Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Dos horizontes de cumplimiento: qué significa para el Golfo el 96% de incumplimiento de DORA en la UE

Dos horizontes de cumplimiento: qué significa para el Golfo el 96% de incumplimiento de DORA en la UE

by Marc ten Eikelder updated junio 5, 2026 Cumplimiento Regulatorio
Reading Time: 7 minutes

La estadística presentada en la conferencia Span Cyber Security Arena merece atención más allá de Europa. El 96% de las empresas de servicios financieros en EMEA, incluidas las que tienen sede o actividad en el Golfo, informan que su resiliencia de datos aún no cumple con los requisitos de DORA. Es la posición casi unánime de un sector que ha invertido mucho en infraestructura de cumplimiento. La tasa de incumplimiento no se debe a la falta de recursos, sino a la arquitectura.

Para las organizaciones del CCG con operaciones en Europa, datos de clientes de la UE o interesados de la UE, esta estadística no es solo un titular europeo. Es un informe sobre su situación operativa. DORA no toma en cuenta dónde está constituido un proveedor de servicios TIC. Si ofreces servicios TIC críticos o importantes a una entidad financiera regulada por la UE, tu postura de cumplimiento está sujeta a revisión bajo el marco de DORA.

Las organizaciones con las que trabajo en el Golfo están gestionando presión de cumplimiento desde dos frentes a la vez. La ola de los tres marcos de la UE —NIS2, DORA y la Ley de IA de la UE— avanza desde sus operaciones europeas. Y los marcos de protección de datos del CCG están madurando rápidamente en el ámbito local.

La Ley de Protección de Datos Personales de los EAU, vigente desde septiembre de 2023, establece obligaciones de consentimiento y derechos de los interesados que en muchos aspectos se asemejan al GDPR. La Ley de Protección de Datos Personales de Arabia Saudita, con su reglamento de 2024, crea obligaciones paralelas para las organizaciones que gestionan datos de ciudadanos saudíes. La Ley de Protección de la Privacidad de Datos Personales de Catar añade una tercera jurisdicción del CCG con requisitos formales de protección de datos. Las organizaciones con operaciones en varios países del CCG enfrentan un entorno doméstico de cumplimiento multi-marco que refleja, en estructura aunque no en detalle, lo que sus homólogos europeos enfrentan con NIS2, DORA y la Ley de IA.

Las matemáticas del cumplimiento no son sumatorias. Los marcos de la UE, los del CCG y los requisitos sectoriales de reguladores financieros como SAMA, CBUAE y QCB generan una carga de cumplimiento que se multiplica en vez de sumarse, especialmente cuando cada marco exige su propio formato de documentación, sus propias pruebas de auditoría y sus propios procedimientos de notificación de incidentes.

5 conclusiones clave

1. La tasa de incumplimiento del 96% de DORA no es solo un titular europeo: es un informe operativo para las organizaciones del Golfo.

El 96% de las empresas de servicios financieros en EMEA informan que su resiliencia de datos aún no cumple con los requisitos de DORA. Si tu organización ofrece servicios TIC críticos a entidades financieras reguladas por la UE —sin importar dónde esté constituida— tu postura de cumplimiento está sujeta a revisión bajo ese marco. La tasa de incumplimiento no se debe a los recursos, sino a la arquitectura.

2. Las organizaciones del Golfo enfrentan presión de cumplimiento desde dos frentes a la vez.

La ola de tres marcos de la UE —NIS2, DORA y la Ley de IA de la UE— avanza desde las operaciones europeas. Las leyes de protección de datos de EAU, Arabia Saudita y Catar están madurando en el ámbito local. Las matemáticas del cumplimiento no son sumatorias: los marcos de la UE, los del CCG y los requisitos sectoriales de reguladores financieros generan una carga de trabajo que se multiplica, no que se suma.

3. Una infraestructura de auditoría fragmentada falla en ambos frentes a la vez.

El 61% de las organizaciones tienen registros de auditoría fragmentados en varios sistemas. En un entorno de doble horizonte, los registros fragmentados implican que cada ciclo de auditoría requiere el mismo esfuerzo de reconstrucción de pruebas, frente a dos conjuntos diferentes de expectativas regulatorias y con dos formatos de evidencia distintos. Un supervisor de DORA y un auditor de la Ley de Protección de Datos de Arabia Saudita piden los mismos registros subyacentes, pero con vocabularios diferentes.

4. Un agente de IA operando fuera de su alcance previsto es un evento multi-marco.

Dos tercios de las organizaciones sospechan que sus agentes de IA ya han accedido a datos fuera de su alcance previsto. Para las organizaciones del Golfo que operan en jurisdicciones de la UE y del CCG, eso es a la vez un incidente TIC bajo DORA, una preocupación de protección de datos bajo GDPR, una obligación de notificación bajo la Ley de Protección de Datos de los EAU y, potencialmente, una violación de transferencia transfronteriza bajo la Ley de Protección de Datos de Arabia Saudita. La gobernanza de IA no puede tratarse como un problema de una sola jurisdicción.

5. La arquitectura que satisface ambos horizontes es la misma arquitectura.

Los controles que exigen DORA, NIS2, la Ley de IA de la UE y las leyes de protección de datos del CCG no son sustancialmente diferentes: controles de acceso, manejo cifrado de datos, registro de incidentes con atribución y trazabilidad de auditoría capaz de satisfacer la revisión regulatoria. Implémentalos una sola vez, en todos los canales por donde circula información sensible, y genera desde esa única implementación la evidencia que cada marco requiere.

Por qué falla el modelo actual de generación de evidencia

El estudio Cisco Privacy Benchmark encontró que las organizaciones ahora operan un promedio de 3,891 entornos SaaS y de IA. En esos entornos, los registros de acceso, incidentes y transferencias de datos se generan en docenas de formatos distintos y con diferentes estándares de atribución. Cuando un supervisor de DORA solicita pruebas de clasificación de incidentes TIC, o cuando una auditoría de la Ley de Protección de Datos de Arabia Saudita requiere registros de transferencias transfronterizas y documentación de consentimiento, el proceso de reconstrucción de evidencia —extrayendo registros de sistemas de correo, plataformas de transferencia de archivos, almacenamiento en la nube, infraestructura MFT y registros de interacción con IA— consume habitualmente semanas del tiempo del equipo de cumplimiento.

El informe Kiteworks 2026 Data Security and Compliance Risk Forecast encontró que el 61% de las organizaciones tienen registros de auditoría fragmentados en varios sistemas. En un entorno de cumplimiento de un solo marco, los registros fragmentados son una molestia operativa manejable. En un entorno de doble horizonte —marcos de la UE y del CCG a la vez— los registros fragmentados implican que cada ciclo de auditoría requiere el mismo esfuerzo de reconstrucción, frente a dos conjuntos diferentes de expectativas regulatorias y con dos formatos de evidencia distintos.

El informe Akeyless 2026 State of AI Agent Identity Security, basado en 400 líderes de TI y seguridad, encontró que dos tercios de las organizaciones sospechan que sus agentes de IA ya han accedido a datos fuera de su alcance previsto. Para las organizaciones del Golfo que implementan IA en operaciones que abarcan jurisdicciones de la UE y del CCG —con diferentes requisitos de clasificación de datos, estándares de consentimiento y reglas de transferencia transfronteriza— un agente de IA operando fuera de su alcance previsto no es solo un evento de seguridad. Es a la vez un incidente TIC bajo DORA, una preocupación de protección de datos bajo GDPR, una obligación de notificación bajo la Ley de Protección de Datos de los EAU y, potencialmente, una violación de transferencia transfronteriza bajo la Ley de Protección de Datos de Arabia Saudita.

La Ley de IA de la UE añade la tercera dimensión

Las obligaciones de alto riesgo de la Ley de IA de la UE llegan en agosto de 2026. Para las organizaciones del Golfo que ofrecen servicios habilitados por IA a clientes de la UE —evaluaciones de riesgo financiero, procesamiento automatizado de documentos, sistemas de IA de atención al cliente que manejan datos de interesados de la UE— los requisitos de documentación, gestión de riesgos y supervisión humana de la Ley no son opcionales. El plazo de agosto aplica según el impacto del sistema de IA en individuos de la UE, no según dónde esté alojado el sistema o dónde esté constituido su desarrollador.

La experta en gobernanza de ciberseguridad Antonija Vojnović, en la conferencia Span, observó que la conciencia sobre los riesgos de filtración de datos por herramientas empresariales de IA sigue siendo baja. En mi trabajo con organizaciones del Golfo y EMEA, esto coincide con lo que veo: una fuerte intención de adopción de IA y una brecha significativa entre esa intención y la infraestructura de gobernanza de IA necesaria para implementarla de forma segura en entornos regulatorios multijurisdiccionales.

Qué debe hacer la arquitectura

Los controles que exigen DORA, NIS2, la Ley de IA de la UE, la Ley de Protección de Datos de los EAU, la Ley de Protección de Datos de Arabia Saudita y las directrices de gobernanza de datos del QCB no son sustancialmente diferentes entre sí. Controles de acceso, manejo cifrado de datos, registro de incidentes con atribución, trazabilidad de auditoría capaz de satisfacer la revisión regulatoria y supervisión de proveedores externos. Los marcos difieren en vocabulario y mecanismos de aplicación. Los controles técnicos subyacentes son los mismos.

La arquitectura de cumplimiento que hace sostenible el cumplimiento de doble horizonte aplica esos controles una sola vez —en todos los canales por donde circula información sensible, en todas las jurisdicciones— y genera desde esa única implementación la evidencia que cada marco requiere. No se trata de un programa de cumplimiento separado para DORA y otro diferente para la Ley de Protección de Datos de los EAU. Un entorno de datos gobernado que produce registros atribuibles y a prueba de manipulaciones para cada acceso a datos, formateados según lo que exija la revisión regulatoria.

La Red de Datos Privados de Kiteworks consolida correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web, API e integraciones de IA bajo un solo motor de políticas y un registro de auditoría consolidado. Los paneles de cumplimiento preconfigurados para GDPR, DORA y NIS2 generan evidencia específica para cada marco a partir de los mismos datos subyacentes: una arquitectura, dos horizontes de cumplimiento, una sola base de evidencia.

Las organizaciones que están construyendo ahora una arquitectura de cumplimiento —sin importar cuál sea el plazo regulatorio más inmediato— serán las que cierren la brecha de DORA, cumplan con el ciclo de auditoría del CCG y lleguen al plazo de agosto de la Ley de IA con la misma inversión. Las organizaciones que construyan programas separados para cada marco verán que la carga de cumplimiento crece más rápido que la capacidad del equipo para gestionarla.

La tasa de incumplimiento del 96% de DORA no es una advertencia dirigida solo a empresas europeas. Es un punto de referencia para cualquier organización expuesta a marcos regulatorios de la UE, y en el Golfo, esa exposición es significativa y sigue creciendo.

Para saber más sobre cómo demostrar el cumplimiento de DORA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Sí. DORA se aplica según la función que desempeñas para entidades financieras reguladas por la UE, no según dónde estés constituido. Si tus servicios respaldan funciones críticas o importantes de una entidad financiera de la UE, tu postura de cumplimiento está sujeta a revisión bajo DORA, incluyendo la gestión de riesgos TIC, la notificación de incidentes y las obligaciones de supervisión de terceros. El 96% de las empresas financieras en EMEA aún no cumplen con los requisitos de resiliencia de datos de DORA, por lo que la infraestructura de cumplimiento es la máxima prioridad.

Los controles técnicos subyacentes que exigen ambos marcos —controles de acceso, manejo cifrado de datos, registro de incidentes con atribución y trazabilidad de auditoría a prueba de manipulaciones— son sustancialmente los mismos. Una plataforma unificada de intercambio de datos que aplique esos controles una sola vez y genere evidencia específica para cada marco desde una única implementación satisface ambos. La Red de Datos Privados de Kiteworks ofrece paneles de cumplimiento preconfigurados para GDPR, DORA y NIS2 a partir del mismo registro de auditoría subyacente.

Sí. La Ley de IA de la UE se aplica según dónde impacten los resultados de la IA a individuos de la UE, no según dónde esté alojado o desarrollado el sistema de IA. Las organizaciones del Golfo que ofrecen evaluaciones de riesgo financiero habilitadas por IA, procesamiento automatizado de documentos o sistemas de IA de atención al cliente a clientes de la UE deben cumplir con los requisitos de documentación, gestión de riesgos y supervisión humana de la Ley antes de agosto de 2026. Las multas por incumplimiento pueden alcanzar el 7% de la facturación anual global para las infracciones más graves.

La causa raíz son los registros fragmentados: el 61% de las organizaciones operan con registros de auditoría dispersos entre correo electrónico, transferencia de archivos, MFT, almacenamiento en la nube y sistemas de interacción con IA. Un plano de control unificado que consolide todo el intercambio de información sensible bajo un solo motor de políticas y un solo registro de auditoría elimina el esfuerzo de reconstrucción. Cuando llegan las auditorías de DORA, la Ley de Protección de Datos de Arabia Saudita y la de los EAU, la evidencia ya está generada: es un informe, no un proyecto forense.

Dos tercios de las organizaciones sospechan que sus agentes de IA ya han accedido a datos fuera de su alcance previsto: un solo evento puede activar obligaciones simultáneas bajo DORA, GDPR y las leyes de protección de datos del CCG. La respuesta es la gobernanza de IA a nivel de datos: autentica cada solicitud de agente, aplica controles de acceso basados en atributos y registra cada interacción en una trazabilidad de auditoría a prueba de manipulaciones, independiente del modelo o la jurisdicción. Kiteworks Secure MCP Server y la puerta de enlace de datos IA implementan este patrón en todas las jurisdicciones desde una sola infraestructura gobernada.

Recursos adicionales

  • Artículo del Blog La batalla por tus datos: cómo las leyes CLOUD y SHIELD enfrentan seguridad y privacidad
  • Artículo del Blog Protege datos sensibles mapeando DSPM con tus objetivos de cumplimiento
  • Resumen Las 3 principales violaciones de FERPA y cómo evitarlas
  • Artículo del Blog Orden Ejecutiva 14117: Protegiendo los datos personales sensibles de los estadounidenses
  • Artículo del Blog ¿Necesitas cumplir con NIS2? Empieza con ISO 27001

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks