Desde la Normativa DORA a la Normativa NIS 2
Amaia Chaparro Toledo
Directora del Área de Consultoría SGSI, Derten
Directora del Área de Consultoría SGSI, Derten
Análisis de la evolución en el cumplimiento de DORA en las organizaciones 2025
El Reglamento 2022/2554, de DORA empezó a ser de aplicación desde el 17 de enero de este año (2025).
Los supervisores nacionales y europeos ya han venido exigiendo el cumplimiento con determinados plazos, por ejemplo, la supervisión de terceros críticos (CTPP) con los Registros de Información.
En la actualidad, en relación al grado de cumplimiento de la normativa conforme a datos públicos recientes como:
- Encuesta sectorial (Luxemburgo, CSSF, 2024): el 71% de las organizaciones encuestadas cumplen de manera bastante satisfactoria, el 23% están parcialmente listos, 6% no listos. Como principales hándicaps, se señalan carencias de recursos y contratación (sobre todo en la gestión de las relaciones con terceros críticos y en la elaboración del Registro de terceros). Aunque es una encuetas de ámbito local, es un buen termómetro extrapolable por similitud de exigencias.
- Deloitte – Encuesta UE sobre normativa DORA (2025): el pulso paneuropeo (a 36 entidades en 28 países) confirma que se está produciendo una transición de “proyecto” a “operación” con un foco especialmente en TPRM, reporting y testing (TLPT). Es decir, las organizaciones están dejando de ver el cumplimiento como un esfuerzo puntual con fecha de fin (hacer el gap analysis, diseñar políticas, elaborar contratos tipo, definir el plan TLPT), y lo están integrando como una función operativa sostenida dentro de su modelo de negocio (registrar y supervisar proveedores de manera continua, ejecutar los ejercicios de resiliencia cada año, mantener el registro de incidentes y responder a las autoridades en plazos).
- Análisis de costes según TechRadar (primer semestre de 2025): Según un dato orientativo del mercado UE, casi la mitad de las firmas reportan >1M€ de gasto para adaptarse en los 6 primeros meses. Sube la carga organizativa (formación, roles, procesos).
- La estimación de costes DORA en España (2025) hay que diferenciar entre grandes entidades y microentidades o pequeñas entidades financieras:
- Grandes entidades (bancos sistémicos, aseguradoras top 5, infraestructuras de mercado)
Rango estimado 2025 (primer año): 1,5M€ – 4M€
- Personal interno:
-
- Creación o refuerzo de una Oficina de Resiliencia Digital (5-10 FTE adicionales).
- Coste salarial aprox. 400-800k€/año.
- Consultoría externa:
- GAP analysis inicial, rediseño de reporting, TLPT, due diligence de terceros → 500k€ – 1M€.
- Tecnología y herramientas:
- Plataformas de gestión de riesgos, orquestadores de incidentes, herramientas de continuidad/TLPT, gestión de terceros críticos → 400k€ – 1M€.
- Formación y concienciación:
- Programas internos masivos (IT, negocio, directivos) → 100k€ – 200k€.
CONCLUSIÓN
La mitad supera >1M€ en el primer semestre, porque arrancan con fuerza: contrataciones, renegociación masiva de contratos con proveedores core, despliegue de herramientas.
- Medianas / Fintechs / EDEs / Gestoras boutique
Rango estimado 2025 (primer año): 150k€ – 500k€
- Personal interno:
- Paquetes “essentials” → 60-200k€.
- Consultoría externa(acompañamiento proporcional):
- Registrados DORA de terceros, reporting de incidentes, continuidad en modo SaaS → 20-80k€.
- Tecnología ligera / SaaS:
- Registrados DORA de terceros, reporting de incidentes, continuidad en modo SaaS → 20-80k€.
- Formación:
- Formación selectiva (equipo IT + directivos clave) → 10-30k€.
CONCLUSIÓN
En este ámbito, el gran reto para las pequeñas y micro entidades es la proporcionalidad: la normativa es la misma, pero el impacto económico y el coste organizativo es mucho más duro para estas.
Comparativa DORA: Grandes vs Micro/Pequeñas (financieras y asimiladas)
CONLUSIÓN DE LA COMPARATIVA
El gap con el cumplimiento de DORA más común en ambos segmentos está en Gestión de riesgos de terceros y proveedores críticos y en reporting/registro periódicos.
No obstante, lo que diferencia a ambos segmentos es que:
- Las grandes corporaciones luchan con la escala (p.ej. realizar un análisis para 5 proveedores es sencillo; hacerlo para 2.000 con contratos diferentes y servicios críticos diversos y los terceros críticos no lo es)
- Las pequeñas pequeñas entidades luchan con problemas de capacidad y documentación.
NIS2 en España: ventana de oportunidad comercial (Q4-2025)
El Secretario de Estado de Telecomunicaciones anunció que España prevé transponer NIS2 a finales de 2025 (segunda vuelta en Consejo de Ministros), según fuente Forbes España+2Europa Press+2
España llegó tarde a la fecha límite de trasposición de la normativa UE (17-oct-2024) y fue objeto de procedimiento de infracción en noviembre de dicho año. La Comisión Europea, en mayo de este año, le dio a los Estados miembros un plazo de 2 meses para lograr dicha trasposición en cada Estado, so pena de elevar la cuestión al Tribunal de Justicia Europeo.
¿Está tu empresa preparada?
Te ayudamos a evaluar tu nivel de cumplimiento y a planificar la adecuación para evitar sanciones y garantizar la continuidad de tu negocio.
No esperes al último momento