NIS2-guide
Volver al blog
Sector financiero
DORA vs NIS2: guía práctica para bancos, aseguradoras y fintech (2026)

DORA vs NIS2: guía práctica para bancos, aseguradoras y fintech (2026)

9 min de lectura
AD

Alexandre Durand

Director editorial — Experto en ciberseguridad

Lunes por la mañana, 9 h. La responsable de seguridad de un banco español recibe dos cartas. La primera del Banco de España recuerda que el reglamento DORA (reglamento (UE) 2022/2554) se aplica plenamente desde el 17 de enero de 2025. La segunda del CCN-CERT señala que la transposición NIS2 española cubre ahora sus actividades. Pregunta sencilla, respuesta compleja: ¿hay que aplicar ambos textos, o uno prevalece?

Esta confusión es generalizada. Según las orientaciones conjuntas de ENISA y de las tres autoridades europeas de supervisión (EBA, EIOPA, ESMA), la respuesta depende de un principio jurídico preciso: la *lex specialis*. Aquí explicamos cómo articular concretamente ambos regímenes para un banco, una aseguradora o una fintech que opera en Europa.

DORA y NIS2: dos textos, dos lógicas

DORA (Digital Operational Resilience Act, reglamento (UE) 2022/2554) es un reglamento europeo, por lo tanto directamente aplicable en todos los Estados miembros sin transposición nacional. Adoptado en diciembre de 2022, aplicable desde el 17 de enero de 2025, se dirige específicamente al sector financiero: bancos, aseguradoras, gestoras de activos, proveedores de servicios de pago, plataformas de criptoactivos, contrapartes centrales y más de 20 categorías de entidades financieras.

NIS2 (directiva 2022/2555) es una directiva — exige transposición por cada Estado miembro. Su ámbito cubre 18 sectores altamente críticos y críticos, entre ellos el sector bancario y las infraestructuras de los mercados financieros. La transposición debería haberse completado el 17 de octubre de 2024; en mayo de 2026, varios países siguen retrasados.

El enfoque difiere: DORA aborda la resiliencia operativa digital de extremo a extremo (gestión de riesgos TIC, pruebas, incidentes, proveedores terceros, intercambio de información). NIS2 fija un marco general de ciberseguridad aplicable a todos los sectores críticos.

Panel de control de supervisión de riesgos operativos en tiempo real
Panel de control de supervisión de riesgos operativos en tiempo real

Lex specialis: DORA prevalece sobre NIS2 para las entidades financieras

El considerando 28 y el artículo 4 de DORA, combinados con el artículo 4 de la directiva 2022/2555, son explícitos: para las entidades financieras dentro del ámbito de DORA, se aplican las obligaciones DORA en materia de gestión de riesgos TIC, notificación de incidentes y vigilancia sobre proveedores terceros — no las de NIS2.

En la práctica, un banco español cubierto por DORA no necesita duplicar sus procesos para responder a NIS2 en estos temas. El Banco de España es la autoridad competente, el CCN-CERT se retira en estos aspectos.

Pero atención: NIS2 sigue siendo pertinente para las actividades accesorias no cubiertas por DORA. Una aseguradora que opera su propio centro de datos compartido con entidades no financieras, o un banco que publica software comercializado a terceros, mantiene obligaciones NIS2 sobre estos perímetros específicos.

Las 6 diferencias clave que conocer

1. Entidades cubiertas

DORA se dirige explícitamente a 21 categorías de entidades financieras, desde entidades de crédito hasta gestoras de fondos de inversión alternativos, contrapartes centrales y administradores de índices de referencia críticos. Las microempresas están en principio excluidas, pero ningún otro límite cuantitativo se aplica.

NIS2 cubre 18 sectores con umbrales dimensionales (50 empleados, 10 M€ de facturación). Las entidades "esenciales" son las grandes organizaciones de los sectores altamente críticos; las entidades "importantes" agrupan el resto.

2. Notificación de incidentes: 4 horas vs 24 horas

Es la diferencia operativa más destacada.

Bajo DORA (artículo 19), un incidente TIC grave debe notificarse a la autoridad competente en un plazo de 4 horas tras su clasificación como grave — con un límite absoluto de 24 horas desde la detección. El informe intermedio debe enviarse en 72 horas, el informe final en 1 mes.

Bajo NIS2 (artículo 23, directiva 2022/2555), la alerta inicial se exige en 24 horas, el informe completo en 72 horas y el informe final en 1 mes.

DORA es por tanto netamente más estricto en el plazo inicial. Para los detalles operativos del circuito NIS2, ver nuestra [guía práctica de notificación de incidentes en 72h](/es/blog/nis2-notificacion-incidentes-72h-guia-practica).

3. Vigilancia de proveedores terceros TIC

DORA introduce un régimen sin equivalente: un registro de información obligatorio de todos los contratos con proveedores TIC (artículo 28). Los proveedores "críticos" — típicamente los hyperscalers de la nube, los grandes outsourcers — serán supervisados directamente por las autoridades europeas a través del marco de supervisión (Oversight Framework). EBA, EIOPA y ESMA comparten este papel.

NIS2 (artículo 21(2)(d)) impone una evaluación de riesgos de proveedores y cláusulas contractuales, pero sin registro centralizado ni supervisión europea directa. Para las buenas prácticas contractuales lado NIS2, ver nuestro [artículo sobre la cadena de suministro](/es/blog/nis2-cadena-suministro-proveedores).

4. Pruebas de penetración TLPT

DORA exige pruebas TLPT (Threat-Led Penetration Testing) cada 3 años para las entidades financieras de importancia significativa — principalmente grandes bancos e infraestructuras de mercado. Estas pruebas, enmarcadas por el framework TIBER-EU del BCE, simulan ataques reales con acceso a los sistemas en producción.

NIS2 menciona las pruebas de seguridad en las medidas técnicas del artículo 21 pero sin profundidad prescrita ni frecuencia impuesta.

Reunión del comité de auditoría revisando el marco de resiliencia operativa
Reunión del comité de auditoría revisando el marco de resiliencia operativa

5. Intercambio de información (threat intelligence)

DORA fomenta formalmente el intercambio de información sobre amenazas cibernéticas entre entidades financieras (artículo 45) a través de dispositivos sectoriales como FS-ISAC o los CERT financieros nacionales. NIS2 también prevé dispositivos de intercambio voluntario (artículo 29) pero sin un marco sectorial financiero dedicado.

6. Sanciones

DORA no armoniza las sanciones a nivel europeo; cada Estado miembro fija las multas. En España, el Banco de España puede pronunciar sanciones que afectan significativamente los casos de incumplimiento grave.

NIS2 (artículo 34) limita las multas a 10 millones de euros o el 2% de la facturación mundial para las entidades esenciales, 7 millones o 1,4% para las importantes. Para los detalles sobre sanciones y responsabilidad personal de los directivos, ver nuestro [análisis de las sanciones NIS2](/es/blog/sanciones-nis2-directivos-riesgos).

Cómo articular ambas conformidades en la práctica

Para un banco o una aseguradora en el ámbito de DORA, el enfoque pragmático consiste en construir un programa de cumplimiento unificado, con DORA como base principal y NIS2 tratado por excepción en los perímetros residuales.

*Etapa 1 — Cartografiar las actividades.* Las actividades financieras principales (concesión de crédito, gestión de activos, pagos, negociación) entran en DORA. Las actividades accesorias (publicación de software comercial, servicios en la nube a terceros no financieros, infraestructuras de telecomunicaciones internas) pueden permanecer bajo NIS2.

*Etapa 2 — Alinear los plazos en los más estrictos.* Si DORA impone 4 horas y NIS2 impone 24 horas, su dispositivo de respuesta debe funcionar a 4 horas. El informe final NIS2 (1 mes) coincide con el de DORA, así que sin conflicto.

*Etapa 3 — Un registro de terceros único.* Cree un registro de proveedores TIC que satisfaga los requisitos DORA (artículo 28) — este nivel de detalle cubre ampliamente lo que NIS2 demanda.

*Etapa 4 — Gobernanza compartida.* Las responsabilidades del consejo de administración son casi idénticas en ambos textos. Ver nuestro [análisis del artículo 20 NIS2](/es/blog/nis2-articulo-20-consejo-administracion-responsabilidades) — estas obligaciones también se aplican bajo DORA a través de las directrices EBA sobre gobernanza de riesgos TIC.

*Etapa 5 — Pruebas y resiliencia.* Establezca un programa de pruebas que satisfaga el TLPT DORA (el más exigente) — cubrirá mecánicamente los requisitos NIS2.

Calendario 2026 y riesgos de incumplimiento

DORA es aplicable desde el 17 de enero de 2025. Ya no hay período transitorio. Las autoridades europeas iniciaron sus primeras inspecciones en el primer trimestre de 2025; los informes de incidentes graves se exigen en tiempo real.

Para NIS2, varios Estados miembros siguen retrasados. La Comisión Europea inició en 2025 procedimientos de infracción contra 23 Estados miembros — la presión reguladora aumenta.

El riesgo más subestimado para el sector financiero no es la multa. Es el incidente notificado fuera de plazo que se convierte en una señal adicional para el supervisor, o el fallo de un proveedor tercero que revela la ausencia de un plan de continuidad. Los primeros casos de sanciones DORA, esperados para fines de 2026, probablemente abordarán estos aspectos.

Para iniciar una auditoría interna, nuestra [checklist NIS2 gratuita](/es/checklist) cubre los fundamentos. Para las obligaciones específicas DORA — registro de terceros, TLPT, taxonomía de incidentes — consulte las orientaciones conjuntas de ENISA + EBA + EIOPA + ESMA.

*Este artículo es meramente informativo y no constituye asesoramiento jurídico. Para una situación específica, consulte a un abogado especializado en regulación financiera europea.*

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico.