NIS2 y DORA no son simplemente nuevas normativas. Marcan un antes y un después en la gestión del riesgo operativo. No piden controles, exigen evidencia. No quieren promesas, quieren pruebas.
Para los CIOs, CISOs y responsables IT, esto supone una transformación crítica: ya no basta con tenerlo todo bajo control. Ahora hay que poder demostrarlo, en cualquier momento y bajo cualquier presión.
¿La diferencia entre cumplir y estar preparado? Una auditoría. O un incidente.
Lo que cambia con NIS2 y DORA (y lo que ya no puedes ignorar)
La eficacia ya no se declara: se prueba
- NIS2 (Art. 21.1 y 21.2): Exige medidas técnicas y operativas eficaces para continuidad, backup y recuperación.
- DORA (Art. 6 y 11): Pide pruebas documentadas de recuperación de servicios críticos.
Si no puedes probarlo, no sirve. Aunque esté bien diseñado.
La responsabilidad ya no es técnica, es personal
- NIS2 (Art. 20): El órgano de dirección es responsable del riesgo.
- DORA (Art. 5): La dirección responde por el marco de resiliencia digital.
Externalizar el servicio no significa externalizar la responsabilidad.
Servicios críticos y resiliencia operativa
- NIS2 (Art. 21.2.c): Exige medidas que garanticen la continuidad de los servicios esenciales.
- DORA (Art. 1 y Art. 11): Pone el foco en la capacidad de resistir, responder y recuperarse de incidentes que afecten a servicios críticos.
El foco no está en sistemas aislados, sino en el impacto global sobre el servicio y su disponibilidad continua.
Terceros bajo control o tú bajo riesgo
- NIS2 (Art. 21.2.e): Impone gestión del riesgo en la cadena de suministro.
- DORA (Art. 28 a 44): Regula proveedores TIC críticos y sus evidencias.
Tus proveedores deben cumplir, pero tú debes demostrarlo.
¿Qué buscan realmente NIS2 y DORA?
No preguntan «¿qué tecnología tienes?». Preguntan:
- ¿Qué pasa si algo falla?
- ¿Tus dominios operativos están realmente separados?
- ¿Tus backups están verificados y son recuperables?
- ¿Existe impacto en cascada?
- ¿Tus proveedores críticos están auditados y documentados?
El foco no está en el diseño. Está en el comportamiento bajo estrés.
4 evidencias clave e inevitables (si quieres seguir operando)
Para que el cumplimiento normativo no se quede en papel mojado, tanto NIS2 como DORA exigen evidencias estructurales que resistan el escrutinio de una auditoría o el impacto de un incidente real. Estas son las cuatro pruebas clave que toda organización debe poder presentar:
- Separación efectiva de dominios: Producción y recuperación no comparten red, acceso ni infraestructura.
- Recuperación verificable: Pruebas documentadas con resultados reales, no simulaciones.
- Terceros críticos controlados: Responsabilidades claras y evidencias periódicas, no puntuales.
- Modelo operativo defendible: Procedimientos claros, roles definidos, continuidad sin improvisación.
El punto ciego más habitual: confiar en lo que no está aislado
Muchos entornos siguen compartiendo:
- El mismo CPD o entorno lógico.
- El mismo dominio de red o gobierno.
- Las mismas dependencias operativas.
- El mismo plano de decisión bajo presión.
Resultado: superficie de ataque ampliada y plano único de fallo. Justo lo que NIS2 y DORA buscan evitar.
¿Cumplimiento o preparación? Solo uno te salva en una auditoría
«Cumplir» significa tener:
- Políticas definidas
- Procedimientos escritos
- Controles declarados
«Estar preparado» significa:
- Aislamiento demostrable
- Recuperación probada
- Terceros auditados y controlados
No te piden ser perfecto. Te piden estar listo para demostrarlo.
Tres estrategias ante la resiliencia regulada
Normalizar la urgencia
- Se improvisa bajo presión.
- El riesgo se asume, no se controla.
Las auditorías se superan con explicaciones, no con evidencias
Rediseño interminable
- El riesgo se reconoce, pero se parchea.
Se invierte, pero la evidencia depende de un proyecto en curso.
Dominio de resiliencia independiente
- Aislamiento técnico real.
- Evidencias estructurales y repetibles.
- Resiliencia no reactiva, sino gobernada.
Cómo Alhambra IT convierte el cumplimiento en tranquilidad demostrable
En Alhambra IT llevamos más de 30 años ayudando a organizaciones como la tuya a convertir la resiliencia en una ventaja estratégica.
- Diseñamos entornos de recuperación independientes
- Garantizamos separación de dominios operativos
- Aseguramos pruebas periódicas, no promesas puntuales
- Controlamos proveedores TIC críticos con evidencias defendibles
- Te acompañamos en auditorías regulatorias con preparación, no improvisación
Cumplir es la base. Demostrarlo con confianza, nuestro compromiso.
¿Estás listo para defender tu resiliencia operativa?
Solicita ahora una evaluación gratuita con los expertos de Alhambra IT. Identificaremos tus puntos ciegos, evaluaremos tus evidencias y diseñaremos contigo un entorno que no solo cumple, sino que resiste, responde y se recupera. Con pruebas.
Solicita ahora una sesión con uno de nuestros profesionales. Da el paso de la teoría a la confianza operativa.
