DORA para Seguros y Fintech: Requisitos Técnicos

Si trabajas en seguros, fintech o cualquier servicio financiero en la UE, DORA ya es tu realidad. El Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero entró en aplicación el 17 de enero de 2025. No es un borrador. No es una propuesta. Es ley aplicable.

A diferencia de NIS2, que cubre sectores amplios con requisitos generales, DORA se diseñó específicamente para entidades financieras y va mucho más lejos en los requisitos técnicos. Si eres un corredor de seguros con 15 empleados, una fintech con 50 desarrolladores o un banco con miles de personas, DORA te aplica. Y los requisitos técnicos son concretos, medibles y auditables.

---

Qué es DORA

DORA es un reglamento europeo, no una directiva. Esa distinción importa. Las directivas necesitan transposición nacional (cada país las adapta a su legislación). Los reglamentos se aplican directamente. No hay que esperar a que España lo trasponga. No hay margen de interpretación nacional. Desde el 17 de enero de 2025, DORA es ley en todos los estados miembros de la UE.

El objetivo: garantizar que las entidades financieras puedan resistir, responder y recuperarse de incidentes relacionados con las TIC (Tecnologías de la Información y las Comunicaciones).

La supervisión recae en las autoridades financieras nacionales. En España: Banco de España para entidades de crédito, CNMV para inversión y DGSFP para el sector asegurador.

---

A quién aplica DORA

El alcance de DORA es amplio dentro del sector financiero. Aplica a bancos y entidades de crédito, empresas de seguros y reaseguros, intermediarios de seguros (corredores, agentes), empresas de servicios de inversión, entidades de pago, entidades de dinero electrónico, proveedores de servicios de criptoactivos y fondos de pensiones de empleo.

Pero hay un punto que muchos pasan por alto: DORA también afecta a los proveedores terceros de TIC que prestan servicios a estas entidades. Si eres una empresa SaaS que vende a bancos o aseguradoras, DORA te impacta indirectamente a través de las obligaciones de gestión de riesgos de terceros que tus clientes deben cumplir.

Para el mercado español, hay un detalle especialmente relevante: los corredores de seguros están incluidos. DORA los clasifica como "intermediarios de seguros" y les aplica las mismas obligaciones de resiliencia operativa digital. Esto es significativo porque el tejido de correduría en España está formado mayoritariamente por PYMEs de 5 a 50 empleados. Muchas de ellas no han empezado a prepararse. Si eres corredor de seguros y piensas que DORA no va contigo, revisa el artículo 2 del reglamento.

---

Los 5 pilares técnicos de DORA

DORA se estructura en cinco pilares. Cada uno tiene artículos específicos con requisitos técnicos concretos.

Pilar 1: Gestión de riesgos TIC (Art. 5-16)

Este es el pilar más extenso. Exige que las entidades establezcan y mantengan un marco de gestión de riesgos TIC robusto. En la práctica, eso se traduce en identificar todos los activos TIC y sus dependencias, implementar medidas de protección (cifrado, control de acceso, seguridad de red), disponer de capacidades de detección de actividades anómalas y tener procedimientos de recuperación y políticas de backup documentados y probados.

No basta con tener un inventario de servidores en una hoja de cálculo. DORA espera que conozcas la relación entre tus sistemas, que entiendas qué pasa si uno falla y que tengas controles técnicos verificables para protegerlos.

Pilar 2: Gestión de incidentes TIC (Art. 17-23)

DORA establece un marco de clasificación y notificación de incidentes TIC con plazos estrictos. Para incidentes clasificados como graves, la entidad debe enviar una notificación inicial dentro de las 4 horas siguientes a la clasificación del incidente, un informe intermedio dentro de las 72 horas y un informe final dentro de 1 mes.

Además, las entidades deben mantener un registro de todos los incidentes TIC (no solo los graves) y realizar un análisis de causa raíz para cada incidente significativo. La capacidad de detectar, clasificar y reportar en 4 horas requiere monitorización en tiempo real. No se puede cumplir con revisiones manuales semanales.

Pilar 3: Pruebas de resiliencia digital (Art. 24-27)

Aquí es donde DORA se pone especialmente técnico. Exige pruebas regulares de los sistemas TIC que incluyen escaneo de vulnerabilidades, evaluaciones de seguridad de red, análisis de código fuente cuando sea viable y pruebas de penetración. Para las entidades consideradas "significativas", DORA va más allá y requiere TLPT (Threat-Led Penetration Testing), que son ejercicios avanzados de red team basados en inteligencia de amenazas reales.

Este es el pilar donde el pentesting automatizado y el escaneo continuo de vulnerabilidades encajan directamente. La frecuencia de las pruebas debe definirse según el perfil de riesgo de la entidad, pero el mínimo para escaneos de vulnerabilidades es anual, y para sistemas críticos debería ser continuo.

Pilar 4: Gestión de riesgos de terceros TIC (Art. 28-44)

DORA reconoce que la resiliencia digital no depende solo de lo que haces internamente. Si tu proveedor cloud sufre una caída o tu software de gestión tiene una brecha, el impacto es tuyo. Por eso exige diligencia debida en la selección de proveedores TIC, requisitos contractuales específicos con proveedores terceros, un marco de supervisión para proveedores TIC críticos y gestión del riesgo de concentración (no depender excesivamente de un solo proveedor).

Para fintech y aseguradoras que dependen de plataformas SaaS, esto es clave: cada proveedor tecnológico crítico debe ser evaluado, los contratos deben incluir cláusulas DORA y hay que documentar planes de salida.

Pilar 5: Intercambio de información (Art. 45)

El quinto pilar establece un marco voluntario para el intercambio de inteligencia sobre ciberamenazas entre entidades financieras. Es el menos prescriptivo, pero la participación activa demuestra madurez en ciberseguridad.

---

Requisitos técnicos concretos

Los pilares de DORA son el marco. Ahora vamos a lo que importa en el día a día: qué medidas técnicas necesitas implementar.

Gestión de activos y superficie de ataque

DORA exige un inventario actualizado de todos los activos TIC, el mapeo de dependencias entre sistemas y la monitorización de cambios en la infraestructura TIC. Necesitas saber qué tienes, qué está expuesto y qué depende de qué.

Esto es exactamente lo que cubre un programa de gestión de superficie de ataque (ASM). Una herramienta de ASM descubre automáticamente los activos externos de tu organización, subdominios, IPs, certificados, servicios expuestos, y monitoriza cambios continuamente. Si aparece un nuevo servicio expuesto a internet que nadie sabía que estaba ahí, lo detectas antes de que lo haga un atacante. Puedes ver cómo funciona esto en la práctica en nuestra solución de Attack Surface Management.

Seguridad de red y cloud

Los requisitos técnicos incluyen cifrado en tránsito y en reposo, control de acceso basado en el principio de mínimo privilegio, segmentación de red y logging y monitorización de todas las operaciones TIC.

Si tu infraestructura está en la nube, estos requisitos se verifican con CSPM (Cloud Security Posture Management). Una herramienta CSPM revisa continuamente las configuraciones de tus cuentas cloud (AWS, GCP, Azure) contra benchmarks de seguridad: ¿tienes buckets públicos? ¿Security Groups abiertos? ¿Usuarios IAM sin MFA? ¿CloudTrail desactivado? Cada una de esas misconfiguraciones es un incumplimiento potencial de DORA. Consulta nuestra solución de CSPM para ver cómo se implementa.

Pruebas de seguridad

DORA exige escaneo de vulnerabilidades al menos anualmente (con mayor frecuencia para sistemas críticos), pentesting periódico y TLPT para entidades significativas. El escaneo automatizado continuo cubre el requisito de evaluaciones regulares. Para TLPT y pruebas de penetración avanzadas, necesitas ejercicios manuales con equipos especializados. La combinación de ambos, escaneo continuo automatizado para detección temprana y pentesting manual para profundidad, es lo que cumple con los artículos 24-27.

Gestión de incidentes

La capacidad de notificar un incidente grave en 4 horas requiere monitorización en tiempo real y alertas automatizadas, un proceso de clasificación de incidentes definido y probado y un canal de comunicación establecido con la autoridad supervisora. ASM y CSPM proporcionan la capa de monitorización continua. Pero necesitas además un proceso de respuesta a incidentes documentado con roles, responsabilidades y contactos claros.

---

DORA para corredores de seguros

Este apartado merece atención especial. El sector de la correduría de seguros en España está formado en su mayoría por empresas de entre 5 y 50 empleados. Muchas operan con una infraestructura TIC básica: un CRM, correo electrónico, una plataforma de cotización y poco más. Pero DORA las incluye como "intermediarios de seguros" y les aplica obligaciones de resiliencia digital.

DORA incluye un principio de proporcionalidad: las medidas deben ser proporcionadas al tamaño, perfil de riesgo y complejidad de la entidad. Un corredor de 10 personas no necesita el mismo nivel de TLPT que un banco sistémico. Pero el mínimo sigue siendo significativo. Necesitas un inventario formal de tus sistemas TIC, un proceso de gestión de incidentes documentado, un programa de pruebas de seguridad (al menos escaneos de vulnerabilidades regulares) y una evaluación de tus proveedores tecnológicos críticos.

La brecha más común que vemos en corredores es que no tienen nada de esto formalizado. No hay inventario de activos, no hay procedimiento de incidentes, no se han hecho nunca pruebas de seguridad y no se ha evaluado a ningún proveedor. El punto de partida es simple: inventaría tus sistemas, identifica tus proveedores críticos, implementa monitorización básica y empieza un programa de escaneo. Un escáner gratuito es un buen primer paso para ver qué está expuesto.

Si eres corredor y también ofreces seguros cibernéticos, la ironía es doble: vendes protección contra riesgos ciber, pero podrías no estar cumpliendo con los requisitos de resiliencia digital que DORA te exige. Nuestra página de soluciones para el sector asegurador detalla cómo abordamos esto.

---

DORA vs NIS2 vs ISO 27001

Si ya estás trabajando en cumplimiento normativo, es probable que te preguntes cómo se relaciona DORA con NIS2 e ISO 27001.

DORA es un reglamento sectorial que aplica exclusivamente al sector financiero. NIS2 es una directiva transversal que cubre múltiples sectores. ISO 27001 es un estándar voluntario (aunque cada vez más exigido contractualmente). Las entidades financieras pueden estar sujetas a DORA y NIS2 simultáneamente si cumplen los criterios de ambas. En ese caso, DORA tiene prioridad como lex specialis para los requisitos que cubre.

La relación con ISO 27001 es especialmente interesante. Si ya tienes implementado un SGSI conforme a ISO 27001:2022, estás cubriendo aproximadamente un 60-70% de los requisitos técnicos de DORA. Los controles de gestión de riesgos, seguridad de red, gestión de acceso, cifrado y continuidad de negocio se solapan sustancialmente.

Lo que DORA añade por encima de ISO 27001 es el marco específico de TLPT, los plazos concretos de notificación de incidentes (4h, 72h, 1 mes), los requisitos contractuales específicos para proveedores terceros TIC y el marco de intercambio de inteligencia sobre amenazas.

Si estás empezando desde cero, implementar ISO 27001 primero es una buena estrategia porque cubre la base. Si ya tienes ISO 27001, tu gap analysis para DORA debería ser relativamente acotado.

---

Cómo prepararse: hoja de ruta práctica

La preparación para DORA no tiene que ser un proyecto de 18 meses con consultores externos facturando seis cifras. Puede empezar hoy con pasos concretos.

1. Determina qué tipo de entidad DORA eres. Banco, aseguradora, corredor, fintech, proveedor TIC. El tipo determina el nivel de exigencia y qué autoridad supervisora te corresponde.

2. Inventaría todos tus activos TIC y proveedores terceros. Servidores, aplicaciones, servicios cloud, APIs, bases de datos. Y los proveedores que los soportan: cloud providers, SaaS, plataformas de comunicación. Sin este inventario, nada de lo que venga después tiene base.

3. Implementa monitorización de seguridad básica. ASM para descubrir y monitorizar tu superficie de ataque externa. CSPM para verificar las configuraciones de seguridad de tu infraestructura cloud. Estas dos herramientas cubren los requisitos de detección y monitorización continua.

4. Establece un procedimiento de clasificación y notificación de incidentes. Define qué es un incidente grave, quién clasifica, quién notifica, a quién y en qué plazos. Pruébalo con un simulacro. Los 4 horas de plazo inicial no dejan margen para improvisar.

5. Inicia un programa de pruebas de seguridad. Escaneo automatizado continuo como línea base. Pentesting manual anual como mínimo. Si eres entidad significativa, prepárate para TLPT. Un escáner gratuito te da visibilidad inmediata sobre tu exposición.

6. Documenta todo. DORA exige evidencia de todas las medidas implementadas. No basta con hacerlo: tienes que poder demostrarlo. Políticas, registros de incidentes, informes de pruebas, evaluaciones de proveedores.

7. Revisa los contratos con tus proveedores TIC. Asegúrate de que incluyen cláusulas alineadas con DORA: niveles de servicio, obligaciones de notificación de incidentes, derechos de auditoría, planes de salida y portabilidad de datos.

---

Para cerrar

DORA eleva el estándar de resiliencia digital para todo el sector financiero europeo. No solo para los grandes bancos: también para los corredores de seguros de 10 personas y las fintech que acaban de cerrar su primera ronda. El reglamento ya está en vigor y las autoridades supervisoras están preparando sus marcos de supervisión.

Si ya has invertido en ISO 27001 o en preparación para NIS2, gran parte del camino está recorrido. Los requisitos técnicos se solapan sustancialmente. Empieza por la visibilidad: si no sabes qué sistemas tienes, qué está expuesto y qué está mal configurado, no puedes protegerlo. Un escaneo gratuito de tu superficie de ataque es el primer paso para dimensionar el trabajo que tienes por delante.