El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco normativo obligatorio desde el 17 de enero de 2025 para la gestión del riesgo digital en el sector financiero. Entre sus aspectos más relevantes, DORA introduce la obligación de notificar incidentes graves relacionados con las TIC a las autoridades competentes, además de incentivar la comunicación de ciberamenazas importantes de forma voluntaria.
Como continuación del anterior artículo en el que veíamos los sectores y tamaños de empresas a los que se aplicará la NIS2 cuando se publique su trasposición a la legislación española, vamos a ver la clasificación de las entidades según el régimen de supervisión que les aplica en esenciales e importantes y las obligaciones de notificación y aplicación de medidas que han de cumplir.
Con el tiempo, se ha visto que la Directiva NIS tenía algunas carencias que daban poca uniformidad a la ciberseguridad y ciberresiliencia de la sociedad y los mercados digitales en la Unión. Por ello, en el marco de normas de la UE respecto a la ciberseguridad, en el 2022 se publicó una nueva versión de esta norma que la sustituye: la Directiva NIS2.