La CNMV publica una guía operativa sobre el registro de proveedores de servicios tecnológicos de acuerdo con el reglamento DORA

18-02-2026 — AR/2026/018

La guía explica cómo informar al supervisor de los contratos con proveedores de servicios de tecnologías de la información y las comunicaciones, como requiere el Reglamento (UE) 2022/2554.

La Comisión Nacional del Mercado de Valores (CNMV) ha hecho pública, el 12-2-2026, una pequeña guía operativa para informar a este supervisor del registro de información de proveedores de servicios de TIC (tecnologías de la información y las comunicaciones), de acuerdo con el Reglamento (UE) 2022/2554,1 más conocido como reglamento DORA.

Esta guía pretende orientar el procedimiento para informar al supervisor de los acuerdos contractuales con proveedores de estos servicios.

Como se sabe, el reglamento DORA obliga a las entidades financieras a proporcionar a la autoridad competente un registro completo de esos acuerdos.

Resumimos a continuación el contenido de esta guía.

Calendario, formato y procedimiento

La guía recoge el calendario, el formato y el procedimiento para que las entidades remitan la información, referida al 31-12-2025, entre los días 1 y 29-3-2026, con un plazo de subsanaciones hasta el 22-4-2026.

Resalta los puntos siguientes:

  1. Los datos hay que presentarlos en fichero basado en una plantilla con formato .xlsx (Excel), incluida en la propia comunicación.
    • A diferencia del ejercicio anterior, ya no es necesario convertir a .csv y .json.
  2. El fichero hay que registrarlo en la Zona Cifradoc de la sede electrónica de la CNMV con el trámite «ZZZ – Envío de un documento con formato libre».
  3. El supervisor informará a la entidad del estado del envío y la calidad de los datos contenidos.

Indicaciones adicionales

La guía recoge otras indicaciones como las siguientes:

  1. Recomienda consultar el material de ayuda publicado por la CNMV, que contiene:
    • Documento con las novedades del informe de 2026 respecto al de 2025.
    • Documento sobre el entorno de pruebas que ofrece la CNMV, durante febrero, para validar el fichero antes de enviarlo.
    • Preguntas frecuentes sobre el registro y ejemplos.
    • Presentaciones con audio para explicar conceptos sobre el contenido y el registro.
  2. Referencia a las indicaciones de la EBA en aspectos como:
    • el modelo de datos del registro,
    • las dependencias entre plantillas,
    • las claves para cumplimentarlas, o
    • la admisión de campos vacíos o nulos.
  3. Señala que requiere mayor detalle para los proveedores de funciones críticas o importantes.
  4. Indica una dirección de correo electrónico (ciberseguridad@cnmv.es) para contactar en caso de dudas o problemas con este informe.
1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) nº 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.

 

Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información