DORA y NIS2 simultáneamente: cómo las entidades financieras pueden gestionar la doble presión regulatoria

⏱ 14 min de lectura

DORA es aplicable desde enero de 2025, NIS2 desde diciembre de 2025 en derecho alemán. Para las entidades financieras esto significa: dos regulaciones con plazos, definiciones y sistemas de notificación diferentes, pero con importantes superposiciones temáticas. Quien aborde ambos marcos de forma aislada duplicará el esfuerzo sin aportar valor añadido. Quien comprenda las sinergias ahorrará millones y construirá un sistema de cumplimiento integrado que realmente aporte seguridad. Este artículo muestra dónde coinciden DORA y NIS2, dónde difieren y qué pueden hacer las empresas financieras una vez en lugar de dos.

En resumen

• DORA (Ley de Resiliencia Operativa Digital) es aplicable desde el 17 de enero de 2025, NIS2 desde diciembre de 2025 en derecho alemán: las entidades financieras deben cumplir ambas simultáneamente
• DORA es lex specialis para el sector financiero y prevalece en caso de superposición, pero NIS2 se aplica adicionalmente cuando DORA no cubre un área
• La mayor eficiencia reside en un sistema integrado de gestión de riesgos TIC que sirva a ambos marcos, en lugar de dos proyectos de cumplimiento paralelos
• La gestión de riesgos de terceros en TI (TPRM) es el punto débil común: DORA exige un Registro de Información, NIS2 exige seguridad en la cadena de suministro; ambos aspectos pueden integrarse
• Las obligaciones de notificación difieren considerablemente: DORA exige una notificación inicial en 24 horas a la BaFin, NIS2 exige una notificación «inmediata» al BSI: dos sistemas diferentes que deben gestionarse simultáneamente

Dos regulaciones, un objetivo, pero caminos diferentes

Tanto DORA como NIS2 persiguen el mismo objetivo general: fortalecer la resiliencia cibernética en Europa. Ambas exigen gestión de riesgos, notificación de incidentes, pruebas de penetración y protección de cadenas de suministro. La diferencia fundamental radica en el alcance y la especificidad.

DORA es un reglamento de la UE que es directamente aplicable, sin necesidad de transposición nacional. Se dirige exclusivamente al sector financiero: bancos, seguros, empresas de servicios de valores, proveedores de servicios de pago, proveedores de servicios de criptoactivos y sus proveedores externos TIC críticos. DORA define requisitos detallados sobre resiliencia operativa digital, desde la gestión de riesgos TIC hasta la notificación de incidentes y las pruebas de penetración guiadas por amenazas (TLPT).

NIS2 es una directiva de la UE que debía transponerse al derecho nacional. En Alemania esto ocurrió mediante la Ley de Transposición de NIS2 y Fortalecimiento de la Ciberseguridad, que entró en vigor en diciembre de 2025. NIS2 es de aplicación transversal a sectores para entidades «esenciales» y «importantes» en 18 sectores, incluido también el financiero. Los requisitos son menos detallados que los de DORA, pero cubren un espectro más amplio.

Lex specialis: ¿qué significa la prioridad de DORA?

DORA se considera lex specialis frente a NIS2 en el sector financiero. Esto significa que donde DORA define requisitos específicos, estos prevalecen sobre las disposiciones más generales de NIS2. La propia directiva NIS2 lo confirma en el artículo 4, apartado 2, y hace referencia explícita a DORA como normativa específica del sector.

En la práctica, sin embargo, es más complicado de lo que parece. El principio lex specialis no significa que NIS2 sea irrelevante para las empresas financieras. Solo significa que DORA tiene prioridad allí donde regula los mismos temas con mayor detalle. En áreas que DORA no cubre – como la seguridad de la cadena de suministro más allá de los proveedores TIC o la seguridad de los sistemas OT – NIS2 sigue siendo aplicable.

Una mirada detallada sobre cómo la BaFin verifica la implementación de DORA la ofrece nuestro artículo en MyBusinessFuture: DORA: BaFin prüft Finanzinstitute.

Superposiciones: lo que basta una vez

La buena noticia: aproximadamente entre el 60 y el 70 por ciento de los requisitos de DORA y NIS2 se superponen temáticamente. Quien aproveche estas sinergias evitará una duplicación masiva de trabajo. A continuación, las áreas más importantes en las que una única implementación satisface ambos marcos:

Gestión de riesgos TIC

DORA (Capítulo II, artículos 5-16) exige un marco integral de gestión de riesgos TIC. NIS2 exige en el artículo 21 «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» para la gestión de riesgos. En la práctica: un marco de gestión de riesgos TIC construido conforme a DORA cumple automáticamente los requisitos de NIS2 en materia de gestión de riesgos, ya que DORA es aquí más detallado y estricto.

● Implementar una vez: marco de gestión de riesgos TIC según estándar DORA. Este marco cubre todos los requisitos de gestión de riesgos relevantes para NIS2.

● Adaptar la documentación: complementar la documentación DORA con referencias específicas a NIS2, para que en auditorías de ambas regulaciones exista la evidencia necesaria.

Gestión de respuesta e incidentes

Ambos marcos exigen una gestión estructurada de incidentes. DORA define en el Capítulo III (artículos 17-23) requisitos detallados sobre clasificación, notificación y seguimiento de incidentes TIC. NIS2 exige en el artículo 23 un «sistema de alerta temprana» y notificaciones estructuradas.

El proceso de gestión de incidentes puede diseñarse de forma unificada. La diferencia crítica radica en los canales y plazos de notificación; más sobre esto en la sección sobre obligaciones de notificación.

Pruebas de penetración y gestión de vulnerabilidades

DORA exige en los artículos 26-27 pruebas de penetración regulares y, para instituciones sistémicamente relevantes, pruebas de penetración guiadas por amenazas (TLPT) según el marco TIBER-EU. NIS2 exige en general «directrices y procedimientos para evaluar la eficacia» de las medidas de seguridad.

Un programa de pruebas conforme a DORA con TLPT supera claramente los requisitos de NIS2. En este caso, la implementación conforme a DORA es completamente suficiente.

Gestión de continuidad del negocio

DORA exige planes integrales de continuidad del negocio TIC (artículo 11). NIS2 exige la «continuidad de la operación» y la gestión de crisis (artículo 21, apartado 2c). También aquí: un programa de BCM conforme a DORA cubre los requisitos de NIS2 – DORA es más específico y estricto.

Las diferencias críticas: lo que debe hacerse dos veces

A pesar de las sinergias, existen áreas en las que DORA y NIS2 difieren sustancialmente y requieren medidas separadas:

Obligaciones de notificación: dos sistemas, dos autoridades, plazos diferentes

Aquí reside la mayor carga operativa para las entidades financieras. DORA y NIS2 exigen notificación de incidentes, pero a diferentes autoridades, con diferentes plazos y formatos:

● DORA: notificación a la autoridad de supervisión financiera competente (en Alemania: BaFin). Notificación inicial en un plazo de 24 horas tras la clasificación como «incidente TIC grave». Informe intermedio en un plazo de 72 horas. Informe final en un plazo de un mes. Formato: formularios de notificación de la EBA/ESMA.

● NIS2: notificación a la autoridad nacional competente (en Alemania: BSI). Alerta temprana «inmediata» en un plazo de 24 horas. Notificación detallada en un plazo de 72 horas. Informe final en un plazo de un mes. Formato: portal de notificación del BSI.

Aunque los plazos suenen similares, los sistemas de notificación, formularios y contactos son diferentes. Las empresas financieras deben dominar operativamente ambos canales de notificación. Consejo práctico: crear un informe interno único de incidente y adaptarlo luego a los requisitos específicos de formularios de BaFin y BSI, en lugar de establecer dos procesos completamente separados.

Gestión de riesgos de terceros en TI: DORA va mucho más allá

La gestión de proveedores externos TIC es el área en la que DORA establece los requisitos más estrictos y detallados de todas las regulaciones europeas. DORA exige:

● Registro de Información (RoI): una documentación completa de todos los acuerdos contractuales con proveedores externos TIC. Este registro debe incluir detalles detallados: objeto del contrato, ubicaciones de datos, subcontratistas, estrategias de salida y análisis de dependencias. El plazo para presentar el primer RoI completo fue el primer trimestre de 2026.

● Evaluación de criticidad: cada proveedor TIC debe evaluarse según su criticidad para las funciones comerciales. Para los proveedores «críticos» se aplican requisitos reforzados en la redacción del contrato, derechos de auditoría y escenarios de salida.

● Análisis de riesgo de concentración: las empresas financieras deben analizar si dependen excesivamente de ciertos proveedores TIC en servicios específicos, un tema especialmente relevante para los hiperscalers (AWS, Azure, GCP).

NIS2 también exige «seguridad de la cadena de suministro» (artículo 21, apartado 2d), pero con mucho menos detalle. Para las empresas financieras, el marco DORA-TPRM es el estándar que debe implementarse. Los requisitos de NIS2 están incluidos en él.

Marco de supervisión para proveedores externos TIC críticos

DORA introduce en el Capítulo V un marco de supervisión completamente nuevo: los proveedores externos TIC críticos (como grandes proveedores de nube) serán supervisados directamente en el futuro por una «autoridad líder de supervisión» de las AEV (EBA, ESMA, EIOPA). Este elemento no tiene equivalente en NIS2 y afecta indirectamente a las entidades financieras: deben asegurarse de que sus proveedores TIC críticos cumplan con los nuevos requisitos de supervisión.

El enfoque integrado de cumplimiento: un marco para ambos

En lugar de tratar DORA y NIS2 como dos proyectos de cumplimiento separados, las empresas financieras deberían seguir un enfoque integrado. La idea básica: construir un único marco de gobernanza que sirva a ambas regulaciones, tomando los requisitos de DORA como base (por ser más detallados).

Así es como se ve un enfoque integrado en la práctica:

● Paso 1 – Mapeo: cree una matriz de referencias cruzadas que asocie cada requisito de DORA con el correspondiente requisito de NIS2. Las AEV y el BSI ofrecen documentos de mapeo como punto de partida. Identifique las tres categorías: «DORA cubre», «NIS2 cubre», «ambos requieren medidas separadas».

● Paso 2 – Gestión de riesgos unificada: implemente un marco de gestión de riesgos TIC según estándar DORA (artículos 5-16). Complételo con elementos específicos de NIS2 como la seguridad de los sistemas OT y la seguridad de la cadena de suministro no TIC.

● Paso 3 – Canales de notificación paralelos: construya un proceso interno unificado de gestión de incidentes. Implemente al final de la cadena de notificación dos salidas paralelas: una al sistema de notificación de la BaFin (DORA) y otra al portal de notificación del BSI (NIS2). El proceso interno es idéntico, solo los últimos pasos difieren.

● Paso 4 – TPRM integrado: utilice el Registro de Información de DORA como base de datos central para toda la gestión de riesgos de terceros. Amplíelo para incluir proveedores no TIC que sean relevantes bajo NIS2.

● Paso 5 – Gobernanza: establezca una única estructura de gobernanza (por ejemplo, un «Comité de Resiliencia Digital») responsable del cumplimiento tanto de DORA como de NIS2. No cree equipos de cumplimiento paralelos para diferentes regulaciones.

Registro de Información: el desafío práctico

El Registro de Información (RoI) de DORA merece especial atención porque para muchas entidades es el requisito individual más exigente. El RoI debe documentar todos los acuerdos contractuales con proveedores externos TIC, incluyendo detalles que en muchas empresas hasta ahora no se han recopilado centralmente:

● Detalles del contrato: objeto, duración, plazos de rescisión, SLA, cláusulas de responsabilidad

● Ubicaciones de datos: ¿dónde se procesan y almacenan los datos? ¿Qué jurisdicciones están afectadas?

● Cadenas de subcontratistas: ¿qué subproveedores utiliza el proveedor TIC? ¿Dónde están ubicados?

● Análisis de dependencias: ¿qué funciones comerciales dependen de este proveedor? ¿Qué ocurre en caso de fallo?

● Estrategia de salida: ¿cómo puede cambiarse al proveedor? ¿Qué datos deben migrarse?

Las entidades que aún no hayan completado el RoI deben priorizar de forma pragmática: comenzar con los proveedores más críticos (proveedores de nube, sistemas centrales bancarios, infraestructura de pagos) y luego ampliar progresivamente. La BaFin ha señalado que en la primera auditoría evaluará el progreso y la metodología, no solo el resultado.

Alta dirección bajo obligación: responsabilidad bajo DORA y NIS2

Tanto DORA como NIS2 enfatizan la responsabilidad de la alta dirección en materia de ciberseguridad. DORA hace explícitamente responsable al órgano directivo de la aprobación y supervisión del marco de gestión de riesgos TIC (artículo 5, apartado 2). NIS2 establece que los órganos directivos deben aprobar las medidas de gestión de riesgos, supervisar su implementación y participar en formaciones de ciberseguridad (artículo 20).

En la transposición alemana, los directores generales y miembros del consejo pueden ser personalmente responsables si no cumplen con sus obligaciones de supervisión. Las sanciones son considerables: hasta 10 millones de euros o el 2 por ciento del volumen de negocios anual mundial según NIS2, magnitudes comparables bajo DORA.

La consecuencia práctica: la ciberseguridad ya no es un tema de TI que pueda delegarse al CISO. Los consejos de administración y directivos deben estar involucrados de forma demostrable en decisiones, aprobaciones y revisiones periódicas.

„Evaluación de brechas frente a ambos marcos: no evaluar DORA y NIS2 por separado, sino realizar un análisis de brechas integrado.“

Lista de verificación práctica: gestionar la doble presión de DORA + NIS2

Para empresas financieras que deseen gestionar eficientemente la doble presión regulatoria, aquí están los siguientes pasos concretos:

● Evaluación de brechas frente a ambos marcos: no evaluar DORA y NIS2 por separado, sino realizar un análisis de brechas integrado. Resultado: un plan de medidas consolidado en lugar de dos.

● Finalizar el Registro de Información: si aún no se ha hecho, comience ahora con los 20 principales proveedores TIC. No espere a la perfección: un RoI al 80 % que existe es mejor que un RoI al 100 % que estará listo en seis meses.

● Establecer procesos de notificación dobles: implemente un proceso interno unificado de incidentes con dos salidas (BaFin + BSI). Realice notificaciones de prueba antes de que ocurra un caso real.

● Planificar el programa TLPT: para instituciones sistémicamente relevantes, las pruebas de penetración guiadas por amenazas bajo DORA son obligatorias. El esfuerzo es considerable (6-12 meses por ciclo TLPT): comience lo antes posible con un proveedor TLPT cualificado.

● Formar a la alta dirección: el consejo y la dirección deben estar demostrablemente formados bajo ambos marcos. Cree un programa de formación común que trate de forma integrada DORA y NIS2.

● Evaluar riesgo de concentración: realice un análisis de dependencia de proveedores individuales de nube y servicios TIC. Documente estrategias multi-nube y de salida.

● Revisar contratos: revise todos los contratos TIC frente a los requisitos de DORA (derechos de auditoría, cláusulas de subcontratación, disposiciones de salida). Inicie renegociaciones con antelación.

Perspectivas: la densidad regulatoria seguirá aumentando

DORA y NIS2 no son las últimas regulaciones que afectarán a las empresas financieras en materia de ciberseguridad. Con el Acta de IA de la UE, el Acta de Resiliencia Cibernética y el Acta de Datos, se añaden nuevas normativas que presentan superposiciones y deben considerarse de forma integrada.

Las entidades financieras que ahora construyan un marco de cumplimiento flexible e integrado absorberán estas regulaciones adicionales más fácilmente que aquellas empresas que traten cada nueva ley como un proyecto aislado. El enfoque integrado no solo aporta beneficios a corto plazo, sino que es la única estrategia escalable frente al creciente volumen regulatorio en Europa.

Las autoridades supervisoras – BaFin y BSI – son conscientes de la doble carga y están trabajando en enfoques de auditoría coordinados. A pesar de ello, la responsabilidad de la implementación eficiente recae en las propias empresas. Quien ahora aproveche las sinergias, no solo ahorrará costes de cumplimiento, sino que construirá una resiliencia digital que realmente protege. Un resumen detallado de los requisitos de NIS2 está disponible en nuestro artículo NIS2 en Alemania: qué deben saber y aplicar ahora las empresas.

Preguntas frecuentes

¿Deben las empresas financieras cumplir tanto DORA como NIS2?

Sí. DORA se considera lex specialis y prevalece en caso de superposición, pero NIS2 se aplica adicionalmente en áreas que DORA no cubre. Las empresas financieras deben conocer ambas regulaciones y cumplir con sus respectivos requisitos. Un enfoque integrado de cumplimiento evita duplicaciones de trabajo.

¿A quién deben notificarse los incidentes de seguridad?

Bajo DORA, a la autoridad de supervisión financiera competente (BaFin) en un plazo de 24 horas. Bajo NIS2, al BSI, también «inmediatamente» (en la práctica, dentro de las 24 horas). Ambas notificaciones deben realizarse simultáneamente: se trata de sistemas y formularios de notificación diferentes.

¿Qué es el Registro de Información y cuándo debe estar listo?

El Registro de Información es la documentación completa de todos los acuerdos contractuales con proveedores externos TIC según DORA. Debe incluir detalles sobre objeto del contrato, ubicaciones de datos, subcontratistas, dependencias y estrategias de salida. La fecha límite para el primer registro completo fue el primer trimestre de 2026. Las entidades que aún no lo hayan completado deben comenzar inmediatamente con los proveedores más críticos.

¿Puede la alta dirección ser personalmente responsable?

Sí, bajo ambas regulaciones. DORA hace responsable al órgano directivo de la aprobación y supervisión del marco de gestión de riesgos TIC. NIS2 prevé responsabilidad personal si los órganos directivos no cumplen con sus obligaciones de supervisión. Los directores y consejeros deben estar demostrablemente involucrados en decisiones de ciberseguridad.

¿Cómo reducir los costes de cumplimiento para DORA y NIS2?

Mediante un enfoque integrado de cumplimiento: construir un único marco de gobernanza que sirva a ambas regulaciones. Tomar los requisitos de DORA como base (por ser más detallados), complementar específicamente las lagunas de NIS2. Realizar un único análisis de brechas integrado en lugar de dos separados. Aprovechar sinergias en gestión de riesgos, BCM y pruebas. Evitar equipos de cumplimiento paralelos.

Lecturas recomendadas

• NIS2 en Alemania: qué deben saber y aplicar ahora las empresas
• DORA: BaFin prüft Finanzinstitute – MyBusinessFuture
• Seguro cibernético 2026: lo que deben saber las empresas

Más del MBF Media Network

• FinOps: cómo las empresas controlan los costes de la nube – cloudmagazin
• Tendencias de ciberseguridad 2026: siete desarrollos – SecurityToday
• Seguridad en la cadena de suministro 2026 – SecurityToday

Fuente de imagen: Pexels / Sora Shimazaki

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow