De la transposición normativa a la responsabilidad personal del Consejo: por qué NIS2 y DORA cambian las reglas del gobierno corporativo europeo en 2026
En enero de 2025 entró en vigor el Reglamento DORA. En octubre de 2024 venció el plazo de transposición de la Directiva NIS2. En menos de doce meses, la Unión Europea ha consolidado una arquitectura normativa que convierte la ciberresiliencia y la resiliencia operativa digital en obligaciones jurídicas, auditables y sancionables. Para los Consejos de Administración y los equipos directivos, este marco supone un cambio de paradigma: la seguridad digital deja de ser un asunto técnico para convertirse en un eje de gobierno corporativo, con responsabilidad personal expresa y régimen sancionador severo. 2026 marca el inicio de la fase efectiva de supervisión e inspección. La pregunta ya no es si las organizaciones cumplen formalmente. Es si pueden operar bajo presión cuando se activa la prueba real.
¿Qué son NIS2 y DORA?
NIS2 (Directiva UE 2022/2555) y DORA (Reglamento UE 2022/2554) son los dos pilares de la nueva política europea de resiliencia digital. NIS2 sustituye a la antigua Directiva NIS de 2016 y amplía drásticamente su alcance: pasa de 7 a 18 sectores críticos y de unas pocas centenas a decenas de miles de organizaciones obligadas en toda la Unión. DORA, por su parte, establece un régimen específico para el sector financiero —bancos, aseguradoras, gestoras de activos, infraestructuras de mercado y proveedores de criptoactivos— que armoniza la gestión del riesgo TIC y la dependencia de proveedores tecnológicos críticos. Ambas normas comparten una lógica común que también recorre el anteproyecto español de protección y resiliencia de entidades críticas: la resiliencia ya no se mide por la ausencia de incidentes, sino por la capacidad de mantener funciones esenciales bajo perturbación. El foco se desplaza de la protección estática del activo a la continuidad operativa del servicio.
NIS2 vs DORA: cómo se complementan
Aunque comparten filosofía, NIS2 y DORA actúan en planos distintos. Entender su encaje es esencial para diseñar un programa de cumplimiento coherente, sobre todo en grupos empresariales con filiales financieras y no financieras.
| Dimensión | NIS2 | DORA |
|---|---|---|
| Naturaleza jurídica | Directiva (transposición nacional) | Reglamento (aplicación directa) |
| Ámbito | 18 sectores críticos | Sector financiero + proveedores TIC críticos |
| Foco principal | Ciberseguridad y reporte de incidentes | Resiliencia operativa digital end-to-end |
| Aplicación en España | Mediante transposición nacional | Directa desde 17 de enero de 2025 |
| Sanciones máximas | Hasta 10 M€ o 2% facturación global | Hasta 2% facturación global + responsabilidad personal |
Fuente: Directiva (UE) 2022/2555 y Reglamento (UE) 2022/2554. Elaboración propia ACK3 RiskPulse.
En la práctica, una entidad financiera no aplica NIS2 para los aspectos cubiertos por DORA: DORA actúa como lex specialis. Pero un proveedor tecnológico de esa misma entidad sí queda bajo NIS2 y, además, puede ser designado proveedor TIC crítico bajo DORA, lo que implica supervisión directa por las Autoridades Europeas de Supervisión: EBA, ESMA y EIOPA.
Los cinco pilares operativos de DORA
DORA estructura la resiliencia operativa digital en cinco bloques que toda entidad financiera debe implementar de forma integrada:
- Gestión del riesgo TIC. Marco integrado de gobierno, identificación de activos críticos, protección, detección, respuesta y recuperación.
- Notificación de incidentes. Clasificación armonizada y plazos estrictos para reportar incidentes graves a la autoridad supervisora competente.
- Pruebas de resiliencia operativa digital. Programas anuales y, para entidades significativas, pruebas avanzadas de penetración basadas en amenazas reales (TLPT) cada tres años.
- Gestión del riesgo de terceros TIC. Registro de información de todos los acuerdos con proveedores, due diligence reforzada y cláusulas contractuales mínimas obligatorias.
- Intercambio de información. Mecanismos voluntarios de compartición de inteligencia sobre ciberamenazas entre entidades del sector.
Cada uno de estos pilares introduce obligaciones documentales claras, pero —y aquí está la clave— exige también demostrar capacidad operativa real verificable.
NIS2: obligaciones para entidades esenciales e importantes
NIS2 clasifica a las organizaciones en dos categorías con régimen diferenciado.
Entidades esenciales
Sectores altamente críticos: energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, infraestructuras digitales, administración pública y espacio. Sometidas a supervisión proactiva por la autoridad nacional competente, en España el Centro Criptológico Nacional y el INCIBE en sus respectivos ámbitos.
Entidades importantes
Otros sectores críticos: servicios postales, gestión de residuos, química, alimentación, manufactura, proveedores digitales e investigación. Sometidas a supervisión reactiva, activada ante indicios de incumplimiento o tras un incidente.
Las obligaciones nucleares aplicables a ambas categorías incluyen políticas de gestión de riesgos de ciberseguridad proporcionadas al riesgo, notificación de incidentes significativos con plazos escalonados —alerta temprana en 24 horas, notificación detallada en 72 horas e informe final en un mes— y, sobre todo, responsabilidad expresa del órgano de dirección: aprobación y supervisión de las medidas, formación específica en ciberseguridad y responsabilidad personal por incumplimientos graves. Como ha enfatizado de forma recurrente la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la madurez en ciberresiliencia se mide hoy más por la calidad del gobierno que por la sofisticación técnica.
Régimen sancionador: la resiliencia como obligación jurídica
El elemento que cambia el juego es el régimen sancionador. NIS2 establece sanciones de hasta 10 millones de euros o el 2% del volumen global de negocio para entidades esenciales, y 7 millones o el 1,4% para entidades importantes. DORA prevé un esquema similar de sanciones proporcionadas a la facturación global y, en ambos casos, se contempla la responsabilidad personal de los miembros del órgano de dirección por incumplimientos graves. Esto produce un giro estructural: la resiliencia digital ya no es un asunto exclusivo del CISO. Es un asunto del Consejo. Y los plazos importan: las autoridades supervisoras europeas están construyendo capacidades de inspección reforzadas y, en el caso de DORA, supervisión directa sobre proveedores TIC críticos designados como tales.
De la documentación al cumplimiento real: dónde se rompe el marco
El principal riesgo para las organizaciones no es no estar al día con la normativa. Es construir un cumplimiento formal que no resiste la prueba real del incidente. Este es el patrón que detectamos con mayor frecuencia en operaciones de campo:
- Políticas y procedimientos correctamente redactados.
- Auditorías superadas en primera y segunda línea.
- Registros de riesgos completos y actualizados.
- Y, sin embargo, ausencia de capacidad operativa para sostener el servicio cuando un proveedor crítico cae, cuando una intrusión simultánea afecta a varios sistemas o cuando el incidente coincide con un evento físico o geopolítico.
NIS2 y DORA están diseñadas precisamente para cerrar esa brecha. Las pruebas de resiliencia operativa digital, las simulaciones TLPT y los ejercicios de continuidad bajo condiciones realistas son los mecanismos que permiten verificar que el marco documental se traduce en capacidad operativa real. En la misma línea, el Informe Draghi sobre la competitividad europea ha situado la reducción de dependencias digitales y el refuerzo de la resiliencia tecnológica como ejes estratégicos para la Unión.
Del cumplimiento técnico a la capacidad operativa
| Enfoque tradicional | Enfoque NIS2 + DORA |
|---|---|
| Foco en activos TIC | Foco en funciones esenciales |
| Ciberseguridad como función técnica | Ciberresiliencia como gobierno corporativo |
| Respuesta reactiva | Pruebas continuas y adaptación |
| Cumplimiento documental | Capacidad operativa verificable |
| Responsabilidad del CISO | Responsabilidad del Consejo |
Fuente: Análisis comparativo ACK3 RiskPulse sobre la Directiva NIS2 y el Reglamento DORA.
El cuello de botella real: la decisión bajo presión
La normativa puede definir obligaciones, pero no resuelve el problema que decide la diferencia entre cumplir y operar: la toma de decisiones bajo presión. En un incidente real —ransomware con afectación multisistema, fallo de un proveedor cloud crítico, ataque coordinado contra varias filiales—, las organizaciones que se diferencian son las que han construido por anticipado triggers operativos claros para activar respuestas sin necesidad de comités sucesivos, reglas de priorización predefinidas, cadenas de mando con autoridad real para decidir en horas y no en días, y comunicación gestionada con reguladores, clientes y stakeholders. Como ha enfatizado Jorge Quintana, CEO de ACK3:
El riesgo no se gestiona en el análisis. Se gestiona en la decisión.
La normativa europea reconoce esta realidad cuando exige pruebas de penetración basadas en amenazas reales y ejercicios de continuidad. Pero cierra el círculo solo si la organización ha trabajado previamente la arquitectura de decisión, no únicamente la arquitectura técnica.
Cómo prepararse en 2026: roadmap operativo en cinco frentes
Para los Consejos y direcciones generales, el roadmap razonable de adaptación combina cinco frentes integrados:
- Diagnóstico cruzado NIS2 / DORA / CER. Identificar qué normas aplican a cada entidad del grupo, en qué condición y con qué solapamientos, especialmente en estructuras con filiales financieras y no financieras.
- Mapeo de funciones esenciales y dependencias. Incluyendo proveedores TIC críticos, dependencias intragrupo, dependencias geográficas y puntos únicos de fallo.
- Gobierno y formación del órgano de dirección. Alineamiento con las obligaciones expresas de responsabilidad del Consejo y programas formativos verificables.
- Programa de pruebas y simulaciones. Con escenarios realistas que integren ciber, físico, geopolítico y reputacional, no únicamente pruebas técnicas aisladas.
- Estructura de decisión y comunicación de crisis. Protocolos, salas de crisis, autoridad efectiva, plantillas de comunicación con reguladores y vocería preparada.
La oportunidad estratégica
Las organizaciones que se adapten antes no solo evitarán sanciones. Recuperarán velocidad de decisión, reducirán impacto operativo y construirán confianza con clientes, supervisores e inversores. En un entorno marcado por crisis más frecuentes, más rápidas y más interconectadas, la resiliencia digital regulada se convierte en una ventaja competitiva real. NIS2 y DORA no terminan con la entrada en vigor. Empiezan ahí. Lo que viene es la fase de supervisión, inspección y aplicación efectiva. Y, sobre todo, la prueba real: el primer incidente que medirá no la calidad de los documentos, sino la calidad de las decisiones.
¿Está su organización preparada para operar bajo NIS2 y DORA?
En ACK3 trabajamos precisamente en ese punto crítico: traducir marcos regulatorios complejos en capacidad operativa real, integrando ciberresiliencia, continuidad de negocio, gestión de crisis y formación del órgano de dirección. Si su organización está afrontando la adaptación a NIS2, DORA o el anteproyecto español de entidades críticas, podemos acompañarle desde el diagnóstico hasta la verificación de capacidad.
