La Directiva NIS2 (Directiva de Seguridad de las Redes y de la Información 2, Directiva (UE) 2022/2555) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554) son dos marcos regulatorios clave de la Unión Europea diseñados para fortalecer la ciberseguridad y la resiliencia digital en sectores críticos.
Aunque difieren en alcance (NIS2 es general para infraestructuras esenciales, y DORA es específico para el sector financiero), comparten varios elementos fundamentales derivados de la estrategia de ciberresiliencia de la UE.
A continuación, se detallan sus principales similitudes
| CONCEPTO | Similitud en NIS2 y DORA |
|---|---|
| Objetivo principal | Ambas buscan mejorar la resiliencia digital y la ciberseguridad para proteger la economía y la sociedad contra amenazas cibernéticas, como ciberataques y disrupciones. |
| Gestión de riesgos | Requieren evaluaciones regulares de riesgos, incluyendo la identificación, mitigación y monitoreo continuo de amenazas TIC (Tecnologías de la Información y Comunicación). |
| Responsabilidad de la dirección | La alta dirección es directamente responsable de la implementación, supervisión y cumplimiento, fomentando una cultura de accountability. Sanciones previstas para la dirección |
| Pruebas y ejercicios | Ambas exigen pruebas periódicas de sistemas (ej. simulacros de incidentes) para verificar la resiliencia operativa y la capacidad de recuperación. |
| Notificación de incidentes | Obligan a reportar incidentes significativos a las autoridades competentes en plazos estrictos (generalmente 24-72 horas), para una respuesta coordinada. |
| Gestión de terceros | Enfatizan la seguridad en la cadena de suministro y el riesgo de proveedores externos (terceros críticos), con requisitos de auditorías y contratos seguros. |
| Supervisión regulatoria | Establecen mecanismos de oversight por autoridades nacionales, con inspecciones y enforcement para garantizar el cumplimiento uniforme en la UE. |
| Sanciones | Ambas imponen multas disuasorias basadas en el volumen de negocio global (hasta 2% del facturación anual mundial), similares al RGPD. |
| Armonización en la UE | Promueven prácticas estandarizadas de ciberseguridad a nivel europeo, facilitando el reconocimiento mutuo y la interoperabilidad entre sectores. |
Estas similitudes permiten tratar ambos marcos regulatorios de forma armonizada en las entidades con el objetivo de elevar el nivel de protección cibernética, donde el cumplimiento de una puede facilitar el de la otra en casos de solapamiento (aunque DORA prevalece en el sector financiero, imponiendo criterios de ciberresiliencia a sus proveedores).
Si tuna organización opera en sectores mixtos, tiene sentidos considerar una adecuación y una auditoría integradas.
Anteproyecto de Ley
En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por el Consejo de Ministros el 14 de enero de 2025, en tramitación urgente) transpondrá la directiva NIS2 cuando se apruebe, incorporando elementos nacionales como el Esquema Nacional de Seguridad (ENS) y una nueva estructura institucional.
Aunque el anteproyecto es fiel a la NIS2 en sus principios, introduce adaptaciones para integrarse con el marco español existente (como el Real Decreto-ley 12/2018 de NIS1 y el ENS).Las diferencias radican principalmente en la especificidad nacional, instituciones y medios de cumplimiento, ya que la NIS2 deja flexibilidad a los Estados miembros para la implementación. A continuación, se resumen las principales diferencias a partir del texto de la directiva y el del anteproyecto
| CONCEPTO | NIS2 (Directiva Europea) | Anteproyecto Español (Ley de Coordinación y Gobernanza de la Ciberseguridad) |
|---|---|---|
| Estructura Institucional | Establece autoridades competentes nacionales genéricas (CSIRT y reguladores sectoriales), sin crear órganos específicos. Enfatiza cooperación UE (ej. red EU-CyCLONe). | Crea el Centro Nacional de Ciberseguridad (CNCS) como órgano único de coordinación, adscrito al Ministerio del Interior, que actúa como punto de contacto UE, gestiona crisis y supervisa el registro de entidades. Integra INCIBE y CCN-CERT, pero centraliza en CNCS (no existía en NIS2). |
| Medios de Cumplimiento y Certificación | Requiere medidas de gestión de riesgos (art. 21), con certificación obligatoria para entidades esenciales (basada en estándares UE como EN-ISO/IEC 27001). Deja a los Estados definir equivalentes. | Integra el Esquema Nacional de Seguridad (ENS) como equivalente nacional para demostrar cumplimiento (CCN-STIC 892), permitiendo certificación voluntaria del «Perfil de Cumplimiento Específico del ENS» para entidades esenciales. Añade flexibilidad con normas internacionales, pero prioriza el ENS para alinear con el marco español preexistente. |
| Alcance y Categorización de Entidades | Clasifica en «esenciales» e «importantes» (Anexos I y II), con obligaciones escaladas por tamaño (>50 empleados o >10M€ facturación). Incluye sectores como energía, salud, digital y manufactura. | Mantiene la clasificación, pero amplía explícitamente al sector público español (ej. administraciones locales y autonómicas no cubiertas en NIS1), estimando >12.000 entidades afectadas (vs. ~400 en NIS1). Introduce registro obligatorio en CNCS con plazos de 3 meses para notificación de datos técnicos (IPs, contactos). Exime microempresas con «cláusula de salvaguarda» si demuestran bajo impacto. |
| Gobernanza y Estrategia Nacional | Promueve estrategias nacionales de ciberseguridad y planes de crisis, pero sin detalles operativos. | Establece la Estrategia Nacional de Ciberseguridad como marco vinculante, con énfasis en cooperación transfronteriza y equipos de respuesta (monitoreo de amenazas, alertas tempranas). Crea una «Plataforma Nacional de Notificación de Incidentes» basada en LUCIA (herramienta existente), más integrada que en NIS2. |
| Responsabilidades de la Dirección | Responsabilidad personal de la gerencia por cumplimiento, con sanciones por negligencia. | Refuerza con la figura obligatoria del Responsable de Seguridad de la Información (RSI) como contacto directo con autoridades, permitiendo externalización pero manteniendo accountability. Mayor énfasis en auditorías y pruebas periódicas alineadas con ENS. |
| Notificación de Incidentes y Sanciones | Plazos uniformes: 24h inicial, 72h detallada, 1 mes final. Multas hasta 10M€ o 2% facturación global. | Adopta plazos idénticos, pero prioriza notificación a CNCS e INCIBE-CCN-CERT vía plataforma nacional. Mantiene sanciones, pero aumenta poderes de inspección de autoridades (ej. CNCS con acceso a datos en tiempo real), con régimen más estricto para entidades públicas. |
| Integración con Otras Normas | Modifica eIDAS y Código Europeo de Comunicaciones, pero es autónoma. | Integra NIS2 con ENS y normativa nacional (ej. Ley Orgánica de Protección de Datos), y transpone simultáneamente la Directiva CER (Resiliencia de Entidades Críticas). Añade foco en sector salud y manufactura con requisitos específicos. |
Conviene que las entidades inicien las valoraciones de su grado de adecuación lo antes posible para estimar el impacto de esta adecuación y considerarlo ya en los Presupuestos del año próximo.
EADTrust aporta el profundo conocimiento de su división EAD Servicios Profesionales respecto a NIS2, DORA y otras regulaciones para ayudar a las empresas a preparase. Y aporta un sistema de gestión de evidencias digitales de los procesos internos que permiten demostrar la «debida diligencia» de la entidad en la gestión de los retos de ciberseguridad.
Llame al 91 7160555 para más información
Todo es electrónico 