A finales de 2024 y principios de 2025, el mercado europeo vivió la entrada en vigor de dos grandes marcos de ciberseguridad y resiliencia digital en un período muy corto: NIS2 en octubre de 2024 y DORA en enero de 2025. Para muchas organizaciones, especialmente en el sector financiero y tecnológico, la pregunta inmediata fue la misma: ¿nos aplica uno, el otro, o los dos? ¿Qué pasa cuando coinciden?
La confusión es comprensible. Ambos marcos comparten terminología, objetivos generales y algunos requisitos técnicos similares. Pero tienen naturaleza jurídica distinta, ámbito de aplicación distinto y una lógica de interacción que tiene consecuencias prácticas importantes para las organizaciones que deben cumplir con uno o con los dos.
Origen y naturaleza jurídica distintos
La primera diferencia, y la más relevante para entender todo lo demás, es de naturaleza jurídica.
NIS2 es una directiva europea (Directiva (UE) 2022/2555). Las directivas no son directamente aplicables en los Estados miembros: requieren transposición al derecho nacional. Cada Estado miembro transpone la directiva con su propia legislación, lo que permite cierto margen de adaptación en umbrales, sanciones y mecanismos de supervisión. Esto significa que los requisitos concretos de NIS2 que aplican a una empresa española los establece la legislación española de transposición, no el texto de la directiva directamente. Para entender qué implica NIS2 en el mercado español, la referencia sobre qué es NIS2 y cómo aplica da el contexto de partida necesario.
DORA es un reglamento europeo (Reglamento (UE) 2022/2554). Los reglamentos son directamente aplicables en todos los Estados miembros desde su fecha de entrada en vigor, sin necesidad de transposición. Esto da a DORA mayor uniformidad jurídica en toda la UE: los requisitos son los mismos en España, Alemania, Francia y los Países Bajos sin diferencias nacionales significativas.
Esta distinción tiene una consecuencia práctica: DORA es más predecible en sus requisitos concretos que NIS2, porque no depende de cómo cada Estado miembro haya transpuesto la directiva.
Ámbito de aplicación: quién cae bajo cada uno
El ámbito de aplicación es donde NIS2 y DORA divergen de forma más clara.
NIS2 tiene un alcance sectorial amplio. Cubre sectores de alta criticidad (energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio) y sectores importantes (servicios postales, gestión de residuos, productos químicos, alimentación, fabricación de productos críticos, proveedores digitales e investigación). La clave para determinar si una empresa está dentro del alcance es el sector en el que opera y su tamaño.
DORA tiene un alcance sectorial específico: el sector financiero. El artículo 2 del reglamento enumera las entidades sujetas:
- Entidades de crédito, empresas de inversión y entidades de pago y dinero electrónico
- Proveedores de servicios de criptoactivos bajo MiCA
- Gestoras de fondos de inversión alternativa y UCITS
- Fondos de pensiones de empleo, aseguradoras y reaseguradoras
- Agencias de calificación crediticia y auditores legales
- Proveedores terceros de servicios TIC considerados críticos para las entidades financieras
Esta última categoría es la que más controversia genera porque incluye empresas tecnológicas que no son entidades financieras pero que prestan servicios a ellas.
El principio lex specialis: qué pasa cuando los dos marcos coinciden
El artículo 4 de NIS2 establece explícitamente que cuando los Estados miembros aplican la directiva a entidades que ya están sujetas a normativa sectorial equivalente, deben tener en cuenta las disposiciones de esa normativa sectorial para evitar duplicidades. En la práctica, esto significa que las entidades financieras sujetas a DORA no están obligadas a cumplir además los requisitos de gestión de riesgos e incidentes de NIS2 de forma separada, porque DORA es considerado el marco específico (lex specialis) para ese sector.
Sin embargo, la exención no es total. NIS2 sigue siendo relevante para las entidades financieras en aspectos que DORA no cubre completamente, como determinadas obligaciones de supervisión nacional o la notificación a los CSIRT nacionales en escenarios específicos. La interacción exacta entre los dos marcos está siendo objeto de desarrollo regulatorio adicional a través de las autoridades de supervisión europeas (ESAs) y los supervisores nacionales.
El escenario más complejo es el de los proveedores TIC que tienen clientes en el sector financiero: pueden ser entidades importantes bajo NIS2 por ser proveedores de servicios digitales, y simultáneamente quedar bajo supervisión directa de DORA si son clasificados como proveedores críticos por las ESAs. En ese caso, los dos marcos se aplican en paralelo.
4 Diferencias clave en los requisitos
Aunque NIS2 y DORA comparten objetivos generales, sus requisitos específicos difieren en cuatro áreas clave:
1. Pruebas de resiliencia
DORA (Capítulo IV) establece un programa de pruebas obligatorio con dos niveles diferenciados:
- Pruebas básicas anuales para todas las entidades: evaluaciones de vulnerabilidades, revisiones de código, auditorías de seguridad basadas en riesgos y pruebas de escenarios.
- TLPT (Threat-Led Penetration Testing) cada tres años para las entidades más significativas, realizadas por proveedores certificados y con notificación previa a la autoridad supervisora. El marco de referencia europeo es TIBER-EU, desarrollado por el BCE.
NIS2 exige controles de seguridad y auditorías periódicas, pero no especifica un régimen de pruebas con esta estructura ni obliga a los TLPT.
2. Gestión de terceros TIC
DORA dedica el Capítulo V íntegramente a la gestión del riesgo de proveedores TIC. Los requisitos incluyen: cláusulas contractuales mínimas obligatorias (subconcesión, ubicación de datos, planes de salida, derechos de auditoría), registros de información de todos los contratos TIC, y estrategias documentadas de salida para proveedores críticos.
Adicionalmente, las ESAs supervisan directamente a los CTTPPs, lo que significa que una empresa cloud puede recibir visitas de inspección de reguladores europeos aunque no sea entidad financiera. NIS2 exige gestión de la cadena de suministro, pero sin el nivel de detalle contractual ni la supervisión directa del proveedor por autoridades financieras.
3. Notificación de incidentes
Los plazos son similares pero los destinatarios y la clasificación difieren:
| NIS2 | DORA | |
|---|---|---|
| Alerta temprana | 24 horas | 4 horas (incidentes mayores) |
| Notificación formal | 72 horas | 24 horas |
| Informe final | 1 mes | 1 mes |
| Destinatario | CSIRT nacional | Autoridad financiera competente (BCE, EBA, EIOPA o ESMA) |
Para una entidad financiera con incidente significativo, las dos notificaciones pueden ser concurrentes: a la autoridad financiera bajo DORA y al CSIRT nacional bajo NIS2. El protocolo de respuesta debe tener ambas rutas predefinidas.
4. Gobernanza y responsabilidad directiva
DORA es más prescriptivo: el artículo 5 exige que el órgano de dirección apruebe formalmente la estrategia de resiliencia TIC, asuma responsabilidad individual por su implementación y reciba formación específica y regular en riesgos TIC. NIS2 establece responsabilidad directiva equivalente pero deja más margen a cada organización para definir la estructura de gobernanza interna.
Solapamientos: lo que los dos marcos comparten
Los solapamientos son sustanciales y, bien gestionados, permiten construir un solo programa que produzca evidencias válidas para ambos.
- Gestión de riesgos TIC: Tanto NIS2 como DORA exigen un proceso formal y documentado de identificación, evaluación y tratamiento de riesgos de ciberseguridad. La metodología difiere en detalle, pero el inventario de activos, la evaluación de amenazas y vulnerabilidades, y el registro de decisiones de tratamiento de riesgo son elementos comunes que se construyen una sola vez. Una matriz de evaluación de riesgos 5×5 proporciona una base metodológica aplicable a ambos marcos.
- Continuidad de negocio y recuperación ante desastres: Los planes de continuidad y recuperación son un requisito explícito en los dos marcos, con foco en escenarios de ciberincidente. La diferencia está en el nivel de detalle de los test de continuidad: DORA exige que los planes sean probados regularmente con criterios documentados, NIS2 exige que existan pero con menor prescripción sobre la frecuencia y metodología de los tests.
- Formación y concienciación: Los dos marcos requieren formación del personal en ciberseguridad como medida mínima. El checklist de formación RGPD, ISO 27001 y NIS2 cubre los elementos que también aplican bajo DORA, por lo que un programa de formación bien diseñado puede satisfacer los requisitos de los tres marcos simultáneamente.
- Gestión de incidentes: Aunque los destinatarios de notificación difieren, la capacidad operativa de gestión de incidentes (detección, clasificación, contención, recuperación y documentación post-incidente) es un requisito compartido que se implementa una sola vez.
Los proveedores TIC críticos: la categoría que queda bajo los dos
El caso más complejo de la intersección NIS2-DORA es el de las empresas tecnológicas que prestan servicios al sector financiero.
Bajo NIS2, un proveedor de servicios de computación en nube, un proveedor de centros de datos o un proveedor de servicios de seguridad gestionada puede quedar clasificado como entidad importante o esencial si supera los umbrales de tamaño y entra en las categorías de infraestructura digital o servicios TIC B2B de la directiva.
Bajo DORA, ese mismo proveedor puede ser designado por las ESAs como «proveedor tercero TIC crítico» si un número significativo de entidades financieras europeas depende de sus servicios para funciones críticas o importantes. La designación como CTPP (Critical Third-Party Provider) bajo DORA supone la sujeción a un programa de supervisión directa por parte de las autoridades europeas, incluyendo visitas de inspección y requerimientos de información.
Para esos proveedores, los dos marcos corren en paralelo. La experiencia más reciente muestra que las ESAs han publicado las primeras listas de CTTPPs y están desarrollando los programas de supervisión. Las empresas en esa situación deben estructurar su programa de cumplimiento de forma que las evidencias sean válidas para ambas autoridades supervisoras.
Cómo construir un programa que cubra NIS2 y DORA
El principio rector es el mismo que para cualquier superposición regulatoria: construir los controles comunes una sola vez con la especificidad suficiente para satisfacer ambos marcos, e identificar los requisitos diferenciales de cada uno para añadirlos de forma incremental.
Los controles comunes que se construyen una vez son:
- Política de seguridad aprobada por dirección y revisada anualmente
- Inventario de activos y sistemas críticos con clasificación por criticidad
- Evaluación de riesgos con metodología documentada (NIS2 Art. 21, DORA Art. 6)
- Proceso de gestión de incidentes con los plazos de notificación de ambos marcos integrados
- Plan de continuidad con escenarios de ciberincidente y pruebas documentadas
- Programa de formación del personal en ciberseguridad
Los requisitos diferenciales de DORA que se añaden sobre esa base son:
- Programa de pruebas de resiliencia (básicas anuales + TLPT cada tres años cuando aplica)
- Documentación específica de contratos con proveedores TIC con las cláusulas mínimas del artículo 30 de DORA
- Planes de salida documentados para proveedores TIC críticos o importantes
- Registros de información de todos los contratos TIC en el formato requerido por las ESAs (RTS sobre registros de terceros)
Cómo puede ayudar PrivaLex
La naturaleza de la pregunta que genera la intersección de NIS2 y DORA no es puramente técnica: es jurídica, operativa y estratégica al mismo tiempo. La decisión de clasificar a una empresa como entidad importante bajo NIS2, o de tratarla como entidad fuera de alcance por estar cubierta por DORA, puede cambiar radicalmente el volumen de trabajo y el coste del programa de cumplimiento. Y tratar DORA como el único marco aplicable cuando NIS2 sigue siendo relevante en determinados aspectos puede generar brechas que aparecen en una inspección meses después.
PrivaLex trabaja con entidades financieras, proveedores TIC y empresas que operan en sectores cubiertos por NIS2 en un proceso estructurado en cuatro fases:
Fase 1. Análisis de alcance. Determinamos con precisión si la organización queda dentro del ámbito de NIS2, de DORA, de los dos, o de ninguno. En empresas con estructura de grupo, el análisis incluye cada entidad por separado: es posible que una filial sea entidad esencial bajo NIS2 mientras otra queda solo bajo DORA. Para organizaciones que operan en el mercado español, incorporamos el estado actualizado de transposición y los criterios nacionales sobre NIS2 en España.
Fase 2. Gap analysis diferencial. Realizamos un análisis de brechas separado para cada marco que aplica, usando los requisitos normativos directamente y no checklists genéricos. El resultado es un inventario de controles existentes, parcialmente implementados y ausentes, con trazabilidad a los artículos concretos de NIS2 o DORA que los exigen. Cuando los dos marcos aplican, identificamos explícitamente qué controles cubren los dos a la vez y cuáles son exclusivos de uno solo, para evitar duplicar trabajo.
Fase 3. Diseño e implementación del programa. Construimos el programa partiendo de la capa común, añadiendo después los requisitos diferenciales de DORA que no tienen equivalente en NIS2 (programa de pruebas de resiliencia, registros de terceros, cláusulas contractuales TIC mínimas, planes de salida de proveedores críticos) y los de NIS2 que DORA no cubre para las entidades en alcance dual.
Fase 4. Documentación de evidencias y preparación para supervisión. El trabajo no termina con la implementación de controles: termina cuando esos controles están documentados de forma que una autoridad supervisora puede verificarlos. Preparamos el conjunto documental completo (política de seguridad, informes de evaluación de riesgos, registros de incidentes, contratos TIC con cláusulas DORA, informe de pruebas de resiliencia) y acompañamos a la organización ante la primera inspección si se produce.
Trabajamos habitualmente con entidades financieras medianas que están completando su programa DORA y necesitan verificar su posición frente a NIS2, con proveedores cloud o SaaS que tienen clientes bancarios o aseguradoras y necesitan entender si entran en alcance como CTTPPs, y con empresas de tecnología financiera que operan en la intersección entre los dos marcos y necesitan un programa que no duplique trabajo ni genere evidencias contradictorias ante supervisores distintos.
Conclusión
NIS2 y DORA no son intercambiables ni redundantes. Tienen alcances distintos, naturaleza jurídica distinta y requisitos que divergen en áreas clave como las pruebas de resiliencia y la supervisión de proveedores TIC. Donde se solapan, la eficiencia está en construir controles comunes una sola vez.
Donde divergen, hay que añadir los requisitos específicos de cada marco de forma incremental sobre esa base. La confusión entre los dos marcos o la asunción de que cumplir con uno exime del otro son los errores más caros que cometen las organizaciones cuando empiezan su análisis.
Si quieres saber qué marcos aplican a tu organización y qué brechas tienes frente a cada uno, solicita tu risk assessment gratuito o reserva una sesión con nuestro equipo.
Preguntas Frecuentes
En general, las entidades financieras sujetas a DORA quedan exentas de los requisitos equivalentes de NIS2 por aplicación del principio lex specialis: DORA es el marco específico para ese sector. Sin embargo, la exención no es total en todos los aspectos: pueden seguir existiendo obligaciones de NIS2 en áreas que DORA no regula completamente o en las que la normativa de transposición nacional establezca requisitos adicionales. La respuesta exacta depende del tipo de entidad, del Estado miembro y de la supervisión nacional. Es recomendable verificarlo con asesoría jurídica actualizada en cada caso concreto.
TLPT (Threat-Led Penetration Testing, en español pruebas de penetración basadas en inteligencia de amenazas) son pruebas avanzadas de ciberseguridad que simulan ataques reales de actores de amenaza sofisticados, basándose en inteligencia de amenazas específica del sector financiero. DORA las exige para las entidades financieras más relevantes cada tres años, realizadas por proveedores certificados y con notificación previa a la autoridad supervisora. Es uno de los requisitos más exigentes de DORA y no tiene equivalente directo en NIS2. El marco europeo de referencia para los TLPT es TIBER-EU, desarrollado por el BCE.
DORA crea la categoría de «proveedores terceros críticos de servicios TIC» (CTPP, Critical Third-Party Providers), que son empresas tecnológicas que prestan servicios a entidades financieras europeas en funciones críticas o importantes. La designación la realizan las Autoridades de Supervisión Europeas (EBA, EIOPA, ESMA) mediante un proceso específico, y las empresas designadas quedan sujetas a supervisión directa por parte de esas autoridades. Una empresa tecnológica no sabe si es CTPP hasta que las ESAs la designan. Las grandes plataformas cloud (AWS, Azure, GCP), ciertos proveedores de software financiero y servicios de datos son las categorías más expuestas a esa designación.
Los plazos son similares pero los destinatarios son distintos. NIS2 establece notificación al CSIRT nacional en 24 horas para alerta temprana y 72 horas para notificación formal. DORA establece notificación a la autoridad financiera supervisora competente (BCE, EBA, EIOPA o ESMA según el tipo de entidad) con plazos similares para la notificación inicial. Para una entidad financiera que sufre un incidente significativo, las dos notificaciones pueden ser obligatorias de forma concurrente cuando el incidente activa ambos marcos: a la autoridad financiera bajo DORA y al CSIRT nacional bajo NIS2. El protocolo de respuesta debe tener ambas rutas predefinidas.
ISO 27001 es una base excelente pero no suficiente por sí sola para cumplir con NIS2 o DORA. La norma proporciona el sistema de gestión que ambos marcos asumen que existe, y muchos de sus controles del Anexo A tienen correspondencia directa con requisitos de NIS2 y DORA. Sin embargo, hay aspectos que ISO 27001 no cubre específicamente: los plazos de notificación de incidentes a autoridades regulatorias, los TLPT de DORA, la supervisión de terceros TIC críticos, o los requisitos de gobernanza directiva específicos de DORA. La estrategia más eficiente es usar ISO 27001 como base y añadir los requisitos diferenciales de cada marco sobre esa estructura.
NIS2 fija un máximo de 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales, y 7 millones o el 1,4% para entidades importantes. DORA no establece un tope único de multa en el reglamento: deja la graduación de sanciones a los Estados miembros y a las autoridades supervisoras competentes, aunque establece la posibilidad de sanciones periódicas (multas diarias) para incumplimientos continuados durante los programas de supervisión de CTTPPs. En la práctica, para una entidad financiera relevante bajo DORA, el riesgo reputacional y las medidas de supervisión reactiva (requerimientos, restricciones de actividad) son con frecuencia más determinantes que el importe máximo de la multa.
