{"id":25865476,"date":"2026-05-02T10:00:00","date_gmt":"2026-05-02T08:00:00","guid":{"rendered":"https:\/\/ack3.eu\/?p=25865476"},"modified":"2026-05-20T17:24:46","modified_gmt":"2026-05-20T15:24:46","slug":"nis2-dora-resiliencia-regulatoria-europea","status":"publish","type":"post","link":"https:\/\/ack3.eu\/es\/nis2-dora-resiliencia-regulatoria-europea\/","title":{"rendered":"NIS2 y DORA: la segunda capa de la resiliencia europea"},"content":{"rendered":"

De la transposici\u00f3n normativa a la responsabilidad personal del Consejo: por qu\u00e9 NIS2 y DORA cambian las reglas del gobierno corporativo europeo en 2026<\/h4>\n

En enero de 2025 entr\u00f3 en vigor el Reglamento DORA<\/a>. En octubre de 2024 venci\u00f3 el plazo de transposici\u00f3n de la Directiva NIS2<\/a>. En menos de doce meses, la Uni\u00f3n Europea<\/a> ha consolidado una arquitectura normativa que convierte la ciberresiliencia<\/strong> y la resiliencia operativa digital<\/strong> en obligaciones jur\u00eddicas, auditables y sancionables. Para los Consejos de Administraci\u00f3n y los equipos directivos, este marco supone un cambio de paradigma: la seguridad digital deja de ser un asunto t\u00e9cnico para convertirse en un eje de gobierno corporativo<\/strong>, con responsabilidad personal expresa y r\u00e9gimen sancionador severo. 2026 marca el inicio de la fase efectiva de supervisi\u00f3n e inspecci\u00f3n. La pregunta ya no es si las organizaciones cumplen formalmente. Es si pueden operar bajo presi\u00f3n cuando se activa la prueba real.<\/p>\n

\n

\u00bfQu\u00e9 son NIS2 y DORA?<\/h2>\n

NIS2 (Directiva UE 2022\/2555) y DORA (Reglamento UE 2022\/2554) son los dos pilares de la nueva pol\u00edtica europea de resiliencia digital. NIS2 sustituye a la antigua Directiva NIS de 2016 y ampl\u00eda dr\u00e1sticamente su alcance: pasa de 7 a 18 sectores cr\u00edticos y de unas pocas centenas a decenas de miles de organizaciones obligadas en toda la Uni\u00f3n. DORA, por su parte, establece un r\u00e9gimen espec\u00edfico para el sector financiero \u2014bancos, aseguradoras, gestoras de activos, infraestructuras de mercado y proveedores de criptoactivos\u2014 que armoniza la gesti\u00f3n del riesgo TIC y la dependencia de proveedores tecnol\u00f3gicos cr\u00edticos. Ambas normas comparten una l\u00f3gica com\u00fan que tambi\u00e9n recorre el anteproyecto espa\u00f1ol de protecci\u00f3n y resiliencia de entidades cr\u00edticas<\/a>: la resiliencia ya no se mide por la ausencia de incidentes, sino por la capacidad de mantener funciones esenciales bajo perturbaci\u00f3n. El foco se desplaza de la protecci\u00f3n est\u00e1tica del activo a la continuidad operativa del servicio.<\/strong><\/p><\/blockquote>\n

NIS2 vs DORA: c\u00f3mo se complementan<\/h3>\n

Aunque comparten filosof\u00eda, NIS2 y DORA act\u00faan en planos distintos. Entender su encaje es esencial para dise\u00f1ar un programa de cumplimiento coherente, sobre todo en grupos empresariales con filiales financieras y no financieras.<\/p>\n

\n\n\n\n\n\n\n\n\n\n
Dimensi\u00f3n<\/th>\nNIS2<\/th>\nDORA<\/th>\n<\/tr>\n<\/thead>\n
Naturaleza jur\u00eddica<\/strong><\/td>\nDirectiva (transposici\u00f3n nacional)<\/td>\nReglamento (aplicaci\u00f3n directa)<\/td>\n<\/tr>\n
\u00c1mbito<\/strong><\/td>\n18 sectores cr\u00edticos<\/td>\nSector financiero + proveedores TIC cr\u00edticos<\/td>\n<\/tr>\n
Foco principal<\/strong><\/td>\nCiberseguridad y reporte de incidentes<\/td>\nResiliencia operativa digital end-to-end<\/td>\n<\/tr>\n
Aplicaci\u00f3n en Espa\u00f1a<\/strong><\/td>\nMediante transposici\u00f3n nacional<\/td>\nDirecta desde 17 de enero de 2025<\/td>\n<\/tr>\n
Sanciones m\u00e1ximas<\/strong><\/td>\nHasta 10 M\u20ac o 2% facturaci\u00f3n global<\/td>\nHasta 2% facturaci\u00f3n global + responsabilidad personal<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Fuente: Directiva (UE) 2022\/2555 y Reglamento (UE) 2022\/2554. Elaboraci\u00f3n propia ACK3 RiskPulse.<\/em><\/p>\n

En la pr\u00e1ctica, una entidad financiera no aplica NIS2 para los aspectos cubiertos por DORA: DORA act\u00faa como lex specialis<\/em>. Pero un proveedor tecnol\u00f3gico de esa misma entidad s\u00ed queda bajo NIS2 y, adem\u00e1s, puede ser designado proveedor TIC cr\u00edtico<\/strong> bajo DORA, lo que implica supervisi\u00f3n directa por las Autoridades Europeas de Supervisi\u00f3n: EBA<\/a>, ESMA<\/a> y EIOPA<\/a>.<\/p>\n

 <\/p>\n

Los cinco pilares operativos de DORA<\/h2>\n

DORA estructura la resiliencia operativa digital<\/strong> en cinco bloques que toda entidad financiera debe implementar de forma integrada:<\/p>\n

    \n
  1. Gesti\u00f3n del riesgo TIC.<\/strong> Marco integrado de gobierno, identificaci\u00f3n de activos cr\u00edticos, protecci\u00f3n, detecci\u00f3n, respuesta y recuperaci\u00f3n.<\/li>\n
  2. Notificaci\u00f3n de incidentes.<\/strong> Clasificaci\u00f3n armonizada y plazos estrictos para reportar incidentes graves a la autoridad supervisora competente.<\/li>\n
  3. Pruebas de resiliencia operativa digital.<\/strong> Programas anuales y, para entidades significativas, pruebas avanzadas de penetraci\u00f3n basadas en amenazas reales (TLPT) cada tres a\u00f1os.<\/li>\n
  4. Gesti\u00f3n del riesgo de terceros TIC.<\/strong> Registro de informaci\u00f3n de todos los acuerdos con proveedores, due diligence<\/em> reforzada y cl\u00e1usulas contractuales m\u00ednimas obligatorias.<\/li>\n
  5. Intercambio de informaci\u00f3n.<\/strong> Mecanismos voluntarios de compartici\u00f3n de inteligencia sobre ciberamenazas entre entidades del sector.<\/li>\n<\/ol>\n

    Cada uno de estos pilares introduce obligaciones documentales claras, pero \u2014y aqu\u00ed est\u00e1 la clave\u2014 exige tambi\u00e9n demostrar capacidad operativa real verificable<\/strong>.<\/p>\n

     <\/p>\n

    NIS2: obligaciones para entidades esenciales e importantes<\/h2>\n

    NIS2 clasifica a las organizaciones en dos categor\u00edas con r\u00e9gimen diferenciado.<\/p>\n

    Entidades esenciales<\/h3>\n

    Sectores altamente cr\u00edticos: energ\u00eda, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, infraestructuras digitales, administraci\u00f3n p\u00fablica y espacio. Sometidas a supervisi\u00f3n proactiva por la autoridad nacional competente, en Espa\u00f1a el Centro Criptol\u00f3gico Nacional<\/a> y el INCIBE<\/a> en sus respectivos \u00e1mbitos.<\/p>\n

    Entidades importantes<\/h3>\n

    Otros sectores cr\u00edticos: servicios postales, gesti\u00f3n de residuos, qu\u00edmica, alimentaci\u00f3n, manufactura, proveedores digitales e investigaci\u00f3n. Sometidas a supervisi\u00f3n reactiva, activada ante indicios de incumplimiento o tras un incidente.<\/p>\n

    Las obligaciones nucleares aplicables a ambas categor\u00edas incluyen pol\u00edticas de gesti\u00f3n de riesgos de ciberseguridad proporcionadas al riesgo, notificaci\u00f3n de incidentes significativos con plazos escalonados \u2014alerta temprana en 24 horas, notificaci\u00f3n detallada en 72 horas e informe final en un mes\u2014 y, sobre todo, responsabilidad expresa del \u00f3rgano de direcci\u00f3n<\/strong>: aprobaci\u00f3n y supervisi\u00f3n de las medidas, formaci\u00f3n espec\u00edfica en ciberseguridad y responsabilidad personal por incumplimientos graves. Como ha enfatizado de forma recurrente la Agencia de la Uni\u00f3n Europea para la Ciberseguridad (ENISA)<\/a>, la madurez en ciberresiliencia se mide hoy m\u00e1s por la calidad del gobierno que por la sofisticaci\u00f3n t\u00e9cnica.<\/p>\n

     <\/p>\n

    R\u00e9gimen sancionador: la resiliencia como obligaci\u00f3n jur\u00eddica<\/h2>\n

    El elemento que cambia el juego es el r\u00e9gimen sancionador<\/strong>. NIS2 establece sanciones de hasta 10 millones de euros o el 2% del volumen global de negocio<\/strong> para entidades esenciales, y 7 millones o el 1,4% para entidades importantes. DORA prev\u00e9 un esquema similar de sanciones proporcionadas a la facturaci\u00f3n global y, en ambos casos, se contempla la responsabilidad personal de los miembros del \u00f3rgano de direcci\u00f3n<\/strong> por incumplimientos graves. Esto produce un giro estructural: la resiliencia digital ya no es un asunto exclusivo del CISO. Es un asunto del Consejo.<\/strong> Y los plazos importan: las autoridades supervisoras europeas est\u00e1n construyendo capacidades de inspecci\u00f3n reforzadas y, en el caso de DORA, supervisi\u00f3n directa sobre proveedores TIC cr\u00edticos designados como tales.<\/p>\n

     <\/p>\n

    De la documentaci\u00f3n al cumplimiento real: d\u00f3nde se rompe el marco<\/h2>\n

    El principal riesgo para las organizaciones no es no estar al d\u00eda con la normativa. Es construir un cumplimiento formal que no resiste la prueba real del incidente<\/strong>. Este es el patr\u00f3n que detectamos con mayor frecuencia en operaciones de campo:<\/p>\n