Módulo 11 de 14

Módulo 11: NIS2 y DORA — el marco europeo de ciberseguridad

Módulo 11: NIS2 y DORA — el marco europeo de ciberseguridad

Hasta hace pocos años, la ciberseguridad era en Europa una cuestión que cada Estado miembro regulaba a su manera, con niveles de exigencia muy desiguales entre un país y otro: una empresa energética alemana podía estar sujeta a obligaciones de notificación mucho más estrictas que su homóloga española, y un proveedor cloud que operaba en diez países se encontraba con diez regímenes distintos de supervisión. Esa fragmentación no es un detalle técnico, es una vulnerabilidad estructural: un atacante solo necesita el eslabón más débil de una cadena de suministro europea para comprometer a organizaciones de varios países a la vez. La Unión Europea ha respondido con un giro regulatorio de gran calado: la Directiva NIS2, que obliga a decenas de miles de empresas europeas a implantar programas de ciberseguridad verificables, y el Reglamento DORA, que hace lo propio —con más intensidad todavía— para el sector financiero. Este módulo diseca ambas normas con el rigor que exige un profesional de GRC: qué obligan exactamente, a quién, con qué plazos, con qué sanciones, y —el dato que cambia más deprisa de todo el curso— en qué punto exacto se encuentra España respecto a la transposición de NIS2 a su ordenamiento jurídico interno.

Qué aprenderás

  • La evolución de la Directiva NIS (2016) a NIS2 (Directiva (UE) 2022/2555) y por qué la Comisión Europea consideró insuficiente el primer marco.
  • El estado real, verificado a mediados de 2026, de la transposición de NIS2 en España: qué existe en vigor, qué está en tramitación parlamentaria y qué consecuencias tiene el retraso frente a la Comisión Europea.
  • Quién es una entidad esencial y quién una entidad importante bajo NIS2, con los sectores del Anexo I y del Anexo II y la regla general de tamaño de empresa, incluidas sus excepciones.
  • Las diez categorías de medidas de gestión de riesgos de ciberseguridad que exige el artículo 21 de NIS2, con ejemplos concretos de cada una.
  • El régimen de notificación de incidentes significativos del artículo 23: alerta temprana en 24 horas, notificación en 72 horas, informe final en un mes, y a quién se dirige cada comunicación.
  • La responsabilidad personal de los órganos de dirección bajo el artículo 20: aprobación de medidas, formación obligatoria y exposición a sanciones por incumplimiento.
  • El régimen sancionador de NIS2 y sus umbrales económicos, diferenciados entre entidades esenciales e importantes.
  • Qué es DORA (Reglamento (UE) 2022/2554), a quién obliga en el sector financiero, sus cinco pilares y por qué se considera lex specialis frente a NIS2.
  • Una primera aproximación al Reglamento de Ciberresiliencia (CRA) para productos con elementos digitales, y cómo se relaciona con NIS2 y DORA en el mapa regulatorio europeo.

1. De la Directiva NIS a NIS2: por qué se refuerza el marco

La primera Directiva NIS (Directiva (UE) 2016/1148, conocida como Network and Information Security Directive) fue el primer instrumento legislativo de la Unión Europea dedicado específicamente a la ciberseguridad, y entró en vigor en agosto de 2016 con un objetivo modesto pero pionero: exigir a los operadores de servicios esenciales y a determinados proveedores de servicios digitales un nivel mínimo de seguridad de sus redes y sistemas, y notificar los incidentes significativos a una autoridad nacional competente. España la transpuso mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La Comisión Europea evaluó la aplicación de la primera NIS y detectó tres carencias estructurales que motivaron la revisión completa de la norma:

  • Ámbito de aplicación insuficiente. La directiva original dejaba fuera sectores que la propia experiencia de incidentes (ransomware contra hospitales, ataques a cadenas de suministro de software, interrupciones en infraestructuras de transporte) había demostrado igualmente críticos: gestión de residuos, fabricación de productos críticos, servicios postales, administración pública, espacio.
  • Divergencia entre Estados miembros. Cada país transpuso la directiva con criterios de identificación de «operadores esenciales» distintos, lo que produjo un mapa de obligaciones desigual dentro del propio mercado único: una empresa con actividad en varios países podía ser «esencial» en uno y no estarlo en el vecino, sin ninguna lógica de riesgo real detrás.
  • Régimen de supervisión y sanciones débil, sin capacidad real de forzar el cumplimiento, lo que en la práctica convertía buena parte de las obligaciones en papel sin consecuencias.

La respuesta es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, conocida universalmente como NIS2. Deroga expresamente la Directiva (UE) 2016/1148 (artículo 43 de NIS2) y forma parte de un paquete regulatorio publicado el mismo día en el Diario Oficial de la Unión Europea junto al Reglamento DORA, lo que no es casualidad: la Comisión diseñó ambas normas para complementarse, no para solaparse, como se explica en el apartado 7 de este módulo.

1.1 Entrada en vigor y plazo de transposición

NIS2 entró en vigor el 16 de enero de 2023, a los veinte días de su publicación en el Diario Oficial de la Unión Europea. El artículo 41 fija el plazo para que los Estados miembros adopten y publiquen las disposiciones necesarias para dar cumplimiento a la directiva: el 17 de octubre de 2024, con aplicación de esas disposiciones nacionales desde el día siguiente, 18 de octubre de 2024. Es importante no confundir estas dos fechas: una directiva europea, a diferencia de un reglamento, no es directamente aplicable en los Estados miembros —salvo excepciones muy limitadas de efecto directo reconocidas por el Tribunal de Justicia de la UE en determinadas circunstancias—; necesita una norma nacional de transposición que la traslade al ordenamiento jurídico interno. Esa es, precisamente, la pieza que en España ha llegado tarde.

2. Estado de la transposición de NIS2 en España a mediados de 2026

Este es el dato más volátil de todo el módulo, y por eso conviene tratarlo con el máximo cuidado: a fecha de mediados de 2026, España no ha completado la transposición de NIS2 mediante una ley en vigor. No existe todavía una «Ley NIS2 española» aprobada y publicada en el BOE que sustituya al marco de 2018. Lo que existe es lo siguiente:

  • El Consejo de Ministros aprobó, el 28 de enero de 2025, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. Este anteproyecto es la norma que, una vez tramitada y aprobada definitivamente, transpondrá NIS2 al ordenamiento español.
  • Tras su aprobación por el Consejo de Ministros, el texto ha seguido su recorrido de trámite parlamentario en las Cortes Generales como proyecto de ley, tramitándose por el procedimiento de urgencia —lo que reduce a la mitad los plazos parlamentarios ordinarios— dada la presión acumulada por el retraso frente a Bruselas. A la fecha de elaboración de este módulo seguía pendiente de la tramitación y votación final que le daría el carácter de ley aprobada y su posterior publicación en el BOE.
  • La Comisión Europea, ante el incumplimiento del plazo del 17 de octubre de 2024, abrió el correspondiente procedimiento de infracción contra España (como contra otros varios Estados miembros que tampoco transpusieron a tiempo) y remitió un dictamen motivado en mayo de 2025: el paso formal previo a que la Comisión pueda llevar el asunto ante el Tribunal de Justicia de la Unión Europea, con el riesgo de sanciones económicas al Estado si la demora se prolonga sin justificación suficiente.
  • Mientras tanto, sigue formalmente vigente el marco anterior a NIS2: el Real Decreto-ley 12/2018, de transposición de la primera Directiva NIS, con su ámbito de aplicación más limitado (operadores esenciales y proveedores de servicios digitales según los criterios de 2016), y el Esquema Nacional de Seguridad (RD 311/2022) para el sector público, que este curso trata en el módulo dedicado al ENS.

Nota de rigor para quien use este material en la práctica profesional: el estado de la tramitación parlamentaria puede variar entre el momento en que se escribe este módulo y el momento en que se lee; verifica siempre el estado actualizado en el Congreso de los Diputados y en el Departamento de Seguridad Nacional. Lo que no cambiará con la ley española es el contenido sustantivo de la Directiva (UE) 2022/2555, que la ley debe transponer sin poder rebajar su nivel de exigencia (una directiva de armonización mínima permite ir más allá, no quedarse por debajo). Por eso este módulo se centra en el contenido de NIS2 tal como está redactada en el Diario Oficial de la Unión Europea: es el suelo normativo que cualquier empresa española debería empezar a implantar ya, porque el retraso de España no evita que clientes, aseguradoras y contrapartes contractuales exijan ya su cumplimiento por vía contractual.

2.1 Novedades destacadas del anteproyecto español

Aunque su contenido puede modificarse durante la tramitación, el anteproyecto aprobado en enero de 2025 incorpora la creación de un Centro Nacional de Ciberseguridad, adscrito a la Presidencia del Gobierno, como autoridad nacional competente única, en sustitución del modelo actual más disperso (INCIBE, CCN-CERT, CNPIC, según el sector). Recoge también la regla general de tamaño de empresa de NIS2 (apartado siguiente) y un régimen sancionador alineado con los umbrales del artículo 34 de la directiva.

3. Entidades afectadas: esenciales e importantes

NIS2 no aplica a «empresas de ciberseguridad» ni a un sector concreto: aplica a un universo muy amplio de organizaciones, clasificadas en dos categorías con obligaciones sustancialmente parecidas pero con distinto nivel de supervisión y de sanción. La clasificación depende de dos variables combinadas: el sector de actividad (Anexo I o Anexo II de la directiva) y el tamaño de la empresa.

3.1 La regla general de tamaño

Como regla general, NIS2 aplica a medianas y grandes empresas según la Recomendación 2003/361/CE de la Comisión: aquellas con 50 o más empleados, o con un volumen de negocio anual superior a 10 millones de euros (basta superar cualquiera de los dos umbrales). Las microempresas y pequeñas empresas quedan, como norma general, fuera del ámbito directo, salvo las excepciones explícitas que la propia directiva contempla para casos de alto riesgo con independencia del tamaño: proveedores de servicios de confianza cualificados, de DNS de nivel superior y registros de dominio de primer nivel, de redes o servicios de comunicaciones electrónicas de cierto tamaño, entidades identificadas como prestadoras únicas o casi únicas de un servicio esencial para el Estado miembro, entidades cuya interrupción pueda afectar significativamente al orden público, la seguridad o la salud pública, y entidades de la administración pública que cada Estado identifique.

3.2 Sectores del Anexo I y del Anexo II

La diferencia entre entidad esencial e importante no depende solo del tamaño: depende de en qué anexo de la directiva se encuadra el sector de actividad de la organización. El Anexo I agrupa los «sectores de alta criticidad», cuyas entidades de tamaño mediano o grande son, por defecto, entidades esenciales. El Anexo II agrupa «otros sectores críticos», cuyas entidades de tamaño mediano o grande son, por defecto, entidades importantes. Dentro de ambos anexos existen matices —algunas entidades de sectores del Anexo II pueden ser reclasificadas como esenciales si el Estado miembro las identifica como tales por su papel crítico específico—, pero la regla de partida es la que resume la siguiente tabla.

Categoría Anexo / sectores Ejemplos de sector Clasificación por defecto
Sectores de alta criticidad Anexo I Energía (electricidad, petróleo, gas, hidrógeno); transporte (aéreo, ferroviario, por agua, por carretera); banca; infraestructuras de los mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital (proveedores de nube, centros de datos, DNS, redes de distribución de contenidos, operadores de telecomunicaciones); gestión de servicios TIC (proveedores de servicios gestionados y de servicios de seguridad gestionados); administración pública; sector espacial Entidad esencial (si es mediana/grande, salvo excepciones de la propia directiva)
Otros sectores críticos Anexo II Servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias químicas; producción, transformación y distribución de alimentos; fabricación (dispositivos médicos, informática, electrónica, maquinaria, vehículos de motor y otro material de transporte); proveedores de servicios digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales); investigación Entidad importante (si es mediana/grande, con posibilidad de reclasificación a esencial en casos concretos)

3.3 Consecuencia práctica de la clasificación

La distinción entre esencial e importante no cambia el catálogo de medidas de gestión de riesgos que deben implantarse —el artículo 21 aplica por igual a ambas categorías, sin rebajas para las importantes—, pero sí cambia el régimen de supervisión (las entidades esenciales están sujetas a supervisión ex ante, es decir, la autoridad competente puede auditarlas y requerirles evidencia de cumplimiento sin necesidad de un incidente previo, mientras que las importantes están sujetas, con carácter general, a supervisión ex post, activada tras un incidente o indicio de incumplimiento) y el techo de las sanciones económicas, como se detalla en el apartado 6.

4. Las medidas de gestión de riesgos del artículo 21

El corazón material de NIS2 —lo que de verdad hay que implantar, más allá de la clasificación y de los plazos de notificación— es el artículo 21, titulado «Medidas de gestión de riesgos de ciberseguridad». Exige a las entidades esenciales e importantes adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de las redes y sistemas de información que utilizan, con un enfoque explícito de todos los riesgos (all-hazards approach): no solo el ciberataque intencionado, también el fallo técnico, el desastre natural o el error humano. El propio artículo fija que estas medidas deben basarse en un enfoque basado en el riesgo y tener en cuenta el estado de la técnica, el coste de aplicación y la proporcionalidad frente a la exposición al riesgo, el tamaño de la entidad y la probabilidad e impacto de los incidentes.

El apartado 2 del artículo 21 enumera diez categorías de medidas mínimas que toda entidad esencial e importante debe cubrir, sin que ninguna quede fuera del alcance del programa de gestión de riesgos. Es, en la práctica, el índice de contenidos que cualquier auditor o autoridad competente usará como lista de comprobación.

# Medida (art. 21.2 NIS2) Qué exige en la práctica
a Políticas de análisis de riesgos y de seguridad de los sistemas de información Un proceso formal y documentado de identificación de activos, amenazas y vulnerabilidades, con una política de seguridad de la información aprobada por la dirección que fije principios y objetivos, en línea con lo visto en el módulo de gobierno de la seguridad de este curso.
b Gestión de incidentes Capacidad de prevención, detección y respuesta a incidentes, con procedimientos documentados de clasificación, escalado y comunicación —incluida la comunicación regulatoria del artículo 23 que se detalla en el apartado 5—.
c Continuidad de las operaciones y gestión de crisis Copias de seguridad probadas, planes de recuperación ante desastres (DRP) y gestión de crisis, con objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) definidos; se desarrolla en profundidad en el módulo de continuidad de negocio (ISO 22301) de este curso.
d Seguridad de la cadena de suministro Evaluación del riesgo de proveedores y prestadores de servicios directos, incluidos aspectos de las relaciones de cada proveedor con sus propios subproveedores; NIS2 es explícita al señalar que las entidades deben considerar la calidad global de los productos y las prácticas de ciberseguridad de sus proveedores. Se desarrolla en el módulo de riesgo de terceros de este curso.
e Seguridad en la adquisición, desarrollo y mantenimiento de sistemas Gestión de vulnerabilidades y divulgación de vulnerabilidades, y prácticas de desarrollo seguro (secure by design) cuando la entidad desarrolla software propio.
f Políticas y procedimientos para evaluar la eficacia de las medidas Auditorías internas, revisiones periódicas y métricas que demuestren —no solo declaren— que los controles funcionan; conecta directamente con el módulo de auditoría y certificación de este curso.
g Prácticas básicas de ciberhigiene y formación en ciberseguridad Gestión de parches, configuración segura, segmentación de red, y programas de concienciación para todo el personal, incluida la alta dirección (conecta con el artículo 20, ver apartado 5).
h Políticas y procedimientos sobre el uso de criptografía y, en su caso, cifrado Criterios documentados de cuándo y cómo cifrar información en tránsito y en reposo, y gestión del ciclo de vida de claves criptográficas.
i Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos Verificación de antecedentes cuando proceda, procesos de alta/baja/cambio de acceso, principio de mínimo privilegio, e inventario de activos actualizado.
j Uso de soluciones de autenticación multifactor (MFA) o autenticación continua, comunicaciones de voz/vídeo/texto seguras y sistemas de comunicación de emergencia seguros, cuando proceda MFA como estándar de acceso, especialmente a sistemas críticos y accesos remotos, y canales de comunicación alternativos verificados para escenarios en los que los sistemas habituales estén comprometidos (un correo corporativo comprometido no puede ser el único canal para coordinar la respuesta a ese mismo incidente).

Un matiz que genera confusión en la práctica de consultoría: el artículo 21 no exige un control técnico idéntico y de máxima intensidad en cada categoría, sino una política o proceso documentado para cada una, con medidas proporcionadas al riesgo real. Una pyme mediana del Anexo II no necesita la misma sofisticación criptográfica que un operador energético crítico, pero sí demostrar que se ha planteado la pregunta y ha tomado una decisión consciente: el mismo principio de proporcionalidad documentada del módulo de tratamiento de riesgos de este curso.

5. Notificación de incidentes significativos

El artículo 23 de NIS2 regula uno de los cambios más operativamente exigentes de la directiva: la obligación de notificar sin demora indebida cualquier incidente significativo que tenga un impacto importante en la prestación de sus servicios. La directiva define qué se entiende por incidente significativo mediante dos criterios alternativos: que haya causado o pueda causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada, o que haya afectado o pueda afectar a otras personas físicas o jurídicas causando perjuicios materiales o inmateriales considerables.

Lo más exigente del régimen no es solo la obligación de notificar, sino su estructura en tres fases con plazos distintos, pensada para dar a la autoridad una primera señal muy rápida sin esperar a que la entidad tenga el análisis forense completo, y para obligar después a un cierre formal del caso.

Fase Plazo (desde que se tiene conocimiento del incidente) Contenido exigido
Alerta temprana (early warning) 24 horas Indicar si se sospecha que el incidente se debe a actos ilícitos o malintencionados, o si puede tener impacto transfronterizo. No se exige un análisis completo, solo la señal inicial.
Notificación del incidente 72 horas Actualizar la información de la alerta temprana y aportar una evaluación inicial del incidente: su gravedad e impacto, así como los indicadores de compromiso disponibles, cuando sea posible.
Informe final 1 mes tras la notificación del incidente (o, si el incidente sigue en curso, un informe de situación en ese momento y el informe final en el mes siguiente a su resolución) Descripción detallada del incidente, su gravedad e impacto; el tipo de amenaza o causa raíz probable; las medidas de mitigación aplicadas y en curso; y, cuando proceda, el impacto transfronterizo del incidente.

La notificación se dirige al CSIRT (Computer Security Incident Response Team) designado o, según el modelo que cada Estado miembro elija, a la autoridad competente nacional del sector. En España, bajo el marco previo a la nueva ley, ese papel lo desempeñan principalmente el CCN-CERT (administración pública y entidades de interés estratégico) e INCIBE-CERT (sector privado no financiero), sin perjuicio de otras autoridades sectoriales. La futura ley, a través del Centro Nacional de Ciberseguridad previsto en el anteproyecto, aspira a unificar este punto de contacto, hoy uno de los aspectos que más dudas genera: a qué organismo dirigirse depende del sector y de si la entidad tiene, además, obligaciones bajo otras normas sectoriales (por ejemplo, DORA, ver apartado 7).

Además de notificar a la autoridad, el artículo 23.1 exige que, cuando proceda, la entidad informe también a los destinatarios de sus servicios sobre incidentes significativos que puedan afectar a la prestación del servicio, y sobre las medidas o mitigaciones que esos destinatarios pueden aplicar por su parte. Este es un punto que conecta directamente con la disciplina de respuesta a incidentes que se cubre con mucho más detalle técnico y procedimental en el curso de DFIR: respuesta a incidentes: NIS2 no enseña cómo contener un ransomware o hacer un análisis forense, pero sí exige que el proceso de respuesta a incidentes de la organización incorpore, desde el primer minuto, la vía de escalado regulatoria con esos plazos de 24 horas, 72 horas y un mes ya integrada en el propio procedimiento, no improvisada quince días después de ocurrido el incidente.

6. Responsabilidad de los órganos de dirección y régimen sancionador

6.1 El artículo 20: la dirección no puede delegar y mirar para otro lado

NIS2 rompe deliberadamente con la idea de que la ciberseguridad es «un problema de IT». El artículo 20 obliga a los órganos de dirección de las entidades esenciales e importantes a aprobar las medidas del artículo 21, a supervisar su aplicación, y establece que pueden ser considerados responsables de las infracciones de la entidad cuando incumplan estas obligaciones. Es el punto que más cambia el tablero: la exposición no es solo de la persona jurídica, sino potencialmente de los miembros del órgano de administración a título personal, con arreglo a lo que cada Estado miembro concrete en su ley de transposición.

El mismo artículo 20 impone además una obligación de formación con un destinatario muy específico: los propios miembros del órgano de dirección deben seguir formación regular, suficiente para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios de la entidad. NIS2 anima a extender formación similar a los empleados —en línea con la medida g) del artículo 21—, pero la obligación formal recae en primer lugar sobre el consejo o comité de dirección, no solo sobre el CISO. Es el mismo principio de accountability indelegable de la alta dirección que se desarrolla en el módulo de gobierno de la seguridad de este curso, que NIS2 convierte de buena práctica recomendable en obligación legal con sanción aparejada.

6.2 Sanciones (artículo 34)

El artículo 34 de NIS2 fija los umbrales mínimos armonizados que todos los Estados miembros deben incorporar como techo sancionador en su legislación nacional —pueden fijar techos superiores, no inferiores—, diferenciados según la categoría de la entidad infractora.

Categoría Sanción máxima (art. 34 NIS2) Criterio
Entidades esenciales Hasta 10.000.000 € o hasta el 2 % del volumen de negocio total anual a escala mundial del ejercicio financiero anterior Se aplica el importe que sea más elevado de los dos (igual que el criterio comparable del RGPD, art. 83)
Entidades importantes Hasta 7.000.000 € o hasta el 1,4 % del volumen de negocio total anual a escala mundial del ejercicio financiero anterior Se aplica el importe que sea más elevado de los dos

Más allá de la multa, NIS2 contempla un catálogo de medidas de ejecución para incumplimientos graves y persistentes: como último recurso, la suspensión temporal de certificaciones o autorizaciones de los servicios prestados, o la prohibición temporal a una persona física con funciones de dirección de ejercer funciones de gestión en esa entidad. Un régimen diseñado para que la sanción no sea un simple coste operativo asumible, disuasorio incluso para grandes corporaciones.

7. DORA: el reglamento de resiliencia operativa digital del sector financiero

El Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero, conocido como DORA (Digital Operational Resilience Act), se publicó el mismo día que NIS2 y forma parte del mismo impulso regulatorio europeo, pero con un ámbito de aplicación mucho más acotado y una intensidad de exigencia todavía mayor: el sector financiero. A diferencia de una directiva, DORA es un reglamento, lo que significa que es directamente aplicable en todos los Estados miembros sin necesidad de una ley nacional de transposición —por eso DORA no tiene el problema de retraso que sí tiene NIS2 en España—: es de aplicación plena y directa desde el 17 de enero de 2025.

7.1 Entidades afectadas

DORA aplica a un universo amplio de entidades financieras: entidades de crédito, de pago y de dinero electrónico, empresas de servicios de inversión, proveedores y emisores de criptoactivos, depositarios centrales de valores, entidades de contrapartida central, centros de negociación, aseguradoras y reaseguradoras, intermediarios de seguros, fondos de pensiones de empleo, agencias de calificación crediticia y administradores de índices de referencia críticos, entre otras categorías reguladas por su normativa sectorial. Junto a ellas —y esta es una de las novedades más disruptivas de DORA— el reglamento somete a supervisión directa a los proveedores terceros críticos de servicios TIC (Critical ICT Third-Party Providers, CTPP): los grandes proveedores de nube y centros de datos de los que dependen las entidades financieras, hasta ahora fuera del radar directo de los supervisores aunque su caída pudiera arrastrar a media banca europea.

7.2 Los cinco pilares de DORA

DORA estructura sus obligaciones en cinco bloques temáticos, cada uno desarrollado con un nivel de detalle técnico —incluidas normas técnicas de regulación (RTS) y de ejecución (ITS) de las Autoridades Europeas de Supervisión— muy superior al de NIS2:

  • Gestión del riesgo de las TIC (capítulo II): marco de gobernanza y control interno de las TIC aprobado y supervisado por el órgano de dirección —el mismo principio de responsabilidad indelegable ya visto en NIS2—, con identificación continua de activos y funciones críticas, protección, detección, respuesta, recuperación y aprendizaje tras cada incidente.
  • Gestión, clasificación y notificación de incidentes TIC (capítulo III): criterios armonizados de clasificación (gravedad, alcance, criticidad) y plazos de notificación que siguen la misma lógica escalonada de NIS2, pero con regulación de detalle propia desarrollada por la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA).
  • Pruebas de resiliencia operativa digital (capítulo IV): desde evaluaciones de vulnerabilidades hasta, para entidades de mayor relevancia sistémica, las pruebas de penetración basadas en amenazas (TLPT, Threat-Led Penetration Testing), alineadas con el marco TIBER-EU del BCE, que simulan un ataque real en producción bajo condiciones controladas. Conecta con las técnicas ofensivas del curso de Hacking Web de esta escuela, aquí trasladadas a un marco regulado y supervisado.
  • Gestión del riesgo de terceros TIC (capítulo V): régimen contractual reforzado para proveedores de servicios TIC (derechos de auditoría, planes de salida, niveles de servicio) y supervisión directa de la UE sobre los proveedores terceros críticos.
  • Intercambio de información (capítulo VI): régimen voluntario —a diferencia de los anteriores, obligatorios— para compartir entre entidades financieras indicadores de compromiso y tácticas de atacantes, dentro de comunidades de confianza y con garantías de protección de datos.

7.3 Relación entre NIS2 y DORA: DORA como lex specialis

La pregunta es obvia: si un banco es, por su sector, potencialmente una entidad esencial bajo NIS2 y al mismo tiempo una entidad financiera sujeta a DORA, ¿qué norma aplica? La propia NIS2 resuelve el conflicto en su artículo 4, mediante el principio de lex specialis: cuando un acto jurídico sectorial de la Unión exija a las entidades esenciales o importantes medidas de gestión de riesgos o notificación de incidentes con un efecto al menos equivalente a NIS2, ese acto sectorial —en este caso, DORA, mencionado expresamente en el considerando 28 de NIS2— se aplica en su lugar. En la práctica: una entidad financiera cumple sus obligaciones de riesgo TIC y notificación conforme a DORA sin duplicar el ejercicio bajo NIS2; pero si una filial o actividad de un grupo financiero cae fuera del ámbito material de DORA y sí encaja en un sector NIS2, esa parte del negocio queda sujeta a NIS2 sin cobertura de la excepción.

La siguiente tabla resume, eje por eje, las diferencias que un profesional de GRC debe tener interiorizadas para no tratar ambas normas como intercambiables:

Eje de comparación NIS2 (Directiva (UE) 2022/2555) DORA (Reglamento (UE) 2022/2554)
Naturaleza jurídica Directiva: exige ley nacional de transposición en cada Estado miembro Reglamento: de aplicación directa en todos los Estados miembros, sin ley nacional intermedia
Fecha de aplicación 18 de octubre de 2024 (en los Estados que transpusieron a tiempo; en España, pendiente de la ley nacional a mediados de 2026) 17 de enero de 2025, en toda la Unión Europea por igual
Ámbito subjetivo Amplio y transversal: 18 sectores de los Anexos I y II (energía, transporte, salud, administración pública, fabricación, etc.) Acotado al sector financiero: entidades de crédito, pago, inversión, seguros, cripto, y proveedores TIC críticos (CTPP)
Clasificación de entidades Esenciales / importantes, según sector (Anexo I/II) y tamaño No distingue esenciales/importantes; aplica proporcionalidad según tipo, tamaño y perfil de riesgo de cada entidad financiera
Notificación de incidentes Alerta temprana (24 h), notificación (72 h), informe final (1 mes), al CSIRT/autoridad competente (art. 23) Régimen propio de clasificación y plazos desarrollado por normas técnicas de EBA/ESMA/EIOPA, con la misma lógica escalonada pero regulación de detalle específica
Pruebas de resiliencia No exige un programa formal de pentesting avanzado equivalente Programa de pruebas obligatorio, incluidas las TLPT (pruebas de penetración basadas en amenazas) para entidades sistémicas (capítulo IV)
Supervisión de proveedores TIC Exige evaluar el riesgo de proveedores (medida d) del art. 21), sin marco de supervisión directa de la UE sobre ellos Supervisión directa de la Unión Europea sobre los proveedores terceros críticos (CTPP), como las grandes nubes (capítulo V)
Sanciones Hasta 10 M € / 2 % facturación mundial (esenciales); hasta 7 M € / 1,4 % (importantes) — art. 34 Régimen sancionador conforme a la normativa sectorial de supervisión financiera de cada Estado miembro, más el régimen específico de la UE para los CTPP supervisados directamente
Relación entre ambas Cede ante DORA para las entidades financieras, por el principio de lex specialis del art. 4 Lex specialis respecto a NIS2 para el sector financiero: su cumplimiento sustituye al de NIS2 en gestión de riesgos TIC y notificación de incidentes

8. El Reglamento de Ciberresiliencia (CRA): una tercera pieza del mapa

El mapa regulatorio se completa con el Reglamento (UE) 2024/2847, el Cyber Resilience Act (CRA) o Reglamento de Ciberresiliencia, publicado en noviembre de 2024. A diferencia de NIS2 y DORA, que regulan organizaciones, el CRA regula productos: impone requisitos esenciales de ciberseguridad a los productos con elementos digitales —hardware y software comercializados en la Unión Europea— durante todo su ciclo de vida, incluida la obligación de dar soporte y actualizaciones de seguridad, y de notificar vulnerabilidades activamente explotadas a ENISA en 24 horas. Se aplicará de forma progresiva, con la mayor parte de sus obligaciones exigibles desde diciembre de 2027. Su relación con NIS2 es complementaria: la medida e) del artículo 21 (apartado 4) exige evaluar el riesgo de los productos que una organización integra, y el CRA es la norma que obliga a que esos productos sean seguros por diseño desde el fabricante.

Caso práctico

Contexto: «Hidrotec Servicios del Agua, S.L.» (nombre ficticio) es una empresa española que gestiona, mediante contrato de concesión con dos ayuntamientos de tamaño medio, el suministro de agua potable y el saneamiento de aguas residuales de sus respectivos municipios. Tiene 180 empleados y una facturación anual de 28 millones de euros. Además de la actividad de suministro, opera un pequeño portal web de atención al cliente y un sistema SCADA que controla de forma remota las estaciones de bombeo y las plantas de tratamiento. Su dirección te encarga, como consultor de GRC, determinar su situación frente a NIS2.

Análisis paso a paso

Pregunta de clasificación Respuesta aplicada al caso
¿En qué anexo encaja el sector de actividad? Agua potable y aguas residuales son sectores explícitamente incluidos en el Anexo I (sectores de alta criticidad) de NIS2.
¿Supera el umbral de tamaño? Sí en ambos criterios: 180 empleados (> 50) y 28 millones € de facturación (> 10 millones €). Con superar uno solo ya bastaría.
Clasificación resultante Entidad esencial. Sector de Anexo I + tamaño mediano/grande = esencial por defecto, sin necesidad de ninguna excepción especial adicional (que sí aplicarían, por ejemplo, a un proveedor único de un servicio esencial de menor tamaño).
¿Aplica alguna excepción que la excluyera? No. No es microempresa ni pequeña empresa, no hay ninguna causa de exclusión sectorial aplicable al suministro de agua.
Obligaciones que se derivan Implantar las 10 medidas del artículo 21 (con especial atención a la medida d), cadena de suministro, por la dependencia de proveedores del SCADA, y a la medida c), continuidad, por ser un servicio de primera necesidad); notificación de incidentes significativos en los plazos del artículo 23 (24 h / 72 h / 1 mes); el consejo de administración debe aprobar y supervisar las medidas y formarse conforme al artículo 20; exposición sancionadora de hasta 10 millones € o el 2 % de su facturación mundial en caso de incumplimiento grave.
¿Aplicaría DORA? No. Hidrotec no es una entidad financiera ni un proveedor TIC crítico para el sector financiero; su régimen aplicable es NIS2 en exclusiva, sin el efecto lex specialis del artículo 4.
Plazo de notificación ante un incidente hoy en el SCADA con corte de suministro de varias horas Alerta temprana al CSIRT/autoridad competente en 24 horas desde que se tiene conocimiento; notificación con evaluación inicial en 72 horas; informe final en el plazo de un mes tras la notificación (o informe de situación si el incidente sigue activo, con informe final un mes después de su resolución); además, si el corte afecta a los usuarios finales del servicio, debería informarse también a los ayuntamientos concedentes y, en su caso, a los propios usuarios, conforme al artículo 23.1.

La conclusión para la dirección de Hidrotec es clara y debe comunicarse sin rodeos: no es una empresa «pequeña» a ojos de NIS2 por operar en un sector local, es una entidad esencial de pleno derecho por la combinación de sector crítico y tamaño, y su exposición —tanto operativa (un corte de agua es un incidente con impacto social inmediato) como regulatoria y personal para su consejo— es de las más altas dentro del espectro de la directiva, con independencia de que la ley española de transposición siga en tramitación en el momento del análisis.

Errores comunes

  • Creer que NIS2 «solo va de notificar incidentes en 24-72 horas». Es el error de percepción más extendido. La notificación (artículo 23) es la parte más visible y mediática, pero el grueso material de la norma —lo que de verdad exige tiempo y presupuesto— son las diez medidas del artículo 21, que deben estar implantadas de forma continua, no activarse solo cuando ocurre un incidente.
  • Ignorar la responsabilidad personal de la dirección (artículo 20). Muchas organizaciones siguen tratando la ciberseguridad como delegable al 100 % en el CISO. Bajo NIS2, el órgano de dirección debe aprobar formalmente las medidas, supervisarlas y formarse, y puede responder personalmente si no lo hace.
  • Olvidar la cadena de suministro. La medida d) del artículo 21 obliga a evaluar el riesgo de proveedores directos y de sus subproveedores. Es habitual auditar con rigor los propios sistemas y descuidar el riesgo de un proveedor de software o un integrador de SCADA: precisamente el vector que motivó buena parte del refuerzo de NIS2.
  • Asumir que, como la ley española no está en vigor, «todavía no hay nada que hacer». La Directiva (UE) 2022/2555 existe y define el nivel de exigencia europeo con independencia de la ley nacional; clientes, aseguradoras y contrapartes ya exigen cumplimientos alineados con NIS2 por vía contractual; y cuando la ley española se apruebe, previsiblemente sin periodo de gracia extenso, quien haya esperado se encontrará con un proyecto de implantación de meses que debía haber empezado mucho antes.
  • Confundir la clasificación esencial/importante con una jerarquía de exigencia de medidas. Las diez categorías del artículo 21 aplican por igual a ambas; lo que cambia es el régimen de supervisión (ex ante frente a ex post) y el techo de la sanción, no el catálogo de obligaciones de fondo.
  • Tratar NIS2 y DORA como normas redundantes o sin ninguna relación. Una entidad financiera no debe cumplir «las dos cosas por separado»: el artículo 4 de NIS2 activa el principio de lex specialis a favor de DORA, y lo relevante es analizar caso por caso qué actividades del grupo caen dentro del perímetro material de DORA y cuáles no.

Ejercicio

Para una organización real o ficticia de tu elección (recomendable: tu propia empresa, o una del sector que mejor conozcas):

  1. Determina, justificando cada paso como en el caso práctico de este módulo, si la organización sería entidad esencial, entidad importante o quedaría fuera del ámbito de NIS2: identifica el sector (Anexo I, Anexo II o ninguno), verifica el tamaño (empleados y facturación) y comprueba si aplica alguna excepción especial.
  2. Si la organización queda dentro del ámbito de NIS2, elabora una tabla de autoevaluación con las diez medidas del artículo 21 (puedes partir de la tabla del apartado 4) y, para cada una, anota en una frase el estado actual real de la organización: implantada, parcialmente implantada o inexistente.
  3. Redacta el borrador de un procedimiento interno de notificación de incidentes significativos que recoja explícitamente los tres plazos del artículo 23 (24 horas, 72 horas, 1 mes), con el rol responsable de activar cada fase y el canal de notificación aplicable a tu sector.
  4. Redacta un párrafo (máximo 150 palabras) dirigido al consejo de administración de esa organización explicando, en lenguaje de negocio y sin tecnicismos, qué obligación personal les impone el artículo 20 de NIS2 y qué formación deberían recibir en los próximos seis meses.
  5. Si la organización tuviera actividad financiera, analiza si alguna parte de su negocio podría quedar sujeta a DORA en lugar de, o además de, NIS2, y qué efecto tendría el principio de lex specialis del artículo 4 en ese caso concreto.

Preguntas frecuentes

¿NIS2 ya es de obligado cumplimiento en España aunque la ley española no esté aprobada?

Es una situación jurídicamente matizada. La Directiva (UE) 2022/2555 no tiene, con carácter general, efecto directo horizontal entre particulares mientras no exista ley nacional de transposición, por lo que, en sentido estrictamente formal, mientras la futura Ley de Coordinación y Gobernanza de la Ciberseguridad no entre en vigor, el régimen legal vigente en España sigue siendo el del Real Decreto-ley 12/2018, con su ámbito más reducido. Dicho esto, ninguna organización dentro del ámbito material de NIS2 debería usar este matiz como excusa para no avanzar: la ley española llegará, previsiblemente sin un periodo de adaptación largo dado el retraso ya acumulado, y el mercado (clientes, aseguradoras, contrapartes) ya incorpora exigencias alineadas con NIS2 por vía contractual, con independencia de su estado normativo formal.

¿Qué diferencia real hay, en términos de obligaciones, entre ser entidad esencial o entidad importante?

El catálogo de medidas de gestión de riesgos (artículo 21) y el régimen de notificación de incidentes (artículo 23) aplican exactamente igual a ambas categorías: no hay una versión «reducida» de las obligaciones de fondo para las entidades importantes. Lo que cambia es el régimen de supervisión —las autoridades pueden auditar y requerir evidencia a las entidades esenciales de forma proactiva (ex ante), mientras que a las importantes se les supervisa, por regla general, de forma reactiva tras un incidente o indicio de incumplimiento (ex post)— y el techo de las sanciones económicas del artículo 34: hasta 10 millones de euros o el 2 % de la facturación mundial para las esenciales, frente a hasta 7 millones de euros o el 1,4 % para las importantes.

¿Una pyme pequeña está completamente a salvo de NIS2?

Como regla general, sí: NIS2 se dirige a medianas y grandes empresas (50 empleados o más, o más de 10 millones de euros de facturación), y las microempresas y pequeñas empresas quedan fuera del ámbito directo. Pero hay dos matices. Primero, la directiva prevé excepciones expresas que capturan a organizaciones pequeñas de alto riesgo con independencia de su tamaño (un proveedor único de un servicio esencial, o determinados proveedores de confianza cualificados o de DNS). Segundo, y más relevante en la práctica diaria, una pyme fuera del ámbito directo puede verse arrastrada por vía contractual si es proveedora de una entidad esencial o importante: la medida d) del artículo 21 obliga a evaluar el riesgo de la cadena de suministro, lo que se traduce en cuestionarios de seguridad, cláusulas contractuales y auditorías que esa pyme deberá superar aunque NIS2 no le sea aplicable de forma directa.

¿Qué relación tiene NIS2 con el Esquema Nacional de Seguridad (ENS) que se estudia en otro módulo de este curso?

Son marcos complementarios que conviene no confundir. El ENS (Real Decreto 311/2022) regula la seguridad del sector público español, con categorización (básica/media/alta) y medidas desarrolladas técnicamente en la serie CCN-STIC. NIS2 es una directiva europea de ámbito más amplio, que cubre sector público y privado, articulada en torno a la clasificación esencial/importante y al catálogo de diez medidas del artículo 21. En la práctica, muchas entidades públicas ya certificadas en el ENS parten con una base de madurez considerable para NIS2, porque buena parte de las medidas se solapan conceptualmente (riesgos, continuidad, control de acceso, incidentes), pero no son intercambiables: cumplir el ENS no exime de las obligaciones específicas de NIS2, y viceversa.

¿Por qué DORA no tiene el mismo problema de retraso en España que NIS2?

Por la propia naturaleza jurídica de la norma. NIS2 es una directiva, que por definición marca un resultado a alcanzar pero deja a cada Estado miembro la tarea de aprobar su propia ley nacional para trasladarla al ordenamiento interno; ese paso intermedio es exactamente el que España tiene pendiente y que ha motivado el procedimiento de infracción de la Comisión Europea. DORA, en cambio, es un reglamento, y los reglamentos de la Unión Europea son directamente aplicables en todos los Estados miembros desde su fecha de aplicación, sin necesidad de ninguna ley nacional intermedia que los transponga. Por eso las entidades financieras españolas llevan aplicando DORA en su integridad desde el 17 de enero de 2025, con total independencia de en qué punto se encuentre la tramitación parlamentaria de la ley española de NIS2.

«This Directive establishes measures with a view to achieving a high common level of cybersecurity within the Union… Member States shall adopt and publish, by 17 October 2024, the measures necessary to comply with this Directive. They shall apply those measures from 18 October 2024.»

— Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (NIS2), artículos 1 y 41, Diario Oficial de la Unión Europea — EUR-Lex.