Si solo necesitas el canal de denuncias, puedes acceder aquí

Contactar ventas

Sobre ithikios

Solicitar Demo
Solicitar Demo
Empieza Gratis
Contáctanos

Contáctanos

matriz de riesgos de ciber seguridad --v 6.1 Job ID: 6708061a-8953-40bd-a330-ce79e39dde01

Diferencias entre NIS2 y DORA

La Directiva NIS2 y la normativa DORA (Digital Operational Resilience Act) son dos iniciativas legislativas de la Unión Europea enfocadas en la ciberseguridad, pero con alcances, objetivos y ámbitos de aplicación diferentes. A continuación, se resumen sus principales diferencias entre NIS2 y DORA:

1. Naturaleza jurídica

  • NIS2: Es una directiva, lo que implica que cada Estado miembro de la UE debe transponerla a su legislación nacional, pudiendo introducir ciertas adaptaciones.
  • DORA: Es un reglamento (EU 2022/2554), por lo que es de aplicación directa e inmediata en todos los Estados miembros, sin necesidad de transposición.

2. Ámbito de aplicación (sectores y entidades afectadas)

  • NIS2
    • Sectores Esenciales:
      • Energía (electricidad, petróleo, gas, etc.)
      • Transporte (aéreo, ferroviario, marítimo y por carretera)
      • Banca y mercados financieros (aunque para el sector financiero también aplica DORA en materia de resiliencia operativa)
      • Salud (prestadores de servicios de salud, laboratorios, etc.)
      • Agua potable y aguas residuales
      • Infraestructuras digitales (centros de datos, redes de distribución de contenido, etc.)
      • Administraciones públicas que cumplan ciertos criterios.
      • Sectores Importantes:
      • Servicios postales y de mensajería
      • Gestión y tratamiento de residuos
      • Fabricación de productos críticos (como productos farmacéuticos, equipos médicos o productos químicos peligrosos)
      • Servicios digitales no cubiertos en la categoría de infraestructuras digitales esenciales.
      • Administraciones públicas de menor tamaño o relevancia, dependiendo de la clasificación que realice cada Estado miembro.
    • Clasificación de “Entidades esenciales” e “importantes”
      • Se diferencian básicamente por su tamaño, relevancia y el impacto potencial de un incidente en la sociedad o en la economía.
      • Ambas categorías están sujetas a obligaciones de seguridad y notificación de incidentes, pero las entidades esenciales tienen un nivel de exigencia y supervisión más elevado.
    • Criterio de Tamaño
      • La Directiva tiende a excluir a las micro y pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de facturación anual), salvo en casos específicos en los que estas empresas tengan un papel crítico.
      • Se pone el foco, por tanto, en empresas de tamaño mediano y grande dentro de los sectores mencionados.
  • DORA
    • Entidades financieras:
      Incluye prácticamente a todas las tipologías de entidades reguladas en el ámbito de servicios financieros, tales como:
    • Bancos y cooperativas de crédito.
    • Empresas de servicios de inversión y sociedades de valores.
    • Entidades de pago y de dinero electrónico.
    • Compañías de seguros y reaseguros.
    • Fondos de pensiones.
    • Organismos de inversión colectiva (fondos de inversión).
    • Infraestructuras de mercado (bolsas, sistemas de negociación, cámaras de compensación, depositarios centrales de valores).
    • Agencias de calificación crediticia.
    • Otros intermediarios financieros, incluidos aquellos que ofrecen servicios de criptoactivos (según la normativa aplicable en la UE).
  • Proveedores externos de TIC (Third-Party Providers):
    DORA contempla también a los proveedores críticos de servicios TIC (tecnologías de la información y comunicación) que dan soporte a las entidades financieras, como proveedores de servicios en la nube, servicios de análisis de datos, software, etc.
  • El reglamento establece un marco de supervisión especial para aquellos proveedores que sean designados como “críticos” por las autoridades competentes, sujetándolos a requisitos y controles de resiliencia operativa adicionales.

3. Objetivo principal

  • NIS2
    • Mejorar el nivel general de ciberseguridad y la resiliencia de las redes y sistemas de información en los sectores identificados como clave para la sociedad y la economía.
    • Establece requisitos de seguridad y mecanismos de cooperación entre las autoridades nacionales, busca homogeneizar los niveles de protección y establece obligaciones de notificación de incidentes.
  • DORA
    • Garantizar la resiliencia operativa digital del sector financiero. Va más allá de la ciberseguridad estricta, al incorporar aspectos de continuidad de negocio, resistencia a interrupciones y pruebas de resistencia (testing) de sistemas y proveedores de TI.
    • Crea un marco unificado para la gestión de riesgos relacionados con las TIC dentro de entidades financieras y proveedores externos críticos.

4. Requisitos de cumplimiento y alcance de las obligaciones

  • NIS2
    • Incide en la gestión de riesgos de ciberseguridad, estableciendo medidas técnicas y organizativas para prevenir y mitigar ciberincidentes.
    • Exige notificación de incidentes relevantes dentro de plazos estrictos y un mayor grado de responsabilidad de la alta dirección.
    • Introduce sanciones a escala nacional, que pueden variar dependiendo de la transposición en cada Estado miembro.
  • DORA
    • Establece obligaciones para evaluar, supervisar y gestionar los riesgos TIC de forma continua, incluida la realización de pruebas de resiliencia operativa.
    • Regula la relación con proveedores de servicios críticos de TIC, exigiendo requisitos contractuales y supervisión estricta.
    • El régimen de sanciones y supervisión lo lideran las autoridades financieras europeas (EBA, ESMA, EIOPA) y las autoridades nacionales competentes, bajo un marco unificado en toda la UE.

5. Coordinación y cooperación

  • NIS2
    • Refuerza la colaboración entre los CSIRTs (equipos de respuesta a incidentes) y las autoridades nacionales de ciberseguridad, promoviendo el intercambio de información a escala europea.
    • Tiene una visión transversal y multidisciplinar para responder a incidentes de gran impacto que puedan afectar a múltiples sectores.
  • DORA
    • Está más centrado en la coordinación entre las autoridades financieras (nacionales y europeas) y las entidades del ecosistema financiero.
    • Prevé la creación del llamado Oversight Framework para vigilar la actividad de los proveedores TIC críticos de forma coordinada en toda la UE.

6. Temporalidad y despliegue. Diferencias entre NIS2 y DORA

  • NIS2
    • En vigor desde 2023, con un plazo para que los Estados miembros la transpongan a su legislación nacional (generalmente 21 meses desde su entrada en vigor).
    • Las obligaciones específicas pueden variar en función del calendario adoptado por cada país.
  • DORA
    • Aprobada formalmente en 2022 (Reglamento 2022/2554) y con aplicación directa a partir de enero de 2025 (según las fechas definidas en el propio reglamento).
    • Durante este tiempo, las entidades financieras deben prepararse para cumplir con las nuevas exigencias.

Conclusión

La Directiva NIS2 y la normativa DORA coinciden en buscar mayor seguridad y resiliencia ante incidentes digitales, pero las principales diferencias entre la Directiva NIS2 y la normativa DORA están en:

  • Naturaleza jurídica (directiva vs. reglamento).
  • Sectores cubiertos (multisectorial vs. exclusivamente financiero).
  • Contenido y profundidad de los requisitos (ciberseguridad general vs. resiliencia operativa en el sector financiero, abarcando pruebas de resistencia y supervisión de proveedores TIC).

Ambas normas son complementarias en el ecosistema de la ciberseguridad de la Unión Europea, pero cada una se dirige a ámbitos específicos y con alcances distintos.

Artículos relacionados

NIS2: las herramientas que realmente necesita tu organización (y por qué ninguna lo resuelve todo sola)

Cuando una organización empieza a trabajar la adaptación a NIS2, una de las primeras preguntas suele ser: «¿Qué software tengo que implantar?» La pregunta parece lógica. Pero en realidad es...

Leer más

Cyber Resilience Act: lo que cambia, lo que te afecta y cómo prepararte sin perder el tiempo

Durante años, la pregunta en materia de ciberseguridad apuntaba siempre a la organización: «¿Tenemos medidas de seguridad suficientes?» La Cyber Resilience Act (CRA) amplía el foco. A partir de ahora,...

Leer más

¿Quieres probar nuestro canal de denuncias?

Hazlo desde aquí durante 15 días, sin compromiso, sin tarjetas,…

Solicita demo

¿Quieres ver como ithikios te puede ayudar?

Empieza hoy. Cumple con la normativa en horas. Y cuando crezcas, ithikios te acompaña.

¿Hablamos?