DORA compliance: cúmplalo y demuéstrelo

La prueba, no la estimación.

DORA no es un plazo futuro. El Reglamento (UE) 2022/2554 es aplicable desde el 17 de enero de 2025 y, al ser un reglamento, es directamente exigible sin esperar a ninguna ley española.

La consecuencia es incómoda de decir, pero es la realidad: si su entidad financiera no puede demostrar hoy su marco de gestión del riesgo TIC, ya está en situación de incumplimiento.

Deflank es la plataforma que convierte esa exigencia en evidencia auditable.

Lo que DORA le pide de verdad

El artículo 6 exige un marco de gestión del riesgo TIC «sólido, completo y bien documentado». La palabra que decide es la última: si no está documentado y no es demostrable, para el supervisor no existe.

Y no se queda ahí:

El hueco que dejan las alternativas

Cuando el supervisor pregunta si su marco funciona, ninguno responde. Deflank sí.

Qué obtiene

Sus modelos de IA también están dentro

DORA no menciona la inteligencia artificial ni una sola vez. Y sin embargo la regula de lleno: sus definiciones son funcionales, no tecnológicas, de modo que un modelo de scoring, un motor antifraude o un asistente de cliente son servicios de TIC a todos los efectos.

Con dos consecuencias que sorprenden a casi todas las entidades: su proveedor de IA es un proveedor tercero de servicios TIC —con sus cláusulas, su registro y su riesgo de concentración—, y un fallo del modelo puede ser un incidente notificable. (Lo detallamos en [DORA e inteligencia artificial].)

Despliegue soberano

Deflank es autohospedable: se despliega on-premise o en su nube privada, incluso en entornos aislados de la red. Para una entidad financiera, que los datos y las pruebas no salgan del perímetro no es una preferencia — suele ser una condición.

Un solo marco para tres normas

Una entidad de crédito con modelos de IA puede estar sujeta a la vez a:

Abordarlas por separado multiplica el trabajo. Deflank las resuelve en un único marco de control.

Para quién

Empiece por saber dónde está

Diagnóstico de conformidad DORA. Le decimos qué le aplica, qué le falta y qué puede demostrar hoy. Sin compromiso.

Solicitar diagnóstico →

Preguntas frecuentes

¿DORA ya es obligatorio? Sí. Es aplicable desde el 17 de enero de 2025 y, al ser un reglamento, no requiere transposición nacional.

¿Deflank sustituye a mi consultora o a mis TLPT? No. La consultora define qué hacer y el TLPT prueba sus defensas frente a un adversario. Deflank demuestra de forma continua y auditable que su marco cumple. Son capas complementarias.

¿Puedo desplegarlo on-premise? Sí. Es autohospedable y funciona en entornos aislados. Los datos no salen de su perímetro.

¿Sirve también para NIS2 y el AI Act? Sí. Es el mismo núcleo de verificación aplicado a distintas normas, en un único marco de control.

¿Cubre a mis proveedores de IA? Sí. Para DORA son proveedores terceros de servicios TIC, con sus obligaciones contractuales y de registro.

¿Y si soy una entidad pequeña? Puede corresponderle el marco simplificado del artículo 16. El diagnóstico lo determina antes de que invierta de más.


Enlaces internos: [Reglamento DORA: qué es y a quién aplica (guía)] · [DORA e inteligencia artificial] · [NIS2] · [EU AI Act].

Fuente normativa: Reglamento (UE) 2022/2554, artículos 5, 6, 16, 19, 26, 28 a 31 y 64.