La CNMV actualiza las preguntas frecuentes sobre el reglamento de resiliencia operativa digital

La Comisión Nacional del Mercado de Valores (CNMV) ha actualizado, el 10-2-2026, su documento de preguntas frecuentes sobre la aplicación práctica del Reglamento (UE) 2022/2554,¹ más conocido como reglamento DORA o de resiliencia operativa digital.

Las preguntas frecuentes aluden a las principales cuestiones del reglamento y están agrupadas por las secciones de este.

A continuación, destacamos los aspectos más relevantes.

Criterios de aplicación

Ámbito de aplicación

El supervisor aclara que:

• en España no existe un registro oficial de entidades sujetas al reglamento DORA;
• cada entidad financiera tiene que determinar si encaja en el ámbito del artículo 2 del reglamento, y
• no comunicará a cada una si están sujetas o no a esta norma.

En cuanto a las entidades supervisadas por la CNMV:

1. detalla las categorías a las que se aplica:
   • empresas de servicios de inversión, incluidas entidades de asesoramiento financiero, y sociedades y agencias de valores,
   • proveedores de servicios de criptoactivos autorizados según el reglamento MiCA,
   • infraestructuras de mercado: depositarios centrales de valores, entidades de contrapartida central y centros de negociación,
   • sociedades gestoras de instituciones de inversión colectiva (SGIIC), incluyendo las de tipo cerrado (SGEIC), de inversión de capital variable (SICAV) y sociedades autogestionadas (con las exclusiones previstas en el propio reglamento),
   • proveedores de servicios de suministro de datos,
   • proveedores de servicios de financiación participativa.
2. aclara que no les afecta el reglamento a:
   • los gestores de fondos de inversión alternativos contemplados en el artículo 3.2 de la Directiva 2011/61/UE, siempre que les sea aplicable el régimen simplificado por su pequeño tamaño, ni
   • las gestoras de fondos de inversión alternativos excluidas por los umbrales del artículo 2.3.a) del reglamento DORA, ni
   • empresas de asesoramiento financiero nacionales, al no encajar en la definición de empresa de servicios de inversión.

Sucursales

La CNMV aclara que, aunque la responsabilidad del cumplimiento recae en la entidad legal y la autoridad competente del país de la matriz, las sucursales deben integrarse plenamente en el marco normativo de la matriz en este aspecto.

Esto implica, entre otras cuestiones:

• incluir los incidentes que afecten a las sucursales en las notificaciones;
• reflejar en el registro de proveedores los servicios de TIC utilizados por cada sucursal, o
• integrar las sucursales en las políticas, procedimientos, herramientas y planes de formación.

Proporcionalidad

Subraya que el principio de proporcionalidad previsto en el artículo 4 del reglamento DORA permite adaptar la aplicación de los capítulos II, III, IV y la sección I del capítulo V al tamaño y perfil de riesgo de la entidad.

La CNMV resalta los puntos siguientes:

• El marco simplificado de gestión del riesgo tecnológico solo es aplicable a las entidades expresamente previstas en el artículo 16.1 del reglamento DORA. A una gestora no le es de aplicación el marco simplificado.
• Las microempresas no quedan exentas del reglamento, sino que deben aplicar las exigencias de forma proporcionada a su perfil de riesgo, naturaleza, escala y complejidad.
• Las entidades más críticas tienen obligaciones adicionales, como realizar pruebas de penetración basadas en amenazas.

Gestión del riesgo de las TIC

La certificación ISO 27001 u otros estándares equivalentes acreditan cumplir con buenas prácticas generales de ciberseguridad, pero no confirman adecuarse a las exigencias específicas del reglamento DORA.

Por ello, la CNMV recuerda a las entidades que, con independencia de las certificaciones de que dispongan, realicen un análisis para evaluar su grado de adaptación al reglamento.

Roles y responsabilidades

La responsabilidad última de la gestión del riesgo de las TIC corresponde al consejo de administración.

No se trata solo de una supervisión formal, sino de una implicación efectiva en la aprobación, revisión y seguimiento de esa gestión, incluida la asignación de recursos adecuados.

La CNMV subraya la importancia de que la segregación de funciones de desarrollo, operación y control interno estén claramente diferenciadas, en especial en las entidades de mayor tamaño o complejidad.

Requerimientos de la gestión del riesgo de las TIC

La gestión de este riesgo debe ser integral, estar documentada y revisarse anual o periódicamente (para microempresas o con el marco simplificado), por lo que no basta políticas formales, sino que hay que demostrar su aplicación efectiva.

En este sentido, la CNMV destaca la necesidad de los puntos siguientes:

1. Identificar de forma completa los activos de TIC, para
   • identificar los activos esenciales,
   • facilitar la evaluación de riesgos y el diseño de los planes de continuidad, y
   • ayudar al cumplimiento regulatorio e identificar los activos que dependen de otras entidades y su efecto.
2. Valorar los riesgos de TIC: partiendo del punto anterior:
   • analizar amenazas y vulnerabilidades;
   • evaluar el efecto y la probabilidad de los riesgos y
   • definir las medidas de mitigación y documentarlas y priorizarlas según criticidad y urgencia.
3. Definir controles preventivos como:
   • la segregación de funciones, el control de accesos y la autenticación reforzada;
   • el mantenimiento preventivo;
   • el cifrado de la información, las copias de seguridad y pruebas de recuperación;
   • las pruebas de vulnerabilidades y auditorías periódicas;
   • los procedimientos de gestión de incidentes;
   • la gestión del riesgo de proveedores de TIC, y
   • la formación del personal.
4. Implantar procedimientos claros de detección, respuesta y recuperación, como:
   • monitorización continua de sistemas,
   • detección de intrusiones, análisis de registros y logs,
   • alertas automatizadas, las pruebas y auditorías periódicas, y
   • el uso de indicadores clave de riesgo.
5. Disponer de planes de continuidad y recuperación:
   • acordes con el análisis de impacto en el negocio y con la identificación de funciones;
   • con objetivos claros de recuperación, y
   • validados con pruebas periódicas (al menos anuales, salvo en microempresas o entidades sujetas al marco simplificado, al menos debe incluir medios de respaldo y restablecimiento de datos) y
   • sometidos a auditoría interna independiente.

Incidentes relacionados con las TIC

Documentación del proceso de gestión

Las entidades han de contar con un proceso documentado de gestión de incidentes de las TIC que cubra todas las fases, y, por tanto, incluya:

• detección y registro inmediato de incidentes mediante monitorización continua;
• clasificación conforme a los criterios del Reglamento Delegado (UE) 2024/1772;³
• asignación de funciones, informes y canales de comunicación;
• contención, mitigación y recuperación coordinada con los planes de continuidad;
• notificación a la autoridad competente;
• documentación del ciclo del incidente con análisis de causas y lecciones aprendidas, y
• coordinación con proveedores cuando el incidente les afecte.

Análisis de incidentes

La CNMV aclara un par de cuestiones:

1. Un ataque de denegación de servicio no constituye automáticamente un incidente grave para el reglamento DORA, pues no implica por sí mismo un acceso efectivo y malintencionado a las redes o sistemas de la entidad.
2. En cuanto al phishing, su clasificación depende del contexto:
   • Un caso aislado que afecte solo a la cuenta de un cliente no supone, en principio, un acceso efectivo a los sistemas de la entidad, pero, si los ataques afectan a muchas cuentas y se vinculan a una fuga de datos desde los sistemas de la entidad, puede tratarse de un incidente grave.
   • Cuando afecta a empleados presenta mayor riesgo, pues puede implicar acceso al correo corporativo u otros sistemas internos, lo que sí puede encajar como incidente grave.

Notificación de incidentes graves

La obligación de notificarlos recae sobre la entidad financiera cuando el incidente se califique como grave:

• Si se origina en un proveedor de servicios TIC, la obligación sigue correspondiendo a la entidad financiera.
• La obligación de notificar incidentes graves puede externalizarse a un proveedor de servicios, pero la entidad financiera mantiene la responsabilidad plena de cumplir todos los requisitos de la notificación.
• Para las sucursales, la obligación de notificar corresponde a la entidad matriz.
• Cuando el incidente tenga un efecto significativo en los intereses financieros de los clientes, la entidad debe valorar la necesidad de informarlos de manera clara y oportuna, según prevé el reglamento.

Pruebas de resiliencia operativa digital

La CNMV recuerda que las entidades deben implantar un programa de pruebas adecuado al tamaño, naturaleza, escala y complejidad de sus actividades que abarquen las funciones críticas o importantes y los sistemas que las soportan.

Resalta características de este programa de pruebas:

1. Debe formalizarse, documentarse y revisarse periódicamente. No se trata de realizar pruebas técnicas aisladas, sino de integrar las pruebas dentro de la gestión general del riesgo de las TIC.
2. La frecuencia y profundidad de las pruebas deben ajustarse al perfil de riesgo de la entidad.
3. Las microempresas pueden aplicar un enfoque basado en el riesgo proporcional a sus recursos y quedan exentas de determinadas obligaciones, como realizar pruebas por partes independientes o probar anualmente todos los sistemas críticos.
4. Las entidades sujetas al marco simplificado han de definir un plan de pruebas acorde con su perfil de riesgo.

Los resultados deben traducirse en planes de remediación concretos, con responsables asignados y plazos definidos, y en el seguimiento efectivo de las deficiencias detectadas.

Pruebas de penetración basadas en amenazas

Estas pruebas, según aclara la CNMV:

• solo son obligatorias para las entidades designadas según los criterios definidos en el reglamento (artículo 28.6) y sus normas técnicas, y
• deben realizarse sobre sistemas y funciones críticas, bajo un enfoque basado en amenazas reales y con participación de equipos especializados independientes.

Las entidades designadas han de coordinar con la autoridad competente el calendario y el alcance de las pruebas, y el seguimiento de las recomendaciones resultantes.

Gestión del riesgo de las TIC derivado de proveedores

El supervisor recuerda los puntos siguientes:

1. La externalización de servicios de TIC no traslada la responsabilidad de cumplir con el reglamento DORA. La entidad financiera sigue siendo responsable de que los servicios prestados por proveedores cumplan con esos requisitos.
2. La gestión del riesgo de proveedores debe integrarse en la gestión del riesgo de las TIC de la entidad.
3. Es obligatorio mantener un registro actualizado de todos los acuerdos contractuales con proveedores de servicios de TIC, que sea completo, coherente y que esté disponible para el supervisor, incluyendo los subcontratistas que participen en la prestación del servicio.
4. Antes de formalizar un acuerdo contractual, la entidad debe realizar una evaluación del riesgo asociado al proveedor, incluyendo su capacidad de asegurar la continuidad y seguridad del servicio.
5. Es necesario el seguimiento continuo del desempeño del proveedor, especialmente cuando se trate de servicios que soporten funciones críticas o importantes.