NIS 2 frente a DORA: cómo funciona realmente la exclusión del sector financiero
El artículo 4 de NIS 2 remite las entidades financieras a DORA en cuanto a la gestión de riesgos, la notificación de incidentes y la supervisión. El artículo 27 de NIS 2 no está en esa lista. Los bancos, las entidades de pago, las entidades de contrapartida central y los proveedores de servicios de criptoactivos siguen registrándose ante el BSI conforme al §33 BSIG.
Dos reguladores, una exclusión, una obligación que sobrevive
El Reglamento (UE) 2022/2554 (DORA) empezó a aplicarse el 17 de enero de 2025 y cubre alrededor de veinte categorías de entidades financieras, desde bancos y empresas de seguros hasta proveedores de servicios de criptoactivos y centros de negociación. Para todo lo que DORA ya regula, el artículo 4 de NIS 2 desplaza los artículos correspondientes de NIS 2. Esa es la regla de lex specialis y se sitúa en el centro de toda conversación sobre cómo las empresas financieras se mapean frente a NIS 2.
El desplazamiento es limitado. El artículo 4, apartado 2, de NIS 2 enumera exactamente qué artículos de NIS 2 se apartan cuando un acto sectorial específico es al menos equivalente en sus efectos. La lista cubre el artículo 21 (medidas de gestión de riesgos), el artículo 23 (notificación de incidentes) y el capítulo VII (supervisión y ejecución). El artículo 27 (registro) no está en la lista. Tampoco lo están las disposiciones de ámbito del Anexo I que sitúan a la banca y a las infraestructuras de los mercados financieros dentro de NIS 2 en primer lugar.
El resultado práctico para un banco alemán, una entidad de pago autorizada por la BaFin o una entidad de contrapartida central: el fondo procede de DORA, la supervisión en Alemania recae en la BaFin y el Bundesbank, pero la entidad sigue registrándose ante el BSI a través del portal del §33 BSIG. Un regulador en el registro. Un regulador diferente en todo lo que importa en la operativa.
Directiva NIS 2, artículo 4, apartados 1 y 2
Cuando actos jurídicos sectoriales específicos de la Unión exijan a las entidades esenciales o importantes que adopten medidas de gestión de riesgos de ciberseguridad o que notifiquen incidentes significativos, y cuando esos requisitos sean al menos equivalentes en sus efectos a las obligaciones establecidas en la presente Directiva, las disposiciones pertinentes de la presente Directiva, incluida la disposición sobre supervisión y ejecución establecida en el capítulo VII, no se aplicarán a tales entidades.
Se acumulan dos condiciones: ha de existir un acto sectorial específico de la Unión, y sus requisitos han de ser al menos equivalentes en sus efectos. Solo entonces se apartan los artículos 21, 23 y el capítulo VII. El artículo 27 está claramente ausente de esta lista y, por tanto, sigue aplicándose.
Reglamento (UE) 2022/2554 (DORA)
Artículos 5 a 17 (gestión del riesgo de las TIC), artículos 17 a 23 (notificación de incidentes relacionados con las TIC), artículos 24 a 27 (pruebas de resiliencia operativa digital), artículos 28 a 44 (gestión del riesgo de terceros relacionado con las TIC), artículo 45 (acuerdos de intercambio de información).
DORA es un Reglamento, de aplicación directa en todos los Estados miembros desde el 17 de enero de 2025. Para las entidades dentro de su ámbito de aplicación, este es el cuerpo de normas que ocupa el espacio que de otro modo ocuparían los artículos 21 y 23 de NIS 2. El reglamento sustantivo de ciberseguridad es DORA, no la aplicación de NIS 2 mediante el BSIG.
Artículo 27 de NIS 2 y §33 BSIG
Los Estados miembros garantizarán que las entidades esenciales e importantes presenten a las autoridades competentes la información siguiente: el nombre de la entidad, la dirección y los datos de contacto actualizados, el sector y subsector pertinentes con arreglo al anexo I o II, y una lista de los Estados miembros en los que la entidad presta servicios.
El artículo 27 de NIS 2 obliga al registro ante la autoridad nacional competente. En Alemania, el §33 BSIG canaliza esto hacia el portal de registro del BSI. El artículo 4 no afecta al artículo 27. DORA tiene su propio registro ante las Autoridades Europeas de Supervisión, pero eso no sustituye al registro nacional de NIS 2. Las entidades financieras viven, por tanto, en ambos.
DORA, no el artículo 21 de NIS 2
La gestión del riesgo de las TIC, el riesgo de terceros, las pruebas de resiliencia y la clasificación de incidentes siguen los artículos 5 a 44 de DORA. Las medidas del artículo 21 de NIS 2 (las diez categorías del §30 BSIG en Alemania) no se aplican a las entidades dentro del ámbito de DORA. Cuando DORA guarda silencio, NIS 2 tampoco rellena la laguna: la exclusión versa sobre qué acto rige, no sobre superponer ambos.
BSI conforme al §33 BSIG, sin desplazamiento
El artículo 27 de NIS 2 queda fuera de la lista del artículo 4. El registro nacional sobrevive a la exclusión. Un banco o una entidad de pago autorizados por la BaFin se registran ante el BSI a través del portal del §33, presentan la clasificación sectorial, los datos de contacto y los rangos de direcciones IP, y los actualizan dentro de los plazos que se aplican a cualquier otra entidad dentro del ámbito de aplicación. La falta de registro acarrea su propia vía sancionadora.
BaFin y Bundesbank, no BSI
El capítulo VII de NIS 2 (supervisión y ejecución) queda desplazado para las entidades financieras. El artículo 46 de DORA designa a los supervisores financieros existentes como autoridades competentes. En Alemania, esto significa la BaFin y el Deutsche Bundesbank para los asuntos bancarios y de pagos, con las Autoridades Europeas de Supervisión (ABE, AEVM, AESPJ) coordinando a escala de la UE. El BSI no es el supervisor operativo del fondo de DORA.
La lex specialis es limitada, no general
El artículo 4 desplaza únicamente los artículos de NIS 2 que nombra. El registro conforme al artículo 27, el ámbito conforme a los Anexos I y II y las definiciones de sector siguen aplicándose. Un banco no se convierte en una entidad ajena a NIS 2. Se convierte en una entidad NIS 2 regida por DORA en cuanto a las partes sustantivas. La distinción importa cuando surgen plazos de registro, reclasificaciones de sector o notificaciones de servicios transfronterizos.
Equivalente en sus efectos, no idéntico en el texto
El artículo 4, apartado 1, de NIS 2 fija el listón en equivalente en sus efectos. DORA no necesita reproducir el artículo 21 palabra por palabra. Necesita cubrir el mismo terreno con la misma profundidad. El considerando 28 de NIS 2 confirma que DORA se redactó para superar ese listón. En la práctica, la Comisión Europea ha tratado a DORA como plenamente equivalente, pero la prueba reside en el texto y sería el anclaje jurídico en cualquier controversia sobre una laguna.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Autoridad competente principal para DORA en Alemania conforme al artículo 46 de DORA. Supervisa la gestión del riesgo de las TIC, la notificación de incidentes y los acuerdos de riesgo de terceros para bancos, entidades de pago, empresas de seguros, empresas de servicios de inversión y proveedores de servicios de criptoactivos. Las circulares BAIT, VAIT, KAIT y ZAIT existentes se están alineando con los artículos 5 a 17 de DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Opera el portal de registro del §33 BSIG. Recibe el registro de las entidades financieras aunque no supervise el fondo de DORA. El BSI también actúa como CSIRT nacional conforme al artículo 10 de NIS 2 y presta apoyo voluntario. La línea divisoria: registro y servicios de CSIRT ante el BSI, fondo y supervisión ante la BaFin y el Bundesbank.
ABE, AEVM, AESPJ y BCE
Las Autoridades Europeas de Supervisión emitieron las normas técnicas de regulación de DORA sobre gestión del riesgo de las TIC, clasificación de incidentes, registros de riesgo de terceros y supervisión de los proveedores terceros críticos de servicios de TIC. El BCE supervisa a las entidades de crédito significativas conforme al Mecanismo Único de Supervisión y aplica DORA dentro de ese mandato. La exclusión del artículo 4 de NIS 2 es lo que hace funcionar esta estructura supervisora apilada sin doble regulación.
Mito: DORA sustituye por completo a NIS 2 para las entidades financieras.
DORA sustituye al artículo 21, al artículo 23 y al capítulo VII. No sustituye al artículo 27 (registro), a las disposiciones de ámbito de los Anexos I y II, ni a los mecanismos de cooperación del capítulo IV. El registro del §33 BSIG permanece. Un banco que omite el registro se enfrenta a la sanción autónoma por falta de registro, no a un expediente de ejecución exclusivamente conforme a DORA.
Mito: DORA solo se aplica a los bancos, así que las entidades financieras no bancarias siguen NIS 2.
El artículo 2 de DORA enumera alrededor de veinte categorías de entidades. Las empresas de seguros y de reaseguros, las entidades de pago y de dinero electrónico, las entidades de contrapartida central, los depositarios centrales de valores, los centros de negociación, los proveedores de servicios de criptoactivos, los proveedores de servicios de información sobre cuentas y otros están todos dentro de DORA. Si tu sector está en el sector 3 o 4 del Anexo I de NIS 2 y también en el artículo 2 de DORA, se aplica la exclusión.
Mito: dos registros significan presentar dos veces los mismos datos.
El registro de información de DORA ante las AES cubre los acuerdos con terceros de TIC (artículo 28 de DORA). El portal del §33 BSIG cubre la identificación de la entidad y la clasificación sectorial. Los campos no se solapan. Presentar ambos es una obligación cada uno, no la misma obligación dos veces. Los profesionales suelen confundir esto porque ambos implican introducir datos en portales públicos.
Si te encuentras dentro de una entidad autorizada por la BaFin, trata a DORA como tu reglamento del día a día y a NIS 2 como la capa de registro. El programa de mejora sustantiva reside en los artículos 5 a 17 de DORA (gestión de riesgos) y en los artículos 28 a 44 (riesgo de terceros). El registro del §33 BSIG es una tarea administrativa puntual que se renueva cuando cambian los datos de contacto. Confundir ambos lleva a esfuerzo desperdiciado, a menudo un mapeo duplicado del artículo 21 que nadie pidió.
Si te encuentras dentro de un grupo financiero que también opera servicios de TI internos para filiales no financieras, la exclusión solo protege a la entidad financiera. La filial no financiera, si está dentro del ámbito del Anexo I o II de NIS 2, debe el conjunto completo de obligaciones, incluidas las medidas del artículo 21 y la notificación de incidentes del artículo 23. Los programas de TIC de todo el grupo han de ser legibles para ambos supervisores. La BaFin pide pruebas de DORA, el BSI pide pruebas del §30 BSIG en la entidad no financiera.
La plataforma modela el registro del artículo 27 de NIS 2 como una obligación de primera clase, independiente del contenido de gestión de riesgos. Una entidad financiera que utiliza la plataforma ve los plazos de registro, los recordatorios de cambio de datos de contacto y el estado del portal del §33 BSIG sin heredar ninguna lista de tareas del artículo 21 de NIS 2 que no necesita.
La capa sustantiva de DORA queda fuera del ámbito de la plataforma de código abierto. El patrón recomendado es: rastrear aquí el artículo 27 de NIS 2, ejecutar el programa de DORA en las herramientas alineadas con la BaFin que esperan tus supervisores, y utilizar el estado del registro de la plataforma como el rastro de auditoría que prueba que se cumplió la obligación del §33 BSIG.
- Directiva (UE) 2022/2555 (NIS 2), artículo 4 (lex specialis), artículo 27 (obligación de registro), Anexo I, sector 3 (infraestructuras de los mercados financieros) y sector 4 (banca)
- Reglamento (UE) 2022/2554 (DORA), artículos 5 a 17 (gestión del riesgo de las TIC), artículos 17 a 23 (notificación de incidentes), artículos 24 a 27 (pruebas de resiliencia), artículos 28 a 44 (riesgo de terceros de las TIC), artículo 45 (intercambio de información), artículo 46 (autoridades competentes)
- BSIG (modificado por la NIS2UmsuCG), §33 (registro), §65 (sanciones por falta de registro)
- Considerando 28 de la Directiva NIS 2 sobre la relación entre NIS 2 y los actos sectoriales específicos de la Unión
- Orientaciones de la BaFin sobre la aplicación de DORA y la alineación de las circulares BAIT, VAIT, KAIT, ZAIT (2025)
- Normas técnicas de regulación de la ABE, la AEVM y la AESPJ conforme a DORA (2024 y 2025)