NIS2 + DORA: Verificación de Identidad para Infraestructuras Críticas (ES)

Dos regulaciones de la UE están redefiniendo cómo las organizaciones esenciales y financieras se defienden. NIS2 (la segunda Directiva de Seguridad de Redes y Sistemas de Información) eleva el nivel de ciberseguridad en sectores críticos e importantes: energía, transporte, salud, infraestructura digital y más. DORA (la Ley de Resiliencia Operativa Digital) hace lo mismo específicamente para el sector financiero, con un fuerte enfoque en el riesgo de las Tecnologías de la Información y la Comunicación (TIC) y los terceros de los que dependen las entidades financieras.

Abordan el problema desde diferentes ángulos, pero convergen en los mismos controles: saber quién tiene acceso, verificar rigurosamente las identidades y gestionar el riesgo que introducen sus proveedores. La verificación de identidad se encuentra en el centro de los tres. Esta publicación explica lo que NIS2 y DORA exigen, por qué la identidad es fundamental y cómo Didit, tanto como motor de verificación como proveedor certificado, le ayuda a cumplirlos.

Puntos clave

• NIS2 exige medidas de gestión de riesgos, control de acceso sólido y seguridad de la cadena de suministro en sectores esenciales e importantes.
• DORA rige el riesgo TIC en los servicios financieros, incluyendo un registro de proveedores externos de TIC y una gestión rigurosa del riesgo de los proveedores.
• Ambos regímenes se basan en gran medida en la verificación de identidad y el control de acceso: no se puede asegurar un sistema sin respuestas fiables a la pregunta "¿quién es esta persona?".
• Didit proporciona una verificación de identidad de alta seguridad: verificación de documentos, NFC, prueba de vida, coincidencia biométrica facial, para la incorporación de empleados, contratistas y clientes de alto valor.
• Como tercero TIC, Didit reduce su carga de riesgo de proveedor con certificaciones concretas: SOC 2 Tipo 1 (ATOM, a partir del 09/04/2026), ISO/IEC 27001:2022 (Bureau Veritas, certificado nº ES144068, válido hasta el 03/06/2027) e iBeta Nivel 1 PAD.
• Las pistas de auditoría impulsadas por webhooks (status.updated, data.updated) le proporcionan la evidencia que ambos regímenes esperan.

Lo que exigen las normas

NIS2 amplía el alcance de la directiva original a muchos más sectores y endurece las obligaciones. Entre sus requisitos principales: medidas de gestión de riesgos de ciberseguridad proporcionales al riesgo, manejo y notificación de incidentes, planificación de la continuidad del negocio y, fundamentalmente para la identidad, políticas de control de acceso, el uso de autenticación multifactor o continua cuando sea apropiado, y seguridad de la cadena de suministro que tenga en cuenta la seguridad de los proveedores y prestadores de servicios directos. Los órganos de gestión son responsables, y las autoridades de supervisión pueden actuar cuando los controles son insuficientes.

DORA centra el objetivo en las entidades financieras y su resiliencia ante la interrupción de las TIC. Establece requisitos en cinco pilares: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia operativa digital, intercambio de información y gestión del riesgo de terceros TIC. Este último pilar es el que afecta a todos los proveedores: las entidades financieras deben mantener un registro de información sobre todos los acuerdos con terceros de TIC, evaluar el riesgo que introduce un proveedor antes y durante la relación, y garantizar que existan disposiciones contractuales y de supervisión. Un control de acceso y una identidad robustos sustentan los pilares de gestión de riesgos y pruebas de resiliencia.

El hilo conductor: no se puede demostrar la resiliencia operativa o la seguridad de la red si no se puede establecer de manera fiable la identidad, tanto de las personas que acceden a los sistemas como de los proveedores en su cadena.

Por qué es importante

La infraestructura crítica es precisamente donde se concentran los atacantes, porque el radio de impacto es mayor. NIS2 y DORA existen porque los reguladores han observado incidentes en un único proveedor que se propagan en interrupciones, filtraciones y riesgo sistémico. Las sanciones lo reflejan: multas significativas, responsabilidad de la dirección e intervención supervisora.

Específicamente para la identidad, se repiten dos modos de fallo. Primero, la verificación débil, que permite que una identidad fraudulenta o suplantada pase por la incorporación o la recuperación de la cuenta, lo que luego se convierte en un fallo de control de acceso. Segundo, el riesgo de terceros no gestionado, que implica depender de un proveedor (como un proveedor de identidad) cuya propia postura de seguridad no se puede demostrar. Ambos regímenes le obligan a cerrar esas brechas y a mantener registros que demuestren que lo hizo.

Cómo ayuda Didit

Didit aborda ambos lados de la ecuación de identidad bajo NIS2 y DORA.

Como su capa de verificación de identidad:

• Verificación de alta seguridad para la incorporación de clientes, empleados y contratistas: verificación de documentos en más de 14.000 tipos de documentos (0,15 $), lectura de chip NFC (0,15 $), prueba de vida pasiva (0,10 $) y activa (0,15 $), y Coincidencia Facial 1:1 (0,05 $).
• Biometría resistente a ataques: Detección de Ataques de Presentación probada hasta el Nivel 1 de iBeta (ISO/IEC 30107-3) con un 0% de éxito de ataque en 360 intentos, el tipo de evidencia en la que deben basarse las políticas de control de acceso.
• Cribado de AML y sanciones (0,20 $, más de 1.300 listas) y monitoreo continuo (0,07 $/usuario/año) donde las relaciones reguladas lo exigen.
• Orquestación componible a través del Creador de Flujos de Trabajo sin código, para que aplique controles proporcionales al riesgo.

Como un tercero TIC certificado, facilitando su registro DORA y las obligaciones de la cadena de suministro NIS2:

• Certificación SOC 2 Tipo 1 por ATOM, que cubre Seguridad, Disponibilidad y Confidencialidad, a partir del 09/04/2026 (informe completo de uso restringido bajo NDA).
• Certificación ISO/IEC 27001:2022 por Bureau Veritas, certificado nº ES144068, válido hasta el 03/06/2027: evidencia distribuible de un sistema de gestión de seguridad de la información certificado.
• Carta de cumplimiento iBeta Nivel 1 PAD: distribuible, para la seguridad del control biométrico.

Estos proporcionan los artefactos que sus equipos de contratación y riesgo necesitan cuando evalúan a Didit como proveedor en su registro de terceros TIC.

Análisis en profundidad: la identidad en el registro de terceros DORA

Según DORA, cada acuerdo con un tercero de TIC se incluye en un registro de información que su supervisor puede solicitar. Para cada proveedor, se espera que comprenda la función que soporta, la criticidad de esa función y el riesgo que introduce el proveedor, respaldado por evidencia.

Cuando el proveedor es su proveedor de verificación de identidad, la evidencia que desea es exactamente lo que Didit puede proporcionar: una certificación SOC 2 independiente que describe el diseño de sus controles, un certificado ISO/IEC 27001 que demuestra un sistema de gestión de seguridad de la información, y un resultado biométrico de iBeta que cuantifica el rendimiento anti-spoofing. Combine eso con la pista de auditoría impulsada por webhooks de Didit (eventos status.updated y data.updated que registran el ciclo de vida de cada verificación) y tendrá tanto la garantía a nivel de proveedor para el registro como los registros a nivel de transacción para las pruebas de resiliencia y la investigación de incidentes.

Esa combinación convierte a un proveedor que podría ser un elemento de riesgo en uno que acorta su ciclo de diligencia debida.

Casos de uso

• Bancos, EMIs e instituciones de pago que evalúan el riesgo de terceros TIC de DORA para su pila de identidad.
• Proveedores de servicios de criptoactivos bajo el alcance del sector financiero de DORA.
• Operadores de servicios esenciales (energía, transporte, salud, infraestructura digital) bajo NIS2 que refuerzan el control de acceso y la seguridad de la cadena de suministro.
• Proveedores de servicios gestionados que deben evidenciar la seguridad de las herramientas de identidad que implementan para sus clientes.

Preguntas frecuentes

¿NIS2 y DORA se aplican a las mismas organizaciones?

No exactamente. NIS2 cubre entidades esenciales e importantes en muchos sectores; DORA cubre entidades financieras y sus proveedores de TIC. Muchas organizaciones financieras caen bajo ambas, y los controles se superponen en gran medida.

¿La verificación de identidad es realmente exigida por estas normas?

Las normas exigen un control de acceso sólido, gestión de riesgos y supervisión de terceros. La verificación de identidad fiable es fundamental para los tres: no se puede aplicar el control de acceso o evaluar a los usuarios de un proveedor sin ella.

¿Qué proporciona Didit para el registro de terceros TIC de DORA?

Didit puede proporcionar evidencia SOC 2 Tipo 1, ISO/IEC 27001:2022 (certificado ES144068) e iBeta Nivel 1 PAD, además de pistas de auditoría basadas en webhooks, los artefactos que su equipo de riesgos necesita para evaluar y documentar a Didit como proveedor.

¿El SOC 2 de Didit es Tipo 1 o Tipo 2?

Es una certificación Tipo 1 (diseño de controles a partir del 09/04/2026). Se planea una auditoría Tipo 2. El informe completo es de uso restringido y se comparte bajo NDA.

¿Puedo obtener el certificado ISO 27001 para compartirlo internamente?

Sí, el certificado ISO/IEC 27001:2022 (Bureau Veritas, certificado nº ES144068) es distribuible bajo solicitud.

¿Listo para empezar?

Consulte las certificaciones y la postura de seguridad de Didit en el centro de confianza, explore el producto de verificación de identidad y revise los precios transparentes en la página de precios. Cuando esté listo, empiece gratis: 500 verificaciones KYC gratuitas cada mes, con un flujo de verificación básico desde 0,33 $.