matriz de riesgos de ciber seguridad --v 6.1 Job ID: 6708061a-8953-40bd-a330-ce79e39dde01

Diferencias entre NIS2 y DORA

La Directiva NIS2 y la normativa DORA (Digital Operational Resilience Act) son dos iniciativas legislativas de la Unión Europea enfocadas en la ciberseguridad, pero con alcances, objetivos y ámbitos de aplicación diferentes. A continuación, se resumen sus principales diferencias entre NIS2 y DORA:

1. Naturaleza jurídica

  • NIS2: Es una directiva, lo que implica que cada Estado miembro de la UE debe transponerla a su legislación nacional, pudiendo introducir ciertas adaptaciones.
  • DORA: Es un reglamento (EU 2022/2554), por lo que es de aplicación directa e inmediata en todos los Estados miembros, sin necesidad de transposición.

2. Ámbito de aplicación (sectores y entidades afectadas)

  • NIS2
    • Sectores Esenciales:
      • Energía (electricidad, petróleo, gas, etc.)
      • Transporte (aéreo, ferroviario, marítimo y por carretera)
      • Banca y mercados financieros (aunque para el sector financiero también aplica DORA en materia de resiliencia operativa)
      • Salud (prestadores de servicios de salud, laboratorios, etc.)
      • Agua potable y aguas residuales
      • Infraestructuras digitales (centros de datos, redes de distribución de contenido, etc.)
      • Administraciones públicas que cumplan ciertos criterios.
      • Sectores Importantes:
      • Servicios postales y de mensajería
      • Gestión y tratamiento de residuos
      • Fabricación de productos críticos (como productos farmacéuticos, equipos médicos o productos químicos peligrosos)
      • Servicios digitales no cubiertos en la categoría de infraestructuras digitales esenciales.
      • Administraciones públicas de menor tamaño o relevancia, dependiendo de la clasificación que realice cada Estado miembro.
    • Clasificación de “Entidades esenciales” e “importantes”
      • Se diferencian básicamente por su tamaño, relevancia y el impacto potencial de un incidente en la sociedad o en la economía.
      • Ambas categorías están sujetas a obligaciones de seguridad y notificación de incidentes, pero las entidades esenciales tienen un nivel de exigencia y supervisión más elevado.
    • Criterio de Tamaño
      • La Directiva tiende a excluir a las micro y pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de facturación anual), salvo en casos específicos en los que estas empresas tengan un papel crítico.
      • Se pone el foco, por tanto, en empresas de tamaño mediano y grande dentro de los sectores mencionados.
  • DORA
    • Entidades financieras:
      Incluye prácticamente a todas las tipologías de entidades reguladas en el ámbito de servicios financieros, tales como:
    • Bancos y cooperativas de crédito.
    • Empresas de servicios de inversión y sociedades de valores.
    • Entidades de pago y de dinero electrónico.
    • Compañías de seguros y reaseguros.
    • Fondos de pensiones.
    • Organismos de inversión colectiva (fondos de inversión).
    • Infraestructuras de mercado (bolsas, sistemas de negociación, cámaras de compensación, depositarios centrales de valores).
    • Agencias de calificación crediticia.
    • Otros intermediarios financieros, incluidos aquellos que ofrecen servicios de criptoactivos (según la normativa aplicable en la UE).
  • Proveedores externos de TIC (Third-Party Providers):
    DORA contempla también a los proveedores críticos de servicios TIC (tecnologías de la información y comunicación) que dan soporte a las entidades financieras, como proveedores de servicios en la nube, servicios de análisis de datos, software, etc.
  • El reglamento establece un marco de supervisión especial para aquellos proveedores que sean designados como “críticos” por las autoridades competentes, sujetándolos a requisitos y controles de resiliencia operativa adicionales.

3. Objetivo principal

  • NIS2
    • Mejorar el nivel general de ciberseguridad y la resiliencia de las redes y sistemas de información en los sectores identificados como clave para la sociedad y la economía.
    • Establece requisitos de seguridad y mecanismos de cooperación entre las autoridades nacionales, busca homogeneizar los niveles de protección y establece obligaciones de notificación de incidentes.
  • DORA
    • Garantizar la resiliencia operativa digital del sector financiero. Va más allá de la ciberseguridad estricta, al incorporar aspectos de continuidad de negocio, resistencia a interrupciones y pruebas de resistencia (testing) de sistemas y proveedores de TI.
    • Crea un marco unificado para la gestión de riesgos relacionados con las TIC dentro de entidades financieras y proveedores externos críticos.

4. Requisitos de cumplimiento y alcance de las obligaciones

  • NIS2
    • Incide en la gestión de riesgos de ciberseguridad, estableciendo medidas técnicas y organizativas para prevenir y mitigar ciberincidentes.
    • Exige notificación de incidentes relevantes dentro de plazos estrictos y un mayor grado de responsabilidad de la alta dirección.
    • Introduce sanciones a escala nacional, que pueden variar dependiendo de la transposición en cada Estado miembro.
  • DORA
    • Establece obligaciones para evaluar, supervisar y gestionar los riesgos TIC de forma continua, incluida la realización de pruebas de resiliencia operativa.
    • Regula la relación con proveedores de servicios críticos de TIC, exigiendo requisitos contractuales y supervisión estricta.
    • El régimen de sanciones y supervisión lo lideran las autoridades financieras europeas (EBA, ESMA, EIOPA) y las autoridades nacionales competentes, bajo un marco unificado en toda la UE.

5. Coordinación y cooperación

  • NIS2
    • Refuerza la colaboración entre los CSIRTs (equipos de respuesta a incidentes) y las autoridades nacionales de ciberseguridad, promoviendo el intercambio de información a escala europea.
    • Tiene una visión transversal y multidisciplinar para responder a incidentes de gran impacto que puedan afectar a múltiples sectores.
  • DORA
    • Está más centrado en la coordinación entre las autoridades financieras (nacionales y europeas) y las entidades del ecosistema financiero.
    • Prevé la creación del llamado Oversight Framework para vigilar la actividad de los proveedores TIC críticos de forma coordinada en toda la UE.

6. Temporalidad y despliegue. Diferencias entre NIS2 y DORA

  • NIS2
    • En vigor desde 2023, con un plazo para que los Estados miembros la transpongan a su legislación nacional (generalmente 21 meses desde su entrada en vigor).
    • Las obligaciones específicas pueden variar en función del calendario adoptado por cada país.
  • DORA
    • Aprobada formalmente en 2022 (Reglamento 2022/2554) y con aplicación directa a partir de enero de 2025 (según las fechas definidas en el propio reglamento).
    • Durante este tiempo, las entidades financieras deben prepararse para cumplir con las nuevas exigencias.

Conclusión

La Directiva NIS2 y la normativa DORA coinciden en buscar mayor seguridad y resiliencia ante incidentes digitales, pero las principales diferencias entre la Directiva NIS2 y la normativa DORA están en:

  • Naturaleza jurídica (directiva vs. reglamento).
  • Sectores cubiertos (multisectorial vs. exclusivamente financiero).
  • Contenido y profundidad de los requisitos (ciberseguridad general vs. resiliencia operativa en el sector financiero, abarcando pruebas de resistencia y supervisión de proveedores TIC).

Ambas normas son complementarias en el ecosistema de la ciberseguridad de la Unión Europea, pero cada una se dirige a ámbitos específicos y con alcances distintos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.