En una frase. DORA es lex specialis: para las entidades financieras desplaza a NIS2 en la mayoría de sus obligaciones de ciberseguridad. Pero no es una elección libre —viene impuesta por el tipo de entidad— y los proveedores TIC que sirven al sector financiero pueden quedar sujetos a las dos normas a la vez.
Puntos clave
- DORA (Reglamento UE 2022/2554) se aplica desde el 17 de enero de 2025 a las entidades financieras.
- NIS2 (Directiva UE 2022/2555) cubre 18 sectores críticos, incluido el financiero de forma residual.
- La regla de conflicto: DORA, como norma especial y sectorial, prevalece sobre NIS2 para las entidades financieras.
- Los proveedores TIC terceros del sector financiero pueden estar bajo NIS2 (por sector) y ser supervisados vía DORA (por contrato).
- En España supervisan DORA el Banco de España, la CNMV y la DGSFP; NIS2, el CCN e INCIBE.
1. El principio que lo ordena todo: lex specialis
DORA y NIS2 nacieron a la vez y con una relación pensada de antemano. El propio considerando de NIS2 y el art. 4 de NIS2 lo dejan claro: cuando un acto sectorial de la Unión impone requisitos al menos equivalentes a los de NIS2, se aplica ese acto sectorial. DORA es exactamente eso para el sector financiero.
Traducido: si eres un banco, una aseguradora, una gestora, una entidad de pago o un proveedor de servicios de criptoactivos, tu norma de referencia en materia de resiliencia operativa digital es DORA, no NIS2. No tienes que cumplir ambas por duplicado; DORA te desplaza de NIS2. El detalle del ámbito de DORA en España está en DORA y las entidades financieras.
2. Tabla comparativa
| Dimensión | DORA | NIS2 |
|---|---|---|
| Tipo de norma | Reglamento (aplicación directa) | Directiva (requiere transposición) |
| Aplicable desde | 17 de enero de 2025 | Plazo de transposición: 17 oct. 2024 |
| A quién obliga | Entidades financieras y sus proveedores TIC críticos | Entidades esenciales e importantes de 18 sectores |
| Ámbito | Resiliencia operativa digital del sector financiero | Ciberseguridad general de sectores críticos |
| Supervisión (España) | Banco de España, CNMV, DGSFP | CCN, INCIBE, autoridad competente |
| Notificación de incidentes | Escalonada (inicial, intermedia, final) | 24 h alerta, 72 h notificación, 1 mes informe |
| Riesgo de terceros TIC | Régimen detallado + supervisión de proveedores críticos por las AES | Seguridad de la cadena de suministro (art. 21) |
Para el detalle de la clasificación NIS2 véase entidades esenciales e importantes, y para la comparación con el RGPD, NIS2 vs RGPD.
3. El punto que confunde a todos: los proveedores TIC
Aquí está el matiz que la regla “DORA desplaza a NIS2” no resuelve del todo. Imagina una empresa española de servicios en la nube que da soporte a varios bancos:
- Como proveedor de servicios TIC de un sector crítico, esa empresa puede ser entidad importante (o esencial) bajo NIS2 por su propio sector (infraestructura digital / gestión de servicios TIC del anexo I).
- A la vez, como proveedor TIC tercero del sector financiero, queda sujeta al régimen de vigilancia de DORA: sus clientes financieros deben imponerle por contrato los requisitos de DORA, y si es un proveedor crítico, puede acabar bajo la supervisión directa de las Autoridades Europeas de Supervisión (AES).
Resultado: el proveedor cumple sus propias obligaciones NIS2 como entidad de su sector y, además, soporta las exigencias contractuales de DORA que le trasladan sus clientes financieros. No es duplicidad ilógica: son dos posiciones jurídicas distintas sobre la misma empresa.
4. Árbol de decisión: qué norma me aplica
- ¿Eres una entidad financiera (banco, aseguradora, gestora, entidad de pago, proveedor de criptoactivos…)? → DORA es tu norma principal; NIS2 queda desplazada.
- ¿Eres un proveedor TIC que sirve al sector financiero pero no eres entidad financiera? → NIS2 por tu sector + requisitos DORA trasladados por tus clientes (y posible supervisión directa si eres proveedor crítico).
- ¿Operas en otro sector crítico (energía, transporte, sanidad, agua, digital…) sin vínculo financiero? → NIS2.
- ¿No encajas en ningún sector crítico y estás por debajo de los umbrales? → Probablemente fuera de ambos regímenes (revisa las excepciones).
5. Cómo gestionarlo sin duplicar trabajo
Aunque las normas sean distintas, el núcleo técnico es común: inventario de activos, análisis de riesgos, gestión de incidentes, control de la cadena de suministro y gobierno por parte de la dirección. La diferencia está en el grado de detalle y en el supervisor.
La estrategia sensata es construir un solo sistema de gestión de riesgos TIC y luego mapear sus controles contra los requisitos específicos de la norma que te aplique. Ese enfoque encaja bien con marcos ya conocidos como ISO 27001 y el RGPD o el Esquema Nacional de Seguridad. Herramientas de cumplimiento como Legiscope permiten centralizar ese inventario y su documentación, que sirve de base tanto para DORA como para NIS2 y para las exigencias de seguridad del RGPD. Para el sector bancario, el mapa completo de riesgo regulatorio incluye además las sanciones de la AEPD en banca.
Dónde DORA aprieta más que NIS2
Aunque comparten núcleo, DORA es más exigente que NIS2 en tres frentes. El primero es el riesgo de terceros TIC: DORA impone un registro detallado de todos los acuerdos con proveedores tecnológicos, requisitos contractuales tasados y, para los proveedores considerados críticos a escala europea, la supervisión directa de las Autoridades Europeas de Supervisión. NIS2 se queda en una obligación más genérica de seguridad de la cadena de suministro.
El segundo es la resiliencia operativa probada. DORA obliga a un programa de pruebas periódicas y, para las entidades más significativas, a pruebas de penetración basadas en amenazas (TLPT) siguiendo el marco TIBER-EU. NIS2 no llega a ese nivel de prescripción.
El tercero es el detalle del reporting: DORA fija plantillas y contenidos concretos para la notificación de incidentes graves relacionados con las TIC, con umbrales de clasificación armonizados por las AES. Para una entidad financiera que ya venía cumpliendo NIS2 en su versión previa, el salto a DORA no es cosmético: exige documentación, contratos y pruebas de un rigor superior.
El caso del grupo mixto
Un último escenario frecuente: un grupo empresarial con una filial financiera (sujeta a DORA) y otras filiales industriales o de servicios (sujetas a NIS2). Aquí no hay una única respuesta para todo el grupo. Cada entidad se clasifica por separado según su actividad, y la matriz debe gobernar ambos regímenes en paralelo. Lo eficiente es una función corporativa de riesgo TIC que defina un estándar común de controles y luego lo module por filial según le aplique DORA o NIS2.
6. Recursos oficiales
- Texto de DORA: Reglamento (UE) 2022/2554.
- Texto de NIS2: Directiva (UE) 2022/2555.
- Autoridad española de ciberseguridad: INCIBE.
Véase también: registro de información DORA.
FAQ
¿Un banco tiene que cumplir DORA y NIS2 a la vez?
No. Para las entidades financieras, DORA es norma especial y desplaza a NIS2 en la mayoría de sus obligaciones de resiliencia operativa. El banco cumple DORA; no duplica con NIS2.
¿Y si soy un proveedor tecnológico de bancos?
Entonces sí puedes estar bajo ambas lógicas: NIS2 por tu propio sector (infraestructura digital / servicios TIC) y las exigencias de DORA que te trasladan por contrato tus clientes financieros, con posible supervisión directa de las AES si eres proveedor crítico.
¿Cuál es la diferencia principal entre DORA y NIS2?
DORA es un reglamento sectorial y muy detallado para el mundo financiero; NIS2 es una directiva horizontal para 18 sectores críticos. DORA profundiza más en el riesgo de terceros TIC y en las pruebas de resiliencia.
¿Quién supervisa cada norma en España?
DORA la supervisan el Banco de España, la CNMV y la DGSFP según el tipo de entidad. NIS2 la supervisan el CCN e INCIBE y las autoridades sectoriales, en el marco del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial