Community · Cyber & Compliance

Intelligence Forumcomunidad abierta

Donde CISOs, compliance officers, auditores y equipos técnicos ponen sobre la mesa los casos reales: cómo aterrizar DORA, NIS2 o el AI Act, qué controles funcionan de verdad, dudas de implementación y aprendizajes post-incident. Lee libremente; para publicar basta con tener cuenta.

Regulación y novedades

DORA, NIS2, AI Act — análisis, plazos y dudas regulatorias.

29votos

Regulación y novedades@compliance_lead14 d

AI Act: cómo estáis clasificando sistemas de scoring crediticio

Anexo III lista scoring crediticio como alto riesgo. Pero ¿qué pasa con modelos internos de fraude transaccional? Mi lectura es que NO entra si solo bloquea pagos, pero hay quien dice que sí. ¿Qué dice vuestra legal?

3 respuesta(s)

41votos

Regulación y novedades@security_officer_eu15 d

DORA: experiencia real con el primer reporte de incidente grave al supervisor

Hicimos el primer reporte al Banco de España hace 2 semanas. Incident class B (data breach minor). Plazos 4h/72h se cumplen pero el formato es brutal. Comparto: plantilla en Excel propia que cubre los 25 campos. Si os interesa la subo al marketplace.

3 respuesta(s)

10votos

Regulación y novedades@ferran.dora15 d

Plantillas RoI DORA — ¿Excel o ya integrado en GRC?

El Registry of Information de proveedores ICT bajo DORA. ¿Estáis manteniéndolo en Excel/CSV o ya tenéis integración con ServiceNow/OneTrust/Drata? La consulta es para entidad mediana con ~40 proveedores ICT críticos.

3 respuesta(s)

9votos

Regulación y novedades@lucia.ai16 d

AI Act: cómo inventariar sistemas de IA "embedded" en SaaS de proveedores

Para clasificar bajo AI Act necesito el inventario completo. Pero los SaaS están metiendo features de IA cada release sin notificación clara. ¿Mantenéis un AI BoM por proveedor? ¿Pedís SBOM extendido al vendor o vais con scraping de release notes?

3 respuesta(s)

13votos

Regulación y novedades@andrea.legal17 d

AEPD endureciendo criterios en sanciones — patrones recientes

Llevo 2 años analizando resoluciones AEPD. En 2026 noto patrones: penalizan más fuerte ausencia de DPIA en cookies y tracking, falta de granularidad en consentimiento, transferencias internacionales sin TIA. ¿Coincide vuestra experiencia?

3 respuesta(s)

11votos

Regulación y novedades@gonzalo.product18 d

CRA y SBOM: ¿estamos haciendo lo suficiente?

Producto IoT en mercado UE. Cyber Resilience Act exige SBOM y vulnerability handling. Generamos SBOM CycloneDX por release pero no lo monitorizamos contra advisories. ¿Cómo escala esto sin presupuesto de SOC?

3 respuesta(s)