Durante mucho tiempo, la ISO 27001 ha sido la referencia en seguridad de la información. Su certificación demuestra que una organización gestiona adecuadamente los riesgos y protege sus activos más sensibles. Pero en un mundo cada vez más digitalizado, con ciberataques más frecuentes y sofisticados, la Unión Europea ha decidido dar un salto adelante.

Con la Directiva NIS2 y el Reglamento DORA, Bruselas quiere garantizar que las organizaciones críticas no solo protejan la información, sino que sean capaces de resistir, responder y recuperarse ante un ciberincidente. La palabra clave es ciberresiliencia, y la exigencia es clara: estar preparados.

NIS2: la directiva que amplía el alcance de la ciberseguridad

---

La Directiva NIS2 entró en vigor en enero de 2023 y debía haberse incorporado a la legislación española antes del 17 de octubre de 2024. España, como otros países, va con retraso en la transposición, lo que ha llevado incluso a la Comisión Europea a iniciar procedimientos de infracción. Aun así, la obligación para las empresas es real y se aplicará en cuanto se apruebe la normativa nacional.

¿A quién afecta?

---

NIS2 ya no se limita a un pequeño grupo de operadores de servicios esenciales. Ahora obliga a todas las empresas medianas y grandes (más de 50 empleados o más de 10 millones de euros de facturación) que operen en sectores considerados estratégicos:

• Energía, transporte, salud, agua potable y residual.
• Banca y mercado financiero.
• Infraestructuras digitales (data centers, cloud, DNS).
• Administración pública.
• Servicios digitales como marketplaces o redes sociales.

Incluso pequeñas empresas pueden quedar incluidas si gestionan infraestructuras críticas.

Sanciones

---

Las multas son severas:

• Hasta 10 millones de euros o el 2% del volumen de negocio global anual, lo que sea mayor.
  Además, la directiva refuerza la responsabilidad de la alta dirección, que podrá ser sancionada si no aprueba y supervisa correctamente las medidas de seguridad.

DORA: resiliencia digital en el sector financiero

---

El Reglamento DORA fue aprobado en diciembre de 2022 y será directamente aplicable en todos los Estados miembros a partir del 17 de enero de 2025.

¿A quién afecta?

---

• Entidades financieras: bancos, aseguradoras, empresas de inversión, proveedores de servicios de pago, gestoras de fondos.
• Infraestructuras de mercado: bolsas, cámaras de compensación.
• Proveedores TIC críticos de estas entidades: proveedores cloud, software especializado, centros de datos.

Sanciones

---

En DORA, el régimen sancionador queda en manos de las autoridades supervisoras nacionales, pero se habla ya de un marco muy estricto, que podría incluir:

• Multas millonarias similares o superiores a las de NIS2 (en algunos casos hasta el 5% del volumen de negocio).
• Medidas correctoras, amonestaciones públicas, limitaciones o incluso la suspensión de actividad en caso de incumplimientos graves.

El rol de la alta dirección: de la tecnología a la gobernanza

---

Una de las grandes novedades de NIS2 y DORA es que el cumplimiento no puede delegarse solo en el departamento de IT. Ambas normativas colocan la responsabilidad directamente en el órgano de dirección.

Esto significa que los consejos de administración y los equipos ejecutivos deben:

• Aprobar las políticas de ciberseguridad.
• Supervisar su aplicación.
• Garantizar que existen planes de continuidad y protocolos de notificación.
• Asegurar la formación y concienciación del personal.

El mensaje es claro: la ciberresiliencia es un asunto estratégico y cultural, no meramente técnico.

España y el reto de la transposición

---

España, al igual que otros países de la UE, ha incumplido el plazo para transponer la Directiva NIS2 en octubre de 2024. Esto no exime a las empresas de prepararse: la Comisión Europea ya ha advertido de sanciones a los Estados miembros que no cumplan, y la presión regulatoria irá en aumento.

Este retraso genera incertidumbre, pero también ofrece una oportunidad a las empresas que decidan anticiparse: prepararse ya para cumplir NIS2, en lugar de esperar a la obligación legal, les dará una ventaja competitiva y reputacional.

Ciberresiliencia más allá de ISO 27001

---

ISO 27001 sigue siendo la base de cualquier estrategia de seguridad de la información, pero las exigencias de NIS2 y DORA piden ir más allá. Normas como:

• ISO 22301 (continuidad de negocio).
• ISO/IEC 27035 (gestión de incidentes).
• ISO 22316 (resiliencia organizacional).
• ISO 27701 (protección de datos).

Permiten crear un ecosistema de gestión mucho más robusto, que responda tanto a las expectativas regulatorias como a los riesgos reales.

Un reto… y también una oportunidad

---

La entrada en vigor de NIS2 y DORA marcará un punto de inflexión en Europa. Las empresas que no cumplan se enfrentarán a multas millonarias y a un importante daño reputacional. Pero las que decidan adelantarse y reforzar su ciberresiliencia estarán mejor preparadas para competir, acceder a contratos internacionales y ganarse la confianza de sus clientes.

En URS SPAIN ayudamos a las organizaciones a dar este paso, pasando de la seguridad de la información a la ciberresiliencia integral, uniendo certificaciones internacionales y cumplimiento normativo con una estrategia real de continuidad y confianza digital.