NIS2 vs DORA vs CRA: Cual aplica a tu empresa?

La Union Europea ha desplegado un marco regulatorio de ciberseguridad sin precedentes. En el espacio de dos anos, tres regulaciones distintas han entrado o estan entrando en vigor: NIS2, DORA y CRA. Las tres afectan a como las empresas gestionan su infraestructura tecnologica, pero cada una tiene un alcance, unos destinatarios y unos plazos diferentes.

La confusion es comprensible. Muchas PYMEs no saben cual de estas normativas les aplica, si les aplica mas de una, o si lo que estan haciendo para cumplir una les sirve para las demas. Este articulo aclara las diferencias fundamentales y las areas de solapamiento, con un enfoque practico orientado a la gestion de activos IT.

NIS2: la directiva general de ciberseguridad

Que es

La Directiva NIS2 (Directiva (UE) 2022/2555) es la evolucion de la Directiva NIS original de 2016. Establece medidas de ciberseguridad obligatorias para entidades esenciales e importantes en sectores criticos. Es una directiva, lo que significa que cada Estado miembro la transpone a su legislacion nacional, con posibles variaciones en la implementacion.

A quien aplica

NIS2 amplio significativamente el numero de sectores cubiertos respecto a la directiva original. Ahora incluye:

• Sectores esenciales (Anexo I): Energia, transporte, banca, infraestructura de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestion de servicios TIC (B2B), administracion publica, espacio.
• Sectores importantes (Anexo II): Servicios postales, gestion de residuos, fabricacion de productos quimicos, produccion de alimentos, fabricacion industrial (dispositivos medicos, electronica, maquinaria, vehiculos), proveedores digitales (marketplaces, motores de busqueda, redes sociales), investigacion.

El criterio de tamano general es: empresas medianas (50+ empleados o 10M+ de facturacion) y grandes. Sin embargo, algunas entidades estan incluidas independientemente de su tamano, como proveedores de DNS, registros de dominios TLD o proveedores de servicios de confianza.

Fecha clave

17 de octubre de 2024: Fecha limite de transposicion a legislacion nacional. A partir de esa fecha, las obligaciones son exigibles. Las primeras auditorias formales estan teniendo lugar en 2026.

Requisitos de gestion de activos

El Articulo 21 exige medidas de gestion de riesgos que incluyen inventario de activos, control de acceso, gestion de incidentes y seguridad de la cadena de suministro. Requiere trazabilidad completa del ciclo de vida de cada activo IT.

DORA: la regulacion financiera de resiliencia digital

Que es

El Reglamento DORA (Reglamento (UE) 2022/2554, Digital Operational Resilience Act) es un reglamento europeo enfocado especificamente en la resiliencia operativa digital del sector financiero. A diferencia de NIS2, al ser un reglamento y no una directiva, es directamente aplicable en todos los Estados miembros sin necesidad de transposicion.

A quien aplica

DORA aplica exclusivamente al sector financiero, pero con un alcance muy amplio dentro de el:

• Entidades de credito (bancos)
• Empresas de inversion
• Companias de seguros y reaseguros
• Instituciones de pago y de dinero electronico
• Plataformas de negociacion
• Proveedores de servicios de criptoactivos
• Fondos de pensiones
• Proveedores terceros de servicios TIC al sector financiero (este punto es clave: si tu empresa presta servicios tecnologicos a entidades financieras, DORA te afecta)

Fecha clave

17 de enero de 2025: DORA es plenamente aplicable desde esta fecha. No hay periodo de transicion. Las entidades financieras deben cumplir desde el primer dia.

Requisitos de gestion de activos

DORA exige, en su Articulo 8, que las entidades financieras identifiquen, clasifiquen y documenten todas las funciones empresariales, los activos de informacion y los activos TIC que las respaldan. El Articulo 9 requiere marcos de gestion de riesgos TIC que incluyan inventarios actualizados de activos. DORA va mas alla que NIS2 en cuanto a la granularidad exigida en la documentacion de dependencias entre activos y funciones de negocio.

CRA: la regulacion de productos con elementos digitales

Que es

El Cyber Resilience Act (Reglamento (UE) 2024/2847) es un reglamento que establece requisitos de ciberseguridad obligatorios para productos con elementos digitales vendidos en el mercado de la UE. A diferencia de NIS2 y DORA, que regulan a las organizaciones que usan tecnologia, CRA regula a los fabricantes y distribuidores de productos tecnologicos.

A quien aplica

CRA aplica a:

• Fabricantes de hardware y software con elementos digitales vendidos en la UE.
• Importadores y distribuidores de estos productos.
• Esto incluye: dispositivos IoT, software de escritorio, aplicaciones moviles, componentes de hardware, sistemas operativos, firmware.

Si tu empresa fabrica, importa o distribuye cualquier producto tecnologico en la UE, CRA te afecta. Si solo eres usuario de estos productos, CRA no te aplica directamente, pero te beneficiaras de que los productos que compres cumplan estandares de seguridad mas altos.

Fecha clave

11 de septiembre de 2026: Entra en vigor la obligacion de notificacion de vulnerabilidades. 11 de diciembre de 2027: Todos los requisitos son plenamente aplicables. Los fabricantes deben garantizar la seguridad del producto durante todo su ciclo de vida.

Requisitos de gestion de activos

CRA no exige directamente inventarios de activos a los usuarios. Sin embargo, exige a los fabricantes que proporcionen documentacion tecnica completa, incluyendo una lista de materiales de software (SBOM). Para las empresas que usan estos productos, esto significa que podran obtener informacion mas precisa sobre los componentes de los productos que utilizan, lo que facilita el cumplimiento de NIS2 y DORA en cuanto a documentacion de software.

Tabla comparativa

A continuacion se resumen las diferencias clave entre las tres regulaciones:

• Tipo de norma: NIS2 es directiva (requiere transposicion). DORA y CRA son reglamentos (aplicacion directa).
• Enfoque: NIS2 se centra en la ciberseguridad organizacional. DORA en la resiliencia digital financiera. CRA en la seguridad del producto.
• Destinatarios: NIS2 aplica a entidades en sectores criticos. DORA al sector financiero y sus proveedores TIC. CRA a fabricantes y distribuidores de productos digitales.
• Exigible desde: NIS2 desde octubre 2024. DORA desde enero 2025. CRA progresivamente desde septiembre 2026.
• Sanciones maximas: NIS2 hasta 10M o 2% de facturacion global. DORA definidas por cada autoridad financiera supervisora. CRA hasta 15M o 2.5% de facturacion global.

Areas de solapamiento

Si tu empresa esta sujeta a mas de una regulacion, hay buenas noticias: existen areas de solapamiento significativo donde las mismas medidas sirven para cumplir multiples normativas.

• Inventario de activos IT: Tanto NIS2 (Articulo 21) como DORA (Articulo 8) exigen inventarios completos y actualizados de activos tecnologicos. Un unico sistema ITAM bien implementado cubre ambos requisitos.
• Gestion de incidentes: NIS2, DORA y CRA (para fabricantes) exigen procedimientos de gestion y notificacion de incidentes. Los plazos varian, pero el sistema base es el mismo.
• Gestion de riesgos: Las tres regulaciones exigen evaluaciones de riesgo documentadas. NIS2 y DORA en particular comparten un enfoque similar basado en identificar, evaluar y mitigar riesgos de ciberseguridad.
• Cadena de suministro: NIS2 y DORA exigen control sobre proveedores. CRA lo exige desde la perspectiva del fabricante. Si usas y fabricas productos tecnologicos, este es un area de triple solapamiento.
• Pista de auditoria: Las tres regulaciones, directa o indirectamente, requieren que las acciones y cambios esten documentados de forma verificable.

Que sectores enfrentan cumplimiento multiple

Algunos sectores son particularmente afectados por el solapamiento regulatorio:

• Banca y finanzas: NIS2 + DORA. Son los mas regulados. Deben cumplir ambas normativas simultaneamente, aunque DORA prevalece como lex specialis para el sector financiero.
• Fabricantes de hardware/software para sectores criticos: CRA + potencialmente NIS2 si operan en un sector cubierto.
• Proveedores de servicios TIC al sector financiero: DORA (como proveedor critico) + potencialmente NIS2 (como proveedor de servicios digitales).
• Sanidad: NIS2 como sector esencial. Si fabrican dispositivos medicos conectados, tambien CRA.

Un enfoque practico: empieza por los activos

Independientemente de que regulacion te aplique, el punto de partida es siempre el mismo: conoce tus activos IT. Un inventario completo, clasificado y trazable es la base sobre la que se construye el cumplimiento de NIS2, DORA y CRA. Sin ese inventario, no puedes evaluar riesgos, no puedes gestionar incidentes vinculados a activos, no puedes demostrar control sobre tu cadena de suministro y no puedes generar la evidencia documental que cualquier auditor va a solicitar.

La recomendacion es implementar un sistema ITAM que cumpla con los estandares mas exigentes (los de DORA) desde el principio. Si cumples DORA, cumples automaticamente los requisitos de gestion de activos de NIS2. Y cuando CRA entre plenamente en vigor, tendras la infraestructura necesaria para integrar la documentacion que los fabricantes deberan proporcionarte.

No necesitas tres herramientas diferentes para tres regulaciones. Necesitas una sola herramienta que haga bien lo fundamental: gestionar el ciclo de vida completo de tus activos IT con trazabilidad total.