Directiva NIS2 y reglamento DORA: fundamentos para la gobernanza de la ciberseguridad en Europa

En un entorno digital cada vez más complejo e interconectado, la protección de infraestructuras críticas y servicios esenciales se ha convertido en un eje estratégico para las instituciones públicas y privadas.

Las amenazas cibernéticas no solo afectan la integridad de los datos o los sistemas, sino que también ponen en riesgo la confianza de los ciudadanos y la estabilidad del mercado. Frente a este panorama, la Unión Europea ha desplegado una arquitectura normativa sólida y cohesionada que busca reforzar la resiliencia digital en todos los sectores clave. Dos de sus principales pilares son la Directiva NIS2 y el Reglamento DORA, marcos legales que marcan un hito en la evolución del enfoque europeo hacia la ciberseguridad.

Directiva NIS2: un enfoque multisectorial para una ciberseguridad integral

La Directiva (UE) 2022/2555, también conocida como NIS2, amplía y refuerza la primera Directiva NIS, adoptada en 2016. Esta actualización no solo expande el número de sectores y entidades afectadas, sino que también impone obligaciones más rigurosas en materia de gestión de riesgos, notificación de incidentes y gobernanza. Su objetivo es armonizar los niveles de ciberseguridad en los Estados miembros, establecer mecanismos de supervisión más eficaces y fomentar una cultura de responsabilidad y prevención en las organizaciones europeas.

Transposición y aplicación en España

En España, la transposición de la Directiva NIS2 avanzaba en enero de 2025 con la apertura de una consulta pública sobre el anteproyecto de ley. Aunque la Directiva entró en vigor a nivel europeo en enero de 2023, su plena efectividad dependía de su incorporación al marco jurídico nacional antes del 17 de octubre de 2024. La aplicación efectiva comenzaría a partir del 18 de octubre de ese mismo año.

A pesar de que la transposición aún no se había finalizado en dicha fecha, España contaba con una base sólida gracias al Esquema Nacional de Seguridad (ENS), establecido por el Real Decreto 311/2022. Este marco técnico ya incluía muchos de los requisitos planteados por NIS2. Además, el Centro Criptológico Nacional (CCN) desarrolló la guía CCN-STIC 892 (PCE-NIS2), que alinea las 73 medidas técnicas del ENS con las diez agrupaciones de medidas del artículo 21 de la Directiva NIS2.

Obligaciones y niveles de exigencia

La NIS2 impone a las entidades afectadas la implementación de medidas que garanticen la seguridad de redes y sistemas de información. Estas medidas deben ser proporcionadas al nivel de riesgo y abarcar ámbitos como la gobernanza, la ciberhigiene, la seguridad en la cadena de suministro, la gestión de incidentes y la formación continua del personal.

La Directiva distingue entre entidades esenciales y entidades importantes. Las primeras operan en sectores de alta criticidad, como el energético, el sanitario o las infraestructuras digitales. Las segundas, en sectores también críticos pero con menor impacto sistémico. Aunque ambas categorías deben cumplir las mismas medidas generales, el nivel de exigencia, control y sanción es mayor para las entidades esenciales. En España, la guía CCN-STIC 892 define diferentes declaraciones de aplicabilidad para cada categoría, facilitando la adaptación según el perfil de la organización.

Reglamento DORA: resiliencia operativa para el sector financiero

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco normativo obligatorio para que las entidades del sector financiero refuercen su capacidad de prevenir, resistir, responder y recuperarse frente a incidentes tecnológicos y ciberataques. Su aplicación es directa en todos los Estados miembros y busca consolidar un estándar uniforme de resiliencia digital en todo el ecosistema financiero europeo.

Aplicación directa y régimen sancionador en España

En España, el Consejo de Ministros aprobó el 18 de diciembre de 2024 el anteproyecto de Ley de Digitalización y Modernización del Sector Financiero, que entre otras cosas, desarrolla el régimen sancionador aplicable a DORA. Esta ley clasifica las infracciones en leves, graves y muy graves, estableciendo sanciones que pueden alcanzar los 10 millones de euros y la inhabilitación de cargos directivos hasta por diez años.

Las autoridades competentes designadas para la supervisión y sanción de las distintas entidades financieras son:

• Banco de España: para entidades de crédito.
• Dirección General de Seguros y Fondos de Pensiones: para aseguradoras y fondos de pensiones.
• Comisión Nacional del Mercado de Valores (CNMV): para servicios de inversión y mercados financieros.

Además, INCIBE-CERT actúa como organismo de apoyo técnico, ofreciendo servicios de prevención, respuesta ante incidentes y formación especializada.

Requisitos técnicos y operativos

El Reglamento DORA establece una serie de obligaciones detalladas, estructuradas en cinco pilares:

1. Gestión del riesgo de TIC: desarrollo de un marco integral que contemple la identificación de activos críticos, análisis de vulnerabilidades y establecimiento de controles.
2. Gestión y notificación de incidentes: obligación de establecer canales de detección, registro, clasificación y notificación de incidentes relevantes.
3. Pruebas de resiliencia operativa digital: realización periódica de pruebas, incluyendo simulaciones y pruebas de penetración cada tres años.
4. Gestión de riesgos de terceros: evaluación y control de proveedores TIC, con especial vigilancia sobre aquellos considerados críticos. Se exigen contratos con cláusulas de seguridad y planes de salida.
5. Intercambio de inteligencia sobre amenazas: fomento de la colaboración y el intercambio de información técnica con otras entidades financieras.

Evidencias de cumplimiento y certificación

En el caso de NIS2, el cumplimiento puede demostrarse mediante la certificación bajo el ENS, que es una norma jurídica certificable. Existen entidades acreditadas por ENAC y órganos de auditoría reconocidos por el CCN que verifican el cumplimiento. La guía CCN-STIC 892 es la herramienta clave para adaptar los requisitos a las características de cada organización.

En el contexto de DORA, aunque no existe una certificación formal obligatoria, se requiere la elaboración de documentación rigurosa que respalde el cumplimiento: informes de pruebas de resiliencia, registros de incidentes, auditorías internas y contratos auditables con proveedores externos.

Ambas normativas se alinean con estándares internacionales como ISO 27001 o el Reglamento General de Protección de Datos (RGPD), generando sinergias que permiten un enfoque más integrado de la gestión de riesgos tecnológicos y cumplimiento normativo.

Ecosistema institucional de apoyo en España

España cuenta con un ecosistema institucional maduro para acompañar a las organizaciones en su adaptación a estas normativas:

• El Centro Criptológico Nacional (CCN) coordina los CSIRT públicos y publica guías como el PCE-NIS2.
• INCIBE-CERT ofrece asistencia técnica a empresas del sector privado, incluyendo vigilancia de activos, ejercicios de simulación y asesoramiento.
• La Oficina de Coordinación de Ciberseguridad contribuye a la protección de infraestructuras críticas desde el ámbito del Ministerio del Interior.

Estas entidades ofrecen recursos, formación y orientación para facilitar la transición hacia un entorno de cumplimiento proactivo y eficaz.

De la obligación a la oportunidad: reforzando la confianza digital

La Directiva NIS2 y el Reglamento DORA no deben entenderse únicamente como instrumentos de control o imposición legal. Representan una oportunidad para que las organizaciones europeas fortalezcan su madurez digital, reduzcan su exposición a riesgos y construyan una cultura organizativa centrada en la resiliencia, la prevención y la mejora continua.

Integrar estos marcos en la estrategia empresarial implica elevar los estándares de protección de datos, continuidad de negocio y gobernanza tecnológica, lo que se traduce en ventajas competitivas sostenibles. El cumplimiento normativo deja de ser una obligación reactiva para convertirse en un vector de transformación, innovación y reputación.

En definitiva, adaptarse a la NIS2 y al DORA es mucho más que una necesidad regulatoria: es una inversión en el futuro de la organización y una contribución directa a la estabilidad y seguridad del entorno digital europeo.