{"id":8729,"date":"2025-09-11T09:00:00","date_gmt":"2025-09-11T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3611-2\/"},"modified":"2026-05-10T19:13:47","modified_gmt":"2026-05-10T19:13:47","slug":"dora-en-la-practica-primeras-experiencias-del-sector-financiero","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2025\/09\/11\/dora-en-la-practica-primeras-experiencias-del-sector-financiero\/","title":{"rendered":"DORA en la pr\u00e1ctica: primeras experiencias del sector financiero"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">1 min de lectura<\/p>\n<p><strong>DORA es plenamente aplicable desde el 17 de enero de 2025. Tras los primeros meses se observa que los requisitos t\u00e9cnicos en materia de gesti\u00f3n de riesgos de TI, pruebas y control de terceros son complejos  &#8211; pero el mayor cuello de botella no suele ser la tecnolog\u00eda, sino la gobernanza y los contratos con proveedores externos.<\/strong><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li><strong>DORA obligatorio desde enero de 2025:<\/strong> Todos los institutos financieros de la UE deben cumplir sus requisitos.<\/li>\n<li><strong>Cinco pilares:<\/strong> Gesti\u00f3n de riesgos de TI, notificaci\u00f3n de incidentes, pruebas de resiliencia, gesti\u00f3n de terceros y intercambio de informaci\u00f3n.<\/li>\n<li><strong>La gesti\u00f3n de terceros es el mayor obst\u00e1culo:<\/strong> Los contratos con proveedores de servicios de TI deben incluir cl\u00e1usulas espec\u00edficas de DORA.<\/li>\n<li><strong>TLPT para institutos sist\u00e9micos:<\/strong> Threat-Led Penetration Testing  &#8211; m\u00e1s exigente y costoso que los pentests tradicionales.<\/li>\n<li><strong>Solapamientos con NIS2:<\/strong> Las empresas ya conformes con NIS2 parten de una base s\u00f3lida, pero DORA profundiza en varios aspectos clave.<\/li>\n<\/ul>\n<h2>Los cinco pilares de DORA en resumen<\/h2>\n<p><strong>1. Gesti\u00f3n de riesgos de TI:<\/strong> Un marco integral que incluye pol\u00edtica de riesgos, inventario de activos, medidas de protecci\u00f3n y monitoreo continuo. No basta con documentarlo: debe estar integrado en la pr\u00e1ctica diaria y someterse a revisiones peri\u00f3dicas.<\/p>\n<p><strong>2. Notificaci\u00f3n de incidentes de TI:<\/strong> Los incidentes significativos deben comunicarse a la autoridad competente en un plazo de 4 horas (aviso preliminar), 24 horas (informe intermedio) y 1 mes (informe definitivo). Es obligatorio definir con claridad qu\u00e9 se considera \u00absignificativo\u00bb.<\/p>\n<p><strong>3. Pruebas de resiliencia operacional digital:<\/strong> Programas anuales de pruebas de TI; adem\u00e1s, los institutos m\u00e1s relevantes deben realizar Threat-Led Penetration Testing (TLPT) cada tres a\u00f1os, con probadores externos certificados.<\/p>\n<p><strong>4. Gesti\u00f3n de terceros de TI:<\/strong> Registro exhaustivo de todos los proveedores cr\u00edticos de servicios de TI, clasificaci\u00f3n de su nivel de riesgo, cl\u00e1usulas contractuales obligatorias (derechos de auditor\u00eda, planes de salida, subcontrataci\u00f3n) y an\u00e1lisis del riesgo de concentraci\u00f3n.<\/p>\n<p><strong>5. Intercambio de informaci\u00f3n:<\/strong> Intercambio voluntario de informaci\u00f3n sobre amenazas cibern\u00e9ticas dentro del sector financiero, formalizado e impulsado por DORA.<\/p>\n<h2>Primeras experiencias pr\u00e1cticas: lo que resulta m\u00e1s dif\u00edcil de lo previsto<\/h2>\n<p><strong>Ajuste de contratos con terceros:<\/strong> Miles de contratos vigentes con proveedores de servicios de TI deben actualizarse para incorporar las cl\u00e1usulas exigidas por DORA. Muchos proveedores se resisten a conceder derechos de auditor\u00eda o rechazan aceptar normas de subcontrataci\u00f3n alineadas con DORA. El proceso exige tiempo y consume recursos legales y de compras de forma considerable.<\/p>\n<p><strong>Evaluaci\u00f3n de criticidad:<\/strong> \u00bfQu\u00e9 proveedores de servicios de TI son \u00abcr\u00edticos\u00bb? Aunque los criterios de DORA son expl\u00edcitos, su aplicaci\u00f3n pr\u00e1ctica resulta ambigua. Numerosos institutos han identificado m\u00e1s de 50 proveedores cr\u00edticos; implementar un sistema de monitoreo conforme a DORA para cada uno supera con creces sus capacidades operativas.<\/p>\n<p><strong>Preparaci\u00f3n para TLPT:<\/strong> El Threat-Led Penetration Testing es mucho m\u00e1s complejo que los pentests convencionales. Requiere inteligencia de amenazas espec\u00edfica del perfil de riesgo de la instituci\u00f3n, un probador externo certificado bajo el marco TIBER-EU y una preparaci\u00f3n que puede extenderse durante varios meses.<\/p>\n<h2>Lo que funciona bien  &#8211; y lo que pueden aprovechar las empresas conformes con NIS2<\/h2>\n<p>Las empresas que ya cumplen con NIS2 cuentan con una ventaja clara: ya disponen de un marco consolidado de gesti\u00f3n de riesgos de TI, procesos estructurados de respuesta a incidentes y mecanismos de supervisi\u00f3n de terceros. DORA exige mayor granularidad y requisitos de prueba m\u00e1s espec\u00edficos, pero el fundamento ya est\u00e1 establecido.<\/p>\n<p>Lo que funciona bien: las cadenas de notificaci\u00f3n de incidentes son m\u00e1s claras que bajo NIS2 en solitario  &#8211; los bancos acumulan d\u00e9cadas de experiencia en reportes obligatorios ante BaFin y EBA. El plazo de 4 horas para la primera comunicaci\u00f3n es exigente, pero t\u00e9cnicamente viable con sistemas SIEM bien configurados y procesos de atenci\u00f3n 24\/7 eficientes.<\/p>\n<h2>Key Facts en un vistazo<\/h2>\n<p><strong>Fecha de entrada en vigor de DORA:<\/strong> 17 de enero de 2025<\/p>\n<p><strong>Institutos afectados:<\/strong> M\u00e1s de 22.000 entidades financieras en la UE<\/p>\n<p><strong>Plazo para la primera notificaci\u00f3n:<\/strong> 4 horas para incidentes significativos de TI<\/p>\n<p><strong>Obligaci\u00f3n de TLPT:<\/strong> Cada 3 a\u00f1os para institutos sist\u00e9micos (marco TIBER-EU)<\/p>\n<p><strong>Multas:<\/strong> Hasta el 1 % de la facturaci\u00f3n diaria global<\/p>\n<p><strong>Dato:<\/strong> Con DORA, m\u00e1s de 22.000 institutos financieros y sus proveedores cr\u00edticos de TI en toda la UE est\u00e1n obligados a llevar a cabo pruebas de resiliencia digital  &#8211; un hito regulatorio sin precedentes.<\/p>\n<p><strong>Dato:<\/strong> La BaFin informa que el 38 % de los institutos evaluados presentaron deficiencias en sus marcos de gesti\u00f3n de riesgos de TI durante la primera revisi\u00f3n de preparaci\u00f3n para DORA.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfPara qui\u00e9n es obligatorio DORA?<\/h3>\n<p>Para todas las empresas financieras reguladas por la UE: bancos, compa\u00f1\u00edas de seguros, firmas de valores, prestadores de servicios de pago, proveedores de servicios de activos criptogr\u00e1ficos y proveedores cr\u00edticos de servicios de TI de terceros del sector financiero.<\/p>\n<h3>\u00bfCu\u00e1l es la diferencia entre DORA y NIS2?<\/h3>\n<p>NIS2 es un marco horizontal aplicable a m\u00faltiples sectores. DORA, en cambio, est\u00e1 dise\u00f1ado espec\u00edficamente para el sector financiero y va m\u00e1s lejos en varios \u00e1mbitos: requisitos de pruebas m\u00e1s detallados, gesti\u00f3n de terceros m\u00e1s rigurosa y supervisi\u00f3n directa de proveedores cr\u00edticos de TI por parte de las Autoridades Europeas de Supervisi\u00f3n (EBA, EIOPA, ESMA).<\/p>\n<h3>\u00bfQu\u00e9 es un proveedor cr\u00edtico de servicios de TI de terceros bajo DORA?<\/h3>\n<p>Un proveedor cuyo fallo podr\u00eda provocar efectos sist\u00e9micos en el sector financiero. Estos proveedores son supervisados directamente por las Autoridades Europeas de Supervisi\u00f3n, con facultades propias para inspeccionarlos y sancionarlos.<\/p>\n<h3>\u00bfCu\u00e1les son las cl\u00e1usulas contractuales m\u00e1s importantes de DORA?<\/h3>\n<p>Cl\u00e1usulas de salida, derechos de auditor\u00eda (incluidos los subproveedores), acuerdos de nivel de servicio para la continuidad del negocio, derechos de acceso a los datos en caso de insolvencia, disposiciones sobre subcontrataci\u00f3n y obligaci\u00f3n de revelar riesgos de concentraci\u00f3n.<\/p>\n<h3>\u00bfC\u00f3mo se relaciona DORA con TIBER-EU?<\/h3>\n<p>TIBER-EU (Threat Intelligence-based Ethical Red Teaming) es el marco europeo para pruebas de penetraci\u00f3n orientadas a amenazas. DORA convierte el TLPT seg\u00fan las especificaciones de TIBER-EU en una obligaci\u00f3n para los institutos m\u00e1s relevantes, transformando as\u00ed un marco voluntario en un requisito regulatorio vinculante.<\/p>\n<h2>Otros art\u00edculos sobre el tema<\/h2>\n<p>\u2192 DORA: m\u00e1s seguridad inform\u00e1tica y jur\u00eddica en el sector financiero<\/p>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/14\/post_id-3519\/\">Lista de verificaci\u00f3n de NIS2 2026<\/a><\/p>\n<h2>Lectura adicional en la red<\/h2>\n<p>FinTech &#038; Regulaci\u00f3n: <a href=\"https:\/\/mybusinessfuture.com\/ki-made-in-germany-935-startups-oekosystem\/\" target=\"_blank\" rel=\"noopener\">mybusinessfuture.com<\/a><\/p>\n<p>Seguridad para el sector financiero: <a href=\"https:\/\/www.digital-chiefs.de\/149-000-offene-it-stellen-wie-cios-ki-copiloten-als-fachkraeftersatz-nutzen\/\" target=\"_blank\" rel=\"noopener\">digital-chiefs.de<\/a><\/p>\n<h2>Art\u00edculos relacionados<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/26\/post_id-3531\/\">DSGVO 2026: lo que cambia y en qu\u00e9 deben fijarse las empresas<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/14\/post_id-3519\/\">Lista de verificaci\u00f3n de NIS2 2026: lo que las empresas deben implementar ahora<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2025\/02\/25\/post_id-3703\/\">Estudio de caso: migraci\u00f3n a la nube de un proveedor de servicios financieros  &#8211;  seguridad desde el principio<\/a><\/li>\n<\/ul>\n<h2>M\u00e1s del red de MBF Media<\/h2>\n<p><a href=\"https:\/\/www.cloudmagazin.com\" target=\"_blank\">cloudmagazin<\/a> | <a href=\"https:\/\/mybusinessfuture.com\" target=\"_blank\">MyBusinessFuture<\/a> | <a href=\"https:\/\/www.digital-chiefs.de\" target=\"_blank\">Digital Chiefs<\/a><\/p>\n<p style=\"text-align: right;\"><em>Fuente de imagen: Pexels \/ Jonathan Borba<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"DORA es plenamente aplicable desde el 17 de enero de 2025. Tras los primeros meses se observa que los requisitos t\u00e9cnicos en materia de gesti\u00f3n de riesgos de TI, pruebas y control de terceros son complejos &#8211; pero el mayor cuello de botella no suele ser la tecnolog\u00eda, sino la gobernanza [&hellip;]","protected":false},"author":55,"featured_media":3610,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"dora","_yoast_wpseo_title":"DORA en la pr\u00e1ctica: primeras experiencias del sector financiero","_yoast_wpseo_metadesc":"DORA en la pr\u00e1ctica: descubre c\u00f3mo el sector financiero cumple con los requisitos t\u00e9cnicos desde 2025. Aprende y mejora tu estrategia ahora.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-3611-2","post_id-3611"],"footnotes":""},"categories":[223],"tags":[],"class_list":["post-8729","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-case-studies"],"evm_reading_time_minutes":7,"wpml_language":"es","wpml_translation_of":3611,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8729"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8729\/revisions"}],"predecessor-version":[{"id":10620,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8729\/revisions\/10620"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/3610"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}