Registro de información de DORA: guía ISO 27001
Son las 09:15 de un martes. Sarah, CISO de una fintech en rápido crecimiento, participa en una evaluación de preparación con su responsable de cumplimiento, asesoría jurídica, responsable de compras y arquitecto de seguridad en la nube. El consultor externo está actuando como evaluador de DORA.
“Gracias por la presentación”, dice. “Faciliten su Registro de información conforme a lo exigido por el artículo 28 de DORA, incluidos los acuerdos contractuales de TIC que sustentan funciones esenciales o importantes, la visibilidad de la subcontratación, la titularidad de los activos y evidencias de que el registro se mantiene conforme a su marco de gestión del riesgo relacionado con las TIC.”
La primera respuesta suena segura: “Tenemos una lista de proveedores”.
Entonces empiezan las preguntas.
¿Qué proveedores sustentan la autorización de pagos? ¿Qué contratos incluyen derechos de auditoría, asistencia en incidentes, compromisos sobre ubicación de datos, derechos de terminación y asistencia para la salida? ¿Qué plataformas SaaS tratan datos personales de clientes? ¿Qué servicios en la nube sustentan funciones esenciales o importantes? ¿Qué subcontratistas están detrás del proveedor de seguridad gestionada? ¿Qué propietario interno del activo aprobó la dependencia? ¿Qué riesgos del Plan de Tratamiento de Riesgos de ISO/IEC 27001:2022 están vinculados a estos proveedores? ¿Qué entradas de la Declaración de Aplicabilidad justifican los controles?
A las 10:30, el equipo ha abierto cuatro hojas de cálculo, una exportación de la CMDB, una carpeta de SharePoint con contratos en PDF, una lista de encargados del tratamiento de privacidad, un informe de facturación en la nube y una herramienta de seguimiento de SaaS mantenida manualmente. Ninguna coincide con las demás.
Ese es el reto práctico del Registro de información de DORA en 2026. La implantación de DORA ha pasado de “necesitamos una hoja de ruta” a “muéstreme las evidencias”. Para las entidades financieras, los proveedores terceros de servicios de TIC, los CISO, los auditores internos y los equipos de cumplimiento, el registro ya no es una plantilla administrativa. Es el tejido conectivo entre contratos de TIC, riesgo de proveedores, cadenas de subcontratación, servicios en la nube, activos de TIC, funciones esenciales, titularidad de la gobernanza y evidencias de ISO/IEC 27001:2022.
El enfoque de Clarysec es sencillo: no construya el Registro de información de DORA como un artefacto de cumplimiento separado. Constrúyalo como una capa viva de evidencias dentro de su SGSI, respaldada por gestión de activos, seguridad de proveedores, gobernanza del uso de la nube, mapeo de obligaciones legales y reglamentarias, metadatos de auditoría y trazabilidad del tratamiento de riesgos.
Zenith Controls: The Cross-Compliance Guide de Clarysec Zenith Controls identifica tres controles ancla del Anexo A de ISO/IEC 27001:2022 como especialmente relevantes para este tema: A.5.9, inventario de información y otros activos asociados; A.5.19, seguridad de la información en las relaciones con proveedores; y A.5.20, tratamiento de la seguridad de la información en los acuerdos con proveedores. Estos controles no son papeleo adicional. Son la columna vertebral operativa para demostrar que el registro es completo, tiene propietario, está actualizado y es auditable.
Qué espera DORA del Registro de información
DORA se aplica desde el 17 de enero de 2025 y crea un marco normativo de resiliencia TIC para el sector financiero que abarca la gestión del riesgo relacionado con las TIC, la notificación de incidentes, las pruebas de resiliencia, el riesgo de terceros, los acuerdos contractuales, la supervisión de proveedores terceros críticos de servicios de TIC y la aplicación supervisora. Para las entidades financieras también identificadas conforme a la transposición nacional de NIS2, DORA opera como el acto jurídico sectorial específico de la Unión para los requisitos equivalentes de gestión de riesgos de ciberseguridad y notificación de incidentes.
La obligación del registro se sitúa dentro de la disciplina de gestión del riesgo de terceros de TIC de DORA. El artículo 28 de DORA exige que las entidades financieras gestionen el riesgo de terceros de TIC como parte del marco de gestión del riesgo relacionado con las TIC, sigan siendo plenamente responsables del cumplimiento incluso cuando utilicen proveedores de TIC, mantengan un registro de información para los acuerdos contractuales sobre servicios de TIC y distingan los acuerdos que sustentan funciones esenciales o importantes.
El artículo 29 de DORA añade consideraciones sobre riesgo de concentración y subcontratación. Esto incluye la capacidad de sustitución, múltiples dependencias del mismo proveedor o de proveedores conectados, subcontratación en terceros países, restricciones por insolvencia, recuperación de datos, cumplimiento de protección de datos y cadenas de subcontratación largas o complejas.
El artículo 30 de DORA define después el contenido contractual que los auditores esperarán ver. Esto incluye descripciones de servicios, condiciones de subcontratación, ubicaciones de tratamiento de datos, compromisos de protección de datos, obligaciones de acceso y recuperación, niveles de servicio, asistencia ante incidentes, cooperación con autoridades, derechos de terminación, participación en formación, derechos de auditoría y estrategias de salida para acuerdos que sustentan funciones esenciales o importantes.
Un Registro de información de DORA maduro debe responder a cuatro preguntas prácticas.
| Pregunta del registro | Qué están comprobando realmente supervisores y auditores |
|---|---|
| ¿Qué servicios de TIC utiliza? | Integridad de los acuerdos contractuales de TIC, servicios en la nube, plataformas SaaS y servicios gestionados |
| ¿Quién los presta y quién está detrás? | Titularidad de proveedores, cadenas de subcontratación, subencargados y riesgo de concentración |
| ¿Qué sustentan? | Vinculación con funciones esenciales o importantes, procesos de negocio, activos de TIC y datos |
| ¿Puede evidenciar la gobernanza? | Contratos, evaluaciones de riesgos, controles, propietarios, supervisión, derechos de auditoría, preparación para la salida y metadatos de revisión |
Un registro débil es una hoja de cálculo que compras actualiza una vez al año. Un registro sólido es un conjunto de datos gobernado que conecta la cartera de proveedores, el Inventario de Activos, el Registro de Servicios en la Nube, el repositorio contractual, los registros de privacidad, los Planes de Continuidad del Negocio, los procedimientos operativos de incidentes, el Registro de Riesgos y las evidencias de ISO/IEC 27001:2022.
Por qué ISO 27001 es la vía más rápida hacia un registro DORA defendible
ISO/IEC 27001:2022 proporciona a las organizaciones la estructura de sistema de gestión que a menudo falta en las evidencias de DORA. Las cláusulas 4.1 a 4.4 exigen que la organización defina el contexto, las partes interesadas, las obligaciones legales, reglamentarias y contractuales, el alcance, las interfaces y las dependencias. Ahí es exactamente donde DORA encaja en el SGSI, porque el registro depende de saber qué servicios financieros, proveedores de TIC, clientes, autoridades, plataformas en la nube y procesos externalizados quedan dentro del alcance.
Las cláusulas 5.1 a 5.3 exigen liderazgo, alineación de políticas, recursos, responsabilidades e información a la alta dirección. Esto es relevante porque el artículo 5 de DORA atribuye al órgano de administración la responsabilidad de definir, aprobar, supervisar y mantener la responsabilidad proactiva sobre el marco de gestión del riesgo relacionado con las TIC, incluidas las políticas de proveedores terceros de servicios de TIC y los canales de notificación.
Las cláusulas 6.1.1 a 6.1.3 son donde el registro pasa a estar basado en riesgos. ISO/IEC 27001:2022 exige un proceso de evaluación de riesgos repetible, propietarios del riesgo, análisis de probabilidad y consecuencias, tratamiento de riesgos, selección de controles, una Declaración de Aplicabilidad y aprobación del riesgo residual por el propietario del riesgo. Un registro DORA que no está vinculado al tratamiento de riesgos se convierte en una lista estática. Un registro vinculado a escenarios de riesgo, controles y propietarios se convierte en evidencias de auditoría.
Las cláusulas 8.1 a 8.3 convierten la planificación en operaciones controladas. Respaldan la información documentada, la planificación y control operacional, el control de cambios, el control de procesos proporcionados externamente, las reevaluaciones de riesgo planificadas, la implantación del tratamiento y la conservación de evidencias. Esto es crítico para 2026 porque los supervisores no solo preguntan si existía un registro en un momento determinado. Preguntan si los nuevos contratos, los servicios modificados, los nuevos subcontratistas, las migraciones a la nube y los eventos de salida quedan capturados en el ciclo de gobernanza.
La capa de controles del Anexo A refuerza el mismo punto. Las relaciones con proveedores, los acuerdos con proveedores, el riesgo de la cadena de suministro de TIC, la supervisión de servicios de proveedores, la adquisición y salida de servicios en la nube, la gestión de incidentes, la continuidad del negocio, las obligaciones legales y reglamentarias, la privacidad, las copias de seguridad, el registro de eventos, la supervisión, la criptografía y la gestión de vulnerabilidades contribuyen a la calidad del registro.
Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec Zenith Blueprint explica la base de activos en la fase Controls in Action, Paso 22:
En su forma más estratégica, un inventario de activos actúa como el sistema nervioso central de su SGSI. Informa cómo se aprovisiona el acceso (8.2), dónde debe aplicarse el cifrado (8.24), qué sistemas requieren copia de seguridad (8.13), qué registros se recopilan (8.15) e incluso cómo se aplican las políticas de clasificación y conservación (5.10, 8.10).
Esa cita resume el punto práctico. No puede mantenerse un Registro de información de DORA fiable si el Inventario de Activos subyacente no es fiable. Si su registro dice “Core Banking SaaS”, pero su Inventario de Activos no muestra interfaces de programación de aplicaciones, cuentas de servicio, conjuntos de datos, fuentes de registros, claves de cifrado, dependencias de copia de seguridad y propietarios, el registro está incompleto desde la perspectiva de auditoría.
El modelo de datos de Clarysec: un registro, múltiples vistas de evidencia
Un Registro de información de DORA no debe sustituir a su registro de proveedores, Registro de Activos o Registro de Servicios en la Nube. Debe unirlos. Clarysec suele diseñar el registro como una capa maestra de evidencias con relaciones controladas con los registros existentes del SGSI.
El modelo mínimo viable tiene siete objetos vinculados.
| Objeto | Campos de ejemplo | Propietario de las evidencias |
|---|---|---|
| Acuerdo contractual de TIC | Identificador de contrato, descripción del servicio, fecha de inicio, fecha de fin, renovación, derechos de terminación, derechos de auditoría | Asesoría jurídica o Gestión de proveedores |
| Proveedor tercero de servicios de TIC | Entidad jurídica, ubicación, criticidad, certificaciones, estado de diligencia debida, calificación de riesgo | Gestión de proveedores |
| Subcontratista o subencargado | Rol del servicio, acceso a datos, país, estado de aprobación, obligaciones transferidas | Gestión de proveedores y privacidad |
| Servicio de TIC | SaaS, alojamiento en la nube, seguridad gestionada, pasarela de pago, analítica de datos | TI o propietario del servicio |
| Función sustentada | Indicador de función esencial o importante, proceso de negocio, prioridad de recuperación | Propietario de negocio |
| Información y activos de TIC | Aplicaciones, conjuntos de datos, interfaces de programación de aplicaciones, registros, claves, cuentas, repositorios, infraestructura | Propietario del activo |
| Evidencias del SGSI | Evaluación de riesgos, mapeo de la Declaración de Aplicabilidad, cláusulas contractuales, revisión de supervisión, procedimiento operativo de incidentes, prueba de salida | CISO o Cumplimiento |
Esta estructura permite que un único registro soporte múltiples solicitudes de evidencias. Un supervisor de DORA puede ver los acuerdos contractuales que sustentan funciones esenciales o importantes. Un auditor ISO puede trazar controles de proveedores hasta referencias del Anexo A y tratamiento de riesgos. Un revisor del RGPD de la UE puede ver encargados del tratamiento, categorías de datos, ubicaciones y compromisos de protección de datos. Un evaluador orientado a NIST puede revisar gobernanza de la cadena de suministro, criticidad de proveedores, requisitos contractuales y supervisión del ciclo de vida.
El registro pasa a ser algo más que “¿quiénes son nuestros proveedores?”. Se convierte en un grafo de dependencias.
Fundamentos de política que hacen auditable el registro
El conjunto de políticas de Clarysec proporciona al registro un encaje operativo. Para pymes, la Política de Seguridad de Terceros y Proveedores para pymes Política de Seguridad de Terceros y Proveedores - pyme comienza con un requisito claro de registro:
Debe mantenerse y actualizarse un registro de proveedores por parte del contacto administrativo o de compras. Debe incluir:
La misma política para pymes establece que los contratos deben contener obligaciones de seguridad definidas:
Los contratos deben incluir cláusulas obligatorias que cubran:
Aunque las cláusulas citadas introducen listas de campos y categorías de cláusulas obligatorias dentro de la propia política, el mensaje de implantación es directo: la gobernanza de proveedores debe estar documentada, asignada y exigida contractualmente.
Para entornos empresariales, la Política de Gestión del Riesgo de Dependencia de Proveedores de Clarysec Política de Gestión del Riesgo de Dependencia de Proveedores está aún más cerca de las expectativas supervisoras de DORA:
Registro de dependencias de proveedores: la VMO deberá mantener un registro actualizado de todos los proveedores críticos, incluidos detalles como servicios/productos prestados; si el proveedor es proveedor único; proveedores alternativos disponibles o capacidad de sustitución; condiciones contractuales vigentes; y una evaluación del impacto si el proveedor fallara o se viera comprometido. El registro deberá identificar claramente a los proveedores con alta dependencia (por ejemplo, aquellos para los que no existe una alternativa rápida).
Esto se mapea de forma precisa con el riesgo de concentración y la capacidad de sustitución del artículo 29 de DORA. Si un proveedor es proveedor único, sustenta una función esencial, opera en un tercer país, utiliza una cadena de subcontratación larga y no tiene una ruta de salida probada, el registro no debe ocultar ese riesgo en una nota de texto libre. Debe señalarlo, asignar un propietario y conectarlo con el tratamiento de riesgos.
La Política de seguridad de terceros y proveedores empresarial de Clarysec Política de seguridad de terceros y proveedores hace explícito el alcance:
Cubre tanto a proveedores directos como, cuando corresponda, a sus subcontratistas, e incluye software de terceros, infraestructura, soporte y servicios gestionados.
Esa frase refleja una brecha común en DORA. Muchas organizaciones capturan a los proveedores directos de TIC, pero no documentan subcontratistas, subencargados, herramientas de servicios gestionados, plataformas de soporte o software de terceros embebido en un servicio.
Las evidencias contractuales también importan. La misma política empresarial incluye:
Derechos a auditar, inspeccionar y solicitar evidencias de seguridad
Esa frase debe ser visible en su lista de verificación de revisión contractual. Si un contrato con un proveedor crítico de TIC carece de derechos de auditoría o de solicitud de evidencias, el registro debe marcar una acción de remediación.
Las evidencias de activos son igual de importantes. La Política de Gestión de Activos para pymes de Clarysec Política de Gestión de Activos - pyme establece:
El responsable de TI debe mantener un inventario estructurado de activos que incluya, como mínimo, los siguientes campos:
La Política de Gestión de Activos empresarial Política de Gestión de Activos también establece:
El Inventario de Activos debe contener, como mínimo:
El registro no necesita duplicar todos los campos de activos, pero debe referenciar el Inventario de Activos. Si un SaaS de monitorización de pagos sustenta la detección de fraude, el registro DORA debe vincularse al activo de aplicación, al activo de conjunto de datos, a las cuentas de servicio, a las integraciones de interfaces de programación de aplicaciones, a las fuentes de registros y al propietario de negocio.
Los servicios en la nube merecen una vista específica. La Política de Uso de la Nube para pymes de Clarysec Política de Uso de la Nube - pyme exige:
El proveedor externo de TI o el Director General debe mantener un Registro de Servicios en la Nube. Debe registrar:
Esto es especialmente valioso para descubrir TI en la sombra. Un registro DORA que excluya servicios en la nube adquiridos fuera de compras fallará la prueba práctica de integridad.
Por último, la Política de Cumplimiento Legal y Normativo de Clarysec Política de Cumplimiento Legal y Normativo convierte el cumplimiento cruzado en un requisito del SGSI:
Todas las obligaciones legales y reglamentarias deben mapearse a políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).
Ese es el puente entre el registro DORA y las evidencias de ISO 27001. El registro no solo debe mostrar proveedores. Debe mostrar qué políticas, controles y propietarios satisfacen la obligación regulatoria.
Mapeo de requisitos de DORA con ISO 27001 y evidencias de Clarysec
La tabla siguiente combina las principales expectativas del registro con controles del Anexo A de ISO/IEC 27001:2022 y artefactos prácticos de evidencia de Clarysec.
| Requisito del registro DORA | Ancla de evidencia ISO/IEC 27001:2022 | Política o herramienta de Clarysec | Artefacto práctico de evidencia |
|---|---|---|---|
| Registro de todos los acuerdos contractuales sobre servicios de TIC | A.5.20, tratamiento de la seguridad de la información en los acuerdos con proveedores | Política de Seguridad de Tercos y Proveedores para pymes | Registro contractual con identificador de contrato, propietario, fechas, estado de renovación y cláusulas clave |
| Identificación de funciones esenciales o importantes | Cláusulas 4.3, 6.1.2, 8.1 y A.5.9 | Política de Gestión del Riesgo de Dependencia de Proveedores | Indicador de criticidad vinculado a función de negocio, evaluación de riesgos y propietario del activo |
| Mapeo de proveedores a activos | A.5.9, inventario de información y otros activos asociados | Política de Gestión de Activos | Registros del Inventario de Activos vinculados a registros de proveedor y servicio de TIC |
| Visibilidad de la cadena de subcontratación | A.5.19, relaciones con proveedores y A.5.21, gestión de la seguridad de la información en la cadena de suministro de TIC | Política de seguridad de terceros y proveedores | Registros de diligencia debida, registros de subencargados y evidencias de obligaciones transferidas |
| Supervisión de proveedores | A.5.22, supervisión, revisión y gestión de cambios de servicios de proveedores | Política de Gestión del Riesgo de Dependencia de Proveedores | Revisiones trimestrales, evidencias de aseguramiento, informes de SLA y seguimiento de incidencias |
| Gobernanza y salida de servicios en la nube | A.5.23, seguridad de la información para el uso de servicios en la nube | Política de Uso de la Nube - pyme | Registro de Servicios en la Nube, evaluación de riesgos de la nube y plan de salida |
| Derechos de auditoría e inspección | A.5.20 y A.5.35, revisión independiente de la seguridad de la información | Política de seguridad de terceros y proveedores | Lista de verificación de cláusulas contractuales y derechos de solicitud de evidencias |
| Mapeo de obligaciones legales y regulatorias | Cláusulas 4.2, 4.3, 6.1.3 y A.5.31, requisitos legales, estatutarios, regulatorios y contractuales | Política de Cumplimiento Legal y Normativo | Mapa de obligaciones DORA vinculado a políticas, controles y propietarios |
| Vigencia de evidencias y metadatos | Cláusula 7.5 y cláusula 9.1 | Política de Auditoría y Supervisión del Cumplimiento - pyme | Exportación del registro con sistema de origen, recopilador, fecha, revisor y estado de aprobación |
Este mapeo es donde el registro deja de ser una hoja de cálculo y se convierte en un modelo de evidencias. Cada fila debe tener un propietario del contrato, propietario del proveedor, propietario del servicio, propietario de negocio y propietario de cumplimiento. Cada relación crítica debe tener un registro de riesgo, una lista de verificación de cláusulas contractuales, un vínculo a activos y una periodicidad de supervisión.
Ejemplo práctico: mapear un contrato de TIC a evidencias ISO 27001
Imagine que una entidad financiera utiliza una plataforma de analítica de fraude basada en la nube. El servicio ingiere metadatos de transacciones, sustenta la puntuación de fraude en tiempo real, se integra con la plataforma de pagos, almacena identificadores de cliente seudonimizados, utiliza un subcontratista de alojamiento en la nube y presta soporte gestionado desde una ubicación aprobada en un tercer país.
Una fila de registro débil diría: “Proveedor: FraudCloud. Servicio: analítica de fraude. Contrato firmado. Crítico: sí”.
Una fila de registro de nivel supervisor es muy distinta.
| Campo del registro | Entrada de ejemplo |
|---|---|
| Proveedor de TIC | FraudCloud Ltd |
| Servicio de TIC | Analítica de fraude en la nube e interfaz de programación de aplicaciones de puntuación |
| Identificador de contrato | LEG-ICT-2026-014 |
| Función sustentada | Detección de fraude en pagos, función esencial o importante |
| Propietario de negocio | Responsable de operaciones de pagos |
| Propietario de TIC | Responsable de ingeniería de plataforma |
| Vínculos de activos | APP-042 interfaz de programación de aplicaciones de puntuación de fraude, DATA-119 metadatos de transacciones, API-017 integración con pasarela de pago, LOG-088 registros de auditoría de fraude |
| Rol de datos | Encargado del tratamiento de metadatos de transacciones e identificadores de cliente seudonimizados |
| Ubicaciones | Tratamiento principal en región de la UE, acceso de soporte desde ubicación aprobada en tercer país |
| Subcontratistas | Proveedor de alojamiento en la nube, plataforma de tickets de soporte |
| Cláusulas clave | Asistencia en incidentes, derechos de auditoría, notificación de subcontratistas, devolución de datos, niveles de servicio, asistencia para la salida |
| Evidencia ISO | Evaluación de riesgos de proveedor, registro del Inventario de Activos, referencias de la Declaración de Aplicabilidad, lista de verificación de revisión contractual, evaluación de la nube, revisión de supervisión |
| Indicadores de riesgo DORA | Función esencial, soporte desde tercer país, subcontratación, riesgo de concentración si no existe alternativa |
| Periodicidad de revisión | Revisión trimestral del desempeño, aseguramiento anual del proveedor, revisión desencadenada por cambio de subcontratista o arquitectura |
Ahora el equipo de cumplimiento puede producir un paquete de evidencias coherente. El registro de proveedores demuestra que el proveedor existe y tiene propietario. El Inventario de Activos demuestra que se conocen los sistemas internos, interfaces de programación de aplicaciones, conjuntos de datos y registros. La lista de verificación contractual demuestra que se revisaron las cláusulas DORA obligatorias. La evaluación de riesgos demuestra que se consideraron concentración, subcontratación, protección de datos y resiliencia operativa. La Declaración de Aplicabilidad muestra qué controles se seleccionaron. La revisión de supervisión demuestra que el acuerdo no se olvida tras la incorporación.
Zenith Blueprint, fase de Gestión de riesgos, Paso 13, recomienda exactamente este tipo de trazabilidad:
Referencie regulaciones cruzadas: si determinados controles se implantan específicamente para cumplir con el RGPD de la UE, NIS2 o DORA, puede indicarlo en el Registro de Riesgos (como parte de la justificación del impacto del riesgo) o en las notas de la SoA.
Así es como el registro DORA se convierte en evidencia de ISO 27001 en lugar de burocracia paralela.
La cadena de proveedores y subcontratistas es donde falla la calidad del registro
Los mayores fallos del registro no se deben a la ausencia de proveedores de primer nivel. Se deben a cadenas de dependencia ocultas.
Un proveedor de seguridad gestionada puede utilizar una plataforma SIEM, un agente de telemetría de endpoints, un sistema de tickets y un equipo deslocalizado de triaje. Un procesador de pagos puede depender de alojamiento en la nube, servicios de identidad, bases de datos de fraude y conectividad de liquidación. Un proveedor SaaS puede depender de múltiples subencargados para analítica, correo electrónico, observabilidad, soporte al cliente y copias de seguridad.
El artículo 29 de DORA obliga a prestar atención al riesgo de concentración y subcontratación. El artículo 21 de NIS2 también exige seguridad de la cadena de suministro para proveedores directos y proveedores de servicios, y espera que las entidades consideren vulnerabilidades específicas de cada proveedor directo, calidad general del producto, prácticas de ciberseguridad del proveedor y procedimientos de desarrollo seguro. Para las entidades financieras cubiertas por DORA, DORA actúa como el marco normativo sectorial específico para los requisitos solapados de gestión de riesgos de ciberseguridad y notificación de incidentes de NIS2, pero la lógica de cadena de suministro está alineada.
Zenith Blueprint de Clarysec, fase Controls in Action, Paso 23, ofrece una instrucción práctica:
Para cada proveedor crítico, identifique si utiliza subcontratistas (subencargados) que puedan acceder a sus datos o sistemas. Documente cómo se trasladan sus requisitos de seguridad de la información a estas partes, ya sea mediante las condiciones contractuales de su proveedor o mediante sus propias cláusulas directas.
Aquí es donde muchas organizaciones necesitan remediación en 2026. Los contratos firmados antes de la preparación para DORA pueden no incluir transparencia de subcontratistas, derechos sobre evidencias de auditoría, cooperación con autoridades, asistencia en incidentes, asistencia para la salida o compromisos de ubicación. Por tanto, el registro debe incluir un estado de remediación contractual, como completo, brecha aceptada, renegociación en curso u opción de salida requerida.
Cumplimiento cruzado: DORA, NIS2, RGPD de la UE y NIST necesitan la misma verdad sobre dependencias
Un Registro de información de DORA bien diseñado soporta más que DORA.
El artículo 20 de NIS2 convierte la ciberseguridad en responsabilidad del órgano de administración mediante aprobación, supervisión y formación. El artículo 21 exige análisis de riesgos, políticas, gestión de incidentes, continuidad, seguridad de la cadena de suministro, adquisición y mantenimiento seguros, evaluación de eficacia, higiene cibernética, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y autenticación multifactor cuando proceda. Estas áreas se solapan fuertemente con ISO/IEC 27001:2022 y el modelo de evidencias del registro.
El RGPD de la UE añade responsabilidad proactiva en privacidad. Su ámbito territorial puede aplicarse a organizaciones de la UE y de fuera de la UE que tratan datos personales en el contexto de establecimientos de la UE, ofrecen bienes o servicios a personas en la UE, o monitorizan su comportamiento. Las definiciones del RGPD de la UE de responsable del tratamiento, encargado del tratamiento, tratamiento, seudonimización y brecha de datos personales son directamente relevantes para el mapeo de proveedores de TIC. Si el registro DORA identifica proveedores de TIC y subcontratistas pero no identifica roles de tratamiento de datos personales, categorías de datos, ubicaciones y salvaguardas, no respaldará evidencias del RGPD de la UE.
NIST CSF 2.0 proporciona otra perspectiva útil. Su función GOVERN exige que las organizaciones comprendan la misión, expectativas de partes interesadas, dependencias, requisitos legales y contractuales, servicios de los que otros dependen y servicios de los que depende la organización. Sus resultados GV.SC de cadena de suministro requieren un programa de gestión de riesgos de la cadena de suministro, roles de proveedores definidos, integración en la gestión de riesgos empresarial, criticidad de proveedores, requisitos contractuales, diligencia debida, supervisión del ciclo de vida, coordinación de incidentes y planificación posterior a la relación.
Una vista práctica de cumplimiento cruzado es la siguiente.
| Necesidad de evidencia | Vista DORA | Vista de evidencia ISO 27001 | Vista NIST CSF 2.0 | Vista RGPD de la UE |
|---|---|---|---|---|
| Integridad de proveedores de TIC | Registro de acuerdos contractuales sobre servicios de TIC | Registro de proveedores y control de procesos proporcionados externamente | Identificación y priorización de proveedores GV.SC | Registros de encargados y subencargados |
| Criticidad | Indicador de función esencial o importante | Evaluación de riesgos, impacto de negocio y titularidad de activos | Contexto organizativo y servicios críticos | Riesgo para los interesados cuando intervienen datos personales |
| Cláusulas contractuales | Contenido contractual del artículo 30 de DORA | Evidencias de control de acuerdos con proveedores | Requisitos contractuales de ciberseguridad | Condiciones de tratamiento de datos y salvaguardas |
| Subcontratación | Cadena de subcontratistas y riesgo de concentración | Supervisión de proveedores y obligaciones transferidas | Supervisión de la cadena de suministro durante el ciclo de vida | Transparencia de subencargados y salvaguardas de transferencia |
| Salida | Terminación, transición y devolución de datos | Salida de la nube, continuidad y evidencias del ciclo de vida de activos | Planificación posterior a la relación | Evidencias de devolución, supresión y conservación |
El objetivo no es crear cinco flujos de trabajo de cumplimiento. El objetivo es crear un único modelo de evidencias que pueda filtrarse por cada marco.
Con mirada de auditor
Un supervisor de DORA se centrará en la integridad, funciones esenciales o importantes, acuerdos contractuales, subcontratación, riesgo de concentración, gobernanza, informes y si el registro se mantiene. Puede solicitar una muestra de proveedores críticos y esperar ver cláusulas contractuales, evaluaciones de riesgos, estrategias de salida, condiciones de soporte ante incidentes y evidencias de supervisión por la dirección.
Un auditor de ISO/IEC 27001:2022 empezará por el alcance del SGSI, partes interesadas, obligaciones regulatorias, evaluación de riesgos, Declaración de Aplicabilidad, control operacional e información documentada. Comprobará si se mantienen las relaciones con proveedores y los inventarios de activos, si se controlan los procesos proporcionados externamente, si los cambios desencadenan una reevaluación y si las evidencias respaldan la implantación de controles declarada.
Un evaluador de NIST CSF 2.0 a menudo pedirá perfiles actuales y objetivo, expectativas de gobernanza, mapeo de dependencias, criticidad de proveedores, integración contractual, supervisión del ciclo de vida y acciones de mejora priorizadas.
Un auditor orientado a COBIT 2019 normalmente examinará titularidad de la gobernanza, responsabilidad del proceso, derechos de decisión, supervisión del desempeño, informes de riesgos y aseguramiento. Preguntará si el registro está integrado en la gobernanza empresarial, no solo mantenido por cumplimiento.
Zenith Controls ayuda a traducir estas perspectivas anclando el tema en los controles A.5.9, A.5.19 y A.5.20 del Anexo A de ISO/IEC 27001:2022, y después utilizando interpretación de cumplimiento cruzado para conectar activos, relaciones con proveedores y acuerdos con proveedores con expectativas regulatorias, de gobernanza y de auditoría. Esta es la diferencia entre “tenemos un registro” y “podemos defender el registro”.
La Política de Auditoría y Supervisión del Cumplimiento para pymes de Clarysec Política de Auditoría y Supervisión del Cumplimiento - pyme también aborda la calidad de las evidencias:
Los metadatos (por ejemplo, quién los recopiló, cuándo y desde qué sistema) deben documentarse.
Ese requisito es pequeño, pero potente. En una solicitud de evidencias de 2026, una hoja de cálculo sin metadatos de recopilación es débil. Una exportación del registro que muestre sistema de origen, fecha de extracción, propietario responsable, estado de aprobación y periodicidad de revisión es más sólida.
Hallazgos comunes del Registro de información de DORA en 2026
Los hallazgos más frecuentes son prácticos.
Primero, integridad insuficiente del registro. Los servicios en la nube, herramientas de soporte, plataformas de monitorización, herramientas de desarrollo, sistemas de tickets y plataformas de analítica de datos suelen faltar porque compras no los clasificó como servicios de TIC.
Segundo, lógica de criticidad débil. Algunos equipos marcan proveedores como críticos en función del gasto, no del impacto de negocio. A DORA le importa si el servicio de TIC sustenta una función esencial o importante.
Tercero, brechas de evidencias contractuales. Los acuerdos con proveedores más antiguos suelen carecer de cláusulas preparadas para DORA sobre derechos de auditoría, asistencia en incidentes, subcontratación, cooperación con autoridades, ubicaciones del servicio, devolución de datos, terminación y asistencia para la salida.
Cuarto, vinculación deficiente con activos. Los registros enumeran proveedores, pero no los vinculan con aplicaciones, conjuntos de datos, interfaces de programación de aplicaciones, identidades, registros, infraestructura o servicios de negocio. Esto dificulta el análisis de impacto durante incidentes y fallos de proveedores.
Quinto, opacidad de subcontratistas. La organización conoce al proveedor principal, pero no puede explicar qué subencargados o proveedores técnicos sustentan el servicio.
Sexto, ausencia de desencadenantes de cambio. Un proveedor añade un nuevo subencargado, cambia de región de alojamiento, migra la arquitectura o modifica el acceso de soporte, pero nadie actualiza el registro ni reevalúa el riesgo.
Séptimo, ausencia de periodicidad de evidencias. No existe una frecuencia definida para la revisión de proveedores, revisión contractual, validación de activos, conciliación del registro de la nube o informes a la dirección.
Estos problemas se pueden resolver, pero solo si el registro tiene propietarios y flujos de trabajo.
Un plan práctico de mejora en 30 días
Empiece por el alcance. Identifique todas las funciones de negocio que puedan ser esenciales o importantes conforme a DORA. Para cada función, enumere los servicios de TIC de los que depende. No empiece por el gasto de compras. Empiece por la dependencia operativa.
Concilie las fuentes de datos principales: registro de proveedores, repositorio contractual, Inventario de Activos y Registro de Servicios en la Nube. Añada registros de encargados del tratamiento de privacidad y dependencias de respuesta a incidentes cuando proceda. El objetivo no es la perfección el primer día. El objetivo es una columna vertebral única del registro con las incógnitas marcadas claramente.
Clasifique proveedores y servicios utilizando criterios como función sustentada, sensibilidad de los datos, capacidad de sustitución operativa, concentración, subcontratación, ubicaciones, impacto de incidente, tiempo de recuperación y relevancia regulatoria.
Revise los contratos de cada acuerdo de TIC esencial o importante. Compruebe si el contrato incluye descripciones de servicio, condiciones de subcontratación, ubicaciones, compromisos de protección de datos, acceso y recuperación, niveles de servicio, asistencia ante incidentes, derechos de auditoría, cooperación con autoridades, terminación, participación en formación y asistencia para la salida.
Mapee evidencias ISO para cada acuerdo crítico. Vincule registros de activos, entradas de evaluación de riesgos, controles de la Declaración de Aplicabilidad, diligencia debida de proveedores, revisiones de supervisión, planes de continuidad, procedimientos operativos de incidentes y evidencias de estrategia de salida.
Asigne periodicidad. Los proveedores críticos pueden requerir revisión trimestral, aseguramiento anual, revisión contractual antes de la renovación y reevaluación inmediata ante cambios materiales. Los proveedores no críticos pueden revisarse anualmente o ante eventos desencadenantes.
Utilice esta lista de verificación para convertir el registro en un proceso operativo:
- Cree un propietario del registro DORA y un propietario suplente.
- Vincule cada fila del registro a un identificador de contrato y a un propietario del proveedor.
- Vincule cada servicio de TIC esencial o importante a la función de negocio y a los registros de activos.
- Añada campos de subcontratistas y subencargados, aunque inicialmente se marquen como desconocidos.
- Añada el estado de cláusulas contractuales para términos críticos de DORA.
- Añada referencias de riesgo y de la Declaración de Aplicabilidad de ISO/IEC 27001:2022.
- Añada campos de rol RGPD de la UE, datos personales y ubicación cuando corresponda.
- Añada periodicidad de revisión y metadatos de última revisión.
- Cree reglas de escalado para cláusulas ausentes, subcontratistas desconocidos y riesgo de concentración elevado.
- Informe a la dirección de las métricas de calidad del registro.
Aquí es donde el método de implantación en 30 pasos de Clarysec, su conjunto de políticas y Zenith Controls trabajan conjuntamente. Zenith Blueprint proporciona la ruta de implantación, desde el tratamiento de riesgos y la trazabilidad de la Declaración de Aplicabilidad en el Paso 13 hasta el Inventario de Activos en el Paso 22 y los controles de proveedores en el Paso 23. Las políticas definen quién debe mantener los registros, qué evidencias contractuales y de activos deben existir y cómo se capturan los metadatos de cumplimiento. Zenith Controls proporciona la brújula de cumplimiento cruzado para mapear las mismas evidencias frente a las expectativas de auditoría de DORA, ISO/IEC 27001:2022, NIS2, RGPD de la UE, NIST y COBIT 19.
Convierta el registro en evidencias antes de que lo pida el supervisor
Si su Registro de información de DORA sigue siendo una hoja de cálculo desconectada de contratos, activos, proveedores, subcontratistas y evidencias de ISO 27001, 2026 es el año para corregirlo.
Empiece utilizando Zenith Blueprint Zenith Blueprint para conectar tratamiento de riesgos, Inventario de Activos y gobernanza de proveedores. Utilice Zenith Controls Zenith Controls para mapear los controles A.5.9, A.5.19 y A.5.20 del Anexo A de ISO/IEC 27001:2022 con evidencias de cumplimiento cruzado. Después, operacionalice los requisitos mediante las políticas de proveedores, activos, nube, cumplimiento legal y supervisión de auditoría de Clarysec, incluidas Política de Seguridad de Terceros y Proveedores - pyme, Política de Gestión del Riesgo de Dependencia de Proveedores, Política de seguridad de terceros y proveedores, Política de Gestión de Activos - pyme, Política de Gestión de Activos, Política de Uso de la Nube - pyme, Política de Cumplimiento Legal y Normativo y Política de Auditoría y Supervisión del Cumplimiento - pyme.
El mejor momento para corregir la calidad del registro es antes de una solicitud de la autoridad, una auditoría interna, una indisponibilidad de proveedor o una renovación contractual. El siguiente mejor momento es ahora. Descargue las políticas relevantes de Clarysec, mapee su registro actual frente al modelo de evidencias anterior y reserve una evaluación del registro DORA para convertir datos dispersos de proveedores en evidencias de nivel supervisor.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
