Guía NIS2 · 8 min
NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica
NIS2 y DORA son los dos regímenes de ciberseguridad de la UE que con más probabilidad acabarán en la misma mesa en 2026, y se confunden a menudo. Comparten un objetivo (resiliencia operativa y cibernética) y muchos de los mismos controles, pero se dirigen a organizaciones distintas y, para el sector financiero, uno prevalece sobre el otro. Esta guía explica la diferencia, el solape y cómo saber cuál te aplica — con una respuesta clara para los equipos de cadena de suministro y terceros que dan servicio a clientes bajo cualquiera de los dos.
Qué es cada uno
Ambos salieron del mismo paquete de resiliencia de la UE de 2022, pero son instrumentos distintos dirigidos a poblaciones distintas.
NIS2 — amplio, intersectorial
Una directiva (transpuesta a derecho nacional, plazo 17 oct 2024) que cubre entidades esenciales e importantes en energía, transporte, salud, agua, infraestructura digital, administración pública, fabricación y más. Fija medidas básicas de gestión de riesgos (art. 21) y notificación de incidentes (art. 23).
DORA — sector financiero, centrado en TIC
Un reglamento (directamente aplicable, se aplica desde el 17 ene 2025) para el sector financiero de la UE — bancos, aseguradoras, empresas de inversión, proveedores de criptoactivos y más — más la supervisión de sus proveedores TIC terceros críticos. Fija normas detalladas de gestión de riesgos TIC, pruebas de resiliencia y terceros.
Dónde se solapan
Si has implantado bien uno, mucho del otro te resultará familiar. Ambos exigen:
- Responsabilidad de la dirección — la dirección debe asumir y supervisar el riesgo cibernético/TIC y puede ser considerada responsable.
- Medidas de gestión de riesgos — controles documentados y proporcionados a lo largo del ciclo de vida de la seguridad.
- Notificación de incidentes — notificación estructurada a las autoridades en plazos definidos.
- Riesgo de terceros y cadena de suministro — eres responsable del riesgo cibernético que introducen tus proveedores.
- Pruebas y mejora continua — la resiliencia se evalúa con el tiempo, no se certifica una sola vez.
La regla clave: DORA es lex specialis para las entidades financieras
Los dos regímenes están diseñados para no duplicar la regulación. Para las entidades financieras, DORA es lex specialis — la norma más específica que prevalece. Donde DORA y NIS2 cubrirían el mismo terreno de gestión de riesgos TIC o notificación de incidentes para una entidad financiera, se aplican los requisitos de DORA y las disposiciones equivalentes de NIS2 no se suman por encima.
En la práctica, un banco no ejecuta dos programas cibernéticos paralelos. Sigue DORA para el riesgo TIC, las pruebas, la notificación de incidentes y la supervisión de terceros. NIS2 sigue siendo relevante para el ecosistema que lo rodea — incluidos muchos de sus proveedores — pero la propia entidad financiera se rige por DORA en los temas que se solapan.
El lex specialis se aplica cuando el acto sectorial impone requisitos al menos equivalentes a NIS2. La frontera puede ser matizada para grupos mixtos; confirma tu situación con tu autoridad competente.
¿Cuál te aplica?
Una ayuda rápida a la decisión. La respuesta honesta para muchas organizaciones es 'uno directamente, el otro a través de tus clientes'.
Una entidad financiera (banco, aseguradora, empresa de inversión, proveedor de criptoactivos…)
DORA aplica como lex specialis a tu riesgo TIC; las disposiciones equivalentes de NIS2 no se suman.
Una entidad de sector crítico fuera de las finanzas (energía, salud, transporte, agua, infraestructura digital, administración pública…)
Aplica NIS2. Revisa los sectores de los anexos I/II y los umbrales de tamaño para confirmar tu nivel.
Un proveedor TIC de entidades financieras
Te alcanza el régimen de terceros de DORA a través de los contratos de tus clientes; los mayores proveedores pueden ser designados críticos y supervisados directamente por las AES. Si además eres un proveedor TIC/de servicios gestionados del anexo I, también puedes estar sujeto a NIS2.
Un proveedor de una entidad NIS2
El deber de cadena de suministro de NIS2 (art. 21.2.d) te alcanza vía la diligencia de tus clientes — cuestionarios, solicitudes de evidencia y monitorización continua — aunque no estés designado directamente.
La conclusión para los equipos de cadena de suministro
Tanto si tu cliente se rige por DORA como por NIS2, la exigencia hacia ti converge: ambos regímenes hacen responsables a las organizaciones del riesgo cibernético de sus proveedores, y ambos tratan la resiliencia como algo que se evalúa de forma continua y no se atesta una vez al año. Para un proveedor, la pregunta rara vez es '¿NIS2 o DORA?' — es '¿puedo demostrar, cuando me lo pidan, que mi seguridad se sostiene?'
Por eso la garantía de terceros se vuelve continua a ambos lados de la línea. El registro de terceros DORA de un banco y el programa de proveedores NIS2 de un fabricante piden a los proveedores lo mismo: prueba actual y respaldada por evidencia del nivel de seguridad, no una hoja de cálculo caduca.
Fuentes: Reglamento (UE) 2022/2554 (DORA) y Directiva (UE) 2022/2555 (NIS2). Confirma la frontera del solape con tu autoridad nacional competente y las orientaciones de las AES.
Cómo ayuda norppa.io
norppa.io te da garantía continua y respaldada por evidencia sobre tus proveedores y proveedores TIC — justo lo que ahora esperan tanto NIS2 como DORA. Cada dominio monitorizado se comprueba en más de 100 puntos de control a diario, los eventos críticos cada seis horas, con hallazgos exportables a tu registro de información DORA o a tu expediente de proveedores NIS2.
Los cuestionarios de autoevaluación (SAQ) capturan los controles de proceso y contractuales, y cada respuesta se contrasta con el perfil técnico en vivo — así, tanto si el auditor de tu cliente cita DORA como NIS2, puedes mostrar evidencia actual y corroborada en lugar de afirmaciones.