Volver al Blog
Security Compliance

NIS2, DORA y la Ley de Resiliencia Cibernética: ¿qué debes saber?

19 de marzo de 2026 por Jeroen Schipper, Chief Security Advisor

Contenido del artículo

¿Qué son NIS2, DORA y la CRA?

¿Qué es NIS2 (Ley de Ciberseguridad)?

NIS2 es una directiva europea. Eso significa: cada país debe transponer esa directiva a la legislación nacional. En los Países Bajos, esto se hace a través de la Ley de Ciberseguridad (Cbw).

Importante saber: la fecha límite de la UE para transponer NIS2 fue el 17 de octubre de 2024. Muchos países (incluidos los Países Bajos) aún están trabajando en esa traducción a la normativa nacional.

Estado en los Países Bajos: la Cbw entrará en vigor solo tras la aprobación de la Cámara Baja y la Cámara Alta. La expectativa que el propio gobierno menciona es a finales del segundo trimestre de 2026, pero depende del ritmo en las Cámaras.

¿Qué es DORA?

DORA (Ley de Resiliencia Operativa Digital) es un reglamento europeo. Esa es la diferencia con NIS2: un reglamento se aplica directamente en toda la UE.

DORA se centra en el sector financiero (bancos, aseguradoras, empresas de inversión y más) y está en vigor desde el 17 de enero de 2025.

¿Qué es la Ley de Resiliencia Cibernética (CRA)?

La Ley de Resiliencia Cibernética también es un reglamento europeo, pero con un enfoque diferente: no trata principalmente sobre organizaciones, sino sobre productos con elementos digitales (hardware, software y a menudo también servicios "remotos" asociados).

La CRA está en vigor desde el 10 de diciembre de 2024. Las obligaciones de notificación comienzan el 11 de septiembre de 2026 y los requisitos principales serán aplicables a partir del 11 de diciembre de 2027.

¿Por qué la UE establece estas reglas?

La razón simple: somos más dependientes digitalmente que nunca, y esa dependencia está en cadenas.

  • Un solo incidente en un proveedor puede afectar a decenas de organizaciones.
  • Las interrupciones y ataques no se detienen en las fronteras nacionales.
  • El impacto ya no es "solo TI": es producción, salud, pagos, logística, servicios públicos.

¿En qué se centran principalmente estas reglas?

Áreas de atención dentro de NIS2 / Ley de Ciberseguridad

NIS2/Cbw trata sobre "seguridad gestionada" para organizaciones esenciales e importantes: no solo tecnología, sino también gobernanza, procesos y cadena. En la explicación neerlandesa se ven tres pilares:

  • Deber de cuidado: tomar medidas adecuadas basadas en riesgos, enfocadas en la continuidad y protección de la información.
  • Obligación de registro: las organizaciones dentro del alcance deben registrarse obligatoriamente.
  • Obligación de notificación: advertencia temprana dentro de 24 horas, notificación de seguimiento dentro de 72 horas, informe final a más tardar 1 mes después.

Áreas de atención dentro de DORA

  • Gestión de riesgos TIC: políticas, controles, monitoreo, responsabilidad.
  • Gestión y reporte de incidentes.
  • Pruebas de resiliencia: estructural y demostrable.
  • Terceros/proveedores: control sobre externalización, contratos, escenarios de salida.

Áreas de atención dentro de la CRA

  • Diseño seguro y configuraciones predeterminadas seguras.
  • Gestión de vulnerabilidades: encontrar, corregir, comunicar.
  • Actualizaciones y soporte durante el ciclo de vida del producto.
  • Notificación de problemas: obligaciones de reporte desde 2026.

¿Por qué es importante cumplir?

Más allá de las multas y la supervisión regulatoria, hay tres razones que a menudo pesan más que el simple "cumplimiento":

  • Continuidad: no quieres que un solo incidente detenga tu servicio.
  • Confianza: clientes y socios de la cadena cada vez más piden resiliencia demostrable.
  • Acceso al mercado: con la CRA, la seguridad del producto es literalmente un pase de entrada al mercado de la UE.

¿Cómo empezar sin ahogarse en reglas?

  • Determina el alcance: ¿estás bajo NIS2/Cbw, DORA, CRA o varios?
  • Expón tu cadena crítica: ¿qué proveedores son "punto único de fallo"?
  • Haz que la notificación de incidentes sea factible en 24/72 horas.
  • Comienza a recopilar evidencias: no solo políticas, sino también registros, pruebas y ejercicios.
  • Para equipos de producto: desarrolla procesos para manejo de vulnerabilidades y actualizaciones.

(Este blog está destinado como un resumen informativo y no como asesoramiento legal.)

¿Necesitas ayuda con NIS2, DORA o la CRA?

Contacta con nosotros Línea de incidentes 24/7