DORA y NIS2 simultáneamente: cómo las entidades financieras pueden gestionar la doble presión regulatoria
⏱ 14 min. de lectura
DORA está aplicable desde enero de 2025, NIS2 se incorpora al derecho alemán en diciembre de 2025. Para los servicios financieros, esto significa dos regulaciones con plazos, definiciones y sistemas de notificación diferentes, pero con enormes áreas de superposición. Quienes manejen estos marcos de regulación aisladamente duplicarán el esfuerzo sin aportar valor adicional. Quienes comprenden las sinergias pueden ahorrar millones y construir un sistema de cumplimiento integrado que realmente garantice seguridad. Este artículo muestra dónde se superan DORA y NIS2, dónde se diferencian y qué pueden hacer los entes financieros en una sola vez en lugar de dos.
Lo más importante en resumen
- DORA (Ley de Resiliencia Operativa Digital) es aplicable desde el 17 de enero de 2025, NIS2 se incorpora al derecho alemán en diciembre de 2025. Los servicios financieros deben cumplir con ambos marcos simultáneamente.
- DORA es una ley especializada para el sector financiero y tiene prioridad en caso de superposición, pero NIS2 se aplica adicionalmente cuando DORA no cubre un área específica.
- La mayor eficiencia se encuentra en un manejo integrado de la gestión de riesgos de la tecnología de la información (ICT), que satisfaga ambos marcos, en lugar de dos proyectos de cumplimiento paralelos.
- La gestión de riesgos de terceros en la tecnología de la información (TPRM) es la debilidad común: DORA requiere un registro de información, NIS2 exige seguridad de la cadena de suministro, ambas se pueden integrar en un solo sistema.
- Las obligaciones de notificación son sustancialmente diferentes: DORA requiere una notificación inmediata a la BaFin en 24 horas, NIS2 exige una notificación inmediata al BSI. Ambos sistemas deben ser manejados de manera concurrente.
Dos regulaciones, un objetivo – pero trayectorias diferentes
Tanto DORA como NIS2 persiguen el mismo objetivo general: fortalecer la resiliencia cibernética en Europa. Ambas exigen el manejo de riesgos, la notificación de incidentes, la prueba de penetración y la protección de cadenas de suministro. El diferencial fundamental se encuentra en su alcance y específicidad.
DORA es una directiva de la UE que entra en vigor inmediatamente – sin necesidad de implementación nacional. Se dirige únicamente al sector financiero: bancos, seguros, entidades de valores mobiliarios, procesadores de pagos, servicios de criptoactivos y sus proveedores de servicios de TI críticos. DORA define requisitos detallados para la resiliencia operativa digital, desde la gestión de riesgos de TI hasta la notificación de incidentes y la prueba de penetración guiada por amenazas (TLPT).
NIS2 es una directiva de la UE que requiere implementación nacional. En Alemania, esto se realizó mediante el Gesetz zur Umsetzung von NIS2 und zur Stärkung der Cybersicherheit, que entró en vigor en diciembre de 2025. NIS2 se aplica a «instituciones esenciales» y «instituciones importantes» en 18 sectores, incluyendo el sector financiero. Aunque los requisitos son menos detallados que los de DORA, abordan un rango más amplio de áreas.
Lex specialis: ¿Cuál es el significado del precedente de DORA?
DORA se considera lex specialis respecto a NIS2 en el sector financiero. Esto significa que, donde DORA define requisitos específicos, estos tienen precedencia sobre los requisitos generales de NIS2. La directiva NIS2 misma confirma esto en su artículo 4, párrafo 2, y señala explícitamente a DORA como una regulación sectorial.
En la práctica, esto es más complicado de lo que parece. El principio lex specialis no significa que NIS2 sea irrelevante para las entidades financieras. Solo significa que DORA tiene precedencia en aquellos áreas donde define requisitos detallados. En áreas que DORA no cubre – como la seguridad de cadenas de suministro fuera de los servicios de TI o la seguridad de sistemas OT – NIS2 sigue siendo aplicable.
„DORA como lex specialis no libera a las entidades financieras de NIS2. Solo cambia las prioridades: DORA define lo ‘qué’ en detalle, NIS2 completa los vacíos. Quien solo se fija en DORA puede pasar por alto obligaciones importantes.“
Para obtener una visión detallada de cómo la BaFin evalúa la implementación de DORA, lea el artículo en MyBusinessFuture: DORA: BaFin evalúa a las instituciones financieras.
Overlaps: ¿Qué es lo que solo se necesita una vez?
La buena noticia: Aproximadamente el 60-70% de los requisitos de DORA y NIS2 se superan en contenido. Quien aprovecha estas sinergias evita una duplicación de trabajo sustancial. Aquí los principales áreas donde una única implementación satisfaga ambos marcos:
Gestion de riesgos de TIC
DORA (Capítulo II, Artículo 5-16) requiere un marco de trabajo integral para la gestión de riesgos de TIC. NIS2 pide en el Artículo 21 «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» para la gestión de riesgos. En la práctica: Un marco de riesgos de TIC construido según DORA cumple automáticamente con las exigencias de NIS2 para la gestión de riesgos – DORA es aquí más detallado y estricto.
● Implementar una vez: Marco de gestión de riesgos de TIC según el estándar DORA. Este marco cubre todas las exigencias de gestión de riesgos relevantes para NIS2.
● Adaptar la documentación: Adaptar la documentación de DORA con referencias específicas para NIS2 para que, en caso de auditorías de ambas regulaciones, se pueda proporcionar evidencia.
Respuesta a incidentes y gestión
Ambos marcos reguladores requieren un manejo estructurado de incidentes. DORA define en el Capítulo III (Artículo 17-23) requisitos detallados para la clasificación, notificación y posterior manejo de incidentes de TIC. NIS2 pide en el Artículo 23 un «sistema de alerta temprana» y notificaciones estructuradas.
El proceso de gestión de incidentes puede construirse de manera unificada. La diferencia clave se encuentra en los mecanismos y plazos de notificación – más detalles en el apartado sobre las obligaciones de notificación.
Pruebas de penetración y gestión de vulnerabilidades
DORA pide en los Artículos 26-27 pruebas de penetración regulares y para instituciones relevantes Threat-Led Penetration Testing (TLPT) según el TIBER-EU-Framework. NIS2 pide generalmente «directrices y procedimientos para evaluar la efectividad» de las medidas de seguridad.
Un programa de pruebas conforme a DORA con TLPT supera claramente las exigencias de NIS2. En este caso, la implementación de DORA es completamente suficiente.
Gestión de continuidad empresarial
DORA requiere planes integrales de continuidad empresarial de TIC (Artículo 11). NIS2 pide «mantenimiento del funcionamiento» y gestión de crisis (Artículo 21, párrafo 2c). Aquí también: Un programa de gestión de continuidad de negocio conforme a DORA cubre las exigencias de NIS2 – DORA es más específico y estricto.
Los diferenciales críticos: Lo que debe hacerse dos veces
Aunque existen sinergias, hay áreas en las que DORA y NIS2 se diferencian sustancialmente y requieren medidas separadas:
Obligaciones de notificación: Dos sistemas, dos autoridades, plazos diferentes
Este es el mayor esfuerzo operativo para los servicios financieros. DORA y NIS2 piden notificación de incidentes, pero a autoridades diferentes con plazos y formatos diferentes:
● DORA: Notificación a la autoridad de supervisión financiera correspondiente (en Alemania: BaFin). Primera notificación dentro de las 24 horas después de clasificar como «incidente de TIC grave». Informe interino dentro de las 72 horas. Informe final dentro de un mes. Formato: Formularios de notificación EBA/ESMA.
● NIS2: Notificación a la autoridad nacional correspondiente (en Alemania: BSI). «Inmediata» alerta dentro de las 24 horas. Informe detallado dentro de las 72 horas. Informe final dentro de un mes. Formato: Portal de notificación BSI.
Aunque los plazos pueden parecer similares, los sistemas de notificación, los formatos y los contactos son diferentes. Los servicios financieros deben dominar ambos caminos de notificación operativamente. Consejo práctico: Crear un informe interno de incidentes único y adaptarlo a los requisitos de formularios específicos de BaFin y BSI, en lugar de construir dos procesos completamente separados.
Gestión de riesgos de terceros en TI: DORA avanza significativamente
El manejo de servicios de terceros de TI es el área en la que DORA establece las más estrictas y detalladas exigencias de todas las regulaciones europeas. DORA requiere:
● Registro de Información (RoI): Una documentación completa de todas las acuerdos contractuales con servicios de terceros de TI. Este registro debe incluir detalles granulares: objeto del contrato, ubicación de los datos, subcontratistas, estrategias de salida y análisis de dependencias. La fecha límite para el primer RoI completo fue el primer trimestre de 2026.
● Evaluación de Crítica: Cada proveedor de servicios de TI debe ser evaluado por su importancia para las funciones comerciales. Para los proveedores considerados «críticos», se aplican requisitos más estrictos en la formación de contratos, derechos de auditoría y escenarios de salida.
● Análisis de Riesgo de Concentración: Los entes financieros deben analizar si están demasiado dependientes de determinados servicios de TI proporcionados por proveedores individuales, un tema especialmente relevante para los hyperscalers (AWS, Azure, GCP).
NIS2 también requiere «Seguridad de la cadena de suministro» (Artículo 21, apartado 2d), pero con menos detalle. Para los entes financieros, el marco de trabajo DORA-TPRM es el estándar que debe implementarse. Los requisitos de NIS2 se incluyen en este marco.
Marco de supervisión para proveedores críticos de TI
DORA introducirá en el Capítulo V un nuevo marco de supervisión completamente nuevo: Los proveedores críticos de TI (como los grandes proveedores de nube) serán supervisados directamente por una «Autoridad Supervisora Líder» de las ESAs (EBA, ESMA, EIOPA) en el futuro. Este elemento no tiene un equivalente en NIS2 y afecta a los entes financieros indirectamente; deben asegurarse de que sus proveedores críticos cumplan con las nuevas exigencias de supervisión.
«El Registro de Información es la mayor desafío operativo para muchos institutos financieros bajo DORA. Quien no ha documentado sistemáticamente sus relaciones con proveedores de TI hasta ahora, se enfrenta a una montaña de tareas pendientes y a una fecha límite que ya ha pasado.»
El enfoque integrado de cumplimiento: Un marco para ambos
En lugar de tratar DORA y NIS2 como proyectos de cumplimiento aislados, los entidades financieras deben seguir un enfoque integrado. La idea central: Construir un único marco de gobernanza que satisfaga las regulaciones de ambos y que utilice las exigencias de DORA como base (ya que estas son más detalladas).
Aquí se ve cómo se lleva a cabo un enfoque integrado en la práctica:
● Paso 1 – Mapeo: Cree una matriz de referencia cruzada que asigne cada exigencia de DORA a la correspondiente exigencia de NIS2. Las ESAs y el BSI proporcionan documentos de mapeo como punto de partida. Identifique las tres categorías: „DORA cubre“, „NIS2 cubre“, „ambas requieren medidas separadas“.
● Paso 2 – Gestión integrada de riesgos: Implemente un marco de gestión de riesgos de TIC según el estándar de DORA (artículos 5-16). Agregue elementos específicos de NIS2, como la seguridad de OT y la seguridad de cadena de suministro no relacionada con TIC.
● Paso 3 – Vías de notificación paralelas: Cree un proceso interno de gestión de incidentes único. Implemente dos salidas paralelas al final de la cadena de notificación: uno para el sistema de notificación de la BaFin (DORA) y otro para el portal de notificación del BSI (NIS2). El proceso interno es idéntico, solo las últimas etapas difieren.
● Paso 4 – TPRM integrado: Utilice el Registro de Información de DORA como base de datos central para el manejo de riesgos de terceros en su conjunto. Expanda esto para incluir proveedores no relacionados con TIC que sean relevantes bajo NIS2.
● Paso 5 – Gobernanza: Establezca una única estructura de gobernanza (por ejemplo, un „Comité de Resiliencia Digital“), que sea responsable tanto del cumplimiento de DORA como de NIS2. No hay equipos de cumplimiento paralelos para regulaciones diferentes.
Registro de Información: La desafortunada práctica
El Registro de Información de DORA (RoI) merece una atención especial, ya que es la solicitud más laboriosa para muchos institutos. El RoI debe documentar todas las acuerdos contractuales con proveedores de servicios de TIC, incluyendo detalles que, en muchos negocios, no se han recopilado centralmente:
● Detalles de contrato: Sujeto, plazo, términos de rescisión, acuerdos de nivel de servicio (SLA), regulaciones de responsabilidad
● Ubicaciones de datos: ¿Dónde se procesan y almacenan los datos? ¿Qué jurisdicciones están afectadas?
● Cadenas de subcontratistas: ¿Qué subproveedores utiliza el proveedor de TIC? ¿Dónde se encuentran estos?
● Análisis de dependencias: ¿Qué funciones comerciales dependen de este proveedor de servicios? ¿Qué sucede en caso de fallo?
● Estrategia de salida: ¿Cómo se puede cambiar al proveedor de servicios? ¿Qué datos deben migrarse?
Instituciones que aún no han completado el RoI deben priorizar de manera pragmática: Comenzar con los proveedores críticos (proveedores de nube, sistemas bancarios principales, infraestructuras de pago) y luego ampliar gradualmente. La BaFin ha señalado que evaluará el progreso y la metodología durante la primera revisión, no solo el resultado.
Gestión de la dirección: Responsabilidad bajo DORA y NIS2
Tanto DORA como NIS2 subrayan la responsabilidad de la dirección general por la ciberseguridad. DORA hace explícita la responsabilidad del órgano directivo para la aprobación y supervisión del marco de gestión de riesgos de TIC (Artículo 5, párrafo 2). NIS2 establece que los órganos directivos deben autorizar las medidas de gestión de riesgos, supervisar su implementación y asistir a las capacitaciones de ciberseguridad (Artículo 20).
En la implementación alemana, los ejecutivos y los consejos de administración pueden ser responsabilizados personalmente si no cumplen con sus obligaciones de supervisión. Las sanciones son sustanciales: hasta 10 millones de euros o el 2% del volumen de negocio global según NIS2, con comparables en DORA.
La consecuencia práctica: la ciberseguridad ya no es un tema de TI que pueda delegarse al CISO. Los consejos de administración y los ejecutivos deben demostrar su participación en decisiones, autorizaciones y revisiones periódicas.
„GAP-Assessment contra ambos marcos: No analizar DORA y NIS2 por separado, sino realizar una análisis GAP integrado.»
Lista de control práctica: Administrar el doble de presión de DORA + NIS2
Para los entes financieros que desean manejar eficientemente el doble de presión de cumplimiento, aquí están los pasos concretos siguientes:
● GAP-Assessment contra ambos marcos: No analizar DORA y NIS2 por separado, sino realizar una análisis GAP integrado. Resultado: Un plan de medidas consolidado en lugar de dos.
● Registro de información: Si aún no se ha hecho, comenzar con los Top-20 de servicios de TIC. No esperar a la perfección – un RoI del 80%, que existe, es mejor que un RoI del 100%, que se completará en seis meses.
● Procesos de notificación duplicados: Implementar un proceso interno de incidentes unificado con dos salidas (BaFin + BSI). Realizar pruebas de notificación antes de que se produzca un incidente grave.
● Programa TLPT: Para instituciones relevantes del sistema, el Threat-Led Penetration Testing (TLPT) es obligatorio bajo DORA. El esfuerzo es sustancial (6-12 meses por ciclo de TLPT) – iniciar con un proveedor TLPT calificado temprano.
● Formación de la dirección: El consejo de administración y los ejecutivos deben demostrar ser capacitados bajo ambos marcos. Iniciar un programa de capacitación integrado que aborde DORA y NIS2.
● Evaluación de riesgo de concentración: Realizar un análisis de la dependencia de proveedores de nube individuales y servicios de TIC. Documentar estrategias de multi-nube y de salida.
● Contratos revisados: Revisar todos los contratos de TIC contra las exigencias de DORA (derechos de auditoría, cláusulas de subcontratación, reglas de salida). Iniciar negociaciones tempranas.
Vista previa: La densidad de regulación continúa aumentando
DORA y NIS2 no son las últimas regulaciones que afectan a los entes financieros en la ciberseguridad. Con el AI Act de la UE, el Cyber Resilience Act y el Data Act, se introducen más regulaciones que se superponen y deben considerarse de manera integrada.
Las instituciones financieras que establezcan un marco de cumplimiento flexible e integrado ahora tendrán una mejor capacidad para absorber estas nuevas regulaciones, en contraste con aquellos que tratan cada ley como un proyecto aislado. El enfoque integrado no solo es rentable a corto plazo, sino que es la única estrategia escalable para la creciente densidad de regulación en Europa.
Las autoridades de supervisión, como BaFin y BSI, están conscientes de la duplicación de responsabilidades y están trabajando en enfoques de auditoría coordinados. Aunque la responsabilidad de una implementación eficiente recae en las instituciones financieras, aquellos que aprovechen las sinergias ahora no solo reducirán los costos de cumplimiento, sino que también fortalecerán una resiliencia digital que proporcione una protección real.
Preguntas frecuentes
¿Los entes financieros deben cumplir con tanto DORA como NIS2?
Sí. DORA es una regulación especializada que tiene prioridad en caso de superposición, pero NIS2 cubre áreas adicionales que DORA no aborda. Los entes financieros deben estar familiarizados con ambos marcos reguladores y cumplir con sus requisitos. Un enfoque de cumplimiento integrado evitará duplicación de trabajo y mejorará la eficiencia.
¿A quién deben notificarse los incidentes de seguridad?
Bajo DORA, se deben notificar a la autoridad de supervisión financiera (BaFin) dentro de las 24 horas. Bajo NIS2, se deben notificar al BSI, también dentro de las 24 horas. Ambas notificaciones deben realizarse de manera simultánea, ya que se trata de sistemas de notificación y formularios diferentes.
¿Qué es el Register of Information y hasta cuándo debe estar completo?
El Register of Information es una documentación completa de todas las contrataciones con servicios de terceros de IKT (Infraestructura de Ciberseguridad y Telecomunicaciones) según DORA. Debe incluir detalles sobre el contrato, los sitios de datos, los subcontratistas, las dependencias y las estrategias de salida. La fecha límite para el primer registro completo fue la primera quincena de 2026. Las instituciones que aún no lo han completado deben comenzar inmediatamente con los servicios críticos.
¿La dirección corporativa está personalmente responsable?
Sí, bajo ambos marcos reguladores. DORA hace responsable al organo directivo por la aprobación y la supervisión del marco de gestión de riesgos de IKT. NIS2 también contempla la responsabilidad personal del organo directivo en caso de no cumplir con sus obligaciones de supervisión. Los ejecutivos y los consejos de administración deben estar involucrados de manera probada en decisiones de ciberseguridad.
¿Cómo se pueden reducir los costos de cumplimiento para DORA y NIS2?
A través de un enfoque de cumplimiento integrado: Establecer un único marco de gobernanza que cubra ambos marcos reguladores. Utilizar las obligaciones de DORA como base (ya que son más detalladas), y completar las lagunas de NIS2 de manera selectiva. Realizar una análisis de brechas única en lugar de dos separadas. Aprovechar sinergias en la gestión de riesgos, BCM y pruebas de manera sistemática. Evitar equipos de cumplimiento paralelos.
Leer más
- NIS2 en Alemania: Lo que los negocios deben saber y implementar ahora
- DORA: BaFin examina a las instituciones financieras – MyBusinessFuture
- Cyber-Versicherung 2026: Lo que los negocios deben saber
- FinOps: Cómo las empresas ganan el control de costos en la nube – cloudmagazin
- Tendencias de Ciberseguridad 2026: Siete Desarrollos – SecurityToday
- Seguridad de Cadena de Suministro 2026 – SecurityToday
Más de la Red de Medios MBF Media
Fuente de la imagen del título: Pexels / Sora Shimazaki
