Contacto
previous icon Volver al blog
Mar 24, 2026
8 minutos leer
CM.com

Descubre DORA - El Reglamento de Resiliencia Operativa Digital

El reglamento DORA (Digital Operational Resilience Act) se basa en un marco normativo creado para proteger la infraestructura digital del sistema financiero en la Unión Europea. Su propósito es aumentar la resiliencia operativa obligando a organizaciones y empresas a desarrollar capacidades que les permitan recuperarse y resistir ante incidentes tecnológicos. Mediante cinco pilares estratégicos, pretende estandarizar la supervisión de proveedores externos y la gestión de los riesgos. Suprimiendo de esta manera las brechas de seguridad que pueda tener la cadena de suministro. Cumplir con esta ley representa, para las empresas modernas, la transición hacia un modelo de negocio seguro de cara a las amenazas existentes dentro del ecosistema digital.

CM.com
CM.com

Historia y desarrollo de la normativa del reglamento DORA

El nacimiento del reglamento DORA se produce ante la urgente necesidad de armonizar las distintas normativas de ciberseguridad fragmentadas en el continente europeo. Fue presentado en el año 2020 luego de identificar que la masiva interconexión de los mercados financieros ameritaba un escudo legal robusto y unificado. Cabe añadir que formó parte integral del Paquete de Finanzas Digitales en ese entonces.

En la medida que iba desarrollándose, la legislación se enfocó en crear un estándar que también abarcara a los proveedores tecnológicos. El nivel de exigencia actual, es algo que no tiene precedentes en la historia.

Entrada en vigor y plazos de cumplimiento normativa dora

El sector financiero europeo tuvo un antes y un después tras la implementación de la normativa DORA. Luego de entrar en vigor en enero del 2023, fue otorgado un periodo de transición que terminó el 17 de enero de 2025. Esta fecha marcó un hito para los afectados, puesto que el cumplimiento de la norma pasó a ser auditable aparte de obligatorio.

El plazo mencionado hizo posible que las entidades pudieran integrar los diversos estándares técnicos de regulación.

¿Por qué se necesita DORA?

Implementar DORA ayuda a blindar la creciente vulnerabilidad del sector financiero. En especial, porque este presenta gran dependencia de la tecnología externa y una alta interconexión. Asimismo, ante el incremento en los ciberataques sofisticados, las reglas tradicionales fueron insuficientes a la hora de garantizar la estabilidad de los distintos mercados.

Por tal motivo, hacía falta un marco unificado para obligar a las instituciones a concientizar en cuanto a la resiliencia. Esto va más allá de un simple aspecto técnico, ya que ha pasado a ser una prioridad estratégica que promueve y protege la continuidad operativa.

En otras palabras, el reglamento DORA tiene por objetivo mitigar el imperante riesgo sistémico. Asegurando que la economía europea tenga la capacidad de absorber impactos digitales sin caer en el colapso.

Desarrollo de la normativa DORA

El desarrollo técnico de este reglamento se consolidó mediante estándares de ejecución (ITS) y normas de regulación (RTS). Son medidas que definen con precisión los parámetros operativos de las diferentes entidades financieras.

Fue un proceso creativo que involucró a importantes autoridades de supervisión dentro del continente para garantizar que las exigencias fueran aplicables en función de la realidad tecnológica. Gracias a todo lo anterior, se ha eliminado la incertidumbre legal en la Unión Europea, puesto que el reglamento brinda un lenguaje técnico común.

Entidades afectadas y requerimientos ley DORA

La normativa europea DORA tiene un alcance que comprende más de 20 diferentes tipos de entidades financieras. Al mismo tiempo, se ha extendido por primera vez a los proveedores externos de servicios tecnológicos.

Esta exige a seguros, bancos e incluso empresas de criptoactivos que incorporen marcos de gobernanza para condicionar a la alta dirección. Todo con la intención de que asuma la responsabilidad directa de todo lo relacionado con la seguridad digital.

El objetivo es que cada organización cumpla con específicos requerimientos de gestión enfocada en riesgos para asegurar que su infraestructura TIC soporte graves incidentes sin detener servicios críticos.

Bajo este reglamento, la supervisión de terceros tecnológicos se transforma en un pilar obligatorio para asegurar la estabilidad en el ecosistema financiero.

Impacto del reglamento DORA en el sector financiero

No hay duda de que se ha redefinido la estructura en torno a la toma de decisiones corporativas gracias al impacto del reglamento DORA. La norma asegura que lo vinculado a la ciberseguridad sea considerado como una prioridad. Todo ha sido posible desde el momento en que se situó la responsabilidad de la resiliencia digital en los consejos administrativos.

Eso significa que ahora las entidades tienen que someterse a rigurosas pruebas de estrés tecnológico. Además de renegociar sus conexiones con proveedores críticos para garantizar que la transparencia sea absoluta.

Podríamos decir que es un cambio cultural que ha impulsado el fortalecimiento de la confianza en el consumidor. Ahora el sistema financiero tiene la capacidad de operar sin interrupciones ocasionadas por adversidades técnicas.

¿Cómo prepararse para el cumplimiento del reglamento DORA?

La mejor manera de garantizar el éxito de cara a la regulación DORA es ejecutando una auditoría integral. Servirá para identificar las brechas que existen con respecto a los sistemas actuales considerando las exigencias europeas. Llevar a cabo una preparación efectiva inicia con la actualización de los contratos con proveedores externos de tecnología y un mapeo exhaustivo de los servicios críticos.

Asimismo, resulta indispensable establecer protocolos de respuesta para cuando surjan incidentes y realizar pruebas periódicas de resiliencia que permitan validar la capacidad defensiva.

Si se prioriza la inversión en tecnología de supervisión y la formación de los directivos, es posible lograr que la transición sea fluida hacia el pleno cumplimiento de la nueva normativa.

Requisitos de DORA

Los requisitos de DORA podemos dividirlos en áreas de acción que son obligatorias y pueden transformar la gestión tecnológica en un proceso continuo de mejoras. Esto va más allá de una verificación estática, se trata de corroborar una serie de capacidades que toda empresa debe acreditar ante el regulador.

  • Organización y gobernanza: La dirección tiene la responsabilidad de definir, aprobar y supervisar la estrategia de resiliencia. No se admite bajo ningún término que los directivos desconozcan los aspectos técnicos.

  • Gestión de incidentes: Resulta obligatorio clasificar los incidentes con base en su gravedad y para ello hay que fundamentarse en criterios de los RTS. A su vez, se debe notificar a las autoridades competentes a la mayor brevedad posible los incidentes graves (los plazos son demasiado cortos).

  • Gestión de Riesgos TIC: Debe existir una continua identificación de las fuentes de riesgos y detección de anomalías. También es importante configurar los sistemas de protección y poseer planes de recuperación ante desastres (DRP).

  • Gestión de Riesgos de Terceros: Las organizaciones tienen que mantener un Registro de Información actualizado con todos los datos de sus proveedores TIC. De igual modo, deben garantizar el acceso y que los contratos contemplen cláusulas de rescisión.

  • Pruebas de Resiliencia Operativa: Cada 3 años las entidades críticas deben realizar pruebas avanzadas de penetración fundamentadas en amenazas (TLPT). A su vez, tienen que realizar pruebas anuales como escaneos de red y análisis de vulnerabilidades.

Notificar un incidente como entidad afectada por DORA

Existe un marco armonizado para la notificación y clasificación de incidentes vinculados con las TIC que establece el reglamento DORA. Ahora se cuenta con plazos estandarizados y una planilla única que aplica para toda la Unión Europea. La clave en torno a este tema es la clasificación. Es decir, solo se reportan los incidentes considerados como graves de conformidad con los criterios de los estándares tecnológicos de regulación o RTS.

Con base en lo anterior, detallaremos enseguida cómo es el proceso de notificación:

  1. Informe inicial: El plazo máximo para su envío es de 4 horas luego de la detección y clasificación como un incidente grave. En su defecto, al final del día hábil.

  2. Informe intermedio: Aplica cuando la situación se transforma o se recaba mayor información. Puede identificarse como una actualización del impacto.

  3. Informe final: Tiene que enviarse en un plazo límite de un mes desde la resolución del incidente. Debe detallar tanto las causas que lo originaron como las medidas correctivas aplicadas.

Aunado a ello, es importante clasificar bien el incidente considerando los criterios de gravedad. Por ejemplo, un incidente se denomina grave cuando:

  • Afecta servicios críticos.

  • Tiene un alto impacto en el número de usuarios afectados.

  • Existe una pérdida de datos.

  • Posee un impacto que trasciende fronteras perjudicando a más de un país de la Unión Europea.

En este sentido, el mecanismo para la notificación es una ventanilla única en la cual las autoridades europeas se encuentran trabajando. El objetivo es consolidar un centro dedicado a la notificación que simplifique el proceso para las entidades que operan en varias jurisdicciones.

Por último, debe llevarse a cabo una notificación oportuna a los usuarios sin demora justificada. Sobre todo, si el incidente afecta a datos de los clientes o a los activos en sí mismos.

Sanciones y medidas ley DORA

El régimen establecido para las sanciones de este reglamento se considera uno de los más rigurosos en la Unión Europea. En contraste con otras leyes donde las multas son fijas, aquí se introducen multas coercitivas periódicas diseñadas para obligar a las empresas a corregir sus fallos con inmediatez.

Asimismo, la normativa otorga a las autoridades de supervisión competentes como la CNMV, EBA y BCE, la potestad para intervenir de manera intrusiva en la dirección de las entidades

En función de lo explicado, vamos a detallar con brevedad las multas y sanciones más relevantes en torno a la Ley DORA:

  • Multas para entidades financieras: Las sanciones aplicables dependen de la legislación nacional de cada estado perteneciente. Sin embargo, DORA exige que sean proporcionales y disuasorias. Aunado a eso, los casos más graves pueden alcanzar niveles parecidos a los del RGPD. Es decir, hasta el 2% e incluso el 4% de la facturación anual.

  • Sanciones no pecuniarias: Estas incluyen declaraciones públicas de incumplimiento equivalente a daños reputacionales, requerimientos de cese de conducta y hasta la revocación de autorizaciones necesarias para operar.

  • Sanciones a proveedores TIC (críticos): La Comisión Europea puede aplicar multas coercitivas que se elevan hasta el 1% diario de la cifra de negocios mundiales que genera el proveedor hasta que cumpla. El periodo máximo de dicha penalización diaria es de 6 meses.

Es importante recordar que los supervisores tienen la autoridad de exigir la destitución temporal de cualquier directivo. Esto aplica siempre que se demuestre una negligencia grave en cuanto a la gestión de riesgos TIC.

La evolución hacia la empresa agéntica bajo el reglamento DORA

Esta transición que tiene por objetivo la resiliencia operativa, representa el escenario idóneo para la evolución hacia una empresa con agentes inteligentes.

Por ejemplo, incorporar opciones como HALO de CM.com, le permite a las organizaciones crear una malla interna de supervisión que es capaz de gestionar incidentes en tiempo real y detectar anomalías, además de cumplir con la normativa.

Es por ello que en CM hemos transformado esta obligación legal en una gran ventaja competitiva para las entidades financieras gracias a las soluciones de IA. Optimizar los procesos críticos y blindar la infraestructura ya no es un dolor de cabeza o algo muy difícil de materializar.

En tal sentido, si deseas garantizar tu éxito tecnológico y proteger a tus clientes considerando el reglamento DORA y todos los demás estándares europeos, puedes contar con nosotros. Somos la solución inteligente y operativa que tu negocio necesita ahora.

¿Te gustó este artículo? ¡Compártelo!
Tags
CM.com
CM.com
logo linkedin icon
connects tens of thousands of companies with millions of consumers via their mobile phone each day. Behind the scenes, from our innovative platform, CM.com makes sure companies can use these millions of messages, phone calls and payments to become part of people’s lives.

Artículos relacionados

halo-insurance
Mar 24, 2026 • CM.com

Qué es una empresa agéntica

Una empresa agéntica es aquella que integra agentes de IA autónomos para ejecutar procesos complejos en el núcleo de sus operaciones sin una constante intervención humana. Se diferencian de la automatización convencional porque utilizan sistemas que son capaces de aprender, razonar e incluso actuar con base en objetivos específicos. Todo gracias a soluciones como HALO: un software para la creación y gestión de agentes de IA que vuelve dinámicos los flujos de trabajo, permitiendo que la tecnología vaya más allá de una simple respuesta a consultas. La finalidad es que se resuelvan problemas del negocio mientras escala la experiencia del cliente y se optimiza la productividad.
Agents of Agentic AI
Mar 24, 2026 • AI

¿Qué es RAG AI?

La generación aumentada por recuperación o RAG AI es una estructura de inteligencia artificial creada para optimizar la precisión de los modelos de lenguaje. Integra fuentes de datos externas en tiempo real y hace posible cosas que antes eran inimaginables. En comparación con sistemas convencionales, el RAG (Retrieval Augmented Generation) permite a los agentes inteligentes consultar información actualizada y específica antes de emitir una respuesta. Eliminando así las limitaciones derivadas del conocimiento estático. Dentro de nuestros servicios, la capacidad descrita es imprescindible a la hora de brindar soluciones conversacionales fiables. De hecho, cuando se combina la recuperación de datos verificados con la potencia generativa, las empresas alcanzan una comunicación más técnica y segura.
blog-christmas-carol
Nov 25, 2025 • CM.com

Un cuento de Navidad para el eCommerce: El viaje del cliente en un solo paquete

Es la temporada del comercio conversacional, ¡y CM.com puede ofrecerte todo el viaje del cliente en un solo paquete! Desde lograr que tu material promocional sea visto hasta facilitar pagos dentro de la conversación, y brindar atención al cliente post-compra para convertir a los compradores navideños en fans leales de tu marca.
halo
Feb 06, 2025 • CM.com

Agentes de Agentic AI: Tu aliado para hacer Más en menos tiempo

¿Buscas un asistente inteligente y eficiente que nunca duerme? ¿Un ayudante que se encargue de todas esas tareas repetitivas y te haga la vida más fácil? ¿Uno que aprenda y mejore constantemente para brindarte siempre el mejor apoyo? Puede sonar como un sueño inalcanzable, pero está mucho más cerca de la realidad de lo que imaginas. Descubre Agentic AI, un agente IA que usa la inteligencia artificial y cómo puede transformar tu negocio.
blog-25-years-diy-to-high-tech
Oct 04, 2024 • CM.com

CM.com: El viaje de soluciones caseras a una operación de clase mundial

Lo que comenzó como ClubMessage, enfocado en el marketing de SMS para discotecas, rápidamente evolucionó hacia una potencia tecnológica capaz de manejar millones de mensajes. En solo cinco años, la compañía no solo había logrado un gran alcance entre los jóvenes, sino que también había desarrollado su propia tecnología para gestionar grandes volúmenes de tráfico SMS. Este crecimiento rápido convirtió a CM.com en el mayor comprador de SMS en los Países Bajos, con su tecnología extendiéndose a nuevos sectores como la televisión y la banca. Veamos más de cerca este viaje.
Jeroen-buitenland
Oct 04, 2024 • CM.com

Empujando los Límites: el camino hacia el éxito global

En 2010, CM.com sabía que era el momento de expandirse más allá de nuestras raíces. Lo que comenzó en clubes nocturnos se había transformado en una base de clientes más amplia en diversas industrias. Era hora de empujar límites, tanto literal como figurativamente. Aquí está la historia de nuestro viaje internacional, lleno de desafíos, triunfos y lecciones.
unlock-communication-excellence-with-cpaas
Sep 04, 2024 • CM.com

Desbloquea la Excelencia en la Comunicación con CPaaS

Profundizando en el enfoque de CPaaS de CM.com para capacitar a los usuarios empresariales en la consecución de la Excelencia en la Comunicación - un artículo invitado de Quadrant Knowledge Solutions, una firma global de asesoría y consultoría centrada en ayudar a sus clientes a alcanzar objetivos de transformación empresarial mediante servicios de asesoría estratégica y de crecimiento.
engage-platform-effect-customer-service
May 10, 2024 • CM.com

Clientes Satisfechos, Agentes Satisfechos: el Efecto de la Plataforma de Engagement en el Servicio al Cliente

Como miembro del equipo de servicio al cliente, te encuentras en la primera línea de la interacción con el cliente todos los días. En un mundo donde los clientes demandan un servicio rápido y personalizado, largos tiempos de espera, respuestas impersonales o, peor aún, respuestas incorrectas, pueden alejar rápidamente a un cliente. Sin embargo, tu objetivo es conectar a los clientes con tu organización y brindarles las mejores respuestas y servicio posible. Es increíblemente satisfactorio ver a un cliente abandonar una conversación más feliz y ansioso por comprar tu producto. Tus esfuerzos pueden mejorar significativamente la experiencia del cliente, pero necesitas las herramientas adecuadas para destacar verdaderamente. Integrar estas herramientas en una plataforma amplifica tus capacidades y te permite experimentar el poder del efecto de la plataforma.
CM.com logo phone icon +34 900 838 045
f github icon image.icon.alt.f-instagram f linkedin icon image.icon.alt.f-rss f youtube icon

Choose Your Region

Select a region to show relevant information. This may change the language.

Our Suggestion
United States
English
Africa
next icon
South Africa
English
Asia
next icon
China
中文
India
English
Japan
日本語
Singapore
English
United Arab Emirates
English
United Arab Emirates
العربية
Europe
next icon
Belgium
Nederlands
Belgium
Français
Denmark
Dansk
Denmark
English
France
Français
Germany
Deutsch
Italy
Italiano
Netherlands
Nederlands
Spain
Español
Sweden
Svenska
United Kingdom
English
North America
next icon
United States
English
Is your region not there?
language icon
Global
English
Is this region a better fit for you?
Go
close icon