Contexto: El Desafío de la Doble Regulación
Desde enero de 2025, muchas entidades del sector financiero en la Unión Europea se encuentran sujetas simultáneamente a dos grandes legislaciones de ciberseguridad: la Directiva NIS2 (Directiva 2022/2555) y el Reglamento de Resiliencia Operativa Digital (Reglamento 2022/2554, conocido como DORA). Este escenario de doble regulación genera preguntas legítimas sobre requisitos superpuestos, posibles conflictos y cómo construir un programa de cumplimiento que satisfaga ambos marcos de forma eficiente.
Este análisis está escrito para responsables de cumplimiento, auditores y gestores de riesgos que necesitan comprender dónde convergen estos marcos, dónde divergen y cómo evitar tanto la duplicación de esfuerzos como las brechas de cumplimiento.
El Principio Lex Specialis: Artículo 4 de NIS2
El artículo 4 de la Directiva NIS2 establece un principio jurídico fundamental: cuando un acto jurídico sectorial de la Unión exige a las entidades esenciales o importantes adoptar medidas de gestión de riesgos de ciberseguridad o notificar incidentes significativos, y cuando esos requisitos son al menos equivalentes en efecto a las obligaciones de NIS2, el acto sectorial prevalece.
DORA está reconocido explícitamente como tal acto sectorial para el sector financiero. En términos prácticos, esto significa:
- Para las áreas donde DORA proporciona requisitos equivalentes o más estrictos, DORA tiene precedencia para las entidades financieras.
- Para las áreas donde NIS2 cubre materias no contempladas por DORA, las obligaciones de NIS2 siguen siendo aplicables.
- El principio lex specialis no crea una exención general de NIS2 — crea una jerarquía que debe evaluarse requisito por requisito.
Este matiz se malinterpreta con frecuencia. Los responsables de cumplimiento deben realizar un mapeo a nivel de requisito, sin asumir que el cumplimiento de DORA satisface automáticamente todas las obligaciones de NIS2.
Comparación Exhaustiva: Requisitos NIS2 vs DORA
La siguiente tabla proporciona un mapeo detallado de las áreas de requisitos clave en ambos marcos, identificando superposiciones, brechas y qué marco tiene precedencia para las entidades financieras.
| Área de Requisito | Requisito NIS2 | Equivalente DORA | Análisis de Superposición / Brecha |
|---|---|---|---|
| Gestión de Riesgos | Art. 21(1): Medidas técnicas, operativas y organizativas apropiadas y proporcionadas basadas en un enfoque de todos los riesgos | Arts. 6-16: Marco detallado de gestión de riesgos ICT con requisitos específicos de identificación, protección, detección, respuesta, recuperación y aprendizaje | DORA prevalece. DORA es significativamente más prescriptivo en la gestión de riesgos ICT. Las entidades financieras deben usar el marco de DORA como base principal de cumplimiento. |
| Notificación de Incidentes | Art. 23: Alerta temprana en 24 horas, notificación de incidente en 72 horas, informe final en un mes | Art. 19: Notificación inicial, informes intermedios e informe final a la autoridad competente. Criterios de clasificación específicos para incidentes ICT importantes. | DORA prevalece para incidentes ICT. Los plazos de notificación y los criterios de clasificación difieren. NIS2 puede seguir aplicándose para incidentes de seguridad no ICT que afecten a redes y sistemas de información. |
| Seguridad de la Cadena de Suministro | Art. 21(2)(d): Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre entidades y sus proveedores directos o prestadores de servicios | Arts. 28-44: Marco extenso de gestión de riesgos de terceros ICT, incluidos requisitos contractuales, supervisión de proveedores críticos de terceros ICT y riesgo de concentración | DORA va significativamente más lejos. DORA crea un marco supervisor para proveedores críticos de terceros ICT que no tiene equivalente en NIS2. Las entidades financieras se benefician de los requisitos más detallados de cadena de suministro de DORA. |
| Pruebas | Art. 21(2)(f): Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad | Arts. 24-27: Pruebas de resiliencia operativa digital, incluidas pruebas de penetración basadas en amenazas (TLPT) para entidades significativas, y pruebas proporcionales para otras | DORA va más lejos. DORA exige metodologías de prueba específicas, incluida la TLPT (basada en el marco TIBER-EU). NIS2 es menos prescriptivo sobre los enfoques de prueba. |
| Gobernanza | Art. 20: Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y pueden ser considerados responsables. Los miembros deben seguir formación. | Art. 5: El órgano de dirección tiene la responsabilidad última de la gestión de riesgos ICT. Debe definir, aprobar y supervisar la implementación del marco de gestión de riesgos ICT y la estrategia de resiliencia operativa digital. | Superposición sustancial. Ambos exigen la responsabilidad del órgano de dirección. DORA es más específico sobre el marco de gestión de riesgos ICT que el órgano debe aprobar. El cumplimiento del artículo 5 de DORA debería satisfacer sustancialmente el artículo 20 de NIS2 en materia ICT. |
| Intercambio de Información | Art. 29: Acuerdos voluntarios de intercambio de inteligencia sobre ciberamenazas entre entidades esenciales e importantes | Art. 45: Intercambio voluntario de información e inteligencia sobre ciberamenazas entre entidades financieras, incluidos indicadores de compromiso, tácticas y alertas | Disposiciones paralelas. Ambos fomentan el intercambio voluntario de información. DORA es sectorial. Las entidades financieras pueden participar en acuerdos generales (NIS2) y del sector financiero (DORA). |
| Continuidad de Negocio | Art. 21(2)(c): Continuidad de negocio, incluida la gestión de copias de seguridad, la recuperación ante desastres y la gestión de crisis | Arts. 11-12: Política de continuidad de negocio ICT, planes de respuesta y recuperación ICT, políticas de copias de seguridad, procedimientos de restauración y recuperación | DORA prevalece. DORA proporciona requisitos más detallados para la continuidad y recuperación ICT. Los requisitos de NIS2 para la continuidad de negocio más amplia (no ICT) pueden seguir siendo aplicables. |
| Gestión de Vulnerabilidades | Art. 21(2)(e): Gestión y divulgación de vulnerabilidades | Arts. 7-8 (dentro de la gestión de riesgos): Identificación y evaluación de vulnerabilidades ICT como parte del marco de protección y prevención | NIS2 es más amplio. NIS2 aborda explícitamente la divulgación coordinada de vulnerabilidades. DORA aborda la gestión de vulnerabilidades dentro del marco de gestión de riesgos ICT, pero no trata los procesos de divulgación pública con tanta directedad. |
| Criptografía y Cifrado | Art. 21(2)(h): Políticas y procedimientos relativos al uso de criptografía y, cuando proceda, cifrado | Art. 9(4)(d): Medidas de seguridad de datos, incluidas técnicas criptográficas, como parte de la gestión de riesgos ICT | Alcance comparable. Ambos requieren controles criptográficos apropiados. DORA integra esto en el marco más amplio de gestión de riesgos ICT. NIS2 lo señala como un área de requisito independiente. |
| Control de Acceso y Autenticación | Arts. 21(2)(i-j): Políticas de control de acceso; uso de soluciones de autenticación multifactor o de autenticación continua | Art. 9(4)(c): Políticas de control de acceso que incluyan mecanismos de autenticación robusta | Alcance comparable. Ambos requieren controles de acceso robustos y autenticación fuerte. DORA es menos específico sobre MFA pero exige autenticación robusta dentro del marco basado en riesgos. |
Dónde NIS2 va Más Allá de DORA
Los responsables de cumplimiento deben prestar especial atención a las áreas donde las obligaciones de NIS2 pueden no estar completamente cubiertas por el cumplimiento de DORA:
- Alcance más amplio de redes y sistemas de información: NIS2 se aplica a todas las redes y sistemas de información utilizados en la prestación de servicios, no solo a los sistemas ICT en el sentido DORA. Los sistemas de tecnología operativa (OT), los sistemas de seguridad física con conectividad de red y los sistemas de gestión de edificios pueden quedar bajo NIS2 pero fuera del enfoque ICT de DORA.
- Divulgación coordinada de vulnerabilidades: NIS2 aborda específicamente los procesos de divulgación de vulnerabilidades. Las entidades financieras que descubran vulnerabilidades en software de uso generalizado pueden tener obligaciones bajo NIS2 que DORA no aborda.
- Cadena de suministro más allá de ICT: El artículo 21(2)(d) de NIS2 cubre la seguridad de la cadena de suministro de forma amplia, incluyendo proveedores no ICT cuyos servicios afectan a la seguridad de las redes y sistemas de información. DORA se centra específicamente en los proveedores de servicios ICT de terceros.
- Mecanismos de cooperación entre Estados miembros: NIS2 establece CSIRTs, el Grupo de Cooperación y EU-CyCLONe para la cooperación transfronteriza. Las entidades financieras pueden necesitar participar en estos mecanismos para aspectos no financieros de sus operaciones.
Dónde DORA va Más Allá de NIS2
DORA proporciona requisitos significativamente más detallados en varias áreas:
- Gestión de riesgos de terceros ICT: Los artículos 28-44 de DORA crean un marco integral para la gestión de riesgos de terceros ICT, que incluye disposiciones contractuales obligatorias (artículo 30), evaluación del riesgo de concentración y un marco supervisor para proveedores críticos de terceros ICT (artículos 31-44) con supervisión directa por parte de las Autoridades Supervisoras Europeas. NIS2 no tiene nada comparable.
- Pruebas de resiliencia operativa digital: DORA exige pruebas de penetración basadas en amenazas (TLPT) para entidades financieras significativas, con requisitos específicos para el alcance, la metodología y la presentación de informes de las pruebas. NIS2 requiere pruebas de efectividad pero es mucho menos prescriptivo.
- Clasificación de incidentes ICT: DORA proporciona criterios detallados para clasificar los incidentes ICT importantes, incluidos umbrales de impacto transfronterizo. La clasificación de incidentes de NIS2 es más general.
- Estrategia de resiliencia operativa digital: DORA requiere una estrategia formal de resiliencia operativa digital aprobada por el órgano de dirección, con requisitos específicos de contenido. NIS2 no exige un documento de estrategia comparable.
Recomendaciones Prácticas para Entidades de Doble Regulación
Basándose en el análisis de superposición anterior, los responsables de cumplimiento en entidades de doble regulación deben considerar el siguiente enfoque:
1. Construir sobre DORA como Marco Primario
Como DORA es más prescriptivo para la mayoría de los requisitos relacionados con ICT, use el cumplimiento de DORA como su base. Mapee los requisitos de NIS2 frente a su programa de cumplimiento de DORA para identificar brechas en lugar de construir dos programas separados.
2. Realizar un Análisis Formal de Brechas
Documente un mapeo requisito por requisito entre NIS2 y DORA para su organización. Identifique dónde el cumplimiento de DORA satisface NIS2 (aprovechando el principio lex specialis), dónde NIS2 añade requisitos más allá de DORA y dónde los dos marcos requieren evidencia o documentación diferente.
3. Abordar las Brechas Específicas de NIS2
Para las áreas donde NIS2 va más allá de DORA, implemente controles y documentación adicionales. Las áreas clave que probablemente requieran medidas complementarias incluyen la seguridad de la cadena de suministro no ICT, el alcance más amplio de redes y sistemas de información, y los procesos de divulgación de vulnerabilidades.
4. Armonizar los Procesos de Notificación
Las obligaciones de notificación de incidentes difieren entre los marcos en cuanto a plazos, autoridades y criterios de clasificación. Establezca un único proceso de gestión de incidentes que pueda satisfacer ambos conjuntos de requisitos de notificación, con árboles de decisión claros sobre qué autoridad notificar y cuándo.
5. Mantener un Registro de Riesgos Único
No mantenga registros de riesgos separados para NIS2 y DORA. Use un único registro de riesgos ICT y cibernéticos integrado que etiquete los riesgos por regulación aplicable. Esto evita la duplicación y garantiza un tratamiento de riesgos coherente.
Qué Deben Verificar los Auditores para el Doble Cumplimiento
Los auditores que evalúan entidades de doble regulación deben examinar:
- Documentación de mapeo: ¿Ha producido la entidad un mapeo formal NIS2-DORA que identifique qué marco se aplica a cada área de requisito?
- Análisis de brechas: ¿Hay evidencia de un análisis de brechas estructurado que identifique dónde las obligaciones de NIS2 no están cubiertas por el cumplimiento de DORA?
- Justificación del lex specialis: Donde la entidad se basa en el principio lex specialis, ¿está la justificación documentada y es defendible para cada requisito?
- Evaluación del alcance: ¿Ha evaluado la entidad si alguna de sus redes y sistemas de información queda fuera del alcance ICT de DORA pero dentro del alcance más amplio de NIS2?
- Procedimientos de notificación de incidentes: ¿Tiene la entidad procedimientos claros para determinar qué obligaciones de notificación se aplican a los diferentes tipos de incidentes?
- Estructura de gobernanza: ¿Recibe el órgano de dirección informes que cubran tanto las obligaciones de NIS2 como de DORA, o existen puntos ciegos de gobernanza?
- Evidencia de controles complementarios: Para los requisitos específicos de NIS2 no cubiertos por DORA, ¿están los controles implementados y evidenciados?
Recursos Relacionados
Para más análisis sobre la superposición regulatoria y la arquitectura de cumplimiento, consulte:
- Comparación de Arquitecturas NIS2 vs DORA
- Arquitectura de Cumplimiento Dual Explicada
- Descripción General del Cumplimiento DORA
- Descripción General del Cumplimiento NIS2
Relacionado para Auditores
- Glosario — Definiciones en lenguaje sencillo de términos técnicos
- DORA Artículo 21 en Profundidad
- DORA Artículo 28 Explicado
- Lista de Verificación de Preparación para Auditoría
¿Nuevo en la auditoría de CI/CD? Comience con nuestra Guía para Auditores.
