DORA y NIS2 son los dos grandes marcos europeos de ciberseguridad. La regla práctica: si eres entidad financiera del artículo 2 de DORA, DORA prevalece sobre NIS2 en virtud de lex specialis (artículo 1.2 de NIS2). El resto del universo NIS2 (energía, transporte, sanidad, agua, infraestructura digital, administración pública, fabricación, alimentación…) sigue sometido a NIS2. DORA es Reglamento (directamente aplicable desde el 17 de enero de 2025) y NIS2 es Directiva (requiere transposición nacional). Solapan en gobernanza, gestión de riesgo TIC y notificación de incidentes; divergen en TLPT obligatorio (solo DORA), supervisión directa de proveedores TIC críticos (CTPP, solo DORA) y régimen sancionador.
Resumen ejecutivo: ¿cuál aplica a mi empresa?
Paso 1: ¿Eres entidad financiera del artículo 2 de DORA (banco, aseguradora, fondo, fintech bajo MiCA, CASP, entidad de pago, gestora, etc.)?
- Sí → DORA aplica. NIS2 no aplica directamente por lex specialis (ver sección siguiente).
- No → continúa al Paso 2.
Paso 2: ¿Estás en Anexo I o Anexo II de NIS2 y tienes ≥50 empleados o > 10 M€ de facturación?
- Sí → NIS2 aplica. Si además eres AAPP, convive con ENS.
- No → NIS2 no aplica directamente. Pero si eres proveedor de un obligado NIS2 o DORA, recibirás cláusulas contractuales que te impondrán medidas equivalentes.
Nota: una entidad financiera puede tener filiales no financieras (ej.: empresa de gestión inmobiliaria del grupo) que sí queden bajo NIS2 directamente.
Tabla comparativa DORA vs NIS2
| Dimensión | DORA | NIS2 |
|---|---|---|
| Tipo de norma | Reglamento UE | Directiva UE |
| Aplicación | Directa, sin transposición | Requiere transposición (parcial en España vía RD-ley 7/2025) |
| Fecha de aplicación | 17 enero 2025 | 18 octubre 2024 (transposición); aplicación nacional progresiva |
| Ámbito | Sector financiero (21 categorías + CTPP) | 11 sectores esenciales + 7 importantes |
| Tamaño mínimo | Sin umbral general; proporcionalidad | ≥50 empleados o >10 M€ facturación (excepciones tasadas) |
| Categorización | Sin categorías formales; régimen único proporcional | Esenciales / Importantes |
| Gobernanza | Órgano de dirección directamente responsable; consejo formado | Órgano de dirección responsable; consejo formado |
| Gestión de riesgo TIC | Marco completo (artículos 5-15 + RTS) | Áreas mínimas del artículo 21 |
| Notificación de incidentes | Plazos definidos por RTS (inicial / intermedia / final) | 24h alerta temprana / 72h notificación / 1 mes informe final |
| Pruebas técnicas | Programa estructurado + TLPT obligatorio cada 3 años para entidades designadas | Pentesting recomendado, no formalmente obligatorio |
| Cadena de suministro | Registro de información de proveedores + cláusulas artículo 30 + estrategia de salida | Gestión de riesgo de cadena de suministro (artículo 21 letra d) |
| Proveedores TIC críticos | Designación CTPP por ESAs con supervisión directa europea | No existe figura equivalente |
| Régimen sancionador | Hasta 1% facturación media diaria mundial; multas coercitivas a CTPP | Hasta 10 M€ o 2% facturación (esenciales) / 7 M€ o 1,4% (importantes) |
| Lex specialis | Sobre NIS2 para entidades financieras | – |
Lex specialis: por qué DORA prevalece para entidades financieras
El artículo 1.2 de NIS2 establece literalmente que cuando la legislación sectorial específica imponga requisitos al menos equivalentes, esa legislación prevalecerá. Para entidades financieras esa legislación es DORA.
En la práctica esto significa:
- DORA es de aplicación obligatoria y completa para toda entidad financiera del artículo 2.
- NIS2 no aplica directamente a esa entidad financiera (no notifica al CSIRT por NIS2, sino a la autoridad sectorial bajo DORA; no tiene categorización esencial/importante).
- Excepción: si parte del grupo financiero presta servicios fuera del alcance financiero (administración pública, telecomunicaciones, infraestructuras digitales independientes), esa parte puede caer bajo NIS2.
Atención: la cláusula de lex specialis no exime de la Directiva (UE) 2022/2557 (CER) sobre resiliencia de entidades críticas, que aplica de forma complementaria a determinadas entidades financieras críticas.
Obligaciones que se solapan
| Obligación | DORA | NIS2 | Implementación común |
|---|---|---|---|
| Marco de gobernanza TIC aprobado por dirección | ✓ | ✓ | Política única, aprobada y revisada por el consejo |
| Análisis de riesgos periódico | ✓ | ✓ | Metodología única ISO 27005 / NIST RMF |
| Continuidad de negocio y recuperación ante desastres | ✓ | ✓ | BCP/DRP único con RTO/RPO por servicio |
| MFA en accesos privilegiados y remotos | ✓ | ✓ | Sistema único IAM + MFA |
| Política de criptografía y gestión de claves | ✓ | ✓ | Estándar único de criptografía corporativo |
| Formación obligatoria al personal y al consejo | ✓ | ✓ | Plan formativo único con contenidos diferenciados por rol |
| Notificación de incidentes graves a autoridad competente | ✓ | ✓ | Procedimiento integrado: la primera detección dispara ambos canales si aplica |
| Gestión de identidades y accesos | ✓ | ✓ | IAM/PAM único |
| Hardening de configuraciones | ✓ | ✓ | Estándar único de configuraciones seguras |
Conclusión operativa: si una entidad financiera ya cumple DORA correctamente, cubre el ~95% de NIS2 sin esfuerzo adicional. La gestión coordinada permite un solo SGSI, un solo análisis de riesgos, un solo procedimiento de incidentes con dos canales de notificación, una sola política de proveedores.
Obligaciones exclusivas de DORA
TLPT — Threat-Led Penetration Testing
DORA exige a entidades financieras designadas realizar pruebas TLPT al menos cada 3 años, conforme al framework TIBER-EU, ejecutadas por proveedores externos acreditados independientes (TI provider + RT provider).
NIS2 no exige TLPT formalmente. Su artículo 21 letra f obliga a "evaluar la eficacia" pero deja libertad metodológica.
Análisis dedicado en TIBER-EU y TLPT.
Registro de información de proveedores TIC
DORA exige un registro estructurado y actualizado de todos los acuerdos contractuales TIC, reportable a la autoridad competente en formato definido por las ESAs. NIS2 no exige registro formal en ese formato.
Supervisión directa de CTPP por las ESAs
Los proveedores TIC críticos designados por las Autoridades Europeas de Supervisión están sujetos a supervisión directa europea y multas coercitivas diarias por incumplimiento. NIS2 no contempla supervisión transfronteriza directa de proveedores.
Estrategia de salida documentada
DORA exige estrategia de salida documentada para cada proveedor que preste función crítica o importante. NIS2 lo recomienda como buena práctica pero no lo exige formalmente.
Notificación de ciberamenazas significativas
DORA permite (y promueve) la notificación voluntaria de ciberamenazas significativas detectadas, no solo incidentes materializados. NIS2 solo obliga sobre incidentes consumados.
Obligaciones exclusivas de NIS2
Cobertura de sectores no financieros
NIS2 cubre 18 sectores que no están en DORA: energía, transporte, sanidad, agua, gestión de residuos, fabricación, alimentación, administración pública, espacio, etc.
Categorización esencial / importante
NIS2 distingue entre entidades esenciales (régimen sancionador y de supervisión más estricto) e importantes. DORA no usa esta distinción.
Plazos de notificación 24h/72h/1 mes en directiva
NIS2 fija los plazos directamente en el texto de la directiva. DORA delega los plazos exactos a los RTS publicados por las ESAs.
Multas como porcentaje de facturación anual mundial
NIS2 establece multas hasta el 2% de la facturación anual mundial total (esenciales). DORA establece hasta el 1% de la facturación media diaria mundial durante el período de incumplimiento.
Caso práctico 1 — Banco mediano que opera en varios países UE
Contexto: banco español de tamaño mediano, con sucursales en Portugal y Francia, ofrece servicios de banca digital y tiene contratos con AWS, Microsoft 365 y Salesforce. La filial de gestión inmobiliaria del grupo factura 15 M€ y tiene 60 empleados.
Análisis:
- Banco: entidad de crédito → DORA. NIS2 no aplica directamente por lex specialis.
- Filial de gestión inmobiliaria: no es entidad financiera; revisar Anexos I/II de NIS2. Si aplica, NIS2 sí aplica a la filial.
- AWS, Microsoft, Salesforce: candidatos a CTPP bajo DORA.
- Notificación de incidentes: el banco notifica bajo DORA al supervisor sectorial (Banco de España); la filial inmobiliaria, si tiene incidente significativo de su perímetro propio, notificaría al CSIRT competente bajo NIS2.
Conclusión operativa: marco DORA principal en el banco; marco NIS2 simplificado en la filial; SGSI único de grupo que sirve a ambos.
Caso práctico 2 — Aseguradora con proveedor cloud crítico
Contexto: aseguradora con sede en España, 800 empleados, contrata 100% de su core asegurador a un proveedor SaaS especializado en cloud que opera para 30 aseguradoras europeas.
Análisis:
- Aseguradora: entidad de seguros del artículo 2 de DORA → DORA aplica.
- Proveedor SaaS: presta función crítica al sector financiero europeo → candidato muy probable a CTPP.
- Si es designado CTPP, las ESAs lo supervisan directamente.
- La aseguradora debe tener estrategia de salida documentada del proveedor (artículo 28.2 letra j de DORA).
- En el contrato deben figurar las cláusulas mínimas del artículo 30 de DORA: ubicación de los datos, derechos de auditoría, plan de cooperación con autoridad, condiciones de subcontratación.
- Si el proveedor sufre incidente que afecte a la aseguradora, esta debe notificar bajo DORA.
Caso práctico 3 — Empresa de fabricación industrial con cliente bancario
Contexto: empresa industrial española, 300 empleados, 80 M€ facturación, fabrica componentes electrónicos. Su cliente principal es un banco europeo.
Análisis:
- La empresa industrial no es entidad financiera → DORA no aplica directamente.
- Está en sector "Fabricación" del Anexo II de NIS2 (entidades importantes) si fabrica productos sanitarios, ordenadores, equipos eléctricos, vehículos o maquinaria. Si encaja, NIS2 sí aplica.
- Su cliente bancario, bajo DORA pilar 4, le exigirá cláusulas contractuales artículo 30 de DORA y le incluirá en su registro de información como proveedor TIC.
- En la práctica, la empresa industrial cumple NIS2 y simultáneamente firma un anexo contractual con obligaciones equivalentes a las del artículo 30 de DORA por requerimiento del cliente.
Cómo gestionar ambos marcos sin duplicar trabajo
- Un solo SGSI que cubra los requisitos más exigentes (DORA si eres financiero, NIS2 en los huecos).
- Un solo análisis de riesgos con metodología común y marcado de obligaciones por norma.
- Una sola política de proveedores con anexos contractuales que incluyan cláusulas DORA artículo 30 + cláusulas NIS2 letra d.
- Un solo procedimiento de incidentes con árbol de decisión sobre qué autoridades notificar (CSIRT, supervisor sectorial DORA, AEPD si hay datos personales).
- Auditoría integrada que mapee evidencias contra ambos marcos.
- Comité único de seguridad con representación del consejo, que reporte cumplimiento conjunto.
Preguntas frecuentes
¿Una entidad financiera tiene que notificar incidentes bajo DORA y bajo NIS2?
No. Por lex specialis, DORA prevalece y la notificación se hace por el cauce DORA al supervisor sectorial (Banco de España, CNMV, DGSFP en España). NIS2 no obliga adicionalmente.
¿Una fintech bajo MiCA está bajo DORA o NIS2?
Bajo DORA, porque los proveedores de servicios de criptoactivos (CASP) están en el artículo 2 de DORA. NIS2 no aplica directamente por lex specialis.
Si soy proveedor de un banco, ¿estoy bajo DORA?
No directamente. Pero si prestas función crítica o importante al banco, este te incluirá en su registro DORA y te exigirá cláusulas contractuales artículo 30, evaluación previa, derechos de auditoría y posible plan de cooperación. Si las ESAs te designan CTPP, sí entras bajo supervisión directa europea.
¿NIS2 se aplica a entidades financieras pequeñas que no llegan al umbral DORA?
DORA no tiene umbral general pero aplica proporcionalidad. Una entidad financiera muy pequeña sigue bajo DORA con régimen simplificado, no bajo NIS2.
¿Qué hago si NIS2 y DORA exigen plazos distintos de notificación?
Para entidades bajo lex specialis DORA, DORA es la única referencia. Para entidades NIS2, los plazos 24h/72h/1 mes son la referencia. Si tienes filiales mixtas, define árbol de decisión en el procedimiento que active el cauce correcto según el origen del incidente.
¿La auditoría puede ser conjunta DORA + NIS2?
Sí, y es lo recomendable cuando hay grupo mixto. La auditoría se diseña desde DORA (más exigente) y se mapean los pocos huecos NIS2 específicos (sectores no financieros, formación particular).
Alinea tu organización a DORA y NIS2 con Secra
En Secra ejecutamos análisis GAP integrados, auditorías técnicas alineadas a ambos marcos, ejercicios TLPT/TIBER y revisión de cláusulas contractuales DORA artículo 30.
→ Conoce nuestra Consultoría GRC
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.
Conoce al equipo →