{"id":9000,"date":"2026-01-29T09:00:00","date_gmt":"2026-01-29T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5511\/"},"modified":"2026-05-17T09:56:28","modified_gmt":"2026-05-17T09:56:28","slug":"dora-y-la-ubicacion-financiera-por-que-la-seguridad-se-convierte-en-una-condicion-para-la-licencia-bancaria","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/01\/29\/dora-y-la-ubicacion-financiera-por-que-la-seguridad-se-convierte-en-una-condicion-para-la-licencia-bancaria\/","title":{"rendered":"DORA y la ubicaci\u00f3n financiera: \u00bfPor qu\u00e9 la seguridad se convierte en una condici\u00f3n para la licencia bancaria?"},"content":{"rendered":"<p style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;margin-bottom:18px;\">7 min de lectura<\/p>\n<p><strong>3.600 empresas financieras en Alemania est\u00e1n sujetas a una nueva regulaci\u00f3n que no contempla ning\u00fan periodo transitorio. El Reglamento de Resiliencia Operativa Digital est\u00e1 en vigor desde el 17 de enero de 2025 y exige a bancos, aseguradoras y gestores de patrimonio un nivel de resiliencia digital que muchos a\u00fan tienen que construir. Seg\u00fan Advisori, el 44 por ciento de las empresas financieras alemanas afrontan importantes problemas de implementaci\u00f3n. Seg\u00fan McKinsey, los costes de implementaci\u00f3n para las grandes entidades oscilan entre 25 y 150 millones de euros. Y la BaFin ha anunciado que empezar\u00e1 con auditor\u00edas sistem\u00e1ticas en 2026. Para la plaza financiera alemana, DORA se convierte en la prueba decisiva: quien cumpla los requisitos demuestra madurez digital. Quien fracase no solo arriesga multas, sino tambi\u00e9n confianza.<\/strong><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Lo m\u00e1s importante en resumen<\/h2>\n<ul>\n<li><strong>3.600 empresas financieras afectadas en Alemania:<\/strong> De 22.000 en toda la UE. DORA se aplica desde el 17 de enero de 2025 sin periodo transitorio. Sin excepciones.<\/li>\n<li><strong>25 a 150 millones de euros en costes de implementaci\u00f3n:<\/strong> Para grandes entidades. Eso equivale a entre 5 y 10 veces el presupuesto inicial del programa. El 70 por ciento espera costes operativos permanentemente m\u00e1s altos (<a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/europes-new-resilience-regime-the-race-to-get-ready-for-dora\" target=\"_blank\" rel=\"noopener\">McKinsey<\/a>).<\/li>\n<li><strong>44 por ciento con importantes problemas de implementaci\u00f3n:<\/strong> El grado medio de implementaci\u00f3n de las empresas financieras alemanas se sit\u00faa en torno a dos tercios de los requisitos (<a href=\"https:\/\/www.advisori.de\/blog\/dora-2026-umsetzung-finanzunternehmen-compliance\" target=\"_blank\" rel=\"noopener\">Advisori<\/a>).<\/li>\n<li><strong>19 proveedores terceros cr\u00edticos de TIC bajo supervisi\u00f3n directa de la UE:<\/strong> Entre ellos Deutsche Telekom y SAP. Por primera vez, las ESA supervisan directamente a los proveedores de nube.<\/li>\n<li><strong>BaFin inicia auditor\u00edas sistem\u00e1ticas en 2026:<\/strong> Plazo de notificaci\u00f3n del registro de informaci\u00f3n del 9 al 30 de marzo de 2026. BAIT quedar\u00e1 completamente derogado el 31.12.2026.<\/li>\n<\/ul>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Qu\u00e9 exige DORA a las empresas financieras<\/h2>\n<p>DORA se basa en cinco pilares que, en conjunto, forman un marco integral para la resiliencia operativa digital. No basta con aplicar medidas aisladas. La <a href=\"https:\/\/www.bafin.de\/DE\/Aufsicht\/DORA\/DORA_node.html\" target=\"_blank\" rel=\"noopener\">BaFin<\/a> espera un sistema integrado.<\/p>\n<p><strong>Pilar 1: Gesti\u00f3n de riesgos TIC.<\/strong> Un marco integral que cubre la identificaci\u00f3n de activos, el an\u00e1lisis de riesgos, las medidas de protecci\u00f3n, la detecci\u00f3n de amenazas, la respuesta a incidentes y la recuperaci\u00f3n ante desastres. Ninguna empresa financiera puede seguir operando sin una gesti\u00f3n de riesgos TIC documentada. Suena obvio, pero en la pr\u00e1ctica no lo es: muchos gestores de activos y proveedores de servicios de pago m\u00e1s peque\u00f1os han trabajado hasta ahora con procesos informales.<\/p>\n<p><strong>Pilar 2: Gesti\u00f3n y notificaci\u00f3n de incidentes.<\/strong> Obligaci\u00f3n de notificar los incidentes TIC graves. Los plazos se orientan por NIS2, pero son espec\u00edficos de DORA: alerta temprana, notificaci\u00f3n del incidente e informe final. Quien no tenga un proceso de notificaci\u00f3n operativo incumplir\u00e1 la legislaci\u00f3n vigente desde el primer incidente.<\/p>\n<p><strong>Pilar 3: Pruebas de resiliencia operativa digital.<\/strong> Pruebas de carga peri\u00f3dicas y ejercicios basados en escenarios. Para las entidades de importancia sist\u00e9mica se a\u00f1ade el Threat-Led Penetration Testing (TLPT): ataques simulados por Red Teams externos que reproducen escenarios de amenaza reales. Esto supone un salto enorme frente a las pruebas de penetraci\u00f3n anuales realizadas hasta ahora.<\/p>\n<p><strong>Pilar 4: Gesti\u00f3n de riesgos de terceros.<\/strong> Todos los contratos con terceros proveedores TIC deben contener cl\u00e1usulas conformes con DORA: SLA, derechos de auditor\u00eda, derechos de rescisi\u00f3n, estrategias de salida y obligaciones de notificaci\u00f3n de incidentes. Para un banco que tiene cientos de contratos de TI, esto implica una revisi\u00f3n completa y una renegociaci\u00f3n de toda la cartera contractual.<\/p>\n<p><strong>Pilar 5: Intercambio de informaci\u00f3n sobre ciberamenazas.<\/strong> Intercambio de informaci\u00f3n sobre amenazas entre empresas financieras. Voluntario, pero recomendado. La <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/01\/22\/respuesta-a-incidentes-made-in-germany-como-colaboran-el-bsi-y-las-empresas\/\">DCSO<\/a> (respaldada por Allianz, BASF, Bayer y VW) es pionera en este \u00e1mbito, pero el sector financiero necesita sus propios formatos.<\/p>\n<div style=\"background:#0a1628;border-radius:12px;padding:32px;margin:40px 0;\">\n<div style=\"color:#fff;display:flex;justify-content:space-around;text-align:center;flex-wrap:wrap;gap:20px;\">\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">22.000<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">Empresas financieras bajo DORA<\/div>\n<\/div>\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">Ene 2025<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">DORA plenamente aplicable<\/div>\n<\/div>\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">TLPT<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">Pruebas de penetraci\u00f3n obligatorias para bancos<\/div>\n<\/div>\n<\/div>\n<\/div>\n<p style=\"color:rgba(0,0,0,0.5);font-size:0.8em;text-align:right;margin-top:-30px;margin-bottom:30px;\">Fuentes: Reglamento DORA de la UE 2022\/2554, BaFin<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">3.600<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">Empresas financieras en Alemania bajo la regulaci\u00f3n DORA<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Fuente: Asociaci\u00f3n Bancaria \/ BaFin, 2025<\/div>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Qu\u00e9 tiene previsto hacer la BaFin en 2026<\/h2>\n<p>Jens Obermoeller, jefe de grupo de Supervisi\u00f3n TI en la BaFin, ha marcado claramente la direcci\u00f3n. En una entrevista especializada, lo expres\u00f3 en esencia as\u00ed: la concentraci\u00f3n en unos pocos proveedores por un lado y una cadena de valor fragmentada por otro dificultan el control de los procesos cr\u00edticos. Un incidente en un proveedor de servicios TI de relevancia sist\u00e9mica puede desencadenar un efecto domin\u00f3 que afecte a todo el mercado financiero.<\/p>\n<p>En febrero de 2026, la BaFin ofreci\u00f3 talleres para la segunda ronda de notificaci\u00f3n de los registros de informaci\u00f3n. El plazo de notificaci\u00f3n va del 9 al 30 de marzo de 2026. Para 2026 y 2027, la BaFin ha anunciado revisiones sistem\u00e1ticas y controles posteriores, con foco en la calidad y la integridad de los registros de informaci\u00f3n. Es la transici\u00f3n de la fase de introducci\u00f3n a la fase de aplicaci\u00f3n.<\/p>\n<p>Especialmente relevante para el mercado: las BAIT (Requisitos de Supervisi\u00f3n Bancaria para las TI), desde 2017 el marco normativo central de TI para los bancos alemanes, quedar\u00e1n completamente derogadas el 31 de diciembre de 2026. DORA sustituye a BAIT no solo en el contenido, sino tambi\u00e9n formalmente. Para las entidades que hasta ahora se han orientado por BAIT, el marco de referencia regulatorio cambia por completo. Cumplir BAIT no garantiza cumplir DORA, porque DORA va mucho m\u00e1s all\u00e1 en varios \u00e1mbitos.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">La cuesti\u00f3n de los costes: de 25 a 150 millones de euros<\/h2>\n<p>El <a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/europes-new-resilience-regime-the-race-to-get-ready-for-dora\" target=\"_blank\" rel=\"noopener\">an\u00e1lisis de McKinsey<\/a> sobre los costes de implementaci\u00f3n de DORA es aleccionador. Solo para estrategia, planificaci\u00f3n y orquestaci\u00f3n, los consultores calculan entre 5 y 15 millones de euros. Los costes totales de implementaci\u00f3n para grandes entidades se sit\u00faan entre 25 y 150 millones de euros, entre 5 y 10 veces el presupuesto inicial del programa. El 70 por ciento de los encuestados espera costes operativos permanentemente m\u00e1s altos para tecnolog\u00eda y control.<\/p>\n<p>El 40 por ciento de las entidades financieras y proveedores TIC dedica m\u00e1s de siete puestos a tiempo completo a sus programas de cumplimiento de DORA. Solo un tercio confiaba en cumplir todos los requisitos para el plazo de enero de 2025. El 50 por ciento esperaba alcanzar el cumplimiento completo a finales de 2025, y el 38 por ciento solo en 2026.<\/p>\n<p>Para las empresas financieras medianas (bancos regionales, aseguradoras especializadas, proveedores de servicios de pago), Advisori estima un esfuerzo de 6 a 12 meses para lograr un cumplimiento sustancial y de 12 a 18 meses para el cumplimiento completo. Seg\u00fan el an\u00e1lisis, el 44 por ciento de las empresas financieras alemanas tiene problemas considerables de implementaci\u00f3n. El nivel medio de implementaci\u00f3n se sit\u00faa en torno a dos tercios de los requisitos.<\/p>\n<p>Las sanciones por infracciones son severas: hasta el 10 por ciento de la facturaci\u00f3n anual o 10 millones de euros en caso de infracciones graves. Los directivos individuales se enfrentan a multas de hasta un mill\u00f3n de euros. Esto convierte el cumplimiento de DORA en una cuesti\u00f3n de responsabilidad personal a nivel del consejo de administraci\u00f3n.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">25-150 mill. EUR<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">Costes de implementaci\u00f3n de DORA para grandes entidades<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Fuente: McKinsey, 2024\/2025<\/div>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">19 proveedores externos cr\u00edticos bajo supervisi\u00f3n directa de la UE<\/h2>\n<p>El 18 de noviembre de 2025, las autoridades europeas de supervisi\u00f3n (EBA, ESMA, EIOPA) publicaron por primera vez una lista de 19 proveedores externos cr\u00edticos de TIC (CTPPs). Por primera vez en la historia de la supervisi\u00f3n financiera, los proveedores cloud y los prestadores de servicios de TI quedan bajo supervisi\u00f3n directa de la UE.<\/p>\n<p>En la <a href=\"https:\/\/www.esma.europa.eu\/sites\/default\/files\/2025-11\/List_of_designated_CTPPs.pdf\" target=\"_blank\" rel=\"noopener\">lista<\/a> figuran, entre otros: Amazon Web Services, Microsoft, Google Cloud, IBM, Oracle, Accenture, Capgemini y NTT DATA. Est\u00e1n representadas dos empresas alemanas: <strong>Deutsche Telekom AG<\/strong> y <strong>SAP SE<\/strong>. Los criterios de designaci\u00f3n: impacto sist\u00e9mico en caso de fallo, importancia de las entidades financieras dependientes, riesgo de concentraci\u00f3n y sustituibilidad.<\/p>\n<p>Para la plaza financiera alemana, esto tiene dos consecuencias: en primer lugar, Deutsche Telekom y SAP, como proveedores de servicios para bancos y aseguradoras, ser\u00e1n examinadas directamente por las ESAs. Esto eleva las exigencias sobre su gobernanza, sus est\u00e1ndares de seguridad y su notificaci\u00f3n de incidentes. En segundo lugar, las entidades financieras alemanas que utilicen estos proveedores deben demostrar su propia supervisi\u00f3n de terceros. La supervisi\u00f3n de la UE sobre los CTPPs no sustituye la obligaci\u00f3n de las entidades de realizar sus propias comprobaciones.<\/p>\n<p>AWS confirm\u00f3 la designaci\u00f3n en su <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/aws-designated-as-a-critical-third-party-provider-under-eus-dora-regulation\/\" target=\"_blank\" rel=\"noopener\">Security Blog<\/a> y se comprometi\u00f3 a colaborar con las autoridades supervisoras. Los \u00e1mbitos de auditor\u00eda: notificaci\u00f3n de incidentes, subcontrataci\u00f3n, seguridad TIC y gobernanza.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">DORA vs. NIS2: \u00bfqu\u00e9 aplica y cu\u00e1ndo?<\/h2>\n<p>La pregunta m\u00e1s frecuente en la pr\u00e1ctica: \u00bflas empresas financieras deben cumplir tanto DORA como NIS2? La respuesta es m\u00e1s clara de lo que suele presentarse.<\/p>\n<p>DORA es un reglamento de la UE (directamente aplicable), NIS2 es una directiva (debe transponerse a la legislaci\u00f3n nacional). Rige el principio de lex specialis: DORA tiene prioridad sobre NIS2 en materia de riesgos TIC en el sector financiero. Los bancos y las entidades de cr\u00e9dito est\u00e1n sujetos a DORA y no a NIS2. Lo mismo ocurre con las infraestructuras de los mercados financieros (centros de negociaci\u00f3n, entidades de contrapartida central).<\/p>\n<p>Las diferencias en detalle: NIS2 recomienda evaluaciones de vulnerabilidad, DORA exige pruebas de penetraci\u00f3n guiadas por amenazas (considerablemente m\u00e1s complejas). En el caso de los proveedores externos, DORA introduce la supervisi\u00f3n directa de los CTPPs, mientras que NIS2 solo exige gesti\u00f3n de riesgos sin supervisi\u00f3n directa. Y mientras NIS2 regula 18 sectores de forma transversal, DORA se centra exclusivamente en el sector financiero, con requisitos m\u00e1s espec\u00edficos y estrictos.<\/p>\n<p>Para las empresas que prestan servicios financieros y tambi\u00e9n operan infraestructuras cr\u00edticas (por ejemplo, una aseguradora que opera sus propios centros de datos), pueden aplicarse ambas regulaciones. En ese caso: DORA para las actividades financieras, NIS2 para la infraestructura.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">La postura contraria: \u00bfsobrerregulaci\u00f3n del sector financiero?<\/h2>\n<p>La cr\u00edtica a DORA es real y procede del propio sector. Unos costes de implementaci\u00f3n de entre 25 y 150 millones de euros para un marco regulatorio que no prev\u00e9 ning\u00fan periodo transitorio suponen una carga enorme, especialmente para las entidades m\u00e1s peque\u00f1as. Las cajas de ahorro regionales y los bancos cooperativos, que hasta ahora hab\u00edan funcionado bien con BAIT, ahora deben cumplir est\u00e1ndares de la UE concebidos para grandes bancos globales.<\/p>\n<p>A ello se suma el solapamiento: DORA, NIS2 y la AI Act crean en conjunto una densidad regulatoria dif\u00edcil de encontrar en cualquier otra parte del mundo. Para un proveedor de servicios financieros que toma decisiones crediticias asistidas por IA, potencialmente se aplican las tres al mismo tiempo. Los departamentos de compliance crecen, pero la creaci\u00f3n de valor real no.<\/p>\n<p>Y la supervisi\u00f3n de los CTPPs encierra una paradoja: si la UE supervisa directamente a los grandes proveedores cloud, eso podr\u00eda conducir a una consolidaci\u00f3n. Los proveedores cloud m\u00e1s peque\u00f1os, que no puedan asumir el esfuerzo de supervisi\u00f3n, se retirar\u00e1n del sector financiero. La dependencia de los grandes ser\u00e1 mayor, no menor.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Por qu\u00e9 DORA sigue siendo una ventaja para la ubicaci\u00f3n financiera<\/h2>\n<p>El c\u00e1lculo inverso habla a favor de DORA: un \u00fanico ciberincidente grave en un banco alem\u00e1n puede causar da\u00f1os de miles de millones, sacudir la confianza en la plaza financiera y acarrear consecuencias regulatorias que van mucho m\u00e1s all\u00e1 de las multas de DORA.<\/p>\n<p>La <a href=\"https:\/\/www.digital-chiefs.de\/portfolio-transformation-carve-out-ma-pe-deutschland-2026\/\" target=\"_blank\" rel=\"noopener\">plaza financiera de Fr\u00e1ncfort<\/a> compite con Londres, Par\u00eds y \u00c1msterdam. En un entorno en el que los inversores internacionales valoran la madurez en ciberseguridad como una se\u00f1al de calidad, el cumplimiento de DORA se convierte en un argumento de ubicaci\u00f3n. Una plaza financiera que demuestra ser resiliente atrae m\u00e1s capital que una que solo afirma tener resiliencia.<\/p>\n<p>Y las entidades alemanas cuentan con una ventaja inicial: la experiencia con BAIT desde 2017 ha creado una base de cumplimiento sobre la que DORA puede apoyarse. La <a href=\"https:\/\/mybusinessfuture.com\/reboot-germany-735-milliarden-mittelstand-investitionen-2026\/\">Asociaci\u00f3n Bancaria<\/a> subraya que las entidades financieras alemanas son consideradas \u00abpioneras en seguridad y cumplimiento\u00bb. DORA eleva los requisitos al nivel de la UE, pero Alemania no parte de cero.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Cinco pasos hacia el cumplimiento de DORA<\/h2>\n<p><strong>1. Crear y comunicar el registro de informaci\u00f3n.<\/strong> El plazo de notificaci\u00f3n de BaFin para la segunda presentaci\u00f3n va del 9 al 30 de marzo de 2026. El registro debe incluir todos los contratos con terceros proveedores de TIC, con SLA, evaluaci\u00f3n de criticidad y estrategias de salida. Quien haya perdido la primera ronda debe ponerse al d\u00eda ahora.<\/p>\n<p><strong>2. Formalizar el marco de gesti\u00f3n de riesgos TIC.<\/strong> Procesos documentados para la identificaci\u00f3n de activos, el an\u00e1lisis de riesgos, las medidas de protecci\u00f3n y la respuesta a incidentes. El marco debe ser aprobado por el consejo de administraci\u00f3n y revisarse peri\u00f3dicamente. Los documentos BAIT pueden servir como punto de partida, pero deben ampliarse para cubrir los requisitos de DORA.<\/p>\n<p><strong>3. Revisar los contratos con terceros proveedores de TIC.<\/strong> Cada contrato necesita cl\u00e1usulas conformes con DORA: derechos de auditor\u00eda, SLA con KPI medibles, derechos de rescisi\u00f3n, estrategias de salida y obligaciones de notificaci\u00f3n de incidentes. Con cientos de contratos, se trata de un proyecto de varios meses.<\/p>\n<p><strong>4. Planificar las pruebas de penetraci\u00f3n guiadas por amenazas.<\/strong> Para las entidades de importancia sist\u00e9mica, el TLPT es obligatorio. Esto requiere Red Teams externos cualificados que simulen escenarios de amenaza reales. Las pruebas deben ser aprobadas por BaFin y sus resultados comunicados. Conviene planificar con antelaci\u00f3n, porque la disponibilidad de proveedores TLPT cualificados es limitada.<\/p>\n<p><strong>5. Establecer informes a nivel de consejo.<\/strong> DORA convierte la gesti\u00f3n de riesgos TIC en una responsabilidad del consejo de administraci\u00f3n. Informes peri\u00f3dicos al consejo de administraci\u00f3n y al consejo de supervisi\u00f3n sobre el perfil de riesgo TIC, los incidentes y el estado de cumplimiento. Quien delega esto en el departamento de TI sin participaci\u00f3n del consejo incumple el esp\u00edritu y, potencialmente, la letra del reglamento.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Conclusi\u00f3n<\/h2>\n<p>DORA es la regulaci\u00f3n TIC m\u00e1s estricta que ha visto nunca el sector financiero europeo. 3.600 empresas en Alemania deben asumir costes de implementaci\u00f3n de hasta 150 millones de euros. El 44 por ciento se enfrenta a problemas considerables. BaFin pasar\u00e1 en 2026 de la fase de introducci\u00f3n a la fase de aplicaci\u00f3n. Y 19 terceros proveedores cr\u00edticos de TIC estar\u00e1n por primera vez bajo supervisi\u00f3n directa de la UE. Para la plaza financiera alemana, esto es a la vez un reto y una oportunidad: quien demuestra cumplimiento de DORA acredita madurez digital en un mercado en el que la confianza es la moneda m\u00e1s dura.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Preguntas frecuentes<\/h2>\n<h3>\u00bfDORA tambi\u00e9n se aplica a las peque\u00f1as empresas financieras?<\/h3>\n<p>S\u00ed, pero con proporcionalidad. Las peque\u00f1as empresas financieras deben cumplir las obligaciones b\u00e1sicas (gesti\u00f3n de riesgos TIC, notificaci\u00f3n de incidentes, supervisi\u00f3n de terceros), pero pueden utilizar marcos simplificados. Las pruebas de penetraci\u00f3n guiadas por amenazas solo son obligatorias para las entidades de importancia sist\u00e9mica. BaFin ha anunciado que tendr\u00e1 en cuenta el tama\u00f1o y la complejidad de la entidad durante la supervisi\u00f3n.<\/p>\n<h3>\u00bfQu\u00e9 pasar\u00e1 con BAIT?<\/h3>\n<p>Los requisitos de supervisi\u00f3n bancaria para TI quedar\u00e1n completamente derogados el 31 de diciembre de 2026. DORA sustituye a BAIT como marco regulatorio de referencia. Las entidades que hasta ahora cumpl\u00edan con BAIT cuentan con una buena base, pero deben mejorar en varios \u00e1mbitos: TLPT, supervisi\u00f3n de terceros y registro de informaci\u00f3n formalizado van m\u00e1s all\u00e1 de BAIT.<\/p>\n<h3>\u00bfEn qu\u00e9 se diferencia DORA de NIS2?<\/h3>\n<p>DORA se considera lex specialis para el sector financiero y prevalece sobre NIS2 en materia de riesgos TIC. DORA es m\u00e1s estricta: pruebas de penetraci\u00f3n basadas en amenazas en lugar de simples evaluaciones de vulnerabilidades, supervisi\u00f3n directa de proveedores externos cr\u00edticos en lugar de solo gesti\u00f3n de riesgos, y requisitos m\u00e1s espec\u00edficos para la notificaci\u00f3n de incidentes. Los bancos est\u00e1n sujetos a DORA y no a NIS2.<\/p>\n<h3>\u00bfQu\u00e9 significa la lista CTPP para los clientes de la nube?<\/h3>\n<p>Las entidades financieras que utilizan AWS, Azure, Google Cloud, SAP o Deutsche Telekom se benefician de la supervisi\u00f3n adicional de la UE sobre estos proveedores. Pero: la supervisi\u00f3n CTPP no sustituye la propia due diligence. Cada entidad debe seguir comprobando y documentando por s\u00ed misma si su proveedor cloud cumple los requisitos de DORA.<\/p>\n<h3>\u00bfCu\u00e1nto cuesta el cumplimiento de DORA para una entidad mediana?<\/h3>\n<p>Seg\u00fan Advisori: de 6 a 12 meses para un cumplimiento sustancial, de 12 a 18 meses para el cumplimiento completo. Los costes directos dependen de la situaci\u00f3n de partida. Las entidades que ya cumplen BAIT parten de una mejor posici\u00f3n que aquellas que no lo hacen. McKinsey estima los costes totales para grandes entidades entre 25 y 150 millones de euros. Para entidades medianas (banco regional, aseguradora especializada), una fracci\u00f3n de esa cifra es realista: de 1 a 5 millones de euros, seg\u00fan la complejidad.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Lecturas recomendadas<\/h2>\n<p>NIS2 en Alemania: lo que las empresas deben implementar ahora (SecurityToday)<\/p>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/01\/22\/respuesta-a-incidentes-made-in-germany-como-colaboran-el-bsi-y-las-empresas\/\" target=\"_blank\" rel=\"noopener\">Incident Response Made in Germany: BSI y DCSO<\/a> (SecurityToday)<\/p>\n<p>NIS2 como ventaja competitiva de ubicaci\u00f3n (SecurityToday)<\/p>\n<p><a href=\"https:\/\/mybusinessfuture.com\/reboot-germany-735-milliarden-mittelstand-investitionen-2026\/\" target=\"_blank\" rel=\"noopener\">Reboot Germany: 735.000 millones en inversiones<\/a> (MyBusinessFuture)<\/p>\n<p style=\"text-align: right;\"><em>Fuente de la imagen de cabecera: Pexels \/ Pixabay (px:210574)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"3.600 empresas financieras en Alemania est\u00e1n sujetas a una nueva regulaci\u00f3n que no contempla ning\u00fan periodo transitorio. El Reglamento de Resiliencia Operativa Digital est\u00e1 en vigor desde el 17 de enero de 2025 y exige a bancos, aseguradoras y gestores de patrimonio un nivel de resiliencia digital que muchos a\u00fan tienen [&hellip;]","protected":false},"author":55,"featured_media":5510,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"seguridad","_yoast_wpseo_title":"DORA y la ubicaci\u00f3n financiera: \u00bfPor qu\u00e9 la seguridad se convierte en una condic","_yoast_wpseo_metadesc":"DORA y la ubicaci\u00f3n financiera: Asegura tu cumplimiento bancario al instante. Descubre c\u00f3mo cumplir sin plazo transitorio. Act\u00faa ahora.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5511"],"footnotes":""},"categories":[253,223],"tags":[229],"class_list":["post-9000","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","category-case-studies","tag-reboot-germany"],"evm_reading_time_minutes":16,"wpml_language":"es","wpml_translation_of":5511,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=9000"}],"version-history":[{"count":7,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9000\/revisions"}],"predecessor-version":[{"id":15036,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9000\/revisions\/15036"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5510"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=9000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=9000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=9000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}