• January 16, 2026
  • Se lee en 14 minutos
Lista de verificación del cumplimiento de la DORA: explicación del reglamento de la UE para proveedores financieros

Las amenazas cibernéticas están evolucionando rápidamente, ya que se ven impulsadas por la tecnología, como todo lo demás en nuestro mundo cada vez más digital. Dado que los datos son el recurso más valioso, no es de extrañar que los gobiernos establezcan normas cada vez más estrictas para la seguridad de las TIC (tecnologías de la información y la comunicación) y la protección de datos. La Ley de Resiliencia Operativa Digital, o DORA, es el reciente conjunto de normas de la UE para la gestión de riesgos de las TIC por parte de las entidades financieras.

En este artículo sobre la lista de verificación del cumplimiento de la DORA, explicaremos exactamente cuáles son estos requisitos de seguridad, quién debe cumplirlos y cómo puede garantizar su cumplimiento, tanto si dirige un negocio relacionado con las finanzas como si está asociado a uno.

La siguiente guía, redactada por nuestros expertos en pruebas con la ayuda del departamento jurídico, explica las partes más densas de la normativa. Queríamos asegurarnos de que las personas sin conocimientos expertos en jerga jurídica pudieran comprender fácilmente lo que la ley espera de ellas. Si busca respuestas más detalladas y personalizadas, ofrecemos servicios de consultoría sobre el cumplimiento de la DORA para ayudarle a navegar por estos requisitos.

Contenido

¿Qué es el cumplimiento de la DORA y quién lo necesita?

La DORA es un conjunto de normas que abarca la gestión de riesgos de las TIC (incluidas las interacciones con terceros proveedores), las pruebas de resiliencia operativa y la notificación de incidentes de TIC para las entidades financieras que operan en la UE. Cabe señalar que las diversas métricas de la DORA se aplican no solo a las instituciones financieras con sede en la UE (bancos, aseguradoras, proveedores de blockchain y de procesamiento de pagos digitales), sino también a quienes hacen negocios con estas entidades financieras.

Otra nota importante es que DORA entró en vigor el 16 de enero de 2023. Sin embargo, el periodo de cumplimiento obligatorio comenzó el 17 de enero de 2025. El objetivo del retraso es dar tiempo a las empresas financieras sujetas a esta normativa para que se preparen. Sin embargo, según el director de privacidad de Cisco, Harvey Jang, no todo el mundo está preparado, ya que la normativa es muy compleja. La buena noticia es que asociarse con un equipo experimentado puede ayudar a guiar a su empresa a través de los cambios que debe implementar para cumplir con la normativa.

Para comprender mejor la normativa actual de la UE para las entidades financieras, consulte nuestra descripción general de la DORA, la MiCA y la DAC8. Le ayudará a comprender cuál debe ser la postura de su empresa en materia de seguridad de los datos cuando maneje dinero en la UE.

Explicación paso a paso de la lista de verificación del cumplimiento de la DORA

En primer lugar, vamos a explicar exactamente qué implica el «cumplimiento de la DORA», para que pueda evaluar si su empresa cumple con todos los requisitos. Este término significa que puede demostrar de forma objetiva a las autoridades competentes y a los auditores que su sistema operativo integral para la resiliencia digital cubre:

  • Gestión de riesgos de las TIC (BCP/DR, gobernanza, controles, supervisión, políticas)
  • Notificación de incidentes de TIC (clasificación, plantillas de notificación, plazos reglamentarios)
  • Pruebas de resiliencia operativa digital (pruebas de referencia para todos, pruebas avanzadas cuando proceda)
  • Gestión de riesgos de terceros en materia de TIC (ciclo de vida de la externalización, cláusulas contractuales, riesgos de concentración)
  • Acuerdos de intercambio de información (voluntarios y regulados)

Hemos proporcionado una explicación más detallada de cada punto en nuestro artículo sobre los requisitos de la normativa DORA, así que no deje de consultarlo. A continuación, se incluye una lista de preguntas básicas que le ayudarán a realizar una evaluación básica de su empresa en cuanto al cumplimiento de la normativa DORA. Responder a ellas le ayudará a determinar si necesita asistencia profesional para una auditoría más profunda o pruebas automatizadas.

1. ¿Se aplica la DORA a nuestro negocio?

El primer paso es confirmar si su empresa u organización necesita garantizar el cumplimiento de la DORA. Una lista generalizada de entidades financieras a las que se aplica la DORA incluye:

  • Bancos
  • Proveedores de procesamiento de pagos
  • Proveedores de dinero electrónico
  • Entidades de gestión de inversiones
  • Aseguradoras
  • Proveedores de servicios de criptoactivos
  • Intermediarios para operaciones financieras

Como se ha mencionado anteriormente, la DORA es extremadamente compleja, por lo que para estar 100 % seguro de si se aplica a su negocio y en qué medida, tendrá que analizar el artículo 2 del reglamento o consultar a un experto legal. Esto también le ayudará a comprender la proporcionalidad de la aplicación de la DORA a su negocio. En pocas palabras, significa que el tamaño, la especialización y las áreas de operación de su empresa afectarán a la medida de los controles que debe implementar. Por ejemplo, piense en ello como una adaptación de las mejores prácticas de DevOps que se ajustan a la complejidad del sistema, en lugar de copiar ciegamente los procesos a mayor escala.

En esta fase de verificación del cumplimiento de la DORA, los reguladores esperarán ver:

  • Una decisión documentada que explique por qué está dentro del ámbito de aplicación de la normativa
  • Una breve explicación de cómo ha medido el tamaño y la complejidad de la empresa
  • Pruebas de que la proporcionalidad se aplica de forma coherente

2. ¿Quién es el responsable y cómo se lleva a cabo la supervisión?

Una parte crucial del cumplimiento de los requisitos de la DORA es hacer que la alta dirección de la empresa sea directamente responsable de la gestión de la resiliencia tecnológica, al igual que lo sería de cualquier otro riesgo empresarial importante. Los auditores esperarán ver una documentación clara que describa:

  • Quién es responsable de la gestión del cumplimiento de la DORA
  • Quién supervisa los riesgos de las TIC
  • Quién valida los controles de forma independiente
  • El marco de riesgos de las TIC aprobado que define la propensión al riesgo, el tiempo de inactividad aceptable y los umbrales de recuperación
  • La propiedad claramente definida de los sistemas que dan soporte a las funciones críticas
  • Los flujos de trabajo de pruebas de rendimiento de DevOps que garantizan que las implementaciones frecuentes no eludan la supervisión de riesgos

3. ¿En qué tecnología confiamos y qué procesos empresariales dependen de ella?

Para demostrar su resiliencia operativa, debe tener un conocimiento claro de sus operaciones. Esto significa que debe disponer de un inventario detallado que incluya:

  • Aplicaciones: sistemas centrales, soluciones SaaS, software interno
  • Almacenes de datos: bases de datos, sistemas de archivos
  • Infraestructura: servidores, redes, recursos en la nube
  • Cuentas privilegiadas: acceso de administrador
  • Dependencias: ¿qué se rompe si esto falla?
  • Servicios TIC: todos los que dan soporte a funciones críticas

Los reguladores inspeccionarán el inventario completo, así como los diagramas de arquitectura y dependencia, y los mapas de flujo de datos. En general, debe demostrar que existen vínculos claros entre todos los sistemas y las funciones empresariales.

4. ¿Qué podría salir mal y cómo podemos evitarlo?

Su lista de verificación personal de cumplimiento de la DORA debe incluir un análisis detallado de los riesgos tecnológicos y planes para abordar cada punto. El cumplimiento de la DORA requiere que evalúe los riesgos de las TIC en cuatro dimensiones:

  • Confidencialidad
  • Disponibilidad
  • Integridad
  • Autenticidad

Los reguladores esperarán que proporcione controles específicos para cada escenario de riesgo. Por lo tanto, es esencial disponer de un canal para recopilar y almacenar datos concretos, como métricas de rendimiento de DevOps y registros de supervisión de acceso. Debe proporcionar a los auditores pruebas cuantificables que demuestren el cumplimiento de la DORA.

Entre las métricas más comunes se incluyen:

  • Tiempo de actividad del sistema
  • Tiempo medio de recuperación (MTTR)
  • Índices de implementación fallida
  • Índices de éxito de las copias de seguridad
  • Frecuencia de incidentes

La configuración de pruebas de seguridad periódicas le permitirá recopilar los datos relevantes e identificar las tendencias que los auditores pueden inspeccionar.

5. ¿Son eficaces nuestros controles en la vida real?

Por supuesto, es esencial contar con políticas que cubran el canal de implementación y la entrega continua, junto con las mejores prácticas de DevOps. Sin embargo, los auditores de cumplimiento de DORA no solo exigirán la documentación de su empresa, sino también pruebas tangibles de que los controles de riesgo de las TIC que utiliza están activos y son eficaces. Esperarán ver:

  • Desglose completo del control de acceso
  • Prácticas de registro y supervisión de incidentes (se deben incluir los registros)
  • Gestión de cambios del sistema (incluidos los procesos de aprobación y los registros de la tasa de fallos de los cambios)
  • Estabilidad del sistema, configuraciones de seguridad y cómo se supervisan
  • Prácticas de copia de seguridad con un desglose detallado de cómo se realizan y prueban las copias de seguridad
  • Planes de entrega continua y recuperación ante desastres (incluidas las métricas de rendimiento de DevOps)
  • Ejercicios prácticos realizados por el personal para demostrar que saben qué hacer en caso de interrupciones en el rendimiento de las TI

6. ¿Cómo detectamos, clasificamos y notificamos los incidentes de manera oportuna?

Según la lista de verificación de cumplimiento de DORA, ahora es esencial no solo gestionar los incidentes de TIC internamente, sino también notificar los casos importantes a los reguladores pertinentes. Deberá demostrar a los auditores que cuenta con:

  • Definiciones claras de la gravedad de los incidentes para identificar los incidentes «graves» que requieren una notificación rápida
  • Sistemas automatizados de alerta y escalado integrados en sus flujos de evaluación de la fiabilidad del software
  • Manuales de procedimientos que cubran la respuesta a incidentes y la notificación reglamentaria
  • Un proceso claramente definido sobre quién decide si el incidente debe notificarse, quién lo notifica y quién proporciona las aprobaciones necesarias

7. ¿Podemos soportar las interrupciones del mundo real?

Las comprobaciones de cumplimiento son buenas y necesarias, pero las métricas de la DORA requieren pruebas periódicas del rendimiento y la seguridad de su TI en su conjunto. Las pruebas de referencia a las que deben someterse periódicamente todas las empresas que requieren el cumplimiento de la DORA incluyen:

  • Escaneos de vulnerabilidades
  • Revisiones de la configuración
  • Pruebas de seguridad del SDLC
  • Ejercicios de simulación de respuesta a incidentes
  • Pruebas de restauración de copias de seguridad

Algunas de las entidades sujetas a la normativa DORA también deben someterse a pruebas de penetración periódicas basadas en amenazas. Para demostrar a los reguladores que gestiona un negocio de alto rendimiento que da prioridad a la seguridad al nivel de DORA, debe proporcionarles planes de pruebas anuales, resultados de pruebas y actividades de corrección con seguimiento. Tenga en cuenta que debe diseñar estos planes de pruebas teniendo en cuenta la frecuencia de implementación, según las mejores prácticas de DevOps.

8. ¿Nuestros proveedores suponen un riesgo adicional?

Según los parámetros de la DORA, los proveedores de TIC forman parte de su superficie de riesgo. Por lo tanto, es esencial gestionar el riesgo que suponen e integrarlo en su estrategia global de seguridad digital. A continuación le indicamos cómo debe hacerlo:

  • Realice la debida diligencia y la evaluación de riesgos antes de firmar el contrato.
  • Asegúrese de que el proveedor esté informado y acepte cumplir los requisitos necesarios de seguridad y resiliencia.
  • Organice evaluaciones periódicas del rendimiento y de los incidentes, mida los riesgos y ajuste sus interacciones en consecuencia.
  • Asegúrese de que puede cambiar o rescindir rápidamente su relación comercial con el proveedor sin comprometer su seguridad.
  • Mantenga un registro estructurado de los contratos de externalización de TIC utilizando las plantillas exigidas por la UE.

Los auditores comprobarán todo lo anterior, por lo que debe estar preparado para proporcionar todos los documentos necesarios que cumplan con la normativa de la UE.

9. ¿Qué ocurre si nuestros proveedores están clasificados como «críticos»?

Cuando se trabaja con proveedores de TIC clasificados como «críticos» según la normativa y la supervisión de la UE, hay que garantizar lo siguiente:

  • Desarrollar una estrategia y flujos de trabajo para gestionar los riesgos de dependencia y concentración.
  • Contar con una estrategia exhaustiva para gestionar los riesgos de su propia empresa.
  • Presentar a los auditores planes de contingencia y de salida.
  • Proporcionar un mapa claro de las dependencias, respaldado por explicaciones de por qué son aceptables.

10. ¿Podemos demostrar el cumplimiento de la DORA en cualquier momento?

El objetivo de revisar la lista de verificación del cumplimiento de la DORA es garantizar que se puede demostrar que se cumplen todos los requisitos necesarios en una auditoría. Al igual que la integración y la entrega continuas son fundamentales en las mejores prácticas de DevOps, la DORA también es continua. Esto significa que no basta con garantizar el cumplimiento de la DORA una sola vez, superar una auditoría y olvidarse del tema. Las pruebas y los ajustes periódicos deben formar parte de su rutina. Es solo un paso más para garantizar la fiabilidad de su software y la seguridad digital en general.

Desde el punto de vista del cumplimiento, su objetivo es asegurarse de mantener un conjunto de pruebas sólidas, listas para presentar a los auditores en cualquier momento. Debe incluir:

  • Correspondencia entre controles y requisitos
  • Repositorios de pruebas centralizados
  • Registros de auditoría (registros, tickets, aprobaciones)
  • Revisiones de auditoría interna y seguimiento de las medidas correctivas

Al evaluar su empresa para el cumplimiento de DORA, los reguladores buscarán la coherencia entre las políticas, las prácticas y las pruebas. Usted lo demuestra realizando pruebas y revisiones periódicas, actualizaciones coherentes y documentando las actividades de corrección y sus resultados.

¿Qué ocurre si incumple la normativa?

Una buena opción para empezar es revisar la lista de verificación de cumplimiento de la DORA. Sin embargo, si realmente desea cumplir con una normativa tan compleja, necesitará asistencia profesional y, como mínimo, asesoramiento jurídico. Las sanciones por incumplimiento serán determinadas por cada uno de los Estados miembros de la UE según cada caso concreto.

Las sanciones pueden ir desde administrativas, como declaraciones públicas, hasta penales, según la legislación nacional del Estado miembro de la UE. Dado que no existe una multa única ni un sistema de sanciones a escala de la UE en el marco de la DORA, cada infracción y cada incumplimiento se investigan y sancionan de forma individual. Sin embargo, una cosa es segura: esto dejará una mancha en la reputación de su empresa. En el sector financiero, donde la fiabilidad y la irreprochabilidad son fundamentales, un desliz así puede arruinar completamente una marca.

Cómo QAwerk puede ayudarle a garantizar y mantener el cumplimiento de la DORA

En QAwerk, ofrecemos una amplia gama de servicios de pruebas, incluidas pruebas de penetración e incluso pruebas especializadas de blockchain. Durante la última década de actividad, hemos completado más de 300 proyectos y hemos ayudado a empresas de todo el mundo a identificar y remediar sus vulnerabilidades.

En lo que respecta al cumplimiento de la DORA, nuestros equipos pueden guiarle a través de:

  • Verificación de controles e ingeniería de pruebas
  • Pruebas de resiliencia
  • Simulacros de preparación para incidentes
  • Pruebas de garantía de terceros
  • Pruebas de cumplimiento continuo

Trabajaremos con usted para garantizar que todas sus defensas y mecanismos de notificación se actualicen continuamente para cumplir con los estándares de máximo nivel que se esperan de las instituciones financieras y sus socios que operan en la UE. Póngase en contacto con nosotros hoy mismo para comenzar su camino hacia el cumplimiento.

Descubra cómo ayudamos a una plataforma de gestión de criptoactivos a reducir la pérdida de usuarios en un 15%

Por favor ingrese su correo electrónico comercial no es un correo electrónico comercial
Created by
Valentyn Havryliuk
Ingeniero de control de calidad en QAwerk
linkedin
Valentyn destaca en las pruebas de API y aplicaciones web, empleando hábilmente herramientas como Postman para garantizar la fiabilidad y el rendimiento del software. Su amplia experiencia ha cultivado un profundo conocimiento del aseguramiento de la calidad, guiando estrategias de pruebas precisas y eficaces. More by Author