Cumplimiento

DORA vs NIS2: diferencias clave para empresas

DORA vs NIS2: DORA es lex specialis y desplaza a NIS2 en las entidades financieras, pero sus proveedores TIC pueden caer bajo ambas. Árbol de decisión y tabla.

También disponible en:English

En una frase. DORA es lex specialis: para las entidades financieras desplaza a NIS2 en la mayoría de sus obligaciones de ciberseguridad. Pero no es una elección libre —viene impuesta por el tipo de entidad— y los proveedores TIC que sirven al sector financiero pueden quedar sujetos a las dos normas a la vez.

Puntos clave

  • DORA (Reglamento UE 2022/2554) se aplica desde el 17 de enero de 2025 a las entidades financieras.
  • NIS2 (Directiva UE 2022/2555) cubre 18 sectores críticos, incluido el financiero de forma residual.
  • La regla de conflicto: DORA, como norma especial y sectorial, prevalece sobre NIS2 para las entidades financieras.
  • Los proveedores TIC terceros del sector financiero pueden estar bajo NIS2 (por sector) y ser supervisados vía DORA (por contrato).
  • En España supervisan DORA el Banco de España, la CNMV y la DGSFP; NIS2, el CCN e INCIBE.

1. El principio que lo ordena todo: lex specialis

DORA y NIS2 nacieron a la vez y con una relación pensada de antemano. El propio considerando de NIS2 y el art. 4 de NIS2 lo dejan claro: cuando un acto sectorial de la Unión impone requisitos al menos equivalentes a los de NIS2, se aplica ese acto sectorial. DORA es exactamente eso para el sector financiero.

Traducido: si eres un banco, una aseguradora, una gestora, una entidad de pago o un proveedor de servicios de criptoactivos, tu norma de referencia en materia de resiliencia operativa digital es DORA, no NIS2. No tienes que cumplir ambas por duplicado; DORA te desplaza de NIS2. El detalle del ámbito de DORA en España está en DORA y las entidades financieras.

2. Tabla comparativa

Dimensión DORA NIS2
Tipo de norma Reglamento (aplicación directa) Directiva (requiere transposición)
Aplicable desde 17 de enero de 2025 Plazo de transposición: 17 oct. 2024
A quién obliga Entidades financieras y sus proveedores TIC críticos Entidades esenciales e importantes de 18 sectores
Ámbito Resiliencia operativa digital del sector financiero Ciberseguridad general de sectores críticos
Supervisión (España) Banco de España, CNMV, DGSFP CCN, INCIBE, autoridad competente
Notificación de incidentes Escalonada (inicial, intermedia, final) 24 h alerta, 72 h notificación, 1 mes informe
Riesgo de terceros TIC Régimen detallado + supervisión de proveedores críticos por las AES Seguridad de la cadena de suministro (art. 21)

Para el detalle de la clasificación NIS2 véase entidades esenciales e importantes, y para la comparación con el RGPD, NIS2 vs RGPD.

3. El punto que confunde a todos: los proveedores TIC

Aquí está el matiz que la regla “DORA desplaza a NIS2” no resuelve del todo. Imagina una empresa española de servicios en la nube que da soporte a varios bancos:

  • Como proveedor de servicios TIC de un sector crítico, esa empresa puede ser entidad importante (o esencial) bajo NIS2 por su propio sector (infraestructura digital / gestión de servicios TIC del anexo I).
  • A la vez, como proveedor TIC tercero del sector financiero, queda sujeta al régimen de vigilancia de DORA: sus clientes financieros deben imponerle por contrato los requisitos de DORA, y si es un proveedor crítico, puede acabar bajo la supervisión directa de las Autoridades Europeas de Supervisión (AES).

Resultado: el proveedor cumple sus propias obligaciones NIS2 como entidad de su sector y, además, soporta las exigencias contractuales de DORA que le trasladan sus clientes financieros. No es duplicidad ilógica: son dos posiciones jurídicas distintas sobre la misma empresa.

4. Árbol de decisión: qué norma me aplica

  1. ¿Eres una entidad financiera (banco, aseguradora, gestora, entidad de pago, proveedor de criptoactivos…)? → DORA es tu norma principal; NIS2 queda desplazada.
  2. ¿Eres un proveedor TIC que sirve al sector financiero pero no eres entidad financiera? → NIS2 por tu sector + requisitos DORA trasladados por tus clientes (y posible supervisión directa si eres proveedor crítico).
  3. ¿Operas en otro sector crítico (energía, transporte, sanidad, agua, digital…) sin vínculo financiero? → NIS2.
  4. ¿No encajas en ningún sector crítico y estás por debajo de los umbrales? → Probablemente fuera de ambos regímenes (revisa las excepciones).

5. Cómo gestionarlo sin duplicar trabajo

Aunque las normas sean distintas, el núcleo técnico es común: inventario de activos, análisis de riesgos, gestión de incidentes, control de la cadena de suministro y gobierno por parte de la dirección. La diferencia está en el grado de detalle y en el supervisor.

La estrategia sensata es construir un solo sistema de gestión de riesgos TIC y luego mapear sus controles contra los requisitos específicos de la norma que te aplique. Ese enfoque encaja bien con marcos ya conocidos como ISO 27001 y el RGPD o el Esquema Nacional de Seguridad. Herramientas de cumplimiento como Legiscope permiten centralizar ese inventario y su documentación, que sirve de base tanto para DORA como para NIS2 y para las exigencias de seguridad del RGPD. Para el sector bancario, el mapa completo de riesgo regulatorio incluye además las sanciones de la AEPD en banca.

Dónde DORA aprieta más que NIS2

Aunque comparten núcleo, DORA es más exigente que NIS2 en tres frentes. El primero es el riesgo de terceros TIC: DORA impone un registro detallado de todos los acuerdos con proveedores tecnológicos, requisitos contractuales tasados y, para los proveedores considerados críticos a escala europea, la supervisión directa de las Autoridades Europeas de Supervisión. NIS2 se queda en una obligación más genérica de seguridad de la cadena de suministro.

El segundo es la resiliencia operativa probada. DORA obliga a un programa de pruebas periódicas y, para las entidades más significativas, a pruebas de penetración basadas en amenazas (TLPT) siguiendo el marco TIBER-EU. NIS2 no llega a ese nivel de prescripción.

El tercero es el detalle del reporting: DORA fija plantillas y contenidos concretos para la notificación de incidentes graves relacionados con las TIC, con umbrales de clasificación armonizados por las AES. Para una entidad financiera que ya venía cumpliendo NIS2 en su versión previa, el salto a DORA no es cosmético: exige documentación, contratos y pruebas de un rigor superior.

El caso del grupo mixto

Un último escenario frecuente: un grupo empresarial con una filial financiera (sujeta a DORA) y otras filiales industriales o de servicios (sujetas a NIS2). Aquí no hay una única respuesta para todo el grupo. Cada entidad se clasifica por separado según su actividad, y la matriz debe gobernar ambos regímenes en paralelo. Lo eficiente es una función corporativa de riesgo TIC que defina un estándar común de controles y luego lo module por filial según le aplique DORA o NIS2.

6. Recursos oficiales

Véase también: registro de información DORA.

FAQ

¿Un banco tiene que cumplir DORA y NIS2 a la vez?

No. Para las entidades financieras, DORA es norma especial y desplaza a NIS2 en la mayoría de sus obligaciones de resiliencia operativa. El banco cumple DORA; no duplica con NIS2.

¿Y si soy un proveedor tecnológico de bancos?

Entonces sí puedes estar bajo ambas lógicas: NIS2 por tu propio sector (infraestructura digital / servicios TIC) y las exigencias de DORA que te trasladan por contrato tus clientes financieros, con posible supervisión directa de las AES si eres proveedor crítico.

¿Cuál es la diferencia principal entre DORA y NIS2?

DORA es un reglamento sectorial y muy detallado para el mundo financiero; NIS2 es una directiva horizontal para 18 sectores críticos. DORA profundiza más en el riesgo de terceros TIC y en las pruebas de resiliencia.

¿Quién supervisa cada norma en España?

DORA la supervisan el Banco de España, la CNMV y la DGSFP según el tipo de entidad. NIS2 la supervisan el CCN e INCIBE y las autoridades sectoriales, en el marco del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →