respuesta a incidencias
w-full h-full object-cover
Volver al Blog
Security Compliance

NIS2, DORA y la Ley de Resiliencia Cibernética: ¿qué debes saber?

19 March 2026 7 min read
Jeroen

por Jeroen Schipper

Chief Security Advisor

¿Qué son NIS2, DORA y la CRA?

¿Qué es NIS2 (Ley de Ciberseguridad)?

NIS2 es una directiva europea. Eso significa: cada país debe transponer esa directiva a la legislación nacional. En los Países Bajos, esto se hace a través de la Ley de Ciberseguridad (Cbw).

Importante saber: la fecha límite de la UE para transponer NIS2 fue el 17 de octubre de 2024. Muchos países (incluidos los Países Bajos) aún están trabajando en esa traducción a la normativa nacional.

Estado en los Países Bajos: la Cbw entrará en vigor solo tras la aprobación de la Cámara Baja y la Cámara Alta. La expectativa que el propio gobierno menciona es a finales del segundo trimestre de 2026, pero depende del ritmo en las Cámaras.

¿Qué es DORA?

DORA (Ley de Resiliencia Operativa Digital) es un reglamento europeo. Esa es la diferencia con NIS2: un reglamento se aplica directamente en toda la UE.

DORA se centra en el sector financiero (bancos, aseguradoras, empresas de inversión y más) y está en vigor desde el 17 de enero de 2025.

¿Qué es la Ley de Resiliencia Cibernética (CRA)?

La Ley de Resiliencia Cibernética también es un reglamento europeo, pero con un enfoque diferente: no trata principalmente sobre organizaciones, sino sobre productos con elementos digitales (hardware, software y a menudo también servicios “remotos” asociados).

La CRA está en vigor desde el 10 de diciembre de 2024. Las obligaciones de notificación comienzan el 11 de septiembre de 2026 y los requisitos principales serán aplicables a partir del 11 de diciembre de 2027.

Desarrollo actual: el 3 de marzo de 2026, la Comisión Europea publicó directrices preliminares (“borrador de orientación”) para recibir comentarios, con enfoque en, entre otros, procesamiento remoto de datos, código abierto, períodos de soporte y la relación con otras legislaciones de la UE.

¿Por qué la UE establece estas reglas?

La razón simple: somos más dependientes digitalmente que nunca, y esa dependencia está en cadenas.

  • Un solo incidente en un proveedor puede afectar a decenas de organizaciones.
  • Las interrupciones y ataques no se detienen en las fronteras nacionales.
  • El impacto ya no es “solo TI”: es producción, salud, pagos, logística, servicios públicos.

Por eso la UE quiere un nivel básico más alto y uniforme de ciberresiliencia, con expectativas claras sobre medidas, notificación, supervisión y (cada vez más) demostrabilidad. Esto se refleja en el objetivo de NIS2 y la presión sobre los estados miembros para fortalecer la resiliencia en organizaciones críticas dentro de la sociedad.

¿En qué se centran principalmente estas reglas?

Áreas de atención dentro de NIS2 / Ley de Ciberseguridad

NIS2/Cbw trata sobre “seguridad gestionada” para organizaciones esenciales e importantes: no solo tecnología, sino también gobernanza, procesos y cadena.

En la explicación neerlandesa se ven tres pilares:

  1. Deber de cuidado: tomar medidas adecuadas basadas en riesgos, enfocadas en la continuidad y protección de la información.

  2. Obligación de registro: las organizaciones dentro del alcance deben registrarse (obligatoriamente en el futuro). El registro voluntario ya fue posible desde el 17 de octubre de 2024, la obligatoriedad será tras la entrada en vigor de la Cbw.

  3. Obligación de notificación (incidentes significativos): en pasos y con rapidez:

  • advertencia temprana dentro de 24 horas,

  • notificación de seguimiento dentro de 72 horas,

  • informe final a más tardar 1 mes después de la primera notificación.

Lo que se ve cada vez más en la práctica: las organizaciones que esperan “el texto exacto de la ley” se quedan atrás. La cadena de notificación, la toma de decisiones y la organización de crisis deben practicarse, no solo documentarse.

Áreas de atención dentro de DORA

DORA está hecho para un escenario: el sector financiero debe seguir funcionando, incluso si las TIC están bajo presión.

El enfoque está en:

  • Gestión de riesgos TIC: políticas, controles, monitoreo, responsabilidad.

  • Gestión y reporte de incidentes: procesos para controlar y reportar grandes incidentes TIC.

  • Pruebas de resiliencia: no una prueba anual, sino estructural y demostrable.

  • Terceros/proveedores: control sobre externalización, contratos, escenarios de salida.

Supervisión de proveedores TIC críticos: esta es una tendencia importante. Los supervisores europeos publicaron el 18 de noviembre de 2025 la primera lista de proveedores terceros TIC críticos designados.

En resumen: DORA convierte la “gestión de proveedores” en una prioridad explícita.

Áreas de atención dentro de la CRA

La CRA lleva la ciberseguridad al producto: securebydesign se convierte en un requisito para vender en la UE.

El núcleo gira en torno a:

  • Diseño seguro y configuraciones predeterminadas seguras.

  • Gestión de vulnerabilidades: encontrar, corregir, comunicar.

  • Actualizaciones y soporte: ¿cuánto tiempo permanece un producto seguro y soportado?

  • Notificación de problemas: a partir de 2026 comienzan las obligaciones de reporte.

Claridad sobre el alcance: especialmente en software, funciones tipo nube y código abierto. Por eso ahora la Comisión está proporcionando orientación adicional.

Una observación práctica: la CRA no solo afecta a los equipos de seguridad. También gestión de producto, desarrollo, legal, aseguramiento de calidad y cadena de suministro se unen en un único tema de cumplimiento.

¿Por qué es importante cumplir?

Por supuesto: es legislación, por lo que quieres evitar multas, supervisión, daño reputacional y responsabilidad. Pero hay tres razones que a menudo pesan más que el “cumplimiento”:

  • Continuidad: no quieres que un solo incidente detenga tu servicio.

  • Confianza: clientes y socios de la cadena cada vez más piden resiliencia demostrable.

  • Acceso al mercado: con la CRA, la seguridad del producto es literalmente un pase de entrada al mercado de la UE (o al menos una condición estricta de venta).

Quien invierte ahora, compra tranquilidad: menos incidentes ad hoc, recuperación más rápida, mejor previsibilidad.

¿Cómo empezar sin ahogarse en reglas?

Si quieres abordarlo de forma práctica, esto casi siempre funciona:

Determina el alcance: ¿estás bajo NIS2/Cbw, DORA, CRA o varios?

  • Expón tu cadena crítica: ¿qué proveedores son “punto único de fallo”?

  • Haz que la notificación de incidentes sea factible: ¿puedes notificar en 24/72 horas con la información correcta, sin pánico?

  • Comienza a recopilar evidencias: no solo políticas, sino también registros, pruebas, ejercicios y seguimiento.

  • Para equipos de producto: desarrolla procesos para manejo de vulnerabilidades, procesos de actualización y acuerdos de soporte en tu ciclo de vida.

Si eliges una acción para esta semana: haz una verificación de alcance y prueba tu flujo de incidentes (quién hace qué, cuándo, con qué información). Así ya estarás más avanzado que muchas organizaciones que aún “esperan la ley”.

(Este blog está destinado como un resumen informativo y no como asesoramiento legal.)

Publicaciones relacionadas

DORA
Security Compliance DORA: La legislación europea para instituciones financieras también impone requisitos a los proveedores de servicios TIC
29 March 2024 7 min read
Ver todas las publicaciones relacionadas

Convierte la monitorización 24/7 en una verdadera capacidad de respuesta

Habla con nuestro equipo y descubre cómo una respuesta rápida y dirigida por expertos transforma tu postura de seguridad.

Contáctanos