Las organizaciones financieras enfrentan un panorama regulatorio cada vez más exigente en resiliencia digital. Con la entrada en vigor del reglamento DORA (Digital Operational Resilience Act) en la Unión Europea y la creciente adopción de ISO 27001 e ISO 22301 como estándares de referencia, surge una pregunta frecuente: ¿se solapan, se sustituyen o se complementan? En este artículo analizamos las diferencias, coincidencias y la estrategia óptima para integrar estos tres marcos.
Puntos clave
- DORA es un reglamento europeo obligatorio para el sector financiero; ISO 27001 e ISO 22301 son estándares internacionales voluntarios.
- Los tres marcos son complementarios: ISO 27001 cubre seguridad, ISO 22301 cubre continuidad, y DORA añade requisitos regulatorios específicos del sector financiero.
- La ruta recomendada es: ISO 27001 primero, luego ISO 22301, y finalmente los requisitos específicos de DORA.
- Una organización certificada en ISO 27001 + ISO 22301 cubre aproximadamente el 70% de los requisitos de DORA.
Qué es DORA y por qué importa fuera de Europa
DORA (Digital Operational Resilience Act) es el reglamento europeo de resiliencia operativa digital que entró en vigor el 17 de enero de 2025. Aplica a más de 22,000 entidades financieras y proveedores TIC en la Unión Europea, incluyendo bancos, aseguradoras, gestoras de fondos, fintechs y proveedores críticos de tecnología.
¿Por qué debería importarte si tu empresa está en México? Por tres razones:
- Cadena de suministro global: si tu empresa provee servicios tecnológicos a entidades financieras europeas, DORA te afecta directamente como proveedor TIC de terceros.
- Efecto regulatorio cascada: reguladores latinoamericanos como la CNBV en México están adoptando principios similares de resiliencia operativa digital.
- Estándar de facto: DORA está estableciendo el nivel de exigencia que clientes financieros globales esperarán de sus proveedores, independientemente de la geografía.
Comparativa detallada: DORA vs ISO 27001 vs ISO 22301
La siguiente tabla compara los tres marcos en las dimensiones más relevantes para una organización que necesita decidir qué implementar y en qué orden.
| Dimensión | DORA | ISO 27001:2022 | ISO 22301:2019 |
|---|---|---|---|
| Alcance | Resiliencia operativa digital del sector financiero | Seguridad de la información (todos los sectores) | Continuidad del negocio (todos los sectores) |
| Obligatoriedad | Obligatorio (regulación UE) | Voluntario | Voluntario |
| Enfoque principal | Resiliencia operativa ante disrupciones TIC | Confidencialidad, integridad y disponibilidad de la información | Capacidad de operar durante y después de disrupciones |
| Gestión de riesgos TIC | Marco detallado y prescriptivo de gestión de riesgos TIC | Gestión de riesgos de seguridad de la información (basado en riesgos) | Análisis de impacto al negocio (BIA) y evaluación de riesgos |
| Gestión de incidentes | Clasificación, reporte obligatorio a autoridades, plazos definidos | Gestión de incidentes de seguridad (Anexo A, control A.5.24-A.5.28) | Respuesta a incidentes como parte de planes de continuidad |
| Pruebas de resiliencia | TLPT obligatorio cada 3 años, pruebas de escenario anuales | Auditorías internas, revisión de controles | Ejercicios y pruebas de planes de continuidad |
| Gestión de terceros | Registro de proveedores TIC, supervisión continua, cláusulas contractuales obligatorias | Control de relaciones con proveedores (Anexo A, A.5.19-A.5.23) | Cadena de suministro en planes de continuidad |
| Reporte a autoridades | Obligatorio (incidentes mayores en 4 horas, informe completo en 72 horas) | No requerido por la norma | No requerido por la norma |
| Certificable | No (se verifica por supervisores financieros) | Sí (por organismo de certificación acreditado) | Sí (por organismo de certificación acreditado) |
| Marco geográfico | Unión Europea (con alcance extraterritorial para proveedores TIC) | Internacional (reconocido globalmente) | Internacional (reconocido globalmente) |
¿Quieres evaluar tu preparación? Solicita un diagnóstico de seguridad de la información o realiza el autodiagnóstico en línea para medir tu madurez actual.
Cómo se complementan los tres marcos
La forma más clara de entender la relación entre DORA, ISO 27001 e ISO 22301 es pensar en capas de protección, donde cada marco cubre un ángulo diferente:
ISO 27001: la base de seguridad
ISO 27001 establece los cimientos de la gestión de seguridad de la información. Define cómo identificar activos de información, evaluar riesgos, seleccionar controles y mantener un ciclo de mejora continua. Sin esta base, cualquier intento de resiliencia digital carece de fundamento.
Aporta a DORA: gestión de riesgos de seguridad, control de acceso, cifrado, gestión de vulnerabilidades, seguridad en desarrollo de software, gestión de incidentes de seguridad y control de proveedores.
ISO 22301: la capacidad de recuperación
ISO 22301 añade la dimensión de continuidad del negocio: ¿qué pasa cuando algo sale mal a pesar de tus controles de seguridad? Define cómo analizar el impacto al negocio (BIA), establecer estrategias de recuperación, crear planes de continuidad y probarlos regularmente.
Aporta a DORA: análisis de impacto, estrategias de recuperación, planes de continuidad, ejercicios y pruebas, tiempos de recuperación objetivo (RTO/RPO) y gestión de crisis.
DORA: los requisitos regulatorios específicos
DORA agrega requisitos que ni ISO 27001 ni ISO 22301 cubren por sí solos, porque son específicos del sector financiero:
- TLPT (Threat-Led Penetration Testing): pruebas de penetración basadas en inteligencia de amenazas reales, obligatorias cada 3 años para entidades significativas.
- Reporte regulatorio de incidentes: clasificación estandarizada y notificación a autoridades supervisoras en plazos definidos (4 horas para alerta inicial, 72 horas para informe completo).
- Registro de proveedores TIC: inventario detallado de todos los proveedores de tecnología con evaluación de riesgo de concentración.
- Supervisión directa de proveedores TIC críticos: las autoridades europeas pueden supervisar directamente a proveedores considerados sistémicos.
- Cláusulas contractuales obligatorias: contenido mínimo que deben incluir los contratos con proveedores TIC.
Estrategia de integración: por dónde empezar
Si tu organización necesita cubrir los tres marcos, la estrategia más eficiente es una implementación escalonada que aprovecha las sinergias entre ellos:
Fase 1: ISO 27001 (meses 1-6)
Comienza con ISO 27001 porque establece la infraestructura de gestión que las otras dos capas necesitan: política de seguridad, metodología de riesgos, estructura de gobernanza, gestión documental y auditoría interna. Una vez certificado, tienes la base sobre la cual construir.
Fase 2: ISO 22301 (meses 4-9)
Inicia ISO 22301 cuando ISO 27001 esté en operación (puedes solapar las fases). Ambas normas comparten la estructura del Anexo SL, por lo que la política, los objetivos, la gestión documental y las auditorías internas se integran naturalmente. El BIA y los planes de continuidad complementan la gestión de riesgos de ISO 27001.
Fase 3: Requisitos DORA (meses 7-12)
Con ISO 27001 + ISO 22301 implementados, el 70% de los requisitos de DORA ya está cubierto. La fase final se enfoca en los requisitos específicos: marco de gestión de riesgos TIC alineado a los RTS de DORA, programa TLPT, registro de proveedores TIC, mecanismo de reporte de incidentes a autoridades y cláusulas contractuales estandarizadas.
Beneficios de la integración
| Beneficio | Descripción |
|---|---|
| Reducción de costos | Un sistema de gestión integrado evita duplicidad de documentación, auditorías y recursos. |
| Auditorías combinadas | ISO 27001 e ISO 22301 pueden auditarse en un solo ciclo por el mismo organismo de certificación. |
| Cumplimiento acelerado | Las certificaciones ISO sirven como evidencia de madurez ante supervisores que verifican DORA. |
| Ventaja competitiva | Demuestras a clientes financieros europeos que cumples con estándares internacionales reconocidos. |
¿Necesitas un diagnóstico de brechas? Evalúa tu nivel de cumplimiento con un diagnóstico ISO 27001 o un diagnóstico ISO 22301 para identificar dónde enfocar tus esfuerzos.
Mapeo: qué requisitos de DORA cubren ISO 27001 e ISO 22301
Para que la integración sea práctica, es útil entender qué pilares de DORA quedan cubiertos por cada norma ISO y qué requisitos necesitan trabajo adicional.
| Pilar de DORA | Cobertura ISO 27001 | Cobertura ISO 22301 | Brecha residual |
|---|---|---|---|
| Gestión de riesgos TIC | Alta (cláusula 6.1, Anexo A) | Media (BIA, evaluación de riesgos) | Requisitos prescriptivos de los RTS |
| Gestión de incidentes | Alta (A.5.24-A.5.28) | Media (gestión de crisis) | Reporte regulatorio, clasificación DORA |
| Pruebas de resiliencia | Media (auditorías, pruebas de controles) | Alta (ejercicios de continuidad) | TLPT con inteligencia de amenazas |
| Gestión de terceros TIC | Alta (A.5.19-A.5.23) | Media (cadena de suministro) | Registro, cláusulas obligatorias, concentración |
| Intercambio de información | Baja | Baja | Mecanismos de compartición de amenazas |
Como muestra la tabla, la combinación de ISO 27001 + ISO 22301 cubre la mayoría de los fundamentos. Las brechas residuales son principalmente requisitos regulatorios específicos que DORA impone al sector financiero: reportes a autoridades, TLPT, registro de proveedores y mecanismos de intercambio de inteligencia de amenazas.
Preguntas frecuentes
¿DORA aplica a empresas mexicanas?
DORA es un reglamento de la Unión Europea, por lo que no aplica directamente a empresas mexicanas. Sin embargo, si tu empresa presta servicios financieros a entidades europeas, actúa como proveedor TIC de instituciones reguladas en la UE, o pertenece a un grupo financiero con operaciones en Europa, podrías verte afectado indirectamente.
Además, reguladores mexicanos como la CNBV están adoptando principios similares de resiliencia operativa digital. Prepararse con ISO 27001 e ISO 22301 te posiciona favorablemente ante cualquier regulación futura en México.
¿ISO 27001 es suficiente para cumplir con DORA?
No. ISO 27001 cubre la gestión de seguridad de la información, que es uno de los pilares de DORA, pero no es suficiente por sí sola. DORA tiene requisitos específicos de resiliencia operativa, pruebas de penetración avanzadas (TLPT), gestión de riesgo de terceros TIC y reporte de incidentes a autoridades que van más allá del alcance de ISO 27001.
Necesitas complementar con ISO 22301 para continuidad del negocio y controles adicionales específicos de DORA. La buena noticia es que ISO 27001 cubre aproximadamente el 50% de los requisitos de DORA.
¿Cuál marco debo implementar primero?
La ruta recomendada es: primero ISO 27001 (seguridad de la información como base), después ISO 22301 (continuidad del negocio), y finalmente los requisitos específicos de DORA.
ISO 27001 establece los fundamentos de gestión de riesgos y controles de seguridad. ISO 22301 añade la capacidad de recuperación ante disrupciones. DORA agrega los requisitos regulatorios específicos del sector financiero. Cada capa construye sobre la anterior, lo que hace el proceso más eficiente y reduce el retrabajo.
¿Qué pasa si no cumplo con DORA?
Las sanciones por incumplimiento de DORA pueden incluir:
- Multas de hasta el 1% de la facturación diaria global promedio (aplicadas diariamente hasta corregir el incumplimiento).
- Restricciones operativas y requerimientos de remediación con plazos definidos.
- En casos graves, suspensión de actividades.
- Para proveedores TIC críticos, supervisión directa por autoridades europeas.
En la práctica, el mayor riesgo para empresas fuera de la UE es la pérdida de contratos con entidades financieras europeas que necesitan que sus proveedores cumplan con los estándares de DORA.
¿DORA reemplaza a ISO 27001?
No. DORA es un reglamento regulatorio obligatorio para el sector financiero europeo; ISO 27001 es un estándar internacional voluntario de gestión de seguridad de la información. Son complementarios, no sustitutos.
De hecho, DORA reconoce explícitamente los estándares internacionales como referencia. Una organización certificada en ISO 27001 tiene una ventaja significativa para cumplir con DORA, pero necesita cubrir los requisitos adicionales que la regulación exige.
¿Cómo empiezo a construir resiliencia digital en mi organización?
Empieza con un diagnóstico de brechas que evalúe tu estado actual contra los requisitos de ISO 27001, ISO 22301 y, si aplica, DORA. Identifica qué controles ya tienes implementados y dónde están las brechas críticas.
Prioriza por riesgo: primero los controles de seguridad fundamentales (ISO 27001), luego la continuidad operativa (ISO 22301), y finalmente los requisitos regulatorios específicos. Un diagnóstico profesional te ahorra meses de trabajo al enfocar los esfuerzos donde más impactan.
¿Se pueden certificar ISO 27001 e ISO 22301 de forma conjunta?
Sí. Ambas normas comparten la estructura de alto nivel del Anexo SL de ISO, lo que facilita la integración. Puedes implementar un sistema de gestión integrado que cubra ambos estándares y auditarlos en un solo ciclo.
Esto reduce costos, evita duplicidad de documentación y acelera el proceso. Muchos organismos de certificación ofrecen auditorías combinadas para ambas normas, lo que significa un solo equipo auditor evaluando ambos sistemas en una sola visita.
¿Qué es TLPT y por qué lo exige DORA?
TLPT (Threat-Led Penetration Testing) son pruebas de penetración basadas en inteligencia de amenazas reales. DORA exige que las entidades financieras significativas realicen TLPT al menos cada tres años, simulando ataques reales dirigidos a sus funciones críticas.
A diferencia de un pentest convencional, TLPT usa escenarios de amenaza específicos del sector financiero y debe ser ejecutado por equipos especializados independientes. El marco europeo TIBER-EU sirve como referencia metodológica para estas pruebas.
¿Quieres prepararte para DORA? Conoce nuestros programas de certificación individual DORA o solicita un diagnóstico de seguridad de la información como primer paso.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.