What is TLPT under DORA?

Threat-Led Penetration Testing - advanced, intelligence-led testing against live systems based on TIBER-EU, required for significant entities at least every three years.

Cumplimiento del DORA de la UE

Q: Who must comply with DORA?

Financial entities (banks, insurers, investment firms, payment institutions, crypto-asset service providers and more) and critical ICT third-party providers.

Q: What does DORA require for testing?

A digital operational resilience testing programme including vulnerability assessments and penetration testing, plus Threat-Led Penetration Testing for significant entities.

TThe EU Digital Operational Resilience Act (DORA) requires financial entities to test the resilience of their ICT systems. Learn how ImmuniWeb supports DORA's vulnerability assessments and penetration testing.

Conformidad con el Reglamento Europeo sobre Resiliencia Operativa Digital (DORA)

¿Qué es la DORA de la UE?

La DORA establece un marco único a escala de la UE para la resiliencia operativa digital de las entidades financieras. Se basa en cinco pilares: gestión de riesgos de ICT, notificación de incidentes relacionados con ICT, pruebas de resiliencia operativa digital, gestión de riesgos de terceros en materia de ICT e intercambio de información.

The testing pillar is central to application security: entities must run a resilience-testing programme that includes vulnerability assessments and penetration testing, and the most significant entities must carry out advanced Threat-Led Penetration Testing (TLPT).

See how ImmuniWeb supports DORA's resilience testing - vulnerability assessments and penetration testing of your financial applications.Request a demo· or run a free Community Edition test.

Who Must Comply with DORA?

La DORA se aplica en todo el sector financiero de la UE:

Financial entities- banks, insurers, investment firms, payment and e-money institutions, crypto-asset service providers, trading venues and more.
Critical ICT third-party providersserving the financial sector, which fall under an oversight regime.
Entidades de distintos tamaños - con aplicación del principio de proporcionalidad para las entidades más pequeñas.

Las aplicaciones web, móviles y de API que ejecutan estas entidades están claramente dentro del alcance de las pruebas de resiliencia de DORA.

Presentación corporativa [PDF]

Requisitos clave de DORA para la seguridad de aplicaciones

El pilar de pruebas de resiliencia operativa digital de DORA impulsa el trabajo de seguridad de aplicaciones:

Resilience testing programme (Articles 24-25): regular testing of ICT systems, including vulnerability assessments and scans and penetration testing, with findings remediated.
Pruebas de penetración basadas en amenazas (artículos 26-27): pruebas de penetración avanzadas y basadas en inteligencia (según el marco TIBER-EU) para entidades importantes, al menos cada tres años.
Gestión de riesgos de las TIC y riesgos de terceros: identificar y proteger los activos de las TIC, incluidos los gestionados por proveedores.

Requisitos de DORA sobre pruebas de resiliencia en detalle

Digital Operational Resilience Testing (Articles 24-25)

DORA requires a risk-based testing programme covering ICT systems and applications, including vulnerability assessments, scans and penetration testing. For internet-facing financial applications, that means regular web and mobile penetration testing and scanning, with remediation and re-testing.

Threat-Led Penetration Testing (Articles 26-27)

Las entidades financieras de importancia deben realizar pruebas de penetración avanzadas basadas en amenazas —ataques realistas basados en inteligencia contra sistemas de producción en vivo, según el marco TIBER-EU— al menos cada tres años. Las pruebas de penetración manuales, dirigidas por expertos, son fundamentales para cumplir este requisito.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades que el programa de pruebas de DORA busca detectar en las aplicaciones financieras se alinean estrechamente con el OWASP Top 10:

Broken Access Control —users reaching data or actions they should not.
Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
Injection — SQL, command or other injection via unvalidated input.
Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
Security Misconfiguration: configuración predeterminada, incompleta o insegura.
Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
Identification & Authentication Failures —weak login, session or credential handling.
Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Presentación corporativa [PDF]

Cómo abordar las pruebas de resiliencia de DORA con ImmuniWeb

1. Mapee los activos TIC. Haga un inventario de las aplicaciones financieras y las API orientadas a Internet con ImmuniWeb Discovery.
2. Run vulnerability assessments (Art 24-25) with Neuron scanning.
3. Realice pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
4. Apoyar el TLPT (art. 26-27) con pruebas manuales dirigidas por expertos y basadas en inteligencia.
5. Remediar y volver a probar con informes accionables y cero falsos positivos.
6. Realice pruebas de forma continua con Continuous en CI/CD para mantener la resiliencia actualizada.

Cómo ImmuniWeb te Ayuda a Lograr el Cumplimiento de DORA

ImmuniWeb supports DORA's resilience-testing pillar with the vulnerability assessments and penetration testing the regulation requires.

Requisito	Lo que requiere	Productos ImmuniWeb
Pruebas de resiliencia (Art. 24-25)	Evaluaciones de vulnerabilidades, escaneos y pruebas de penetración.	On-Demand, Neuron, Continuous
TLPT (artículos 26-27)	Pruebas de penetración avanzadas guiadas por amenazas.	On-Demand, MobileSuite
Activos de TIC y riesgo de terceros	Mapa y supervisa la superficie de ataque externa.	Discovery (ASM / Dark Web)

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración manuales para aplicaciones web y móviles (incluido el soporte para intervenciones al estilo TLPT); Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque para riesgos de TIC y de terceros.

DORA frente a los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework	Perspectiva de la seguridad de aplicaciones	Cómo mapea ImmuniWeb
EU DORA	Resilience testing: vuln assessments, pentest, TLPT	Pruebas de penetración web/móvil, escaneo, ASM y soporte TLPT
EU NIS 2	Article 21 risk-management measures	Las mismas pruebas cubren ambos
ISO/IEC 27001	Controles técnicos del Anexo A	Pruebas como evidencia de controles
PCI DSS 4.0.1	Requisitos 6 y 11	Pentest + escaneo de aplicaciones web

Presentación corporativa [PDF]

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

Inventario de aplicaciones financieras y APIs expuestas a Internet
Evaluaciones y escaneos de vulnerabilidades realizados regularmente (Art. 24-25)
Pruebas de penetración de aplicaciones web y móviles
Threat-Led Penetration Testing for significant entities (Art 26-27)
Los hallazgos se remedian y se revalidan; se conserva la evidencia.
Pruebas integradas en CI/CD para una resiliencia continua
Monitoreo de riesgos de terceros en TIC y superficie de ataque

Por qué es importante el cumplimiento de DORA

La DORA está directamente supervisada por los reguladores financieros, y las autoridades competentes pueden imponer medidas administrativas y sanciones por incumplimiento. Las pruebas de resiliencia son una obligación explícita y recurrente, no un mero ejercicio de diligencia.

Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque primaria para las instituciones financieras, las pruebas demostrables son una de las formas más directas de cumplir con el pilar de pruebas de la DORA y reducir el riesgo operativo.

Presentación corporativa [PDF]

Preguntas frecuentes

P

What is EU DORA?

A

The Digital Operational Resilience Act, Regulation (EU) 2022/2554, which harmonises ICT risk management for the EU financial sector and has applied since 17 January 2025.
P

Who must comply with DORA?

A

Entidades financieras (bancos, aseguradoras, empresas de inversión, entidades de pago, proveedores de servicios de criptoactivos y otras) y proveedores externos críticos de TIC.
P

¿Qué exige DORA en cuanto a pruebas?

A

Un programa de pruebas de resiliencia operativa digital que incluye evaluaciones de vulnerabilidad y pruebas de penetración, además de pruebas de penetración guiadas por amenazas para entidades significativas.
P

What is TLPT under DORA?

A

Threat-Led Penetration Testing - pruebas avanzadas, guiadas por inteligencia, contra sistemas en vivo, basadas en TIBER-EU, requeridas para entidades significativas al menos cada tres años.
P

¿Cómo ayuda ImmuniWeb con DORA?

A

By providing vulnerability assessments and web and mobile penetration testing (including support for TLPT-style engagements) and by mapping the ICT attack surface.
P

When did DORA start applying?

A

17 de enero de 2025.