Saltar al contenido principal
Cumplimiento DORA

Regulación DORA: requisitos de seguridad TIC para servicios financieros

La Ley de Resiliencia Operativa Digital exige monitoreo continuo de activos TIC y escaneo semanal de vulnerabilidades. SeguriScan automatiza el descubrimiento de activos y el escaneo para que su equipo pueda centrarse en dirigir el negocio.

Iniciar escaneo de seguridad gratuitoSolicitar una demo
Plataforma con sede en la UE
Monitoreo semanal
Informes automatizados
Sin instalación requerida

¿Qué es la Ley de Resiliencia Operativa Digital?

La Ley de Resiliencia Operativa Digital (Reglamento UE 2022/2554) es una ley de la UE que establece requisitos vinculantes de seguridad TIC para toda entidad financiera que opera en la Unión Europea. Entró en plena aplicación el 17 de enero de 2025 — sin período de gracia. Si su empresa tiene licencia de la UE o presta servicios a instituciones financieras de la UE como proveedor TIC, DORA le aplica ahora mismo. DORA cubre cinco pilares: gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia operativa, riesgo de terceros TIC y compartición de información. Para pymes, las obligaciones más inmediatas son el inventario continuo de activos (Art. 8), el escaneo automatizado de vulnerabilidades al menos semanal para sistemas críticos (Art. 10) y el mantenimiento de un Registro de Información para todos los contratos con proveedores TIC (Art. 28). La buena noticia: no necesita un gran equipo de seguridad para cumplir. Las herramientas adecuadas automatizan el descubrimiento, escaneo y generación de informes que DORA exige — para que tenga evidencia documentada lista para su regulador nacional cuando venga a preguntar.

Ley de Resiliencia Operativa Digital (UE 2022/2554)
17 de enero de 2025 — sin período de gracia
Unión Europea (los 27 estados miembros)

¿Quién debe cumplir con DORA?

Bancos e instituciones de créditoInstituciones de pago y de dinero electrónicoCompañías de seguros e intermediariosEmpresas de inversiónProveedores de servicios de criptoactivos (MiCA)Proveedores de servicios de financiación colectivaProveedores TIC de terceros (designados críticos)Agencias de calificación crediticia

Requisitos clave de seguridad de DORA

Art. 8 — Gestión de activos TIC

Identificar, clasificar y documentar continuamente todos los activos TIC — hardware, software, datos e infraestructura de soporte. La revisión debe realizarse al menos anualmente, con actualizaciones continuas para cambios materiales.

Art. 10 — Gestión de vulnerabilidades y parches

Ejecutar escaneo automatizado de vulnerabilidades en todos los activos TIC. Los activos que soportan funciones críticas o importantes deben escanearse como mínimo semanalmente. Los resultados deben puntuarse por gravedad e incorporarse a un proceso de remediación.

Art. 28–44 — Riesgo de terceros TIC

Mantener un Registro de Información (RdI) documentando todos los acuerdos de servicios TIC de terceros. Evaluar la postura de seguridad de los proveedores y monitorear cambios materiales durante todo el ciclo de vida del contrato. (Primer plazo de envío del RdI: 4 de abril de 2025.)

Art. 5 y Art. 17–23 — Gobernanza y notificación de incidentes

El órgano de dirección debe aprobar las políticas de riesgo TIC anualmente. Los incidentes TIC mayores deben notificarse a la autoridad competente en 4 horas desde la clasificación, con un informe intermedio a las 72 horas y un informe final en 1 mes.

Cómo SeguriScan apoya los requisitos técnicos de DORA

1

Descubra sus activos TIC

Apunte SeguriScan a sus dominios y descubre automáticamente subdominios, direcciones IP, servicios en la nube, APIs, certificados y puertos expuestos — todo lo que cuenta como activo TIC bajo el Artículo 8. Sin agentes, sin instalación, sin tickets de TI. Su inventario completo de activos está listo en minutos y se mantiene actualizado automáticamente.

2

Evalúe vulnerabilidades semanalmente

SeguriScan escanea cada activo descubierto contra CVE conocidas y configuraciones erróneas con una cadencia semanal, puntúa los hallazgos por gravedad CVSS y los mapea a los niveles de clasificación de riesgo de DORA. El escaneo semanal cumple el mínimo del Artículo 10 para activos de funciones críticas. Obtiene una lista de correcciones priorizada — no una lista cruda de cientos de alertas.

3

Genere informes de resiliencia

Cada escaneo produce un informe estructurado con marca de tiempo construido para revisión regulatoria. Comparta el resumen ejecutivo con su consejo para la aprobación anual de la política de riesgo TIC (Art. 5). Exporte los hallazgos detallados como evidencia para su regulador nacional — BaFin, CBI, AMF, CNMV u otro que supervise su empresa. Sin redacción manual de informes requerida.

Inicie su evaluación gratuita

El coste del incumplimiento de DORA

Sanciones económicas

Para fallos sistémicos graves, las multas alcanzan el 2% de la facturación mundial total anual — sin tope. Para incumplimientos de disposiciones específicas, la sanción es de hasta el 1% de la facturación mundial diaria media por día de incumplimiento. Las multas fijas independientes alcanzan hasta 5.000.000 €. Estados miembros como Alemania, Francia y España pueden establecer sanciones nacionales superiores al mínimo de la UE.

Restricciones operativas

Los reguladores pueden ordenar la suspensión o retirada de su autorización de operación, imponer restricciones a actividades TIC específicas y divulgar públicamente las violaciones mediante avisos de supervisión de las ESA. Los proveedores TIC no conformes pueden ver sus contratos rescindidos por clientes de entidades financieras — por instrucción directa del regulador.

Responsabilidad personal

Los altos directivos y miembros del consejo enfrentan multas personales de hasta 1.000.000 € por fallos en la gobernanza de riesgo TIC. El Artículo 5 de DORA asigna la responsabilidad al órgano de dirección — no solo al CISO. Las personas en proveedores TIC de terceros designados como críticos enfrentan multas personales de hasta 500.000 €.

DORA está en plena aplicación desde el 17 de enero de 2025. Los reguladores nacionales comenzaron auditorías de supervisión e inspecciones in situ de entidades financieras en 2026. No queda período de gracia.

Verifique su seguridad — gratis

Sin tarjeta de credito · Resultados en 60 segundos

Preguntas frecuentes sobre cumplimiento DORA

¿Qué es DORA y a quién aplica?

DORA (Ley de Resiliencia Operativa Digital, Reglamento UE 2022/2554) es una ley de la UE que exige a las entidades financieras mantener programas robustos de gestión de riesgos TIC, notificación de incidentes y pruebas de resiliencia. Aplica a 21 categorías de entidades financieras en la UE — incluyendo bancos, instituciones de pago, instituciones de dinero electrónico, empresas de inversión, compañías de seguros, proveedores de servicios de criptoactivos y plataformas de financiación colectiva. También aplica a cualquier proveedor TIC designado como 'crítico' por las Autoridades Europeas de Supervisión. Si su empresa tiene licencia financiera de la UE o proporciona servicios TIC a entidades financieras de la UE, DORA le aplica. Las microempresas (menos de 10 empleados y 2M € de facturación) se benefician de requisitos simplificados, pero no están completamente exentas.

¿Cuáles son las sanciones por incumplimiento de DORA?

Las sanciones de DORA se escalonan por gravedad. Los fallos sistémicos conllevan multas de hasta el 2% de la facturación mundial total anual. Los incumplimientos de disposiciones específicas se multan con hasta el 1% de la facturación mundial diaria media por cada día de incumplimiento. Las multas fijas para violaciones menos graves alcanzan los 5.000.000 €. De forma crucial, los altos directivos enfrentan responsabilidad personal de hasta 1.000.000 € por individuo — así que el cumplimiento de DORA es un asunto del consejo, no solo de TI. Los reguladores nacionales (BaFin, CBI, AMF, CNMV y otros) pueden establecer sanciones superiores al mínimo de la UE, y la identificación pública de infractores por las ESA añade riesgo reputacional sobre las sanciones económicas.

¿Cómo ayuda la gestión de superficie de ataque con DORA?

DORA exige directamente tres cosas que la gestión de superficie de ataque automatiza: inventario continuo de activos TIC (Artículo 8), escaneo automatizado de vulnerabilidades al menos semanal para sistemas críticos (Artículo 10) y monitoreo continuo de riesgo de terceros TIC (Artículos 28–44). Una herramienta ASM como SeguriScan descubre todos sus activos expuestos a internet, los mapea a datos de vulnerabilidades CVE, los puntúa por gravedad y produce la evidencia documentada de escaneo que los reguladores solicitarán durante las revisiones de supervisión. El inventario de activos y los registros de riesgo de terceros son los dos desafíos técnicos más comunes de DORA — las herramientas ASM abordan ambos directamente.

¿Cuál es el plazo de cumplimiento de DORA?

DORA entró en plena aplicación el 17 de enero de 2025 sin período de gracia. Las 21 categorías de entidades financieras en alcance quedaron sujetas a plena aplicación desde esa fecha. Los primeros envíos del Registro de Información (documentando contratos con proveedores TIC) vencieron el 4 de abril de 2025. En noviembre de 2025, las ESA publicaron la primera lista de 19 Proveedores Críticos de Terceros Designados. Los reguladores nacionales comenzaron auditorías de supervisión formales específicas de DORA e inspecciones in situ en 2026. Si aún no ha construido su inventario de activos TIC y su programa de escaneo de vulnerabilidades, ya está operando en incumplimiento.

¿Aplica DORA a pequeñas empresas fintech?

Sí, con excepciones limitadas. DORA aplica a cualquier entidad financiera autorizada a operar en la UE, independientemente de su tamaño. Las microempresas (menos de 10 empleados y facturación anual inferior a 2M €) califican para un marco simplificado de gestión de riesgos TIC, pero aún enfrentan obligaciones fundamentales incluyendo notificación de incidentes y controles básicos de riesgo. Si su fintech procesa pagos, emite dinero electrónico, proporciona servicios de criptoactivos u opera una plataforma de financiación colectiva bajo licencia de la UE, DORA aplica en su totalidad. DORA también aplica si su sede está fuera de la UE pero tiene licencia de la UE — una estructura común para empresas fintech que operan en Irlanda, Lituania o los Países Bajos.

¿Qué es el marco de gestión de riesgos TIC de DORA?

El marco de gestión de riesgos TIC de DORA (Artículos 5–16) exige a las entidades financieras mantener un enfoque continuo y documentado para identificar, evaluar y controlar los riesgos TIC. Las obligaciones clave son: una estrategia de riesgo TIC aprobada por el consejo y revisada anualmente (Art. 5); un inventario completo y continuamente actualizado de todos los activos TIC (Art. 8); monitoreo continuo e identificación de amenazas en los sistemas TIC (Art. 9); escaneo automatizado de vulnerabilidades al menos semanal para activos de funciones críticas (Art. 10); y planes de continuidad de negocio con procedimientos probados de detección y respuesta (Art. 11). El marco no es un ejercicio de auditoría puntual — DORA exige monitoreo continuo y evidenciado que las herramientas ASM automatizadas están diseñadas para proporcionar.

Inicie su evaluación de cumplimiento DORA hoy

Vea toda su superficie de ataque TIC en minutos — la misma vista que su auditor solicitará. Sin instalación, sin tarjeta de crédito, sin riesgo.

Iniciar escaneo gratuitoSolicitar una demo

Confianza de instituciones financieras en toda Europa · El escaneo gratuito tarda 60 segundos