La CNMV publica una guía sobre el registro de los proveedores de servicios tecnológicos de acuerdo con el reglamento DORA

El Reglamento (UE) 2022/2554,¹ más conocido como reglamento DORA, obliga a las entidades financieras a proporcionar a la autoridad competente datos para un registro completo de los acuerdos con proveedores de servicios de tecnologías de la información y las comunicaciones (TIC).

La Comisión Nacional de Mercado de Valores (CNMV) publicó, el 25-2-2025, una guía en la que detalla los pasos para cumplir esta obligación de información.

A continuación se resume el contenido de esta guía.

Calendario, formato y procedimiento

La guía recoge el calendario, el formato y el procedimiento para que las entidades remitan la información del año 2025. Resaltamos los puntos siguientes:

1. Los datos deben comunicarse en una plantilla en formato .xlsx (Excel), que se incluye en la propia comunicación.
2. Antes de enviarla a la  CNMV, debe convertirla a un formato .csv y .json, siguiendo las instrucciones de la Autoridad Bancaria Europea para este paso.
3. Se envía en la Zona Cifradoc de la sede electrónica de la CNMV con el trámite «ZZZ – Envío de un documento con formato libre».
4. El supervisor informará a la entidad del estado del envío.

La CNMV prevé disponer de un procedimiento distinto para los siguientes años.

Indicaciones adicionales

La guía recoge otras indicaciones:

1. Referencia a las indicaciones de la EBA en aspectos como:
   • el modelo de datos del registro,
   • las dependencias entre plantillas,
   • las claves para cumplimentarlas, o
   • la admisión de campos vacíos o nulos.
2. Señala que se requiere un mayor detalle para  los proveedores de funciones críticas o esenciales.
3. Indica una dirección de correo electrónico (ciberseguridad@cnmv.es) para contactar en caso de dudas o problemas con este informe.