NIS2 vs. DORA: ¿cuál es la diferencia y necesitas cumplir con ambas?
Dos regulaciones europeas. Ambas sobre ciberseguridad. La respuesta corta: DORA tiene prioridad para entidades financieras, pero NIS2 sigue siendo relevante para tus proveedores ICT.
¿Qué son NIS2 y DORA?
NIS2 es una directiva amplia que cubre 18 sectores con 10 medidas de ciberseguridad, notificación de incidentes y responsabilidad personal de directivos.
DORA es una regulación sectorial exclusivamente para el sector financiero.
NIS2 vs ISO 27001 — Comparación de requisitos
◈Solo NIS2Notificación obligatoria de incidentes a las autoridades (24h / 72h)Responsabilidad personal a nivel directivo en materia de ciberseguridadObligaciones de seguridad en la cadena de suministro para entidades esencialesObligaciones regulatorias específicas del sector⬡Requisitos compartidosGestión de riesgos de seguridad de la informaciónControl de acceso y gestión de identidadesContinuidad del negocio y recuperación ante desastresConcienciación y formación en seguridad◇Solo ISO 27001Ciclos de auditoría interna y revisión por la direcciónDocumentación de la Declaración de Aplicabilidad (DdA)Certificación formal y auditoría por terceros◈Solo NIS2Notificación obligatoria de incidentes a las autoridades (24h / 72h)Responsabilidad personal a nivel directivo en materia de ciberseguridadObligaciones de seguridad en la cadena de suministro para entidades esencialesObligaciones regulatorias específicas del sector⬡Requisitos compartidosGestión de riesgos de seguridad de la informaciónControl de acceso y gestión de identidadesContinuidad del negocio y recuperación ante desastresConcienciación y formación en seguridad◇Solo ISO 27001Ciclos de auditoría interna y revisión por la direcciónDocumentación de la Declaración de Aplicabilidad (DdA)Certificación formal y auditoría por tercerosLa columna central muestra los requisitos que comparten tanto la NIS2 como la ISO 27001
Principales diferencias
| NIS2 | DORA | |
|---|---|---|
| Tipo | Directiva (transposición nacional) | Reglamento (directamente aplicable) |
| Alcance | 18 sectores | Solo sector financiero |
| Aplicable desde | Plazo: oct 2024 (estado por país) | 17 enero 2025 |
| Primera notificación | En 24 horas | En 4 horas |
| Terceros | Seguridad de cadena | Gestión completa de riesgo ICT de terceros |
Lex specialis: DORA tiene prioridad
¿Se aplica la NIS2 a su organización?
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼No▼2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗La NIS2 no se aplica directamente a su organización.
Sí▼No▼✓La NIS2 se aplica a su organización como entidad esencial o importante.
3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →✗La NIS2 no se aplica directamente a su organización.
✓La NIS2 se aplica a su organización como entidad esencial o importante.
!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplicaPosiblemente aplicaNo se aplica
Escenarios
Banco: DORA principalmente, NIS2 como red de seguridad. MSP para bancos: NIS2 para tus obligaciones (NIS2 para MSPs), DORA vía contratos de clientes. Sector no financiero: Solo NIS2 — empieza con las 10 medidas del artículo 21.
Lee también
- Las 10 medidas NIS2 del artículo 21 explicadas
- NIS2 para MSPs y MSSPs
- Notificación de incidentes NIS2