Archivo de la categoría: DORA

Retos de adecuación a las normas NIS2, CRA, CER y DORA

Deja un comentario

Las empresas enfrentan riesgos de ciberseguridad, que se complementan con un marco regulatorio que obliga a tomar medidas frente a ellos.

Una de las dimensiones de la actividad de las empresas es ahora, por tanto, el cumplimiento normativo del marco regulatorio de la Unión Europea, que exige conocimientos especializados que es difícil tener en nómina y que hace recomendable tener localizados a especialistas que colaboren con la empresa como consultores externos.

Uno de los primeros pasos es navegar por el laberinto regulatorio, en base a normas ya publicadas y en vigor, otras publicadas que entrarán en vigor más adelante, y otras normas anunciadas, pero cuyos principios ya son conocidos.

En un mundo en el que los ciberataques cuestan miles de millones al año, regulaciones como NIS2, CRA, CER y DORA no son solo «buenas prácticas», sino obligaciones que pueden evitar multas de hasta el 2% de la facturación global.

En este artículo se comentan someramente sus similitudes y diferencias para poder entender el panorama completo.

Resumen de las normas citadas:

  • NIS2 (Directiva (UE) 2022/2555 de Ciberseguridad): Impulsa la ciberseguridad en infraestructuras críticas y servicios digitales esenciales. Aplica a entidades «esenciales» e «importantes» en sectores como energía, transporte, salud e ICT, con énfasis en gestión de riesgos y respuesta a incidentes. Implementación obligatoria desde octubre de 2024. En España existe un Anteproyecto de Ley, ya que la Directiva se tiene que transponer al ordenamiento legal español
  • CRA (Reglamento (UE) 2024/2847 de Ciberresiliencia): Asegura que productos digitales (software, IoT, hardware conectado) sean seguros «por diseño» durante todo su ciclo de vida. Dirigida a fabricantes, importadores y distribuidores; excluye sectores regulados como dispositivos médicos. Plena aplicación en diciembre de 2027.
  • CER (Directiva (UE) 2022/2557 de Resiliencia de Entidades Críticas): Protege infraestructuras críticas contra disrupciones amplias (ciber, físicas, operativas). Cubre 11 sectores clave como energía, banca, salud y transporte; las entidades designadas deben cumplir también con NIS2. Identificación de entidades críticas hasta julio de 2026.
  • DORA (Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital): Enfocada en el sector financiero (bancos, aseguradoras, fintech) y proveedores ICT críticos, para resistir interrupciones digitales. Incluye pruebas de resiliencia y gestión de terceros. Cumplimiento desde enero de 2025. Implica la adecuación de las entidades proveedoras de banca que serán auditadas por las propias entidades financieras.

Estas regulaciones forman un ecosistema complementario, pero su solapamiento puede generar confusión si no se abordan de forma integrada. Todas buscan elevar la resiliencia digital de la UE frente a amenazas crecientes, promoviendo una armonización transfronteriza. Aquí un resumen:

AspectoDescripción Común
Objetivo PrincipalMejorar la ciberseguridad y resiliencia operativa contra riesgos digitales y disrupciones.
Enfoque en RiesgosObligan a evaluaciones de riesgos, gestión de cadena de suministro/terceros y controles técnicos/organizativos.
Reporte de IncidentesRequerimiento de notificación rápida (e.g., 24-72 horas) a autoridades nacionales o europeas.
GobernanzaResponsabilidad de la alta dirección; auditorías regulares y pruebas de vulnerabilidades.
SancionesMultas elevadas (hasta 2% de ingresos globales) y medidas correctivas; obligatorias para entidades en cada ámbito.
ComplementariedadSe solapan (e.g., entidades CER deben cumplir NIS2); alineadas con ISO 27001 para ~80% de medidas.

Estas similitudes significan que una empresa en sectores críticos (como finanzas o energía) podría tener que cumplir varias a la vez.

Desde el punto de vista del consultor, una aportación muy valorada es la realización conjunta con la entidad de un «gap analysis» unificado, lo que ahorra tiempo y recursos!Diferencias: Lo que las Distingue (y por qué Necesita Asesoría Personalizada)Las variaciones radican en alcance sectorial, enfoque y plazos, lo que complica el cumplimiento si no se mapea correctamente. Por ejemplo, un fabricante de IoT cae en CRA, pero un banco en DORA + NIS2 + CER.

AspectoNIS2CRACERDORA
Ámbito/SectorInfraestructuras críticas (energía, salud, ICT); entidades >50 empleados o €10M facturación.Productos digitales (IoT, software); fabricantes/importadores (excluye médicos/vehículos).11 sectores críticos (banca, transporte, agua); entidades designadas por Estados.Sector financiero (bancos, seguros, fintech) + proveedores ICT críticos.
Enfoque ClaveCiberseguridad en redes/sistemas; cooperación UE.Seguridad «por diseño» en ciclo de vida del producto; actualizaciones obligatorias.Resiliencia amplia (ciber + física/operativa); planes de continuidad.Resiliencia operativa digital; pruebas de estrés y riesgos ICT.
Requisitos EspecíficosAuditorías, supply chain, accountability directiva.Manejo de vulnerabilidades, conformidad (propia o por terceros).Estrategias nacionales, evaluaciones cada 4 años, respuesta a incidentes.Framework ICT, testing avanzado, gestión proveedores estricta.
Plazos de CumplimientoOctubre 2024 (ya en vigor en muchos países).Diciembre 2027 (reportes desde 2026).Octubre 2024; identificación hasta 2026.Enero 2025.
Impacto PrincipalAmplio para servicios digitales; ~80% overlap con ISO 27001.Mercado: productos no conformes no se venden en UE.Físico-digital: cubre riesgos no cibernéticos.Financiero: fines hasta €5M para proveedores ICT.

Como se puede apreciar, NIS2 y CER son «hermanas» en infraestructuras (CER es más amplia en riesgos), mientras CRA está «centrada en producto» y DORA tiene clara orientación «financiera».

Hay diferencias en plazos (e.g., NIS2 ya obliga hoy, aunque no esté aprobado el anteproyecto de ley) por lo que es conveniente realizar una evaluación de impacto lo antes posible, teniendo en cuenta las diferentes normas y las peculiaridades de cada empresa.

Planificar la preparación de la empresa a todos estos cambios regulatorios de forma agrupada ayuda a optimizar esfuerzos y a dar un tratamiento unificado, sobre todo al asignar recursos humanos para su gestión, lo que supone ahorro de costes.

Puede contactar con EADtrust si necesita valorar el impacto de la normativa en su empresa y en su industria. Nuestra división de Servicios Profesionales es especialista en Ciberseguridad y ha contribuido a que la propia EADTrust esté certificada en la exigente normativa EIDAS y en diferentes normativas de seguridad certificables : ENS, ISO 27001, ISO 20000-1,…

Es posible ahorrar un 30-50% en costes al integrar el compliance (con un roadmap que cubra NIS2 + DORA en 6 meses). Recuerde que aunque DORA se orienta a entidades financieras, afecta a todos su proveedores.

Si su empresa pertenece a sectores regulados —ya sea fabricando dispositivos, operando infraestructuras o gestionando finanzas— conviene no esperar para pasar a la acción.

iContáctennos llamando al 917160555 para tener un primer diagnóstico del posible impacto regulatorio! Nuestros especialistas pueden ayudarle a transformar obligaciones en oportunidades de innovación segura.

Aprendiendo computación cuántica y criptoagilidad

2 respuestas

Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.

Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».

Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.

Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…

Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.

Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.

La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.

Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.

Servicio de adecuación a NIS2 y Dora

Deja un comentario

La Directiva NIS2 (Directiva de Seguridad de las Redes y de la Información 2, Directiva (UE) 2022/2555) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554) son dos marcos regulatorios clave de la Unión Europea diseñados para fortalecer la ciberseguridad y la resiliencia digital en sectores críticos.

Aunque difieren en alcance (NIS2 es general para infraestructuras esenciales, y DORA es específico para el sector financiero), comparten varios elementos fundamentales derivados de la estrategia de ciberresiliencia de la UE.

A continuación, se detallan sus principales similitudes

CONCEPTOSimilitud en NIS2 y DORA
Objetivo principalAmbas buscan mejorar la resiliencia digital y la ciberseguridad para proteger la economía y la sociedad contra amenazas cibernéticas, como ciberataques y disrupciones.
Gestión de riesgosRequieren evaluaciones regulares de riesgos, incluyendo la identificación, mitigación y monitoreo continuo de amenazas TIC (Tecnologías de la Información y Comunicación).
Responsabilidad de la direcciónLa alta dirección es directamente responsable de la implementación, supervisión y cumplimiento, fomentando una cultura de accountability. Sanciones previstas para la dirección
Pruebas y ejerciciosAmbas exigen pruebas periódicas de sistemas (ej. simulacros de incidentes) para verificar la resiliencia operativa y la capacidad de recuperación.
Notificación de incidentesObligan a reportar incidentes significativos a las autoridades competentes en plazos estrictos (generalmente 24-72 horas), para una respuesta coordinada.
Gestión de tercerosEnfatizan la seguridad en la cadena de suministro y el riesgo de proveedores externos (terceros críticos), con requisitos de auditorías y contratos seguros.
Supervisión regulatoriaEstablecen mecanismos de oversight por autoridades nacionales, con inspecciones y enforcement para garantizar el cumplimiento uniforme en la UE.
SancionesAmbas imponen multas disuasorias basadas en el volumen de negocio global (hasta 2% del facturación anual mundial), similares al RGPD.
Armonización en la UEPromueven prácticas estandarizadas de ciberseguridad a nivel europeo, facilitando el reconocimiento mutuo y la interoperabilidad entre sectores.

Estas similitudes permiten tratar ambos marcos regulatorios de forma armonizada en las entidades con el objetivo de elevar el nivel de protección cibernética, donde el cumplimiento de una puede facilitar el de la otra en casos de solapamiento (aunque DORA prevalece en el sector financiero, imponiendo criterios de ciberresiliencia a sus proveedores).

Si tuna organización opera en sectores mixtos, tiene sentidos considerar una adecuación y una auditoría integradas.

Anteproyecto de Ley

En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por el Consejo de Ministros el 14 de enero de 2025, en tramitación urgente) transpondrá la directiva NIS2 cuando se apruebe, incorporando elementos nacionales como el Esquema Nacional de Seguridad (ENS) y una nueva estructura institucional.

Aunque el anteproyecto es fiel a la NIS2 en sus principios, introduce adaptaciones para integrarse con el marco español existente (como el Real Decreto-ley 12/2018 de NIS1 y el ENS).Las diferencias radican principalmente en la especificidad nacional, instituciones y medios de cumplimiento, ya que la NIS2 deja flexibilidad a los Estados miembros para la implementación. A continuación, se resumen las principales diferencias a partir del texto de la directiva y el del anteproyecto

CONCEPTONIS2 (Directiva Europea)Anteproyecto Español (Ley de Coordinación y Gobernanza de la Ciberseguridad)
Estructura InstitucionalEstablece autoridades competentes nacionales genéricas (CSIRT y reguladores sectoriales), sin crear órganos específicos. Enfatiza cooperación UE (ej. red EU-CyCLONe).Crea el Centro Nacional de Ciberseguridad (CNCS) como órgano único de coordinación, adscrito al Ministerio del Interior, que actúa como punto de contacto UE, gestiona crisis y supervisa el registro de entidades. Integra INCIBE y CCN-CERT, pero centraliza en CNCS (no existía en NIS2).
Medios de Cumplimiento y CertificaciónRequiere medidas de gestión de riesgos (art. 21), con certificación obligatoria para entidades esenciales (basada en estándares UE como EN-ISO/IEC 27001). Deja a los Estados definir equivalentes.Integra el Esquema Nacional de Seguridad (ENS) como equivalente nacional para demostrar cumplimiento (CCN-STIC 892), permitiendo certificación voluntaria del «Perfil de Cumplimiento Específico del ENS» para entidades esenciales. Añade flexibilidad con normas internacionales, pero prioriza el ENS para alinear con el marco español preexistente.
Alcance y Categorización de EntidadesClasifica en «esenciales» e «importantes» (Anexos I y II), con obligaciones escaladas por tamaño (>50 empleados o >10M€ facturación). Incluye sectores como energía, salud, digital y manufactura.Mantiene la clasificación, pero amplía explícitamente al sector público español (ej. administraciones locales y autonómicas no cubiertas en NIS1), estimando >12.000 entidades afectadas (vs. ~400 en NIS1). Introduce registro obligatorio en CNCS con plazos de 3 meses para notificación de datos técnicos (IPs, contactos). Exime microempresas con «cláusula de salvaguarda» si demuestran bajo impacto.
Gobernanza y Estrategia NacionalPromueve estrategias nacionales de ciberseguridad y planes de crisis, pero sin detalles operativos.Establece la Estrategia Nacional de Ciberseguridad como marco vinculante, con énfasis en cooperación transfronteriza y equipos de respuesta (monitoreo de amenazas, alertas tempranas). Crea una «Plataforma Nacional de Notificación de Incidentes» basada en LUCIA (herramienta existente), más integrada que en NIS2.
Responsabilidades de la DirecciónResponsabilidad personal de la gerencia por cumplimiento, con sanciones por negligencia.Refuerza con la figura obligatoria del Responsable de Seguridad de la Información (RSI) como contacto directo con autoridades, permitiendo externalización pero manteniendo accountability. Mayor énfasis en auditorías y pruebas periódicas alineadas con ENS.
Notificación de Incidentes y SancionesPlazos uniformes: 24h inicial, 72h detallada, 1 mes final. Multas hasta 10M€ o 2% facturación global.Adopta plazos idénticos, pero prioriza notificación a CNCS e INCIBE-CCN-CERT vía plataforma nacional. Mantiene sanciones, pero aumenta poderes de inspección de autoridades (ej. CNCS con acceso a datos en tiempo real), con régimen más estricto para entidades públicas.
Integración con Otras NormasModifica eIDAS y Código Europeo de Comunicaciones, pero es autónoma.Integra NIS2 con ENS y normativa nacional (ej. Ley Orgánica de Protección de Datos), y transpone simultáneamente la Directiva CER (Resiliencia de Entidades Críticas). Añade foco en sector salud y manufactura con requisitos específicos.

Conviene que las entidades inicien las valoraciones de su grado de adecuación lo antes posible para estimar el impacto de esta adecuación y considerarlo ya en los Presupuestos del año próximo.

EADTrust aporta el profundo conocimiento de su división EAD Servicios Profesionales respecto a NIS2, DORA y otras regulaciones para ayudar a las empresas a preparase. Y aporta un sistema de gestión de evidencias digitales de los procesos internos que permiten demostrar la «debida diligencia» de la entidad en la gestión de los retos de ciberseguridad.

Llame al 91 7160555 para más información

Participo en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» 

Deja un comentario

La Cátedra de Ciberseguridad en el ámbito Social, Empresarial y de Defensa de la Universidad San Pablo CEU organiza el 28 de octubre el Foro de Ciberseguridad: “Estrategias corporativas frente a las amenazas digitales”, un encuentro exclusivo que contará con la participación de directivos de compañías del IBEX 35.

En esta jornada se abordarán tres objetivos principales:

  • Compartir entre un grupo selecto de CIOs/CISOs de cinco compañías del IBEX 35, lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia de las organizaciones.
  • Informar sobre el estado actual de la normativa NIS-2 y los retos que plantea.
  • Actualizar la información sobre las soluciones y servicios ofrecidos por el ecosistema Ciber, fabricantes e integradores.

DETALLES DEL EVENTO:

📆 FECHA:  28 de octubre

🕛 HORA: 10:00h

🌐 LUGAR: Aula Magna de la Universidad San Pablo CEU. C/ Julián Romea, 23. 28003 Madrid.  Ver en Google Maps

La inscripción es gratuita

AGENDA:

09:30 Registro y café de bienvenida

10:00 Bienvenida. Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad

10:05 Intervención. D. Alfonso Martínez-Echevarría y García de Dueñas, Decano de la Facultad de Derecho

10:10 Apertura del evento. Excma. Sra. Dª Rosa Visiedo Claverol, Rectora de la Universidad CEU San Pablo

10:20 Desafíos normativos europeos. NIS2 y DORA. Ponente: D. Julián Inza, Presidente de EADTrust

11:00 Mesa redonda: “Lecciones corporativas aprendidas sobre ciberresiliencia”. Modera: Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad. Participan:

  • Susana de Pablo, Directora General de Ingeniería, Tecnología y Digitalización de Enagás
  • Antonio Crespo, CIO de Asociación Española Contra el Cáncer (AECC)
  • Enrique Martín, CISO de AXA Partners
  • Ignacio García Egea, CISO de Gigas

12:00  Coffee Break

12:30 Enfoques sobre ciber resiliencia.

Modera: Francisco Torres Brizuela, Director de Desarrollo de Negocio, Ciberevolution. Con representantes de Claroty, Cohesity, Ednon, NetApp y Veeam. 

13:45 Clausura

Únase a nosotros en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» un encuentro de referencia que reunirá a CIOs y CISOs de compañías del IBEX 35, expertos académicos de la Universidad CEU San Pablo y responsables de fabricantes tecnológicos líderes como Cohesity, NetApp, Okta y Veeam.

Durante la jornada se compartirán las lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia, se informará sobre el estado actual de la normativa NIS-2, y se actualizará acerca de las soluciones y servicios del ecosistema Ciber.

Formación sobre Computación Cuántica y Criptografía Postcuántica

5 respuestas

En el marco de los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos, uno de los primeros pasos es ayudar a entender bien como la física cuántica nos lleva a la Computación Cuántica, como podemos hacer algunos programas simples con qubits y, tras entenderlos, como la superposición y el entrelazamiento cuánticos dan lugar al algoritmo de Shor que permitirá descifrar claves privadas de algoritmos como RSA y ECC.

Después ayudaremos a nuestros clientes a diagnosticar sus infraestructuras identificando en qué puntos se usa cifrado y otras técnicas criptográficas y explicando qué alternativas van apareciendo entre los algoritmos postcuánticos para reforzar los puntos débiles.

Y cuando estén listos les proporcionaremos los servicios criptográficos actualizados con los últimos algoritmos resistentes a la computación cuántica estandarizados como FIPS-203, FIPS-204, FIPS-205 y FIPS-206.

En esta fase presentamos el curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica» en Madrid, dirigido a entidades que emplean cifrado y técnicas criptográficas, con ponentes expertos y temario adaptado a la emergencia de la computación cuántica y sus riesgos para la seguridad digital.

Objetivo y Público

El curso está orientado a empleados y directivos de entidades financieras, bancarias, aseguradoras, administraciones públicas, organismos de defensa y seguridad, empresas tecnológicas, telecomunicaciones y proveedores considerados infraestructuras críticas, así como a responsables de innovación, ciberseguridad y estrategia tecnológica.

Fechas, Lugar y Participación

  • Fechas: 12 y 13 de noviembre de 2025, de 10 a 17 horas.
  • Lugar: Hotel Zenith Conde Orgaz, Madrid (presencial).
  • Participación: Incluye material didáctico, ejercicios prácticos con el IQC Kit, comidas y café.

Realización y Ponentes

  • Jorge Christen, experto en computación cuántica y profesor universitario.
  • Julián Inza, especialista en criptografía y consultor en ciberseguridad encargado de iniciativas internacionales de estandarización post-cuántica.

Temario

Día 1: Nivel introductorio

  • Historia de la física cuántica.
  • Conceptos básicos (qubits, superposición, esferas de Bloch, puertas cuánticas).
  • Uso de un ordenador cuántico con IBM(R) Composer.
  • Estado actual de tecnologías cuánticas.

Día 2: Nivel avanzado y aplicado

  • Algoritmos cuánticos relevantes (Shor, Grover, optimización).
  • Impacto de la computación cuántica en criptografía.
  • Revisión de algoritmos post-cuánticos y roadmap NIST, ETSI, UE, ENISA y CCN.

Contexto y Relevancia

2025 es el Año Internacional de la Ciencia y la Tecnología Cuánticas, con importantes avances como la primera computadora cuántica comercial de Microsoft (24 cúbits lógicos), incremento de inversión tecnológica global y esfuerzos coordinados por la UE, NIST y otros organismos para la adopción de criptografía post-cuántica ante el riesgo del “criptocalipsis”.

Roadmap Europeo

La hoja de ruta comunitaria prevé:

  • Concienciación y evaluación de riesgos (2023-2024).
  • Desarrollo de capacidades y planificación (2024-2025).
  • Implementación y pruebas (2025-2027).
  • Adopción completa y monitoreo (desde 2027).
    Prioriza sectores críticos, seguridad de la cadena de suministro, cumplimiento normativo, interoperabilidad, capacitación y campañas de sensibilización.

Precios y Descuentos

  • Precio general: 900 € + IVA.
  • Descuento del 25% (675 €) para clientes de EADTrust o referenciados. Fecha límite para descuento: 1 de noviembre de 2025.

Certificado e Inscripción

Se entrega certificado acreditativo de la formación.

Inscripción mediante formulario en la web o por correo electrónico, con protección de datos conforme a RGPD y LOPDGDD.

Requisitos y Contacto

No se requieren conocimientos previos de física, computación cuántica ni criptografía.

Información y consultas en info@eadtrust.eu o teléfono 917160555

Roadshow de Ingram Micro sobre NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento. Sesión Barcelona.

1 respuesta

El pasado 20 de febrero de 2025 participé en el «Roadshow de Ingram Micro sobre NIS 2 & DORA» que tuvo lugar en Madrid y ahora me han invitado de nuevo a dar la charla en Barcelona el próximo 10 de abril de 2025.

Un buen momento para actualizarse, dada la reciente publicación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que, cuando se publique como Ley, será la transposición española de la Directiva NIS2 (Directiva (UE) 2022/2555).

Además, en octubre de 2024 se ha publicado el Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad y en el que se detallan los casos en que un incidente se considera significativo con respecto a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de computación en nube, los proveedores de servicios de centro de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales, y los proveedores de servicios de confianza.

A raíz de la publicación de este Reglamento de Ejecución, el CCN ha anunciado que va a actualizar la Guía CCN-STIC 892 Perfil de Cumplimiento Específico para entidades en el ámbito de aplicación del Reglamento de Ejecución (UE) 2024/2690

Por otro lado, la normativa DORA (Reglamento de Resiliencia Operativa Digital) ha superado una serie de hitos que recientemente ha supuesto la obligatoriedad de cumplimiento para las entidades financieras:

  • 16 de enero de 2023: Entrada en vigor del reglamento.
  • 17 de enero de 2023 a 16 de enero de 2025: Plazo de dos años para que las entidades financieras cumplan con los requisitos establecidos.
  • 17 de enero de 2025: Las entidades financieras deben cumplir con los requisitos del reglamento.

En el evento participan, además

  • Barracuda
  • Hewlett Packard Enterprise
  • SonicWall,
  • Zerto.

Roadshow de Ingram Micro sobre NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento. Evento para partners.

1 respuesta

Roadshow NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento

📅 20 de febrero | 📍 Madrid

El próximo 20 de febrero de 2025 intervendré en el evento para partners organizado por Ingram Micro sobre la Directiva NIS2 (para la que recientemente se ha publicado el anteproyecto de ley que será su transposición a la legislación española) y sobre el Reglamento DORA (Digital Operational Resilience Act).

También intervendrán ponentes de Barracuda, Hewlett Packard Enterprise, SonicWall y Zerto.

Tanto la Directiva NIS2 como el Reglamento DORA imponen requisitos de seguridad a las empresas, en particular a las que son proveedoras de las entidades financieras y aseguradoras.

En este evento analizaremos:
✅ Cómo la Directiva NIS2 y el Reglamento DORA afectan a tu negocio.
✅ Consecuencias legales y sanciones por incumplimiento.
✅ Estrategias prácticas para gestionar la ciberseguridad de manera sistemática

¡Reserva tu plaza y prepárate para transformar los desafíos de NIS2 y DORA en oportunidades!

NIS2

La Directiva NIS2, que busca fortalecer la ciberseguridad en la Unión Europea, debía ser transpuesta por los Estados miembros a sus legislaciones nacionales antes del 17 de octubre de 2024. Sin embargo, hasta esa fecha, solo cuatro países—Bélgica, Croacia, Italia y Lituania—habían completado la transposición. España no se encontraba entre ellos.

En enero de 2025, el Consejo de Ministros de España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a transponer la Directiva NIS2 al ordenamiento jurídico español. Este anteproyecto busca establecer un marco actualizado para la prevención y gestión de amenazas en el ciberespacio.

01_2025_Anteproyecto_ley_coordinacion_gobernanza_ciberseguridadDescarga

A pesar de estos avances, la transposición aún no se ha completado en España. El proceso legislativo continúa, y se espera que la ley sea debatida y aprobada en las Cortes Generales en los próximos meses. Mientras tanto, las empresas y organizaciones deben prepararse para cumplir con las obligaciones que la Directiva NIS2 impondrá una vez sea plenamente incorporada al marco legal español.

DORA

El Reglamento DORA (Digital Operational Resilience Act) es aplicable desde el 17 de enero de 2025. Este reglamento de la Unión Europea establece un marco para fortalecer la resiliencia operativa digital del sector financiero, incluyendo bancos, aseguradoras y empresas de inversión. Su objetivo es garantizar que estas entidades puedan resistir, responder y recuperarse de perturbaciones operativas graves, como ciberataques o fallos tecnológicos.

DORA impone requisitos específicos en áreas como la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, la realización de pruebas de resiliencia operativa digital y la gestión de riesgos de terceros proveedores de servicios TIC. Las entidades financieras deben haber adaptado sus procesos y sistemas para cumplir con estas obligaciones desde la fecha de aplicación.

En España, el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV) han emitido comunicaciones y establecido procedimientos para supervisar el cumplimiento de DORA por parte de las entidades bajo su supervisión. Por ejemplo, el Banco de España ha requerido a las entidades financieras que adapten sus procesos de gestión de incidentes relacionados con las TIC y que notifiquen los incidentes graves a través de un nuevo servicio electrónico.

Es fundamental que las entidades financieras y los proveedores de servicios TIC relacionados con el sector financiero aseguren el cumplimiento de DORA para fortalecer la resiliencia operativa digital y protegerse contra amenazas y perturbaciones en el entorno digital.