Gigas Blog

NIS2 y DORA: el nuevo terreno de juego digital. ¿Está tu empresa preparada?

Escrito por Admin | 24 de noviembre de 2025 11:35:01 Z

La Unión Europea ha subido el listón. NIS2 y DORA no son simples normativas técnicas: son el mensaje más contundente hasta ahora sobre seguridad, resiliencia y responsabilidad digital. Y llegan con un aviso implícito: la improvisación ya no es una opción.

¿La buena noticia? Si tu infraestructura está en un cloud verdaderamente compliant, vas por delante.

 

¿Qué exigen realmente NIS2 y DORA?

NIS2 amplía la obligación de proteger servicios esenciales y digitales en casi todos los sectores críticos: energía, salud, transporte, agua, cloud, centros de datos… Todo con mayor supervisión, más controles obligatorios y multas más altas.

DORA, en cambio, va dirigido al sector financiero. Y es aún más quirúrgico: gobernanza tecnológica estricta, control de proveedores TIC, pruebas de resiliencia, reporting de incidentes y auditorías con lupa.

Muy breve y esquemáticamente, vamos a presentar las dos regulaciones:

¿Qué es NIS2?

  • NIS2 (“Network and Information Security 2”) es la Directiva (UE) 2022/2555 sobre ciberseguridad para redes y sistemas de información.
  • Entró en vigor el 16 de enero de 2023 y los Estados miembros tenían hasta el 17 de octubre de 2024 para trasponerla a sus leyes nacionales.
  • Su objetivo: elevar el nivel mínimo común de seguridad digital en toda la UE, mejorar la resiliencia cibernética, y asegurar que las infraestructuras críticas estén mejor protegidas.
  • Sustituye a la anterior Directiva NIS (NIS1, de 2016), porque el panorama de amenazas ha evolucionado y se necesitan normas más exigentes.

 

¿A quién afecta NIS2?

NIS2 amplía mucho el alcance, afectando a más sectores y empresas. Algunos ejemplos:

  • Sectores esenciales: energía, transporte, salud, agua, residuos, administración pública, etc.
  • Proveedores de servicios digitales: más allá de lo que cubría la NIS1, ahora hay más tipos de entidades digitales reguladas.
  • Además, NIS2 introduce clasificaciones como “entidades esenciales” y “entidades importantes”, con obligaciones según su criticidad.
  • También exige que los Estados mantengan estrategias nacionales de ciberseguridad, gestión de vulnerabilidades y cooperación entre países.

 

Principales obligaciones de NIS2

  • Gestión de riesgos: las entidades reguladas deben tener medidas técnicas, operativas y organizativas para proteger sus redes y sistemas.
  • Notificación de incidentes: se deben reportar incidentes de ciberseguridad con impacto significativo según plazos definidos.
  • Supervisión: las autoridades nacionales supervisan el cumplimiento y pueden imponer sanciones.
  • Protección de la cadena de suministro: se piden medidas para gestionar riesgos en proveedores tecnológicos.

¿Qué es DORA?

  • DORA es el Reglamento (UE) 2022/2554, llamado Digital Operational Resilience Act.
  • Su objetivo: reforzar la resiliencia operacional digital en el sector financiero europeo, para que los incidentes tecnológicos (o ciberataques) no generen fallos graves en el sistema financiero.
  • Al ser un reglamento, sus obligaciones se aplican de forma directa en todos los países de la UE (no necesita “transposición”).
  • Entró en vigor el 17 de enero de 2025 para muchas de sus obligaciones.

 ¿A quién afecta DORA?

DORA está dirigida principalmente al sector financiero, incluyendo:

  • Bancos.
  • Compañías de seguros y mediadores.
  • Empresas de servicios de pago y dinero electrónico.
  • Gestores de fondos de inversión.
  • Infraestructuras del mercado financiero, como plataformas de negociación, entidades de compensación (CCP), depósitos centrales (CSD) y otras.
  • Proveedores de tecnología críticos para estas entidades (“proveedores TIC”), especialmente si su servicio es crítico para el funcionamiento de las instituciones financieras.

 Principales obligaciones de DORA

  • Gobernanza del riesgo TIC: las entidades deben tener políticas, roles y procesos claros para gestionar riesgos tecnológicos.
  • Notificación de incidentes: hay que reportar incidentes TIC importantes, con requisitos específicos sobre qué tipo de información comunicar.
  • Pruebas de resiliencia: DORA exige pruebas regulares (por ejemplo, pentesting) y ejercicios de resiliencia operativa.
  • Gestión de terceros: las entidades financieras deben gestionar cuidadosamente los riesgos que provengan de sus proveedores de tecnología. Contratos, auditorías y continuidad deben revisarse.
  • Cooperación con autoridades: intercambio de información, coordinación en incidentes sistémicos, y participación en mecanismos de supervisión.

 

EL CLOUD Y LA NORMATIVA REGULATORIA NIS2 y DORA

¿Por qué estas regulaciones son importantes?

Estas regulaciones son importantes porque establecen un nuevo estándar mínimo de seguridad y resiliencia digital dentro de la UE, en un contexto donde los ciberataques son más frecuentes, más sofisticados y con un impacto potencialmente sistémico. NIS2 y DORA no sólo buscan que las organizaciones prevengan incidentes, sino que puedan responder, recuperarse y seguir operando incluso bajo presión.

Estas normas son la base para que empresas e infraestructuras críticas sigan siendo fiables, seguras y competitivas en un entorno digital cada vez más hostil. La visión de ambas regulaciones es una visión 360 sobre la seguridad:

  1. Ciberamenazas crecientes: Los ataques son más sofisticados y frecuentes. Tanto NIS2 como DORA responden a esa realidad.
  2. Resiliencia digital como prioridad estratégica: Ya no basta prevenir: hay que garantizar que las operaciones puedan seguir, recuperarse y resistir.
  3. Supervisión más homogénea en la UE: Estas normas armonizan cómo los estados miembros regulan la ciberseguridad (NIS2) y la resiliencia operativa en las finanzas (DORA).
  4. Responsabilidad real: No solo la parte técnica importa, sino también la gobernanza, la cultura del riesgo y la gestión de proveedores.
  5. Sanciones y consecuencias: No cumplir puede tener consecuencias legales graves, tanto por incidentes como por no tener procesos adecuados.

Tanto NIS2 como DORA coinciden en algunos temas muy relevantes: gobernanza seria, gestión profesional del riesgo, respuesta rápida a incidentes y control férreo de proveedores.

El secreto que pocos están aprovechando es el cloud compliant: infraestructuras en la nube que ya integran controles, auditorías y configuraciones alineadas con los requisitos de NIS2 y DORA. Mientras muchas organizaciones luchan por adaptar su TI tradicional —costosa, rígida y difícil de auditar— otras están acelerando porque el cloud les ofrece seguridad nativa, resiliencia integrada, automatización y evidencias listas para inspección. En la práctica, el cloud compliant convierte obligaciones complejas en capacidades ya preparadas: cifrado por defecto, control de accesos granular, trazabilidad total, recuperación ante desastres y contratos diseñados para cumplir. Por eso, quienes lo adoptan no sólo cumplen más rápido… también operan con más agilidad y menos riesgo.

Existen algunos factores aceleradores de compliance en el cloud:

  1. Seguridad que viene de fábrica: IAM robusto, cifrado automático, logs centralizados, detección de amenazas… Lo que antes requería meses ahora está listo en minutos.
  2. Resiliencia real, no imaginaria: Arquitecturas multi-AZ, recuperación ante desastres integrada y pruebas automatizadas permiten cumplir —e incluso superar— NIS2 y DORA sin dramas.
  3. Evidencias y auditorías sin sudar: Los proveedores cloud ya ofrecen certificaciones, trazas, registros y herramientas para mostrar cumplimiento casi “on demand”.
  4. Contratos alineados con la regulación: Cláusulas de auditoría, localización de datos, subcontratación transparente y SLAs verificables. Justo lo que piden los reguladores.

 PERO OJO: EL CLOUD NO CUMPLE POR TI

Un cloud compliant no elimina la responsabilidad de la organización: simplemente ofrece una base más segura, pero el control final sigue en tus manos.

Una mala configuración puede abrir brechas incluso en la nube más robusta; sin una gobernanza sólida —roles claros, procesos, supervisión— el cumplimiento se desvanece y las sanciones pueden ser inevitables; y si no se gestionan bien los proveedores, especialmente los críticos, se corre el riesgo de replicar los mismos fallos en toda la cadena.

En resumen, el cloud te da las herramientas, pero la seguridad real depende de cómo las uses. Ten en cuenta que el cloud es un acelerador, nunca un piloto automático.

Recomendaciones que se pueden empezar a aplicar ya

  1. Hacer un gap análisis ya: Mapear NIS2/DORA con tus procesos actuales. Detectar huecos. Priorizar.
  2. Revisar contratos de proveedores: Especialmente cloud, MSPs y software crítico.
  3. Automatizar controles: Infrastructure as Code, políticas como código, CI/CD con seguridad integrada.
  4. Probar, probar y volver a probar: Backups, restauraciones, incident response y ejercicios de crisis.

La conclusión: más que cumplir, es la oportunidad de modernizarse. NIS2 y DORA parecen normativas pesadas, pero bien aprovechadas pueden convertirse en una ventaja competitiva, aportando: mejor seguridad, menos fricción con auditorías, mayor resiliencia, más confianza del mercado.

Y con un cloud compliant, ese camino se acorta —y mucho.

 
Ver post completo