NIS2 para Compliance (Entrada 5) Cómo encaja NIS2 con ENS, GDPR, DORA y el ecosistema regulatorio español: hacia un modelo integrado de resiliencia

 

NIS2 para Compliance (Entrada 5)

Cómo encaja NIS2 con ENS, GDPR, DORA y el ecosistema regulatorio español: hacia un modelo integrado de resiliencia

NIS2 no opera en el vacío. Forma parte de un ecosistema regulatorio europeo que busca reforzar la resiliencia, la continuidad y la seguridad de las organizaciones. Para los profesionales de Compliance, el reto no es solo cumplir NIS2, sino integrarla con otras normas que ya están en vigor: GDPR, DORA, el Esquema Nacional de Seguridad (ENS), la normativa sectorial y el marco español de supervisión.

Esta entrada ofrece una visión estratégica para evitar duplicidades, reducir cargas y construir un sistema de cumplimiento coherente y eficiente.

1. NIS2 como pieza central del nuevo modelo europeo de resiliencia

Europa está construyendo un marco regulatorio basado en tres pilares:

• protección de datos (GDPR),
• resiliencia operativa y financiera (DORA),
• seguridad de redes y sistemas (NIS2).

Cada norma cubre un ámbito distinto, pero todas comparten un principio común:

la seguridad es un deber de gobernanza y un componente esencial de la continuidad del negocio.

NIS2 es la norma que articula la seguridad digital como obligación transversal.

2. NIS2 y GDPR: convergencias y diferencias

Aunque ambas normas comparten principios, su alcance es distinto.

2.1. Convergencias

• obligación de notificar incidentes,
• necesidad de políticas y controles,
• responsabilidad del órgano de dirección,
• exigencia de evidencia documental,
• supervisión reforzada.

2.2. Diferencias

• GDPR protege datos personales;
• NIS2 protege servicios esenciales y sistemas críticos.

Un incidente puede activar ambos marcos, pero no siempre coinciden. Para Compliance, esto exige:

• un protocolo único de gestión de incidentes,
• una matriz de decisión para determinar qué notificar y a quién,
• un sistema de coordinación interna entre seguridad, legal y protección de datos.

3. NIS2 y DORA: el puente entre ciberseguridad y resiliencia financiera

DORA (Reglamento 2022/2554) es obligatorio desde 2025 y afecta al sector financiero y a sus proveedores críticos. Su relación con NIS2 es directa:

3.1. Coincidencias estructurales

• gestión del riesgo,
• supervisión del órgano de dirección,
• pruebas de continuidad,
• control de proveedores críticos,
• notificación de incidentes.

3.2. Diferencias clave

• DORA es un Reglamento: aplica directamente y sin transposición;
• NIS2 es una Directiva: requiere transposición nacional;
• DORA es sectorial;
• NIS2 es transversal.

Para entidades financieras, la clave es integrar ambos marcos en un único sistema de resiliencia.

4. NIS2 y el Esquema Nacional de Seguridad (ENS): la base técnica española

El ENS es, en la práctica, la referencia técnica para cumplir NIS2 en España.

4.1. Por qué el ENS es clave

• define controles técnicos y organizativos,
• establece niveles de madurez,
• es obligatorio para el sector público y proveedores,
• está alineado con estándares internacionales (ISO 27001, NIST).

4.2. Cómo encaja con NIS2

NIS2 exige “medidas técnicas y organizativas adecuadas”. El ENS ofrece el catálogo de medidas para cumplir esa obligación.

Para Compliance, esto significa:

• usar el ENS como marco de referencia,
• documentar el nivel de cumplimiento,
• cerrar brechas,
• preparar auditorías.

5. NIS2 y la supervisión española: un modelo aún en construcción

España aún no ha definido completamente:

• la autoridad competente única,
• el régimen sancionador completo,
• los procedimientos de notificación,
• el registro de entidades esenciales e importantes.

Pero sí existe un ecosistema operativo:

• CCN‑CERT (sector público),
• INCIBE‑CERT (sector privado),
• CNPIC (infraestructuras críticas),
• reguladores sectoriales (CNMC, CNMV, Banco de España, AESA, etc.).

Para Compliance, esto exige un enfoque prudente:

• actuar como si la supervisión ya estuviera plenamente operativa,
• documentar diligencia,
• preparar evidencia,
• anticipar requerimientos.

6. Cómo evitar duplicidades: un modelo integrado de cumplimiento

El riesgo de duplicidad es real: GDPR, DORA, ENS, NIS2 y normativa sectorial pueden exigir controles similares.

La solución es un modelo integrado basado en cinco principios:

6.1. Un único mapa de riesgos

Que incluya:

• ciberseguridad,
• protección de datos,
• continuidad,
• proveedores,
• resiliencia financiera.

6.2. Un único sistema de gestión de incidentes

Con ramificaciones específicas para:

• GDPR,
• NIS2,
• DORA,
• ENS.

6.3. Un único marco de políticas

Estructurado, coherente y aprobado por el órgano de dirección.

6.4. Un único repositorio de evidencia

Auditable, trazable y actualizado.

6.5. Un único modelo de supervisión interna

Con indicadores, auditorías y reporting periódico.

7. Conclusión: NIS2 no es una norma aislada, sino un catalizador

NIS2 obliga a las organizaciones a repensar su modelo de seguridad y resiliencia. Pero su fuerza no está en los controles técnicos, sino en su capacidad para integrar:

• gobernanza,
• riesgo,
• continuidad,
• proveedores,
• cultura corporativa.

El Compliance se convierte en el eje que articula este sistema. La clave no es cumplir normas aisladas, sino construir un modelo único de resiliencia, eficiente, coherente y defendible.

Para comprender plenamente este modelo integrado, es útil distinguir entre las obligaciones de gobernanza que impone NIS2 y las medidas técnicas que cada organización adopta para gestionarlas, así como entender cómo documentar la diligencia debida en un escenario de transposición aún incompleto. Ambos elementos —la diferencia entre gobernanza y técnica, y la necesidad de evidenciar decisiones responsables— son claves interpretativas que desarrollamos en el apéndice final del ciclo, y que permiten consolidar un enfoque coherente, proporcionado y defendible ante cualquier futura supervisión.