DORA compliance: cúmplalo y demuéstrelo
La prueba, no la estimación.
DORA no es un plazo futuro. El Reglamento (UE) 2022/2554 es aplicable desde el 17 de enero de 2025 y, al ser un reglamento, es directamente exigible sin esperar a ninguna ley española.
La consecuencia es incómoda de decir, pero es la realidad: si su entidad financiera no puede demostrar hoy su marco de gestión del riesgo TIC, ya está en situación de incumplimiento.
Deflank es la plataforma que convierte esa exigencia en evidencia auditable.
Lo que DORA le pide de verdad
El artículo 6 exige un marco de gestión del riesgo TIC «sólido, completo y bien documentado». La palabra que decide es la última: si no está documentado y no es demostrable, para el supervisor no existe.
Y no se queda ahí:
- Artículo 5. El órgano de dirección define, aprueba y supervisa el marco — y responde de su aplicación.
- Artículo 30. Cláusulas contractuales obligatorias con cada proveedor TIC. La mayoría de los contratos firmados antes de 2025 no las cumplen.
- Artículos 28-31. Registro de información de proveedores, evaluación del riesgo de concentración y estrategias de salida creíbles.
- Artículo 26. Pruebas avanzadas de penetración basadas en amenazas (TLPT), al menos cada tres años.
- Artículo 19. Notificación de los incidentes graves relacionados con las TIC.
El hueco que dejan las alternativas
- La consultoría entrega un informe: cierto el día que se firma, envejecido al siguiente cambio en sus sistemas.
- Los paneles de GRC registran lo que usted declara. Documentan la intención, no la realidad.
- Los TLPT y los pentest entregan una estimación: «no consiguieron entrar esta vez». Necesarios, pero no son una demostración.
Cuando el supervisor pregunta si su marco funciona, ninguno responde. Deflank sí.
Qué obtiene
- Mapa de encaje: si le aplica el régimen completo o el marco simplificado del artículo 16 — una decisión que puede ahorrarle una parte sustancial del esfuerzo.
- Evidencia demostrable del marco de riesgo TIC: no un checklist marcado, sino una prueba reproducible que un tercero puede volver a verificar.
- Registro de información de proveedores TIC, con evaluación de concentración y estrategias de salida.
- Revisión contractual frente al artículo 30, incluida la subcontratación de funciones esenciales.
- Procedimiento de notificación de incidentes graves, montado antes de que ocurra el incidente.
- Informe para el consejo, porque el artículo 5 le hace responsable.
Sus modelos de IA también están dentro
DORA no menciona la inteligencia artificial ni una sola vez. Y sin embargo la regula de lleno: sus definiciones son funcionales, no tecnológicas, de modo que un modelo de scoring, un motor antifraude o un asistente de cliente son servicios de TIC a todos los efectos.
Con dos consecuencias que sorprenden a casi todas las entidades: su proveedor de IA es un proveedor tercero de servicios TIC —con sus cláusulas, su registro y su riesgo de concentración—, y un fallo del modelo puede ser un incidente notificable. (Lo detallamos en [DORA e inteligencia artificial].)
Despliegue soberano
Deflank es autohospedable: se despliega on-premise o en su nube privada, incluso en entornos aislados de la red. Para una entidad financiera, que los datos y las pruebas no salgan del perímetro no es una preferencia — suele ser una condición.
Un solo marco para tres normas
Una entidad de crédito con modelos de IA puede estar sujeta a la vez a:
- DORA — resiliencia operativa digital (y prevalece sobre NIS2 como norma sectorial).
- NIS2 — en lo que DORA no cubra.
- EU AI Act — sus modelos de scoring o de seguros son alto riesgo (anexo III), con obligaciones desde agosto de 2026.
Abordarlas por separado multiplica el trabajo. Deflank las resuelve en un único marco de control.
Para quién
- Entidades financieras del artículo 2: bancos, entidades de pago y de dinero electrónico, empresas de inversión, aseguradoras, fondos de pensiones, criptoactivos, agencias de calificación.
- Proveedores TIC del sector financiero — incluidos los de IA —, a quienes sus clientes ya trasladan las exigencias por contrato, y que pueden acabar designados como esenciales y supervisados por las Autoridades Europeas de Supervisión (artículo 31).
Empiece por saber dónde está
Diagnóstico de conformidad DORA. Le decimos qué le aplica, qué le falta y qué puede demostrar hoy. Sin compromiso.
Preguntas frecuentes
¿DORA ya es obligatorio? Sí. Es aplicable desde el 17 de enero de 2025 y, al ser un reglamento, no requiere transposición nacional.
¿Deflank sustituye a mi consultora o a mis TLPT? No. La consultora define qué hacer y el TLPT prueba sus defensas frente a un adversario. Deflank demuestra de forma continua y auditable que su marco cumple. Son capas complementarias.
¿Puedo desplegarlo on-premise? Sí. Es autohospedable y funciona en entornos aislados. Los datos no salen de su perímetro.
¿Sirve también para NIS2 y el AI Act? Sí. Es el mismo núcleo de verificación aplicado a distintas normas, en un único marco de control.
¿Cubre a mis proveedores de IA? Sí. Para DORA son proveedores terceros de servicios TIC, con sus obligaciones contractuales y de registro.
¿Y si soy una entidad pequeña? Puede corresponderle el marco simplificado del artículo 16. El diagnóstico lo determina antes de que invierta de más.
Enlaces internos: [Reglamento DORA: qué es y a quién aplica (guía)] · [DORA e inteligencia artificial] · [NIS2] · [EU AI Act].
Fuente normativa: Reglamento (UE) 2022/2554, artículos 5, 6, 16, 19, 26, 28 a 31 y 64.