DORA: Seis meses después y aún queda mucho trabajo por hacer

Por Phil Muncaster • 14 de septiembre de 2025

Los equipos de seguridad y cumplimiento tuvieron un comienzo de año 2025 muy ajetreado. Entre la fecha límite para que los estados miembros implementen NIS 2 en la legislación local y el inicio del nuevo régimen PCI DSS 4.0, llegó DORA: Ley de Resiliencia Digital y OperativaSe esperaba que a partir del 17 de enero se incluyeran en su ámbito de aplicación más de 22,000 empresas de servicios financieros y sus proveedores de TIC que operan en la UE.

Solo hay un problema. Según un nuevo estudio, el 96 % de las empresas europeas de servicios financieros aún no creen que su resiliencia digital sea suficiente para cumplir con los exigentes requisitos de DORA. Y muchos equipos de TI y seguridad se sienten abrumados por la carga de trabajo adicional. Aquí es donde el cumplimiento de la norma ISO 27001 podría ser útil.

Una nueva era de resiliencia financiera

Los incidentes cibernéticos ocurridos en las últimas dos décadas han causado pérdidas directas de 12 millones de dólares a empresas financieras globales, según FMIEsto no es solo un riesgo financiero; podría representar un riesgo sistémico para la totalidad de lo que funciona como infraestructura nacional crítica. DORA es la respuesta de la Comisión Europea: una nueva regulación diseñada para garantizar que las entidades financieras, y fundamentalmente sus proveedores, tengan la resiliencia necesaria para seguir operando incluso durante períodos de graves perturbaciones.

Esto se logra armonizando las regulaciones y elevando el nivel de exigencia para los equipos de seguridad y cumplimiento normativo. Existen cinco pilares clave:

Gestión de Riesgos TIC: Políticas sólidas para identificar, evaluar y mitigar los riesgos de las TIC.
Informe de incidentes: Informe oportuno y estandarizado de incidentes significativos relacionados con las TIC a las autoridades pertinentes.
Pruebas de resiliencia digital: Pruebas periódicas para evaluar la preparación de una organización ante interrupciones.
Gestión de riesgos de terceros: Garantizar que las instituciones financieras supervisen y gestionen los riesgos asociados con su cadena de suministro.
El intercambio de información: Fomentar el intercambio de inteligencia sobre amenazas dentro de la industria para mejorar la resiliencia colectiva.

Un camino por recorrer

Desafortunadamente, las cosas no van según lo planeado, si los resultados de una Nueva encuesta de Veeam Son creíbles. La firma encuestó a más de 400 responsables de la toma de decisiones de TI y cumplimiento normativo en el Reino Unido, Francia, Alemania y los Países Bajos. El informe resultante revela que el 94 % considera DORA una prioridad mayor que un mes antes de la fecha límite, y el mismo porcentaje tiene claros los pasos que debe tomar. Sin embargo, la gran mayoría aún no alcanza los estándares de resiliencia de DORA.

Veeam afirma que muchas empresas no cuentan con el presupuesto (20%) para cumplir con DORA y, en algunos casos, se enfrentan a mayores costos de proveedores (37%), que son repercutidos por sus socios de TIC. Dos quintas partes (41%) también reportan mayor estrés y presión en sus equipos de TI y seguridad.

Solo la mitad ha integrado los requisitos de DORA en sus programas de resiliencia más amplios. Drew Gardner, vicepresidente regional de Veeam para Reino Unido e Irlanda, cree que muchas de estas brechas y retrasos en el cumplimiento podrían deberse a responsabilidades de terceros.

“Con tantas funciones cubiertas por estos terceros, muchas organizaciones habrían asumido que sus productos cumplían con DORA, pero simplemente no es así”, explica a ISMS.online. “Con tantos acuerdos sin modelos de responsabilidad compartida, una organización podría haber asumido que el cumplimiento recaía en su proveedor, mientras que este creía lo contrario”.

Dónde están fallando

Los datos del informe respaldan la opinión de Gardner. Un tercio (34%) de los encuestados afirma que la parte más difícil del cumplimiento normativo es la supervisión de riesgos de terceros. Una quinta parte aún no lo ha intentado.

“La gran cantidad de proveedores externos con los que trabaja una organización de servicios financieros promedio probablemente sea de varias docenas, y la mayoría operará bajo el modelo de caja negra, lo que ofrece poca información sobre sus medidas de seguridad”, afirma Gardner.

Para quienes aún no han implementado esta supervisión externa, desentrañar este problema no será tarea fácil, y las organizaciones no pueden permitirse demoras.

Otras áreas que muchas organizaciones aún no han comenzado a abordar incluyen:

Pruebas de recuperación y continuidad (24%)
Informes de incidentes (24%)
Selección de un líder para la implementación de DORA (24%)
Pruebas de resiliencia operativa digital (23%)
Integridad de las copias de seguridad y recuperación segura de datos (21%)

Volviendo a la pista

Con tanto por hacer aún, además de gestionar otras prioridades, el cumplimiento de DORA puede parecer una tarea abrumadora. Sin embargo, Gardner argumenta que la implementación de estándares y marcos de buenas prácticas podría aliviar significativamente la carga del cumplimiento.

“Con la norma ISO 27001 en particular, las organizaciones pueden reducir la duplicación de esfuerzos y agilizar el cumplimiento de múltiples regulaciones, ahorrando tiempo y recursos”, explica.

Su enfoque estructurado para la gestión de riesgos permite a las organizaciones identificar y mitigar posibles riesgos de seguridad de forma sistemática, en lugar de combatir incendios en múltiples frentes simultáneamente. Esto mejora la seguridad general y proporciona un proceso claro y documentado para demostrar el cumplimiento normativo a auditores y reguladores.

James Hughes, director de tecnología empresarial de Rubrik, insta a las organizaciones a integrar el cumplimiento de DORA en los procesos diarios en lugar de tratarlo como un proyecto único.

Tras seis meses, DORA no solo aumenta la carga de cumplimiento normativo; está forzando un cambio operativo real. Pero existe el riesgo de que se convierta en un simple ejercicio de cumplimiento si los CISO no cambian de mentalidad —declara a ISMS.online—. No se trata de aprobar auditorías, sino de ser capaces de resistir y recuperarse de ataques reales, con un tiempo de inactividad empresarial mínimo.

Más de una quinta parte (22%) de las organizaciones encuestadas por Veeam argumentan que el diseño de DORA podría haberse mejorado para aumentar las tasas de cumplimiento. Han solicitado simplificación, aclaración y una guía más detallada sobre cómo gestionar el riesgo de terceros. Esto podría o no ser proporcionado por los reguladores. Mientras tanto, Hughes argumenta que aún está a tiempo de empezar a subsanar las deficiencias señaladas en el estudio.

“Comience por mapear sus activos TIC críticos, ensayar la respuesta a incidentes y evaluar el riesgo de los proveedores”, concluye. “Pero, en última instancia, es hora de intensificar las cosas: los atacantes no esperarán a que su papeleo los alcance”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster