Información sobre las diferencias entre DORA y NIS 2

A medida que evolucionan las regulaciones relacionadas con la ciberseguridad, dos importantes legislaciones europeas se destacan: la Ley de Resiliencia Operativa Digital (DORA) y la Directiva NIS 2. Ambas tienen como meta mejorar la ciberseguridad, pero se dirigen a diferentes sectores y tienen objetivos  y requisitos distintos

*Por Iratxe Vázquez Rodríguez, Sr. Product Marketing Manager - Cybersecurity, WatchGuard Technologies

Differences DORA and NIS 2

Descripción general de DORA y NIS 2

DORA: entrará en vigor el 17 de enero de 2025 y se centra en el sector financiero, con el objetivo de garantizar que las entidades financieras puedan soportar los ciberataques y operar durante y después de ellos. El objetivo principal es mantener la disponibilidad e integridad de los servicios financieros, y hace foco en la resiliencia operativa.

NIS 2: se incorporará a las leyes nacionales en octubre de 2024 y tiene como objetivo armonizar la ciberseguridad en toda la UE, apuntando a entidades esenciales en diversos sectores, como la energía, el transporte, la salud y la infraestructura digital. La directiva busca elevar el nivel general de la ciberseguridad dentro de la UE.

Diferencias entre DORA y NIS 2

  1. Alcance y entidades objetivo:
    • DORA se aplica a 21 entidades financieras, incluidos bancos, empresas de inversión, aseguradoras y proveedores de servicios externos de TIC (tecnología de la información y la comunicación).
    • NIS 2 abarca una gama más amplia de sectores y hace una distinción entre entidades esenciales (EE), como los proveedores de energía y transporte, y entidades importantes (IE), como los servicios postales y las empresas de producción de alimentos.
  2. Objetivos:
    • DORA se centra en garantizar la resiliencia operativa del sector financiero. Exige la gestión integral de riesgos de TIC (tecnología de la información y la comunicación), la gestión de incidentes, las pruebas de resiliencia, la gestión de riesgos de terceros y el intercambio de información dentro del sector financiero.
    • NIS 2 tiene como objetivo mejorar la posición general de ciberseguridad en toda la UE, se centra en el gobierno y la detección y respuesta ante incidentes, y asegura y pone a prueba perímetros y activos en varios sectores críticos.
  3. Cumplimiento y aplicación:
    • DORA es un reglamento que se aplicará directamente en todos los estados miembros de la UE sin necesidad de transposición nacional. Exige pruebas de seguridad rigurosas, incluidas las pruebas de resiliencia anuales y pruebas de penetración dirigidas por amenazas cada tres años.
    • NIS 2 es una directiva que requiere la transposición a las leyes nacionales, lo que puede introducir variaciones. Impone sanciones estrictas por incumplimiento, incluidas multas de hasta el 2% de la facturación global anual para entidades esenciales.
  4. Administración de riesgos de terceros:
    • DORA requiere que las entidades financieras gestionen los riesgos planteados por los proveedores de servicios externos de TIC, lo que garantiza contratos firmes y un seguimiento continuo.
    • NIS 2 también aborda la seguridad de la cadena de suministro, pero dentro de un contexto más amplio, que afecta a varios sectores, no únicamente a los servicios financieros.

Soluciones de WatchGuard para cumplimiento

WatchGuard ofrece una gama de productos que ayudan a los partners y sus clientes a cumplir con los requisitos de DORA y NIS 2:

Administración de riesgos de TIC:

  • Firewalls con funcionalidades como Gateway AntiVirus y DNSWatch.
  • Soluciones de seguridad de endpoints (EPP, EDR, EPDR, Advanced EPDR) con paneles de control de riesgos y evaluaciones de vulnerabilidad.
  • Patch Management y Full Encryption para la protección de datos.

Administración de incidentes:

  • Supervisión continua de amenazas con EDR y ThreatSync+ NDR.
  • Supervisión y respuesta ante incidentes 24/7 con WatchGuard MDR.

Pruebas de resiliencia:

  • ThreatSync+ NDR para simular ataques e identificar vulnerabilidades.
  • Soluciones de seguridad de endpoints para pruebas de resiliencia y análisis forense.

Administración de riesgos de terceros:

  • Se utilizan los controles de acceso a la red y ThreatSync+ NDR para supervisar las actividades de terceros.
  • MFA de AuthPoint para un acceso seguro de terceros.

Servicios de seguridad gestionada para partners

Para reducir la carga de trabajo de los clientes y garantizar una administración apropiada de la seguridad, los partners pueden ofrecer los siguientes servicios administrados, además de los productos y servicios de WatchGuard:

  1. Supervisión de la seguridad 24/7
  2. Threat Hunting y respuesta ante incidentes
  3. Gestión de parches 
  4. Evaluaciones de seguridad
  5. Informes de cumplimiento 
  6. Administración de protección de endpoints
  7. Capacitación y concienciación del usuario

Al aprovechar las soluciones de seguridad integrales de WatchGuard y ofrecer estos servicios administrados, los partners pueden ayudar a los clientes a mejorar su posición de ciberseguridad y garantizar el cumplimiento de DORA y NIS 2.

Para obtener información más detallada, lea nuestra publicación de blog sobre DORA y accede al whitepaper aquí.

###