación de incidentes y riesgo de terceros se finalizó a principios de 2024. Un segundo lote sobre requisitos TLPT y marcos de pruebas avanzadas le siguió.

Las entidades financieras deben monitorear las publicaciones de las ESA para actualizaciones de estándares técnicos y orientación supervisora que puedan refinar las expectativas de cumplimiento con el tiempo. DORA también se cruza con otros marcos regulatorios de la UE que las entidades financieras deben gestionar simultáneamente.

DORA y regulaciones relacionadas de la UE

DORA opera junto a varias regulaciones de la UE que en conjunto configuran el panorama de ciberseguridad y resiliencia operativa para las instituciones financieras. Comprender cómo interactúan estos marcos previene la duplicación de esfuerzos y garantiza una cobertura regulatoria completa.

  • DORA y NIS2: DORA funciona como lex specialis para el sector financiero, lo que significa que tiene prioridad sobre la Directiva de Seguridad de Redes y Sistemas de Información (NIS2) para las entidades dentro de su alcance. Cuando ambas regulaciones puedan aplicarse, los requisitos específicos del sector financiero de DORA prevalecen sobre las disposiciones generales de ciberseguridad de NIS2. Sin embargo, los proveedores de servicios TIC no clasificados como CTPP pueden seguir sujetos a obligaciones de NIS2 si califican como entidades esenciales o importantes bajo esa directiva.
  • DORA y GDPR: El Reglamento General de Protección de Datos sigue aplicándose junto a DORA, especialmente en lo relativo a la notificación de brechas de datos personales. Cuando un incidente relacionado con TIC involucra datos personales, debe cumplir tanto con el plazo de notificación de incidentes de DORA (notificación inicial en 4 horas a las autoridades competentes) como con el plazo de 72 horas de GDPR a las autoridades de protección de datos. Los dos flujos de reporte operan en paralelo con diferentes plazos, destinatarios y requisitos de contenido.
  • DORA y la Ley de Resiliencia Cibernética (CRA): La CRA se centra en los requisitos de ciberseguridad para productos con elementos digitales comercializados en la UE. Mientras DORA regula cómo las entidades financieras gestionan los riesgos TIC operativamente, la CRA aborda la seguridad de los productos de hardware y software que adquieren esas entidades. Juntas, crean un marco de seguridad de la cadena de suministro donde los fabricantes de productos deben cumplir con los estándares de la CRA y las entidades financieras deben verificar el cumplimiento de los proveedores bajo DORA.
  • DORA e ISO 27001: ISO 27001 proporciona un marco voluntario de sistema de gestión de seguridad de la información, mientras que DORA impone requisitos obligatorios. ENISA proporciona tablas oficiales de mapeo que correlacionan los requisitos de DORA con los controles de ISO 27001. Las entidades financieras certificadas en ISO 27001 tienen una ventaja inicial, pero aún enfrentan brechas en atribución de actores de amenazas, protocolos de notificación al cliente, gestión de riesgos de concentración de terceros y requisitos TLPT que DORA exige específicamente.

Implementar estas mejores prácticas y navegar la superposición regulatoria requiere infraestructura de seguridad diseñada para monitoreo continuo y respuesta rápida.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Conclusiones clave

DORA exige resiliencia operativa digital en todas las entidades financieras de la UE con aplicación a partir del 17 de enero de 2025. El reglamento requiere marcos de gestión de riesgos TIC con responsabilidad a nivel de junta directiva, clasificación y reporte de incidentes en 4 horas para incidentes mayores incluyendo atribución de actores de amenazas, pruebas de resiliencia con TLPT al menos cada tres años para entidades significativas, supervisión de terceros con reporte de proveedores TIC a partir del 30 de abril de 2025 y mecanismos de intercambio de información para el intercambio de inteligencia sobre amenazas cibernéticas.

La gestión de riesgos de terceros y las pruebas de resiliencia muestran las tasas de cumplimiento más bajas en el sector financiero, generando una exposición regulatoria significativa. Las plataformas de seguridad que monitorean comportamientos anómalos, integran inteligencia de amenazas y permiten una respuesta rápida a incidentes ayudan a las organizaciones a cumplir con los exigentes requisitos de DORA.

Preguntas frecuentes

DORA (Reglamento de Resiliencia Operativa Digital) es el Reglamento de la UE 2022/2554 que establece requisitos uniformes para la gestión de riesgos TIC en las entidades financieras de la UE. El reglamento exige que las instituciones financieras logren la resiliencia operativa digital mediante la implementación de marcos de gestión de riesgos TIC, procedimientos de notificación de incidentes, programas de pruebas de resiliencia y supervisión de riesgos de terceros. 

DORA entró en vigor el 17 de enero de 2025 y se aplica a 21 tipos de entidades financieras, incluyendo bancos, empresas de inversión, compañías de seguros y sus proveedores de servicios TIC.

DORA se aplica a 21 categorías de entidades financieras que operan dentro de la UE, incluidas las instituciones de crédito, empresas de inversión, compañías de seguros, proveedores de servicios de pago, proveedores de servicios de criptoactivos y lugares de negociación. 

Los proveedores de servicios externos de TIC que prestan servicios a estas entidades financieras también deben cumplir, independientemente de si el proveedor tiene su sede dentro o fuera de la UE. El principio de proporcionalidad permite que las entidades más pequeñas implementen requisitos simplificados proporcionales a su tamaño y perfil de riesgo.

DORA entró en vigor el 16 de enero de 2023, tras su publicación en el Diario Oficial de la UE el 27 de diciembre de 2022. El reglamento pasó a ser plenamente aplicable y exigible el 17 de enero de 2025, después de un período de transición de dos años. 

Las entidades financieras y los proveedores externos de TIC debían tener todos los marcos, políticas y procedimientos necesarios implementados para esta fecha de aplicación.

Sí. DORA exige pruebas de resiliencia operativa digital según los Artículos 24-27, que incluyen evaluaciones de vulnerabilidades, evaluaciones de seguridad de red y pruebas basadas en escenarios. 

Para las entidades identificadas como significativas por las autoridades regulatorias, el Artículo 26 requiere pruebas de penetración dirigidas por amenazas (TLPT) al menos cada tres años. TLPT debe simular escenarios de ataque del mundo real utilizando inteligencia sobre actores de amenazas genuinos que apunten a la organización específica.

Comience mapeando sus activos TIC y dependencias de terceros para comprender el alcance regulatorio completo. Establezca un marco de gestión de riesgos TIC con responsabilidad a nivel de junta directiva, como exige el Artículo 6. 

Revise y actualice todos los contratos con proveedores de servicios TIC para cumplir con los requisitos del Artículo 30. Implemente procedimientos de clasificación y notificación de incidentes que cumplan con el plazo de notificación de 4 horas. Desarrolle o mejore su programa de pruebas de resiliencia de acuerdo con su perfil de riesgo.

Las sanciones varían según el Estado miembro, generalmente oscilando entre 5-10 millones de euros o el 5-10% de la facturación neta anual. Bélgica impone sanciones máximas de 5 millones de euros o el 10% de la facturación neta anual. 

Suecia calcula las sanciones como el mayor valor entre 1 millón de euros, el 10% de la facturación neta anual total o tres veces el beneficio obtenido por la infracción. El Artículo 54 también permite a las autoridades publicar los detalles de las sanciones, generando un riesgo reputacional más allá de las consecuencias financieras.

DORA regula 21 tipos de entidades financieras, incluidas las entidades de crédito, empresas de inversión, compañías de seguros, proveedores de servicios de criptoactivos y centros de negociación. 

Los proveedores externos de TIC que presten servicios a entidades financieras de la UE también deben cumplir, independientemente de la ubicación de su sede. Las microempresas pueden acogerse a requisitos simplificados del marco según el Artículo 16(3).

DORA exige la atribución de actores de amenazas en los informes de incidentes, la notificación de incidentes a los clientes y la supervisión regulatoria directa de los proveedores terceros de TIC. ISO 27001 proporciona una base de gestión de riesgos pero carece de estos requisitos específicos. 

DORA funciona como lex specialis para los servicios financieros, teniendo prioridad sobre los requisitos generales de ciberseguridad de NIS2. Las entidades financieras certificadas en ISO 27001 aún presentan brechas en la atribución de actores de amenazas, los protocolos de notificación a clientes y la gestión del riesgo de concentración de terceros que DORA aborda.

TLPT requiere que las entidades identificadas como significativas realicen pruebas avanzadas al menos cada tres años simulando ciberataques reales. Las pruebas deben utilizar inteligencia sobre actores de amenazas genuinos, tácticas, técnicas y procedimientos dirigidos específicamente a su organización. 

Tras la finalización, debe documentar los hallazgos y planes de remediación con cronogramas, y luego presentar la documentación de cumplimiento a las autoridades competentes para su revisión supervisora.

El artículo 28 establece que las entidades financieras solo pueden celebrar contratos con proveedores de TIC que cumplan con los estándares de seguridad de la información de DORA. Los contratos existentes con proveedores no conformes generan exposición regulatoria y deben revisarse para incluir las disposiciones requeridas. 

Las ESA designan proveedores terceros críticos para una supervisión regulatoria directa. Las entidades financieras deben presentar información sobre las relaciones con terceros de TIC en el registro y mantener documentación de cumplimiento continua.

Descubre más sobre Ciberseguridad

Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativosCiberseguridad

Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativos

Descubra qué riesgos y amenazas enfrentan las agencias y organismos gubernamentales en el ámbito de la ciberseguridad. También cubrimos las mejores prácticas para proteger los sistemas gubernamentales. Siga leyendo para obtener más información.

Seguir leyendo
¿Qué es la referencia directa insegura a objetos (IDOR)?Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?

La referencia directa insegura a objetos (IDOR) es una falla de control de acceso donde la ausencia de verificaciones de propiedad permite a los atacantes recuperar los datos de cualquier usuario al modificar un parámetro en la URL. Descubra cómo detectarla y prevenirla.

Seguir leyendo
Seguridad IT vs. OT: Diferencias clave y mejores prácticasCiberseguridad

Seguridad IT vs. OT: Diferencias clave y mejores prácticas

La seguridad IT vs. OT abarca dos dominios con perfiles de riesgo, mandatos de cumplimiento y prioridades operativas distintas. Conozca las diferencias clave y las mejores prácticas.

Seguir leyendo
¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticasCiberseguridad

¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas

Las copias de seguridad air gapped mantienen al menos una copia de recuperación fuera del alcance de los atacantes. Descubra cómo funcionan, tipos, ejemplos y mejores prácticas para la recuperación ante ransomware.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español