Un sistema. No cinco proveedores desconectados.
DORA es de aplicación desde enero de 2025. La transposición de NIS2 está llegando al mercado medio español ahora. La Ley de IA de la UE llega en oleadas hasta 2026. Ninguno de estos es un ejercicio de documentación. Cada uno redefine cómo los sistemas deben construirse, operarse y evidenciarse.
La premisa
El cumplimiento normativo es ahora un problema de ingeniería.
DORA, NIS2 y la Ley de IA de la UE no piden un informe. Preguntan si tus sistemas están construidos, operados y evidenciados según un estándar regulatorio — cada día, no una vez al año.
Para fintechs, aseguradoras y operadoras energéticas españolas en el rango de €100M–€1B, esto es un desajuste estructural. El asesoramiento legal llega en PDF. El auditor llega dos veces al año. Nadie llega con la ingeniería.
Horiuno reemplaza esto con un único modelo operativo
- 01Interpretación legal traducida directamente en código
- 02Controles desplegados como Helm charts, Terraform y política OPA
- 03Evidencia de auditoría generada continuamente por la propia plataforma
- 04Un engagement, un equipo, un resultado con responsabilidad
- 05Desarrollado con socios legales y regulatorios especializados
El cambio
La regulación se ha convertido en una restricción de ingeniería.
DORA es de aplicación desde enero de 2025. La transposición de NIS2 está llegando al mercado medio español ahora. La Ley de IA de la UE llega en oleadas hasta 2026. Ninguno de estos es un ejercicio de documentación. Cada uno redefine cómo los sistemas deben construirse, operarse y evidenciarse.
El sistema
Cuatro disciplinas. Una capa operativa.
Controles DORA, NIS2 y Ley de IA expresados como código. Evidencia acumulada mientras el sistema opera.
Datos e infraestructura gobernados bajo una única superficie de política. Una configuración TLS, dos regímenes regulatorios satisfechos.
Despliegue, supervisión y aprobaciones incorporados a la plataforma desde el primer día — bajo las obligaciones de los Artículos 9 y 15 de la Ley de IA.
La responsabilidad integrada en la organización de ingeniería, no añadida posteriormente.
Controles DORA, NIS2 y Ley de IA expresados como código. Evidencia acumulada mientras el sistema opera.
Datos e infraestructura gobernados bajo una única superficie de política. Una configuración TLS, dos regímenes regulatorios satisfechos.
Despliegue, supervisión y aprobaciones incorporados a la plataforma desde el primer día — bajo las obligaciones de los Artículos 9 y 15 de la Ley de IA.
La responsabilidad integrada en la organización de ingeniería, no añadida posteriormente.
La biblioteca
El mismo control, desplegado dos veces. Esa es la diferencia.
La mayor parte del trabajo de cumplimiento es artesanal una vez y olvidado. El nuestro se capitaliza.
Cada proyecto extiende una biblioteca compartida de Helm charts, módulos Terraform, políticas OPA y plantillas CI/CD — cada una mapeada, en código, a artículos específicos de DORA, NIS2 y la Ley de IA. Cuando la siguiente fintech española necesita los controles criptográficos del Artículo 9(2) de DORA, la política ya existe. Adaptamos; no reconstruimos. El cliente obtiene entrega más rápida y menor coste. Nosotros obtenemos un margen que mejora con cada cliente.
Proporción de controles DORA/NIS2 para el mercado medio que son estructuralmente idénticos entre clientes. Cacioppo lo demostró para SOC 2. Nosotros lo hemos demostrado para el cumplimiento europeo.
Ciclo típico desde el alcance hasta el incremento de control desplegado y evidenciado.
Una configuración TLS satisface DORA para una fintech de Barcelona y NIS2 para un operador energético de Madrid. Ese es el mecanismo de capitalización.
Evidencia de auditoría generada mientras el sistema funciona, no ensamblada retrospectivamente.
▋La cadencia
Construido en ciclos. Probado en producción.
Horiuno entrega en incrementos definidos — típicamente de 10 a 24 semanas, de €55K a €240K — sustituyendo los programas de consultoría de 18 meses por entregas testables y evidenciadas.
Nuestro valor
Informes estáticos vs Horiuno.
La mayoría de las organizaciones aún dependen de
- 01Informes estáticos
- 02Recopilación manual de evidencias
- 03Arquitecturas fragmentadas entre legal, auditoría y TI
- 04Esfuerzo duplicado entre DORA, NIS2 y la Ley de IA
Este modelo no escala para una fintech española de €500M que se prepara para tres regímenes regulatorios simultáneamente.
Horiuno lo reemplaza con
- 01Entrega con infraestructura como base
- 02Cumplimiento codificado como comportamiento de plataforma
- 03Generación continua de evidencias
- 04Una arquitectura, múltiples regulaciones satisfechas
Soluciones
Cuatro formas de resolver la transformación regulada.
Cada solución es un punto de entrada diferente. Todas se entregan a través del mismo sistema de ingeniería y la misma biblioteca.
Para fintechs españolas, entidades de pago y gestores de activos en el ámbito de DORA. Evaluación de brechas, marco de riesgo TIC, registro de terceros y controles de resiliencia operativa — desplegados como infraestructura, no descritos en un informe.
Proyecto: €80K–€240K · 12–24 semanas
Para operadores de energía, sanidad, transporte e infraestructura digital recientemente en el ámbito de la transposición española. Controles del Artículo 21 expresados en código, con evidencia continua para la cadena supervisora CNI / INCIBE.
Proyecto: €55K–€180K | 10–20 semanas
Para empresas que despliegan sistemas de IA de alto riesgo bajo el Anexo III. Gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana y monitorización post-mercado — integrados en el ciclo de vida del modelo, no añadidos posteriormente.
Proyecto: €70K–€200K | 12–22 semanas
Para fondos que evalúan empresas del portfolio europeo y socios operativos que cierran brechas de cumplimiento tras la inversión.
Due diligence: €15K–€30K | 2–3 semanas. Si se detectan brechas, el mismo equipo ejecuta la remediación. Un comprador, dos decisiones, sin transferencias.
Entornos de operación
- 01Empresas españolas de mercado medio (facturación €100M–€1B) en el ámbito de DORA, NIS2 o la Ley de IA
- 02Fondos europeos de PE/VC y sus empresas participadas
- 03Sectores: servicios financieros, seguros, energía, sanidad, infraestructura digital
- 04Regímenes regulatorios: DORA, NIS2, Ley de IA, RGPD, ENS, Banco de España, CNMV
- 05Ciclos de entrega medidos en semanas
Prueba
Construido donde la regulación es real.
El modelo operativo de Horiuno fue construido por ingenieros que entregaron infraestructura regulada a escala nacional en Alemania — gematik, el E-Rezept alemán, y plataformas DAX-40 en Siemens, Vodafone y Union Investment — y transferido al mercado medio español con socios legales y regulatorios especializados.
Ciudadanos atendidos por infraestructura regulada a escala nacional entregada por el equipo fundador.
DORA, NIS2 y la Ley de IA codificados en una única biblioteca de controles reutilizables.
Tamaño típico de proyecto. Un equipo, alcance fijo, infraestructura desplegada.
Evidencia de auditoría generada por la propia plataforma, no ensamblada por personas antes de una auditoría.
La alianza
Interpretación legal. Ejecución de ingeniería. Un contrato.
Las empresas españolas de mercado medio no han carecido de asesoramiento legal sobre DORA y NIS2. Han carecido de equipos que puedan tomar ese asesoramiento y convertirlo en infraestructura de producción.
Horiuno trabaja junto a uno de los principales despachos de abogados en derecho regulatorio y tecnológico de España — bajo un único modelo de entrega. El despacho interpreta. Horiuno ejecuta la ingeniería. El cliente obtiene un contrato, un equipo y un resultado responsable.
Para un CISO o CTO, esto reduce lo que normalmente es un problema de tres proveedores (asesor legal, firma de auditoría, integrador de sistemas) a un único proyecto.
Comenzar
Empieza con un problema real.
El punto de partida correcto no es una presentación. Es un sistema que necesita construirse — un plazo DORA, una carta de supervisión NIS2, una brecha en la Ley de IA detectada en due diligence.
Una llamada de alcance dura 45 minutos. Llegamos con una hipótesis sobre cómo sería tu módulo de biblioteca.