Ciberseguridad, Cloud, IA

La regulación DORA y su impacto global en la nube, la ciberseguridad y la IA

August 4, 2025July 23, 2025
Regulación DORA

En una era donde la transformación digital define el éxito empresarial, regulaciones como la Ley de Resiliencia Operativa Digital (DORA) están transformando la forma en que las organizaciones abordan la tecnología, la seguridad y el cumplimiento normativo. Para las empresas que operan en o con la Unión Europea (UE), DORA no es solo un acrónimo más: es un marco transformador diseñado para fortalecer a las instituciones financieras contra las ciberamenazas, sin embargo, su influencia se extiende mucho más allá de las fronteras de la UE, afectando a los proveedores de nube, las estrategias de ciberseguridad e incluso la adopción de la inteligencia artificial (IA) en todo el mundo.

En Suri Services, consultora líder en la nube y socio de Microsoft especializado en ciberseguridad e IA, reconocemos la urgencia de comprender las implicaciones de DORA, el motivo por el cual es importante a nivel mundial y cómo las empresas pueden prepararse para sus requisitos.

 

¿Qué es el Reglamento DORA?

La Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), promulgada por la UE en 2022 y vigente desde enero de 2025, establece normas vinculantes para que las entidades financieras refuercen sus sistemas informáticos ante interrupciones. Su objetivo es garantizar la resiliencia operativa en todo el sector financiero mediante la exigencia de prácticas sólidas de ciberseguridad, la notificación de incidentes y la gestión de riesgos de terceros.

Si bien la DORA se dirige directamente a bancos, aseguradoras y empresas de inversión de la UE, su efecto dominó impacta a cualquier organización que preste servicios digitales a estas entidades, incluidos proveedores de servicios en la nube, proveedores de software y startups fintech.

Pilares de la DORA

1. Gestión de riesgos de las TIC

Las instituciones financieras deben implementar marcos integrales de gestión de riesgos para identificar, supervisar y mitigar los riesgos informáticos. Esto incluye la realización de pruebas periódicas de los sistemas, la formación de los empleados y la adopción de herramientas avanzadas como la detección de amenazas basada en IA.

2. Notificación de incidentes

Las organizaciones deben informar a los reguladores sobre los incidentes importantes relacionados con las TIC dentro de plazos estrictos. Por ejemplo, los incidentes críticos deben comunicarse en un plazo de cuatro horas desde su detección.

3. Pruebas de resiliencia

Las pruebas de penetración anuales, las simulaciones basadas en escenarios y las evaluaciones de vulnerabilidad son obligatorias para garantizar la resistencia de los sistemas a los ciberataques.

4. Gestión de riesgos de terceros

Las entidades financieras deben evaluar las prácticas de ciberseguridad de sus proveedores, incluidos los proveedores de nube como Microsoft Azure o AWS. Los contratos deben incluir cláusulas de cumplimiento normativo y derechos de auditoría.

5. Intercambio de información

Fomenta la colaboración entre entidades para compartir inteligencia sobre ciberamenazas, a la vez que se protegen los datos confidenciales.

¿Por qué DORA es importante a nivel mundial?

1. Los proveedores de nube se enfrentan a un escrutinio más estricto

Más del 80 % de las instituciones financieras dependen de servicios de nube de terceros. Bajo DORA, los proveedores de nube deben demostrar el cumplimiento de rigurosos estándares de seguridad. Los proveedores no pertenecientes a la UE que prestan servicios a clientes de la UE deben cumplir con los requisitos de DORA, lo que impulsa a los proveedores globales de nube a actualizar sus protocolos.

2. La ciberseguridad se convierte en una ventaja competitiva

DORA incentiva las inversiones proactivas en ciberseguridad. Las empresas que adopten la detección de amenazas basada en IA o arquitecturas de confianza cero no solo cumplirán con las normativas, sino que también se ganarán la confianza de los clientes, por ejemplo, Suri Services integra Security Copilot de Microsoft para ayudar a los clientes a automatizar la respuesta a incidentes.

3. La gobernanza de la IA cobra impulso

A medida que las instituciones financieras implementan la IA para la detección de fraudes o la atención al cliente, DORA exige transparencia en la toma de decisiones sobre IA. Esto se alinea con la experiencia de Suri Services en marcos éticos de IA, lo que garantiza que los algoritmos sean auditables y estén libres de sesgos.

4. Un modelo para otras regiones

Están surgiendo regulaciones similares a nivel mundial. Las normas de divulgación de ciberseguridad de la Comisión de Bolsa y Valores (SEC por sus siglas en inglés) de EE. UU. y las directrices de la Autoridad Monetaria (MAS) de Singapur, reflejan los principios de DORA, creando un estándar global de facto.

5. Las pymes deben adaptarse rápidamente

Los proveedores más pequeños corren el riesgo de perder contratos si no cumplen con los requisitos de terceros de DORA. Suri Services ayuda a las pymes a lograr el cumplimiento normativo mediante soluciones en la nube personalizadas y evaluaciones de riesgos.

 

DORA es más que un mandato de la UE: es un catalizador para la innovación global en ciberseguridad, tecnología en la nube y gobernanza de la IA. Al adoptar los principios de DORA, las empresas pueden preparar sus operaciones para el futuro y generar confianza en una economía digital interconectada.

En Suri Services, nos comprometemos a guiar en esta transición con soluciones innovadoras y alianzas estratégicas. Convirtamos los desafíos regulatorios en oportunidades de crecimiento.

 

Fuentes:

  1. Comisión Europea. (2022). Ley de Resiliencia Operativa Digital (DORA). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0590
  2. Gartner. (2023). Gartner prevé un crecimiento del 21,7 % en los ingresos mundiales de la nube pública en 2023. (https://www.gartner.com/en/newsroom/press-releases/2023-04-18-gartner-says-worldwide-cloud-revenue-to-reach-591-billion-in-2023
  3. Agencia de la Unión Europea para la Ciberseguridad (ENISA). (2023). Directrices de Resiliencia Operativa. https://www.enisa.europa.eu/publications/enisa-report-on-operational-resilience
  4. Microsoft. (2025). Ofertas de Cumplimiento de Microsoft. https://www.microsoft.com/en-us/trust-center

Leave a Reply

Your email address will not be published.