Saltar al contenido
OS Domains
Cumplimiento

NIS2 y DORA en 2026: qué significa de verdad el cumplimiento de email infrastructure para empresas hispanohablantes

Guía práctica de cumplimiento NIS2 (Art. 21) y DORA aplicada a infraestructura email para empresas españolas y LATAM. Estado de transposición, FAQ CNMV 2026, qué examinan los inspectores españoles.

Autor: OS Domains Engineering · · 15 min de lectura · 3,700 palabras
NIS2 DORA Cumplimiento UE Seguridad email INCIBE

NIS2 y DORA son los dos marcos regulatorios que con más probabilidad aterrizarán en el escritorio del CISO durante 2026 con preguntas sobre infraestructura de email asociadas. NIS2 lleva en vigor a nivel europeo desde enero 2023, pero España todavía no completó la transposición: el plazo expiró en octubre 2024 sin que estuviera completada la norma nacional. DORA fue directamente aplicable desde el 17 de enero de 2025 y la CNMV publicó la versión actualizada de su guía de 74 preguntas frecuentes el 10 de febrero de 2026. Para Q2 2026 estamos viendo la primera ola de inspecciones formales y las preguntas que los inspectores hacen son distintas de lo que los vendors de cumplimiento prepararon a las organizaciones.

Esta es la guía práctica que escribimos tras participar en auditorías reales de NIS2 e implementaciones DORA con clientes españoles e hispanohablantes durante 2025-2026. No es asesoramiento legal; eso lo gestiona tu DPO y abogado externo. Es orientación operacional sobre cómo se ve en realidad el cumplimiento de los aspectos de email-infrastructure de estos marcos.

17/10/2024
Plazo UE transposición NIS2
España incumplió: procedimiento infracción ante TJUE
Comisión Europea
10M €
Multa máxima NIS2 entidades esenciales
O 2% facturación global, lo mayor
17/01/2025
DORA en aplicación directa
Reglamento, no requiere transposición
Reglamento UE 2022/2554
74
Cuestiones en FAQ CNMV sobre DORA
Versión actualizada febrero 2026
CNMV

NIS2 en lenguaje plano para senders españoles

NIS2 es la directiva UE de seguridad de redes y sistemas de información (el “2” porque sustituye la NIS de 2016). Aplica a “entidades esenciales e importantes” en 18 sectores. La lista completa va desde energía hasta infraestructura digital pasando por fabricación de productos sanitarios. La mayoría de SaaS B2B, la mayoría de proveedores de servicios gestionados, la mayoría de organizaciones sanitarias y la mayoría de entidades financieras están cubiertas.

El artículo relevante para infraestructura de email es el Artículo 21, que requiere “medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos planteados a la seguridad de las redes y sistemas de información”. Esa frase es deliberadamente amplia. Los detalles de implementación vienen de las transposiciones nacionales de los Estados miembros y de la guía técnica emitida por las autoridades competentes (BSI en Alemania, ANSSI en Francia, INCIBE en España).

El estado de la transposición en España (Q2 2026)

España incumplió el plazo del 17 de octubre de 2024. La situación a Q2 2026:

  • Real Decreto-ley 7/2025 transpone parcialmente la directiva
  • Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado por Consejo de Ministros el 14 de enero de 2025, pendiente de tramitación parlamentaria
  • Comisión Europea elevó el caso al Tribunal de Justicia de la UE en 2025
  • Se prevé entrada en vigor de la ley plena durante 2026
  • Las inspecciones ya están comenzando. El argumento “la ley nacional no está aprobada” no protege de sanciones europeas porque NIS2 aplica directamente

El email aparece explícitamente en la guía de baseline IT-Grundschutz del BSI alemán, en las recomendaciones de seguridad de ANSSI francesa, y en el material de INCIBE. Los controles relevantes:

  • Autenticación email (SPF, DKIM, DMARC) para comunicaciones enviadas. Para evitar que tu dominio sea usado para phishing.
  • Gateway de seguridad email / filtrado para comunicaciones recibidas. Para detectar phishing entrante.
  • Plan de respuesta a incidentes que cubra incidentes vía email. Phishing, business email compromise, account takeover.
  • Logging y monitoreo de sistemas email. Para detección y forense.

Lo que los inspectores españoles preguntan en realidad

Tras observar inspecciones de INCIBE-CERT y CCN-CERT durante el primer semestre de 2026:

  1. “¿Pueden mostrar evidencia de que su política DMARC está en enforcement (p=quarantine o más estricta) para todos los dominios en alcance?” Si no podéis, hay hallazgo.
  2. “¿Pueden mostrar datos de monitoreo de los últimos 12 meses probando que el DMARC al enforcement se ha mantenido sin fallos significativos de alineamiento?” Si no podéis, hay hallazgo parcial.
  3. “¿Cuál es vuestro procedimiento de respuesta a incidentes si vuestro dominio se usa en una campaña de phishing?” Las respuestas vagas son hallazgos parciales.
  4. “Mostradme la política de retención de logs y una consulta de muestra de un incidente forense de email del trimestre pasado.” Test operacional.

DORA en lenguaje plano para entidades financieras hispanas

DORA es el Reglamento de Resiliencia Operacional Digital, aplicable a entidades financieras (bancos, empresas de servicios de inversión, seguros, proveedores de servicios cripto-activos, entidades de pago, etc.) desde el 17 de enero de 2025. Es más prescriptivo que NIS2 y tiene su propio marco de gestión de riesgos TIC. Como reglamento (no directiva), se aplica directamente sin necesidad de transposición. España no puede demorar su aplicación.

Quién supervisa DORA en España

A diferencia de NIS2 (donde INCIBE-CERT y CCN-CERT supervisan), DORA tiene tres autoridades sectoriales:

AutoridadSector
Banco de EspañaEntidades de crédito (bancos)
CNMVEmpresas de servicios de inversión, proveedores cripto-activos bajo MiCA, infraestructuras de mercado, sociedades gestoras
DGSFPEntidades aseguradoras, intermediarios de seguros, fondos de pensiones

Las entidades financieras deben autoevaluar de forma proactiva si DORA les aplica (la CNMV ha sido explícita: no existe registro nacional de sujetos obligados). Para Q2 2026 vemos entidades fintech españolas con menos de 50 empleados descubriendo que DORA les aplica plenamente (corredores de seguros con 15 empleados están dentro), un detalle que el listón de NIS2 (50+ empleados o 10M€) no incluye.

Las piezas directamente relevantes de DORA para email

  • Artículos 5-15 (marco de gestión del riesgo TIC): requiere identificar, proteger, detectar, responder y recuperar de riesgos TIC. Email forma parte de TIC.
  • Artículos 17-23 (notificación de incidentes TIC): incidentes que afecten funciones críticas deben notificarse. Business email compromise por phishing que resultó en fraude o brecha de datos cae aquí.
  • Artículos 28-44 (riesgo TIC de terceros): requisitos detallados para gestionar riesgos de proveedores TIC externos, lo que incluye absolutamente a proveedores de infraestructura email.
  • Reglamento de ejecución (UE) 2024/2956: plantillas normalizadas del registro de proveedores TIC. Las entidades financieras españolas remitieron su registro a la CNMV entre el 1 y el 29 de marzo de 2026.
Tipo de requisito NIS2 (general) DORA (financieras)
Cobertura sectorial 18 sectores, amplio Solo financieras, estrecho
Mandato autenticación email Implícito vía Art. 21 + guía INCIBE Implícito vía Arts. 5-15
Plazo notificación incidentes 24h alerta / 72h notif. / 1 mes informe 4h alerta / 72h intermedio / 1 mes final
Multa máxima (esenciales) 10M € o 2% facturación 1% facturación diaria por incumplimiento
Multa máxima (importantes) 7M € o 1,4% facturación Mismo régimen vía DORA
Tercero (tu proveedor email) Inventario sub-procesadores requerido DPA detallado + registro de acuerdos + estrategia de salida
Frecuencia auditoría Basada en riesgo Auditoría TIC anual + TLPT para entidades significativas
Autoridades España INCIBE-CERT, CCN-CERT Banco de España, CNMV, DGSFP

Las entidades financieras quedan sujetas a NIS2 y DORA simultáneamente, con DORA actuando como lex specialis donde haya conflicto. El Anteproyecto de Ley de Digitalización y Modernización del Sector Financiero implementa el régimen sancionador español de DORA.

Qué debe entregarte tu proveedor de infraestructura email

Si tu proveedor de email no te entrega lo siguiente sin que tengas que perseguirlo, no está equipado para clientes con exposición NIS2/DORA:

1. Acuerdo de Tratamiento de Datos firmado Estándar Artículo 28 RGPD, pero actualizado con consideraciones Schrems II y manejo explícito de sub-procesadores.

2. Lista de sub-procesadores actualizada Con fechas de cualquier cambio, jurisdicciones de cada sub-procesador, y mecanismo de notificación de cambios que requiera tu aceptación.

3. Reportes de auditoría SOC 2 Type II o ISO 27001 No basta con los distintivos de certificación; lo que importa son los reportes reales para revisión por tus auditores. La mayoría de proveedores los protegen tras NDA, lo cual está bien; “no tenemos uno” no.

4. Documentación del procedimiento de respuesta a incidentes ¿Qué pasa cuando su MTA cae? ¿Cuándo un cliente reporta phishing usando tu dominio? ¿Cuándo se compromete una credencial? Procedimientos documentados, no promesas.

5. SLA con compromisos medibles 99,9% uptime es el suelo para infraestructura email productiva. Proveedores que ofrecen “mejor esfuerzo” no cumplen los requisitos del Artículo 30 de DORA para proveedores de servicios críticos.

6. Compromisos geográficos de residencia de datos Dónde se almacenan tus datos, dónde transitan, dónde viven los backups. Para el solapamiento Schrems II + NIS2 + DORA, solo-UE es la respuesta más segura.

7. Cláusula de cooperación con auditorías en el contrato Es posible que necesites llevar a tus auditores a revisar los controles de tu proveedor. El contrato debe permitirlo, con preaviso razonable y protecciones de confidencialidad.

Diferencias específicas con otras transposiciones europeas

NIS2 era una directiva, no un reglamento, lo que significa que cada Estado miembro la implementó con variaciones. Las diferencias importan operacionalmente para empresas españolas con operación europea distribuida.

Alemania (IT-SiG / guía BSI): BSI es la autoridad más prescriptiva sobre controles técnicos. Su catálogo IT-Grundschutz incluye controles específicos de seguridad email. Los inspectores en Alemania probablemente apliquen el baseline BSI como mínimo, incluso si la directiva UE es más flexible.

Francia (LPM / ANSSI): ANSSI ha emitido guía específica de cold email, recomendaciones de implementación DMARC, y un marco SecNumCloud que va más allá del baseline NIS2. Los proveedores certificados SecNumCloud son la posición más fuerte para sector público francés y finanzas.

España (Real Decreto-ley 7/2025 + Anteproyecto pendiente): el anteproyecto crea un Centro Nacional de Ciberseguridad (CNC) adscrito a la Secretaría General de la Presidencia del Gobierno, intentando resolver la fragmentación institucional entre CCN-CERT, INCIBE, Ciberdefensa y cuerpos policiales. El ENS (Esquema Nacional de Seguridad) ya aplica a administraciones públicas y proveedores que prestan servicios al sector público, y entidades que cumplen ENS tienen buena parte del camino recorrido para cumplir NIS2.

Italia (Decreto NIS2): implementación bastante cercana al baseline UE. La autoridad italiana (Garante) ha sido activa en análisis Schrems II pero menos prescriptiva sobre email específicamente.

Para organizaciones con operaciones multi-país UE, la respuesta práctica es: cumple con la guía del Estado miembro más estricto (típicamente Alemania o Francia), y el resto cumple por arrastre.

Cómo se ve un setup email NIS2-alineado en España

Para un SaaS español hipotético sujeto a NIS2 (sector cubierto: proveedor de servicios digitales, clasificación entidad importante):

Lado de envío:

  • DMARC en p=quarantine mínimo en todos los dominios de envío, con el camino a p=reject documentado
  • BIMI desplegado en dominio de comunicación con cliente (señal de que DMARC está en enforcement)
  • Política de rotación DKIM documentada y ejecutándose (típico: trimestral)
  • Sub-procesador para infraestructura email es UE-incorporado con cadena de sub-procesadores solo UE
  • Reportes mensuales de placement retenidos durante 12 meses (petición de inspector)
  • Procedimiento de respuesta a incidente para “dominio usado en phishing” documentado y probado

Lado de recepción:

  • Gateway email entrante con validación SPF/DKIM/DMARC
  • Autenticación resistente al phishing (claves FIDO2, no solo SMS-OTP) para cuentas ejecutivas
  • Política de retención email alineada con requisitos sectoriales
  • Logging hacia SIEM con casos de uso específicos documentados (detección de account takeover, reglas de reenvío sospechosas, etc.)

Gobernanza:

  • Revisión anual de controles de infraestructura email
  • Revisión trimestral de lista de sub-procesadores y cambios contractuales
  • Test de penetración anual de sistemas email (o como parte de pentest más amplio)
  • Estrategia de salida documentada si la relación con proveedor email termina

Esto no es exótico. La mayor parte es higiene estándar que ya debería existir. La presión NIS2/DORA hace explícita la documentación donde antes era implícita.

Cuándo externalizar cumplimiento vs construir interno

Para organizaciones mid-market españolas afrontando NIS2 por primera vez, la pregunta práctica es: ¿contratamos cumplimiento internamente, contratamos consultoría Big-4, o usamos servicio gestionado para la capa operacional?

Contratación interna (responsable de cumplimiento + ingeniería email): funciona para organizaciones con necesidades de cumplimiento de régimen permanente y capacidad de ingeniería de email existente. Coste aproximado €120K-€180K fully-loaded anuales para la capa operacional. El responsable de cumplimiento es contratación separada.

Consultoría Big-4: funciona para análisis de brecha único y preparación de auditoría. Excelente para la capa estratégica. Herramienta equivocada para la capa operacional.

Servicios gestionados para la capa operacional: funcionan para organizaciones que tienen un responsable de cumplimiento (interno o fraccional) pero necesitan externalizar la ejecución operacional. Nuestros productos de DMARC gestionado y monitoreo de deliverability encajan aquí, con documentación que mapea directamente a los requisitos del Artículo 21 de NIS2 y los Artículos 28-44 de DORA.

El modelo híbrido (responsable de cumplimiento fraccional más capa operacional gestionada) es lo que vemos con más frecuencia para clientes mid-market españoles. El responsable de cumplimiento fraccional (€2K-€8K mensuales de retainer a través de firmas como oficinas pequeñas de KPMG o boutiques especialistas) maneja la capa estratégica; el servicio gestionado maneja la ejecución operacional.

Aplicación a empresas LATAM hispanohablantes

Para empresas hispanas con sede en LATAM pero cliente final europeo, NIS2 y DORA aplican a través del cliente final. Resumen práctico Q2 2026:

SaaS argentino/colombiano/mexicano vendiendo a banco español sujeto a DORA: el banco debe incluir tu SaaS en su registro de proveedores TIC y exigir cláusulas contractuales conformes a DORA. Si tu SaaS no puede entregar las cláusulas (cooperación auditoría, plan de salida, portabilidad de datos), el banco no puede contratarte.

Fintech mexicana sirviendo cliente europeo: aplica el mismo razonamiento. La nueva LFPDPPP mexicana de marzo 2025 (con la Secretaría de Anticorrupción y Buen Gobierno como autoridad) no exime del cumplimiento europeo si el cliente final está en UE.

Empresa SaaS chilena/argentina con expansión europea planificada: incluso antes de tener cliente europeo, anticipar NIS2/DORA reduce fricción de procurement futura. Las certificaciones ISO 27001 y SOC 2 Type II son las dos credenciales que más valor entregan en este caso.

Línea final

NIS2 y DORA no son “leyes de enforcement DMARC”, pero crean urgencia operacional alrededor del enforcement DMARC y la seguridad email más amplia que las organizaciones no pueden esquivar diciendo “no aplica regulación específica de email a nosotros”.

La primera ola de inspecciones formales en finales de 2025 / principios de 2026 ha sido menos punitiva de lo temido pero más prescriptiva de lo esperado. Las organizaciones que hicieron la higiene operacional (DMARC al enforcement, inventario de sub-procesadores, respuesta a incidentes documentada) pasaron limpiamente. Las que hicieron cumplimiento checkbox (“tenemos DMARC publicado”, en p=none) recibieron hallazgos parciales.

Para senders españoles e hispanohablantes intentando hacerlo bien sin sobre-construir, el camino es: lleva DMARC al enforcement, documenta lo que hiciste, asegúrate de que tu proveedor de infraestructura email es auditable y UE-incorporado, y trata el monitoreo continuo como disciplina operacional en lugar de proyecto. NIS2 y DORA recompensan la higiene operacional permanente; no recompensan proyectos heroicos de último minuto pre-auditoría.

Productos relacionados

Productos operativos mencionados en este artículo

¿Querés ayuda para aplicar esto?

El camino más corto entre este artículo y resultados.

Estos artículos no son teoría. Son el playbook operativo que usamos con nuestros clientes. Si tu situación se parece a la que se describe acá, los próximos 30 minutos en una llamada deciden si encajamos.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa