energy-icon
El ROI real de la IA: descubre cómo identificar, priorizar y escalar proyectos de IA con retorno real para tu empresa

NIS2 y DORA: qué exigen a tu equipo técnico

Escrito por

Somos Shakers y estamos creando un ecosistema de trabajo flexible en el que talento y empresas conectan con un match perfecto y se relacionan de una manera eficiente y transparente.

...

La decisión más difícil no es técnica: es admitir delante del comité que el equipo que cerró el proyecto de compliance el año pasado ya no basta. NIS2 y DORA no llegaron para auditarse una vez. Llegaron para sostenerse todos los días, y eso cambia qué perfil necesitas contratado, no solo qué checklist rellenar.

NIS2 y DORA exigen a tu equipo técnico monitorización continua, evidencias auditables en todo momento y roles capaces de traducir el marco legal en controles automatizados. No es un proyecto de auditoría puntual: es una capacidad operativa que se sostiene en producción, con roles de gobernanza de riesgo TIC, ingeniería de compliance y respuesta a incidentes trabajando de forma continua, no en carreras de última hora antes de la revisión del regulador.

TL;DR. NIS2 (transposición obligatoria desde el 17 de octubre de 2024) y DORA (en vigor desde el 17 de enero de 2025) exigen compliance técnico continuo, no auditorías puntuales. Las sanciones para el nivel esencial bajo NIS2 llegan a 10 millones de euros o el 2% de la facturación global, lo que sea mayor (Comisión Europea, 2024). El cuello de botella real no es el marco legal: es si tu equipo tiene los roles técnicos para sostenerlo cada día.

¿Qué exige NIS2 realmente a nivel técnico?

NIS2 exige gestión de riesgos de ciberseguridad, notificación de incidentes significativos en plazos ajustados y responsabilidad directa de la dirección sobre esas medidas. Entró en vigor en enero de 2023 y los estados miembro debían transponer la norma a su legislación nacional antes del 17 de octubre de 2024, fecha en la que derogó a su predecesora, NIS1 (Comisión Europea, 2024).

Cubre sectores mucho más amplios que la norma anterior: energía, transporte, sanidad, finanzas, gestión del agua, infraestructuras digitales, comunicaciones electrónicas, servicios digitales, gestión de residuos, fabricación de productos críticos, correos y mensajería, administración pública y sector espacial (Comisión Europea, 2024). Si tu organización cae en alguno de esos sectores y supera el umbral de tamaño medio, entras dentro.

El error habitual es tratar NIS2 como un documento de políticas. No lo es. Exige que la gestión de riesgos se traduzca en controles que un auditor pueda verificar sin previo aviso: registros de incidentes, evidencia de formación, trazabilidad de proveedores. Eso solo lo sostiene un equipo con skills técnicos específicos, no un responsable de compliance trabajando solo con hojas de cálculo.

¿Qué exige DORA a las entidades financieras?

DORA entró en aplicación efectiva el 17 de enero de 2025 y ya está vigente. Cubre veinte tipos de entidades financieras y a sus proveedores TIC críticos, no solo bancos: aseguradoras, gestoras de inversión y otros actores del ecosistema financiero europeo (EIOPA, 2025).

Se estructura en seis pilares que exigen capacidad técnica sostenida: gestión del riesgo TIC, gestión del riesgo de terceros TIC, pruebas de resiliencia operativa digital, gestión de incidentes TIC, intercambio de información sobre amenazas y supervisión de proveedores críticos (EIOPA, 2025). Cada uno de esos seis pilares necesita un dueño técnico real, con capacidad para ejecutar, no solo para reportar.

La diferencia con auditorías anteriores es la palabra "pruebas". DORA no pide que digas que tu infraestructura resiste; pide que lo demuestres con pruebas de resiliencia periódicas, básicas y avanzadas. Eso exige el mismo tipo de ingeniería que ya usas para preparar sistemas antes de producción, aplicada a compliance.

Dimensión NIS2 DORA
Ámbito 13 sectores críticos (energía, transporte, sanidad, finanzas, digital, administración pública, entre otros) 20 tipos de entidades financieras y proveedores TIC críticos
Vigencia Transposición obligatoria desde el 17 de octubre de 2024 Aplicación efectiva desde el 17 de enero de 2025
Foco técnico Gestión de riesgos + notificación de incidentes Resiliencia operativa digital + pruebas periódicas
Sanción máxima (mínimo armonizado UE) 10 millones de euros o 2% de facturación global (nivel esencial), lo mayor Definida por regulador nacional/sectorial, sin tope único UE

¿Qué roles necesita tu equipo para compliance continuo?

Compliance continuo no lo sostiene un responsable legal solo. Necesita tres capas técnicas trabajando en paralelo: gobernanza de riesgo TIC (quién define y prioriza el riesgo), ingeniería de compliance (quién automatiza el control) y respuesta a incidentes (quién actúa cuando algo falla). Sin las tres, el marco legal queda en un documento que nadie sostiene el día 366.

  • Gobernanza de riesgo TIC: define el mapa de riesgos, prioriza qué se controla primero y responde ante el regulador. Perfil senior, normalmente CISO o su reporte directo.
  • Ingeniería de compliance: traduce la exigencia legal en controles automatizados dentro del pipeline (compliance as code), no en un checklist manual que se revisa una vez al trimestre.
  • Respuesta a incidentes: sostiene los plazos de notificación que exige NIS2 y las pruebas de resiliencia que exige DORA. Sin este rol, el incidente se detecta tarde y se reporta más tarde todavía.

El desafío habitual en compliance técnico es siempre el mismo: el marco legal existe en la teoría, pero falta el talento certificado en ingeniería de seguridad e infraestructura que lo sostenga en producción, no solo en el papel.

¿Cómo se implementa compliance as code sin frenar el desarrollo?

Compliance as code integra los controles regulatorios directamente en el pipeline de CI/CD: cada despliegue verifica automáticamente los requisitos de NIS2 o DORA antes de llegar a producción, en vez de auditar después del hecho. Eso exige un ingeniero que entienda tanto el marco regulatorio como la infraestructura como código, no dos equipos que se pasan un documento por email.

La resistencia habitual es asumir que compliance as code ralentiza el desarrollo. Ocurre lo contrario cuando está bien implementado: el control automatizado se ejecuta en segundos dentro del pipeline, mientras que la auditoría manual trimestral bloquea despliegues enteros cuando aparece un hallazgo tardío. La fricción no está en automatizar el control; está en no tenerlo automatizado y descubrirlo en la revisión anual.

Modelo Cómo sostiene compliance continuo Riesgo si falta el rol técnico
Auditoría trimestral externa Revisión puntual, evidencia recopilada manualmente Hallazgos que llegan meses después del incidente real
Equipo interno sin refuerzo Depende de quién ya está, sin capacidad de picos El equipo legal define política que nadie traduce a control técnico
Blended team (interno + talento certificado externo) Ingeniería de compliance dedicada, gobernanza compartida con tu equipo Bajo, si existe un interlocutor interno con horas reales dedicadas

Un blended team funciona aquí igual que en cualquier otro cluster técnico: combina a tu gente, que conoce el negocio y el riesgo real, con talento certificado en ingeniería de seguridad y automatización que ya ha implementado estos controles antes. Sin un interlocutor interno con horas dedicadas, el modelo degenera en un proyecto externo con otro nombre.

¿Qué red flags descartan una propuesta de compliance NIS2/DORA?

Tres señales descartan una propuesta sin más análisis: entregable en formato solo-documento sin integración con tu pipeline, ausencia de plan de pruebas de resiliencia recurrentes y estimación de alcance sin haber revisado tu inventario de activos TIC.

  • Solo documento, sin código: si el entregable es una política en PDF y no un control ejecutable, en seis meses vuelves a estar donde empezaste.
  • Sin pruebas periódicas: DORA exige demostrar resiliencia, no describirla. Una propuesta sin calendario de pruebas no cumple el espíritu de la norma.
  • Sin inventario previo: nadie dimensiona el riesgo TIC de terceros sin haber contado antes cuántos proveedores críticos tienes y qué acceso tienen.

Preguntas frecuentes sobre cumplimiento NIS2 y DORA

¿Qué es NIS2?

NIS2 es la directiva europea de ciberseguridad que exige gestión de riesgos, notificación de incidentes y responsabilidad directa de la dirección en 13 sectores críticos. Entró en vigor en enero de 2023, con transposición obligatoria desde el 17 de octubre de 2024, y derogó a la directiva NIS1 anterior (Comisión Europea, 2024).

¿Qué es DORA y a quién afecta?

DORA es el reglamento europeo de resiliencia operativa digital para el sector financiero. Está en aplicación efectiva desde el 17 de enero de 2025 y cubre 20 tipos de entidades financieras además de sus proveedores TIC críticos: bancos, aseguradoras, gestoras de inversión y otros actores regulados (EIOPA, 2025).

¿NIS2 y DORA exigen lo mismo?

No. NIS2 cubre 13 sectores críticos con foco en gestión de riesgos y notificación de incidentes. DORA es específica del sector financiero y añade pruebas de resiliencia operativa periódicas y gestión del riesgo de proveedores TIC. Si tu organización es financiera, probablemente te aplican ambas normas a la vez.

¿Cuáles son las sanciones por incumplir NIS2?

Para el nivel esencial, la multa mínima armonizada por la UE llega a 10 millones de euros o el 2% de la facturación global anual, lo que resulte mayor. Para el nivel importante, el mínimo baja a 7 millones de euros o el 1,4% (Comisión Europea, 2024). Algunos estados miembro fijan topes superiores en su transposición nacional.

¿Cómo se cubre el equipo técnico para compliance NIS2/DORA con Shakers?

Con un blended team: tu equipo interno aporta el conocimiento del negocio y el riesgo real; el talento certificado en skills IA de Shakers aporta la ingeniería de compliance y de seguridad que automatiza los controles. Es infraestructura de contratación, no una consultora que entrega un informe y desaparece.

¿Funciona compliance as code si mi empresa todavía audita de forma manual?

Sí, y suele ser el punto de entrada más razonable: se automatiza primero el control de mayor riesgo o el que más tiempo consume en cada auditoría manual, y se expande desde ahí. No hace falta migrar todo el proceso de compliance el primer mes para empezar a cerrar el gap.

NIS2 y DORA ya no son un proyecto que se cierra y se archiva. Son una capacidad que tu equipo sostiene todos los días, con los mismos estándares de ingeniería que aplicas a producción. La pregunta que decide el resultado no es si conoces el marco legal. Es si tienes, hoy, quién lo traduzca a control automatizado antes de que lo pida el regulador.

Si el gap está en el equipo y no en el marco legal, un blended team con talento certificado en ingeniería de seguridad cubre esa capacidad sin montar estructura de más. La página de soluciones de ciberseguridad detalla los perfiles habituales de estos equipos. Habla con un experto Shakers para dimensionar el tuyo.

Recursos relacionados