La Directiva NIS2 y la normativa DORA (Digital Operational Resilience Act) son dos iniciativas legislativas de la Unión Europea enfocadas en la ciberseguridad, pero con alcances, objetivos y ámbitos de aplicación diferentes. A continuación, se resumen sus principales diferencias entre NIS2 y DORA:
1. Naturaleza jurídica
- NIS2: Es una directiva, lo que implica que cada Estado miembro de la UE debe transponerla a su legislación nacional, pudiendo introducir ciertas adaptaciones.
- DORA: Es un reglamento (EU 2022/2554), por lo que es de aplicación directa e inmediata en todos los Estados miembros, sin necesidad de transposición.
2. Ámbito de aplicación (sectores y entidades afectadas)
- NIS2
- Sectores Esenciales:
- Energía (electricidad, petróleo, gas, etc.)
- Transporte (aéreo, ferroviario, marítimo y por carretera)
- Banca y mercados financieros (aunque para el sector financiero también aplica DORA en materia de resiliencia operativa)
- Salud (prestadores de servicios de salud, laboratorios, etc.)
- Agua potable y aguas residuales
- Infraestructuras digitales (centros de datos, redes de distribución de contenido, etc.)
- Administraciones públicas que cumplan ciertos criterios.
- Sectores Importantes:
- Servicios postales y de mensajería
- Gestión y tratamiento de residuos
- Fabricación de productos críticos (como productos farmacéuticos, equipos médicos o productos químicos peligrosos)
- Servicios digitales no cubiertos en la categoría de infraestructuras digitales esenciales.
- Administraciones públicas de menor tamaño o relevancia, dependiendo de la clasificación que realice cada Estado miembro.
- Clasificación de “Entidades esenciales” e “importantes”
- Se diferencian básicamente por su tamaño, relevancia y el impacto potencial de un incidente en la sociedad o en la economía.
- Ambas categorías están sujetas a obligaciones de seguridad y notificación de incidentes, pero las entidades esenciales tienen un nivel de exigencia y supervisión más elevado.
- Criterio de Tamaño
- La Directiva tiende a excluir a las micro y pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de facturación anual), salvo en casos específicos en los que estas empresas tengan un papel crítico.
- Se pone el foco, por tanto, en empresas de tamaño mediano y grande dentro de los sectores mencionados.
- Sectores Esenciales:
- DORA
- Entidades financieras:
Incluye prácticamente a todas las tipologías de entidades reguladas en el ámbito de servicios financieros, tales como: - Bancos y cooperativas de crédito.
- Empresas de servicios de inversión y sociedades de valores.
- Entidades de pago y de dinero electrónico.
- Compañías de seguros y reaseguros.
- Fondos de pensiones.
- Organismos de inversión colectiva (fondos de inversión).
- Infraestructuras de mercado (bolsas, sistemas de negociación, cámaras de compensación, depositarios centrales de valores).
- Agencias de calificación crediticia.
- Otros intermediarios financieros, incluidos aquellos que ofrecen servicios de criptoactivos (según la normativa aplicable en la UE).
- Entidades financieras:
- Proveedores externos de TIC (Third-Party Providers):
DORA contempla también a los proveedores críticos de servicios TIC (tecnologías de la información y comunicación) que dan soporte a las entidades financieras, como proveedores de servicios en la nube, servicios de análisis de datos, software, etc. - El reglamento establece un marco de supervisión especial para aquellos proveedores que sean designados como “críticos” por las autoridades competentes, sujetándolos a requisitos y controles de resiliencia operativa adicionales.
3. Objetivo principal
- NIS2
- Mejorar el nivel general de ciberseguridad y la resiliencia de las redes y sistemas de información en los sectores identificados como clave para la sociedad y la economía.
- Establece requisitos de seguridad y mecanismos de cooperación entre las autoridades nacionales, busca homogeneizar los niveles de protección y establece obligaciones de notificación de incidentes.
- DORA
- Garantizar la resiliencia operativa digital del sector financiero. Va más allá de la ciberseguridad estricta, al incorporar aspectos de continuidad de negocio, resistencia a interrupciones y pruebas de resistencia (testing) de sistemas y proveedores de TI.
- Crea un marco unificado para la gestión de riesgos relacionados con las TIC dentro de entidades financieras y proveedores externos críticos.
4. Requisitos de cumplimiento y alcance de las obligaciones
- NIS2
- Incide en la gestión de riesgos de ciberseguridad, estableciendo medidas técnicas y organizativas para prevenir y mitigar ciberincidentes.
- Exige notificación de incidentes relevantes dentro de plazos estrictos y un mayor grado de responsabilidad de la alta dirección.
- Introduce sanciones a escala nacional, que pueden variar dependiendo de la transposición en cada Estado miembro.
- DORA
- Establece obligaciones para evaluar, supervisar y gestionar los riesgos TIC de forma continua, incluida la realización de pruebas de resiliencia operativa.
- Regula la relación con proveedores de servicios críticos de TIC, exigiendo requisitos contractuales y supervisión estricta.
- El régimen de sanciones y supervisión lo lideran las autoridades financieras europeas (EBA, ESMA, EIOPA) y las autoridades nacionales competentes, bajo un marco unificado en toda la UE.
5. Coordinación y cooperación
- NIS2
- Refuerza la colaboración entre los CSIRTs (equipos de respuesta a incidentes) y las autoridades nacionales de ciberseguridad, promoviendo el intercambio de información a escala europea.
- Tiene una visión transversal y multidisciplinar para responder a incidentes de gran impacto que puedan afectar a múltiples sectores.
- DORA
- Está más centrado en la coordinación entre las autoridades financieras (nacionales y europeas) y las entidades del ecosistema financiero.
- Prevé la creación del llamado Oversight Framework para vigilar la actividad de los proveedores TIC críticos de forma coordinada en toda la UE.
6. Temporalidad y despliegue. Diferencias entre NIS2 y DORA
- NIS2
- En vigor desde 2023, con un plazo para que los Estados miembros la transpongan a su legislación nacional (generalmente 21 meses desde su entrada en vigor).
- Las obligaciones específicas pueden variar en función del calendario adoptado por cada país.
- DORA
- Aprobada formalmente en 2022 (Reglamento 2022/2554) y con aplicación directa a partir de enero de 2025 (según las fechas definidas en el propio reglamento).
- Durante este tiempo, las entidades financieras deben prepararse para cumplir con las nuevas exigencias.
Conclusión
La Directiva NIS2 y la normativa DORA coinciden en buscar mayor seguridad y resiliencia ante incidentes digitales, pero las principales diferencias entre la Directiva NIS2 y la normativa DORA están en:
- Naturaleza jurídica (directiva vs. reglamento).
- Sectores cubiertos (multisectorial vs. exclusivamente financiero).
- Contenido y profundidad de los requisitos (ciberseguridad general vs. resiliencia operativa en el sector financiero, abarcando pruebas de resistencia y supervisión de proveedores TIC).
Ambas normas son complementarias en el ecosistema de la ciberseguridad de la Unión Europea, pero cada una se dirige a ámbitos específicos y con alcances distintos.