Cómo el reglamento DORA impacta a las empresas y qué medidas debes tomar

17 marzo 2026
|In Cybersecurity
|By Enthec

Si trabajas en el entorno financiero o tecnológico, seguro que has escuchado un acrónimo que está quitando el sueño a más de un director de IT: DORA.

Se trata del Digital Operational Resilience Act (Reglamento de Resiliencia Operativa Digital), una de las normativas más ambiciosas y exigentes de la Unión Europea en materia de ciberseguridad.

Desde enero de 2025, el reglamento DORA es una realidad de obligado cumplimiento. Pero ¿por qué es tan importante y qué cambia realmente para tu negocio? No es solo una ley más; es un cambio de mentalidad. Ya no basta con tener un buen firewall; ahora las autoridades quieren pruebas de que tu empresa puede recibir un golpe digital y seguir funcionando como si nada.

 

¿Qué es exactamente y a qué sector se dirige principalmente el reglamento DORA?

Aunque el nombre suene a algo general, a qué sector se dirige principalmente el reglamento DORA es una de las dudas más frecuentes.

Plataforma de cibervigilancia con detección de vulnerabilidades

Localiza las vulnerabilidades expuestas de tu organización.

Soluciones de cibervigilancia y monitoreo continuo para empresas.

Descubre Kartos

La respuesta corta es: al sector financiero. Pero la respuesta larga es mucho más interesante. A diferencia de normativas anteriores que solo miraban a los grandes bancos, DORA se extiende a:

  • Entidades de crédito y establecimientos de pago.
  • Empresas de inversión y gestión de activos.
  • Entidades de seguros y reaseguros.
  • Proveedores de servicios TIC que brindan soporte a las anteriores.

Este último punto es crítico. Si tu empresa es una tecnológica que vende software o servicios en la nube a un banco, el reglamento DORA también va contigo. La Unión Europea ha identificado que la mayor debilidad del sistema financiero no siempre radica en el banco mismo, sino en la cadena de suministro digital.

 

Los pilares del reglamento DORA y la ciberseguridad

El objetivo de esta norma es crear un marco sólido para que el sistema financiero europeo sea capaz de resistir incidentes graves. Para ello, el reglamento DORA en ciberseguridad se asienta sobre varios pilares fundamentales que las empresas deben cubrir sí o sí:

1. Gestión del riesgo TIC

Las organizaciones deben contar con un marco de gobernanza sólido. Ya no se permite delegar la seguridad únicamente al departamento de informática; la directiva de la empresa es ahora responsable legal de las decisiones de riesgo.

2. Gestión y notificación de incidentes

Si ocurre algo, hay que reportarlo. Y rápido. El reglamento establece plazos estrictos y formatos armonizados para informar sobre incidentes de TIC graves a las autoridades competentes.

3. Pruebas de resiliencia operativa digital

Aquí es donde la cosa se pone seria. DORA exige que las empresas realicen pruebas periódicas de sus sistemas. Para las entidades más críticas, esto incluye los TLPT (Threat-Led Penetration Testing), es decir, pruebas de penetración basadas en la inteligencia de amenazas.

4. Gestión de riesgos de terceros

Como mencionamos antes, el reglamento DORA pone el foco en tus proveedores. Debes auditar cómo gestionan ellos su propia seguridad, ya que una brecha en su sistema es, a efectos prácticos, una brecha en el tuyo.

 

Reglamento DORA

 

 

El análisis y guía del reglamento DORA: del cumplimiento a la estrategia

Si buscas el análisis y la guía sobre el reglamento DORA, verás que la mayoría de los expertos coinciden en algo: el cumplimiento no puede ser reactivo. Muchas empresas cometen el error de esperar a que llegue una auditoría para comprobar si sus sistemas están al día.

Sin embargo, el panorama actual de amenazas no espera. Según datos de diversos informes de seguridad europeos, los ataques de ransomware y el robo de credenciales han aumentado de forma exponencial en los últimos dos años, afectando especialmente a empresas de servicios financieros.

¿Cómo pasar de la teoría a la práctica?

Para cumplir con las exigencias del reglamento, es necesario adoptar herramientas que no solo analicen el riesgo una vez al año, sino que ofrezcan una visión constante. Aquí es donde el concepto de CTEM, o Gestión Continua de la Exposición a Amenazas, se vuelve vital.

Tradicionalmente, las empresas realizaban un «pentesting» anual. El problema es que si al día siguiente de la prueba surge una nueva vulnerabilidad, tu informe ya no sirve de nada. Una estrategia CTEM propone un ciclo de cinco etapas:

  1. Descubrimiento de activos y superficies de ataque.
  2. Mapeo de posibles rutas de ataque.
  3. Priorización basada en el riesgo real (no solo en el técnico).
  4. Validación de que los controles funcionan.
  5. Movilización para corregir lo que realmente importa.

 

Cómo Kartos de Enthec te ayuda con el cumplimiento

En Enthec, entendemos que gestionar todo este volumen de información puede resultar abrumador. Por eso, hemos desarrollado soluciones que se alinean perfectamente con la filosofía del reglamento DORA.

Para las empresas que buscan una gestión profesional y continua, nuestra plataforma Kartos es la respuesta. Se posiciona como una herramienta clave de CTEM, permitiendo a las organizaciones monitorizar su exposición externa de forma automática y no intrusiva.

  • Vigilancia de terceros. Uno de los aspectos más complejos de DORA es supervisar a tus proveedores. Kartos permite analizar el nivel de riesgo de tu cadena de suministro sin necesidad de instalar nada en sus sistemas ni de solicitar permisos especiales. Obtendrás una foto real y objetiva de su salud digital.
  • Detección de filtraciones. Kartos rastrea la Deep y Dark Web buscando credenciales filtradas o información confidencial de tu empresa antes de que los cibercriminales la utilicen.
  • Scoring de riesgo. Te ofrece una puntuación clara sobre tu postura de seguridad, lo que facilita enormemente la vida a los CISO a la hora de reportar a la junta directiva, tal y como exige el nuevo marco regulatorio.

Si eres un profesional independiente o te preocupa tu identidad digital personal, también contamos con Qondar, nuestra solución de cibervigilancia para individuos que aplica estos mismos principios de prevención y monitorización continua.

Importante: El reglamento DORA no es solo una «check-list» para marcar casillas. Es una oportunidad para que tu empresa sea más competitiva y genere más confianza entre sus clientes.

 

Medidas prácticas que debes tomar hoy mismo

Si tu empresa se encuentra bajo el paraguas de esta normativa (o si simplemente quieres mejorar tu ciberseguridad), aquí tienes una hoja de ruta sencilla:

  1. Identifica si estás afectado. Revisa si tu actividad o la de tus clientes principales entra en el ámbito de aplicación del reglamento DORA.
  2. Mapea tus activos y proveedores. No puedes proteger lo que no conoces. Necesitas un inventario actualizado de todos tus sistemas y, sobre todo, de tus proveedores TIC críticos.
  3. Adopta una mentalidad CTEM. Deja atrás las auditorías estáticas. Implementa herramientas de monitorización continua, como Kartos, para tener visibilidad 24/7 sobre tu superficie de ataque externa.
  4. Revisa tus contratos. Asegúrate de que los acuerdos con tus proveedores de servicios tecnológicos incluyen las cláusulas de seguridad y notificación de incidentes que exige la ley.
  5. Formación y concienciación. El error humano sigue siendo la puerta de entrada principal. Forma a tu equipo y, sobre todo, conciencia a la directiva sobre sus nuevas responsabilidades legales.

El reglamento DORA puede parecer un reto logístico inmenso, pero con las herramientas adecuadas y un enfoque proactivo, se convierte en el mejor escudo para proteger el futuro de tu organización.

¿Te preocupa cómo afecta el nuevo reglamento a tu infraestructura o a tus proveedores? Ponte en contacto con nosotros y te ayudaremos a evaluar tu exposición real mediante una demo de Kartos. ¡Es hora de pasar de la preocupación a la prevención!

Contacta