Glosario · NIS2
NIS2 — Directiva europea de ciberseguridad y entidades financieras
NIS2 es el marco europeo de ciberseguridad que sustituye a la Directiva NIS de 2016. Cubre 18 sectores con obligaciones ampliadas. En banca y seguros, DORA opera como lex specialis — pero NIS2 sigue siendo relevante para entidades del grupo no financieras y para proveedores TIC.
Sectores cubiertos
NIS2 distingue entre entidades esenciales (obligaciones más estrictas, supervisión ex-ante) y entidades importantes (supervisión ex-post). Sectores incluidos:
- Energía (electricidad, gas, petróleo, hidrógeno, calefacción).
- Transporte (aéreo, ferroviario, agua, carretera).
- Banca y mercados financieros — con DORA como lex specialis.
- Salud, agua potable y aguas residuales.
- Infraestructura digital (DNS, TLD, IXPs, data centers, cloud, CDN, ICS).
- Proveedores de servicios TIC gestionados (MSP / MSSP).
- Administración pública, espacio, servicios postales, gestión de residuos, fabricación, alimentación, productos químicos.
Relación con DORA en banca y seguros
- DORA cubre la entidad financiera en sus obligaciones de gestión TIC, gobernanza de proveedores (Art. 28), notificación de incidentes y TLPT. Una entidad bancaria cumple DORA y no necesita duplicar bajo NIS2 esos mismos requisitos.
- NIS2 aplica a entidades no financieras del grupo que presten servicios críticos: subsidiarias tecnológicas internas, holdings con actividades operativas, etc.
- NIS2 aplica a proveedores TIC aguas abajo del banco. Un proveedor MSP/MSSP europeo puede ser entidad importante NIS2 a la vez que objeto de Art. 28 DORA aguas arriba.
- Coordinación entre supervisores: los Estados miembros designan autoridades NIS2 y articulan la coordinación con los supervisores financieros.
Obligaciones clave de gestión de riesgos (Art. 21)
- Política de seguridad de los sistemas de información y análisis de riesgos.
- Gestión de incidentes.
- Continuidad del negocio y gestión de crisis.
- Seguridad de la cadena de suministro (incluidos proveedores).
- Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas.
- Políticas y procedimientos para evaluar la eficacia de las medidas.
- Higiene cibernética básica y formación en ciberseguridad.
- Políticas sobre uso de criptografía y cifrado.
- Seguridad de los recursos humanos, control de accesos y gestión de activos.
- Uso de autenticación multifactor y comunicaciones seguras.
Vermont Solutions y NIS2
Proveedor TIC operando bajo el doble marco DORA + NIS2
Como proveedor TIC para banca tier-1 europea, Vermont Solutions aplica un marco integrado que cubre las obligaciones de cliente (Art. 28 DORA) y las propias como entidad importante NIS2. Certificada ISO 27001 desde 2021, con ISO 42001 en proceso de certificación.
Ver servicio Gobernanza IA →Fuentes oficiales
- Directiva UE 2022/2555 (NIS2) — texto consolidado en EUR-Lex
- ENISA — Agencia europea de ciberseguridad
- INCIBE — Instituto Nacional de Ciberseguridad (España)
- Entrada complementaria: DORA Artículo 28
Última actualización: 2026-05-27. Contenido editorial Vermont Solutions, citable bajo atribución. La transposición de NIS2 varía por Estado miembro — verificar normativa nacional aplicable. No constituye asesoramiento jurídico.