ISACA publica una guía clave para que las empresas cumplan con NIS2 y DORA

Antonio Adrados Herrero,
Linkedin
ISACA publica una guía clave para que las empresas cumplan con NIS2 y DORA

ISACA lanza una guía estratégica para ayudar a empresas europeas a implementar NIS2 y DORA y fortalecer su ciberresiliencia.

Con la entrada en vigor de DORA y la aplicabilidad oficial de NIS2, muchas empresas europeas, especialmente pymes y proveedores TIC, aún enfrentan dudas e incertidumbre sobre cómo adaptarse a estas regulaciones clave de ciberseguridad. En este contexto, la organización internacional ISACA ha publicado el libro blanco “Resiliencia y seguridad en sectores críticos: Cómo abordar los requisitos de NIS2 y DORA”, una herramienta esencial para apoyar a empresas, administraciones y entidades financieras en este proceso de adaptación normativa.

Pese a que la Directiva NIS2 debía transponerse a las legislaciones nacionales en octubre de 2024, España y otros Estados miembros aún no lo han hecho, lo que complica la planificación de cumplimiento. En mercados digitalmente maduros como Irlanda, el 38% de las empresas reconocen no estar preparadas, lo que evidencia la magnitud del reto. DORA, por su parte, impone exigencias específicas para el sector financiero y sus proveedores tecnológicos, con plazos estrictos para reportar incidentes de ciberseguridad y realizar auditorías.

“El reto no solo reside en comprender las regulaciones, sino también en garantizar
que las empresas sepan aplicarlas eficazmente”, afirma Chris Dimitriadis, Director de
Estrategia global de ISACA. “DORA y NIS2 suponen un cambio fundamental en la
forma en que las organizaciones abordan la resiliencia y la gobernanza de la
ciberseguridad. Las consecuencias del incumplimiento son graves y, lo que es más
Importante, también lo son los riesgos de interrupción operativa. ISACA se
compromete a ayudar a las personas y organizaciones a prepararse para esta nueva
era”, añade.

Claves para el cumplimiento normativo

La guía de ISACA ofrece un enfoque estructurado para navegar estas exigencias regulatorias:

  1. Determinar el alcance: identificar si la empresa está sujeta a NIS2, DORA o ambos marcos.
  2. Fortalecer las TIC: establecer estrategias de gestión de riesgos alineadas con los objetivos de negocio.
  3. Gestionar riesgos de terceros: incluir cláusulas de continuidad y seguridad en contratos con proveedores.
  4. Preparar la notificación de incidentes: conocer los plazos y procedimientos. NIS2 exige un informe preliminar en 24 h; DORA impone una notificación en 4 h tras la clasificación.
  5. Formación transversal: capacitación obligatoria en ciberseguridad para dirección y empleados.
  6. Auditorías regulares: revisiones internas y externas proactivas, especialmente para entidades bajo DORA.
  7. Pruebas exigidas: como los test de penetración basados en amenazas.
  8. Documentación constante: mantener políticas, controles y registros al día para facilitar auditorías regulatorias.

Recursos clave para el ecosistema digital

La guía está pensada no solo para los equipos de cumplimiento, sino también para CISOs, líderes de TI y profesionales del riesgo, así como sus socios tecnológicos. Su comparativa entre DORA y NIS2, acompañada de recomendaciones prácticas, la convierte en una referencia esencial para reforzar la ciberresiliencia operativa en Europa.

El informe se puede descargar gratuitamente desde el sitio web de ISACA: Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements. Además, ISACA pone a disposición otras herramientas complementarias como su Marco de Riesgo de TI, la Guía del Profesional de Riesgo de TI, y materiales educativos para fortalecer la preparación ante auditorías y retos regulatorios.