Community · Cyber & Compliance
Intelligence Forumcomunidad abierta
Donde CISOs, compliance officers, auditores y equipos técnicos ponen sobre la mesa los casos reales: cómo aterrizar DORA, NIS2 o el AI Act, qué controles funcionan de verdad, dudas de implementación y aprendizajes post-incident. Lee libremente; para publicar basta con tener cuenta.
Cliente cree que NIS2 no le aplica y sí le aplica. ¿Cómo lo argumentáis?
Logística mediana, ~300 empleados, ofrece servicios postales B2B. El CEO insiste que NIS2 es "para infraestructura crítica". Anexo I incluye servicios postales sin umbral mínimo si es "important entity". ¿Cómo le hacéis ver el riesgo sin asustarle? La sanción de hasta 7M€ no es teórica.
5 respuesta(s)
Incidente con proveedor cloud — comms con cliente y regulador
Proveedor SaaS tuvo brecha. Nuestros datos estaban en su plataforma. Cliente final pregunta si están afectados antes de que el proveedor publique RCA. ¿Esperáis confirmación o comunicáis proactivo? El reloj DORA corre.
6 respuesta(s)
Busco partners ES/PT para programa europeo cyber resilience (CRA)
Fabricante europeo de IoT, scale-up Series B. Necesitan implementar CRA en 2 productos antes de mid-2026. Busco 2-3 consultores ES/PT con experiencia secure SDLC y SBOM. Proyecto de 4-5 meses, posibilidad de continuidad.
2 respuesta(s)
¿Cuánto cobráis por auditoría interna ISO 27001 anual?
Cliente recurrente 150 personas. Audit interna full scope. Llevo 3 años haciéndola por 7.500€ + IVA pero el alcance ha crecido. ¿Me estoy quedando corta?
3 respuesta(s)
Busco socio Madrid para implementación NIS2 — banca cooperativa
Pequeña boutique GRC en Madrid. Tenemos pipeline de 3 cooperativas de crédito que necesitan NIS2 + DORA en H2. Buscamos profesional senior con experiencia banca para complementar — proyecto 6 meses, contrato como subcontrata o joint venture.
2 respuesta(s)
Ransomware en cliente con backups encriptados también: cómo lo gestionamos
Cliente del sector salud, ransomware Akira, backups en el mismo dominio AD = también encriptados. Reconstrucción desde 0 con datos de hace 21 días. Lecciones: backups offline AHORA, segmentación AD, MFA en consolas. Pregunto: ¿alguien tiene checklist post-mortem que esté usando en producción?
3 respuesta(s)
AI Act: cómo estáis clasificando sistemas de scoring crediticio
Anexo III lista scoring crediticio como alto riesgo. Pero ¿qué pasa con modelos internos de fraude transaccional? Mi lectura es que NO entra si solo bloquea pagos, pero hay quien dice que sí. ¿Qué dice vuestra legal?
3 respuesta(s)
Mi metodología de evaluación IAM para DORA — feedback bienvenido
He compilado un framework propio en 47 controles que cubre identidad privilegiada, ciclo de vida, MFA, segregación de funciones, IGA y PAM. Lo uso en 8 clientes y funciona. ¿Lo subo al marketplace por 490€? ¿Demasiado / poco? Demanda real percibida en este foro?
3 respuesta(s)
¿Cuánto cobráis por un assessment DORA completo en entidad mediana?
Cliente: banco mediano español, ~200 empleados, scope ICT crítico. Me piden gap assessment DORA + roadmap + apoyo en plan de remediación 6 meses. Estoy entre 18k€ y 25k€. ¿Qué rangos manejáis vosotros? Quiero validar antes de pasar propuesta esta semana.
3 respuesta(s)
DORA: experiencia real con el primer reporte de incidente grave al supervisor
Hicimos el primer reporte al Banco de España hace 2 semanas. Incident class B (data breach minor). Plazos 4h/72h se cumplen pero el formato es brutal. Comparto: plantilla en Excel propia que cubre los 25 campos. Si os interesa la subo al marketplace.
3 respuesta(s)
Necesito subcontratar 2 semanas DORA Art. 28 (RoI proveedores)
Proyecto cerrado en banca privada, me come abril completo. Busco freelance con experiencia probada rellenando el Registry of Information (RoI) DORA. Tarifa de mercado, pago a 15 días, posibilidad de continuidad. DM si interesa con LinkedIn.
3 respuesta(s)
Comparativa real: Vanta vs Drata vs Sprinto desde la trinchera
He desplegado los 3 en clientes este año. Vanta brilla en evidencia automática SaaS, Drata es mejor para empresas grandes con muchos custom controls, Sprinto es el más barato y casi tan bueno. Para ISO 27001 puro mi recomendación es Sprinto. Para SOC 2 + ISO Vanta. Para empresas >500 personas Drata.
3 respuesta(s)
¿Cómo presupuestáis un TLPT bajo DORA?
Cliente bancario mediano me pide propuesta para TLPT (Threat-Led Penetration Test). El RTS de ESAs marca ciclos cada 3 años pero la fase de scoping varía mucho según el TIBER. ¿Cuántos días-persona soléis incluir en preparación, ejecución y debrief? Estoy entre 35 y 60 person-days dependiendo del scope, pero quiero contrastar.
4 respuesta(s)
Plantillas RoI DORA — ¿Excel o ya integrado en GRC?
El Registry of Information de proveedores ICT bajo DORA. ¿Estáis manteniéndolo en Excel/CSV o ya tenéis integración con ServiceNow/OneTrust/Drata? La consulta es para entidad mediana con ~40 proveedores ICT críticos.
3 respuesta(s)
Tarifa hora consultor GRC senior España — 2026
Llevo freelance 8 años, especializada DORA + ISO 27001. Cliente final me pregunta tarifa. ¿Cómo estáis cerrando? He visto desde 90€/h hasta 180€/h dependiendo del cliente y del nivel.
5 respuesta(s)
Modelo retainer mensual vs proyectos: cuál os funciona mejor?
Llevo 3 años haciendo proyectos cerrados de 3-6 meses. Estoy pensando en mover a retainer mensual (2-3k€/mes por cliente). ¿Alguien con experiencia? Pros/contras reales por favor, no humo.
3 respuesta(s)
Buscamos partner para ofertar conjunto NIS2+ISO27001 en 6 clientes
Consultora pyme con cartera fuerte en sector industrial. Tenemos ISO 27001 dominado pero NIS2 nos viene grande para los 6 clientes a la vez. Buscamos co-bid con quien aporte la parte NIS2 + experiencia con autoridades nacionales. Modelo revenue share negociable.
3 respuesta(s)
AI Act: cómo inventariar sistemas de IA "embedded" en SaaS de proveedores
Para clasificar bajo AI Act necesito el inventario completo. Pero los SaaS están metiendo features de IA cada release sin notificación clara. ¿Mantenéis un AI BoM por proveedor? ¿Pedís SBOM extendido al vendor o vais con scraping de release notes?
3 respuesta(s)
¿Sigue mereciendo la pena Drata en 2026? Migraciones recientes
Pago Drata 28k€/año para 80 personas. Vanta me ofrece migración con 6 meses gratis. ¿Alguien ha migrado? ¿Pierdes mucho histórico de evidencias?
4 respuesta(s)
Cliente DORA con función crítica en proveedor cloud sin contrato Art.30: cómo regularizamos
Fintech con core bancario en proveedor cloud. Contrato firmado en 2021, sin las cláusulas obligatorias del Art. 30 DORA. Renegociación va a tardar 4-6 meses. ¿Cómo documentáis esto al supervisor mientras tanto? ¿Plan de contingencia formal sirve?
2 respuesta(s)
Zero Trust roadmap realista a 18 meses — sin presupuesto enterprise
Mediana empresa, 600 endpoints. Quiero ZT pero el budget no permite Zscaler/Netskope. ¿Habéis montado algo razonable con Microsoft Entra + Defender + Intune? ¿Cuánto cubre el ZTMM de CISA?
5 respuesta(s)
Cliente quiere ISO 27001 + SOC 2 Type II en paralelo. ¿Reaprovechamiento real?
SaaS europea con clientes USA. Pregunta si se puede hacer "dos por uno". El alcance ISO y SOC 2 difiere pero los controles Annex A 2022 cubren mucho TSC. ¿Estimáis 1.3x o 1.6x del esfuerzo de uno solo?
6 respuesta(s)
AEPD endureciendo criterios en sanciones — patrones recientes
Llevo 2 años analizando resoluciones AEPD. En 2026 noto patrones: penalizan más fuerte ausencia de DPIA en cookies y tracking, falta de granularidad en consentimiento, transferencias internacionales sin TIA. ¿Coincide vuestra experiencia?
3 respuesta(s)
CRA y SBOM: ¿estamos haciendo lo suficiente?
Producto IoT en mercado UE. Cyber Resilience Act exige SBOM y vulnerability handling. Generamos SBOM CycloneDX por release pero no lo monitorizamos contra advisories. ¿Cómo escala esto sin presupuesto de SOC?
3 respuesta(s)
GDPR breach con notificación dudosa al afectado — vuestra experiencia
Incident: leak de 4.300 emails de clientes (sin contraseñas, sin datos sensibles). ¿Cuándo cumple Art. 34 "alto riesgo para los derechos"? El equipo legal interno dice notificar siempre, yo creo que solo si hay riesgo real. AEPD ha matizado en su última guía.
4 respuesta(s)