Guía comparativa · Regulados · Evidencias
NIS2 vs DORA: qué cambia y cómo demostrar cumplimiento
Comparativa práctica orientada a auditoría: aplicabilidad, obligaciones, evidencias auditables y un enfoque para reutilizar controles y evitar duplicidades.
Cómo pensar NIS2 y DORA sin duplicar trabajo
La mayoría de organizaciones fallan por lo mismo: documentación “bonita” pero poca evidencia operativa. El enfoque que mejor funciona es un núcleo común (gobierno, riesgos, incidentes, continuidad, terceros) con evidencias que salen de operación (ITSM/tickets, SIEM/EDR, inventario, pruebas), y luego mapear los requisitos específicos de NIS2 y DORA.
NIS2
Enfatiza gobierno, medidas de ciberseguridad, gestión de riesgos y notificación/incidentes, incluyendo obligaciones organizativas y de cadena de suministro.
Ver servicio NIS2 →DORA
En la práctica es más “operacional”: gestión del riesgo TIC, pruebas, reporting, y una disciplina fuerte en terceros TIC y resiliencia.
Ver servicio DORA →Tabla comparativa (NIS2 vs DORA)
Diseña evidencias con trazabilidad: requisito → control → procedimiento → registro → KPI.
| Tema | NIS2 | DORA | Evidencias “reutilizables” |
|---|---|---|---|
| Ámbito | Entidades esenciales/importantes (según sector/criterios) | Sector financiero + ecosistema (riesgo TIC/terceros) | Matriz de aplicabilidad + mapa de requisitos por unidad/servicio. |
| Gobierno | Responsabilidad, medidas, gestión de riesgos | Gobierno de resiliencia operativa TIC | Políticas aprobadas, comités, RACI, revisiones periódicas, KPIs. |
| Incidentes | Notificación y gestión de incidentes | Gestión y reporting de incidentes TIC (disciplina fuerte) | Playbooks, tickets, timelines, post-mortem, métricas MTTA/MTTR. |
| Terceros | Cadena de suministro (gestión de riesgo) | Gestión de terceros TIC + contratos + seguimiento + criticidad | Inventario de terceros, criticidad, SLAs, evidencias de evaluación y monitorización. |
| Continuidad / resiliencia | Medidas y capacidad de respuesta | Pruebas, continuidad y resiliencia operativa TIC | BCP/DRP, pruebas, resultados, acciones, evidencias de cierre. |
| Pruebas | No define un programa “tan prescriptivo” | Programa de pruebas y validación (más exigente) | Plan anual de pruebas, evidencias de ejecución, retesting y lecciones aprendidas. |
| Auditoría / evidencias | Demostración de medidas y cumplimiento | Evidencia operativa + reporting + terceros + pruebas | Repositorio de evidencias, naming estándar, owners, caducidad y control de cambios. |
Checklist mínimo
Inventario + riesgo + evidencias por control. Sin eso, auditoría se complica.
Evidencias vivas
Saca evidencias de operación (tickets, SIEM, EDR). Evita “Word-only”.
Terceros bien hechos
Clasifica criticidad, SLAs y seguimiento real. Aquí se cae mucha gente.
Servicios que suelen cerrar el cumplimiento “de verdad”
NIS2/DORA no se demuestran solo con políticas: necesitas evidencias técnicas y operativas.
SOC/MDR
Detección y respuesta con reporting ejecutivo y trazabilidad.
Ver →
Vulnerabilidades + remediación
Backlog, priorización y revalidación como evidencia.
Ver →
Incident Response / Forense
Playbooks, timelines, post-mortem y evidencias de cierre.
Ver →
ENS
Si hay sector público, unifica evidencias y evita duplicidades.
Ver →
ISO 27001
Marco de gobierno para que el cumplimiento sea sostenible.
Ver →
Ver catálogo completo
Explora servicios por área e intención.
Ver →
Preguntas frecuentes
¿NIS2 y DORA se solapan?
Sí, especialmente en gobierno, gestión de riesgos, incidentes, continuidad y terceros. La clave es una capa única de evidencias reutilizables (políticas, procedimientos, registros y KPIs) y luego mapear requisitos específicos.
¿A qué tipo de empresas les afecta cada una?
NIS2 aplica a entidades esenciales e importantes (según sector y criterios), mientras que DORA aplica al sector financiero y su ecosistema (incluyendo gestión de riesgo TIC y terceros). La aplicabilidad exacta depende del tipo de entidad y del rol en la cadena.
¿Cuál exige más evidencias operativas?
En la práctica, DORA suele ser más exigente en pruebas, reporting, gestión de terceros TIC y disciplina operativa. NIS2 enfatiza gobierno, medidas y notificación/incidentes. Bien diseñado, el “núcleo” documental y operativo puede ser común.
¿Quieres aterrizar NIS2/DORA con evidencias auditables?
Te proponemos un diagnóstico inicial (aplicabilidad + gaps + plan) y un diseño de evidencias reutilizables.