ARTICLE
12 March 2026

Claves prácticas del Reglamento DORA según la CNMV

KL
Herbert Smith Freehills Kramer LLP

Contributor

Herbert Smith Freehills Kramer LLP logo
Herbert Smith Freehills Kramer is a world-leading global law firm, where our ambition is to help you achieve your goals. Exceptional client service and the pursuit of excellence are at our core. We invest in and care about our client relationships, which is why so many are longstanding. We enjoy breaking new ground, as we have for over 170 years. As a fully integrated transatlantic and transpacific firm, we are where you need us to be. Our footprint is extensive and committed across the world’s largest markets, key financial centres and major growth hubs. At our best tackling complexity and navigating change, we work alongside you on demanding litigation, exacting regulatory work and complex public and private market transactions. We are recognised as leading in these areas. We are immersed in the sectors and challenges that impact you. We are recognised as standing apart in energy, infrastructure and resources. And we’re focused on areas of growth that affect every business across the world.
Explore Firm Details
La Comisión Nacional del Mercado de Valores (CNMV) ha publicado un documento que compila las respuestas a algunas de las preguntas más frecuentes sobre el Reglamento de Resiliencia Operativa Digital (DORA o el Reglamento).
Spain Technology
Jaime Bofill,Sara Piñero, and Devansh Agrawal
Your Author LinkedIn Connections
Herbert Smith Freehills Kramer LLP are most popular:
  • within Technology, Transport, Media, Telecoms, IT and Entertainment topic(s)
  • with Inhouse Counsel

La Comisión Nacional del Mercado de Valores (CNMV) ha publicado un documento que compila las respuestas a algunas de las preguntas más frecuentes sobre el Reglamento de Resiliencia Operativa Digital (DORA o el Reglamento). A continuación, se resumen los elementos clave del documento –que tiene en cuenta las mejores prácticas, los estándares de ciberseguridad, los Reglamentos Delegados 2024/17721 y 2025/3012 y el Reglamento de Ejecución 2025/3023 (reglamentos que desarrollan normas técnicas de regulación y ejecución)-.

1. Ámbito de aplicación y proporcionalidad

La CNMV señala que no existe un registro nacional de sujetos obligados por DORA y que corresponde a las entidades financieras evaluar, de forma proactiva, si el Reglamento les resulta aplicable y en qué medida. Si bien, la CNMV aclara que DORA se aplica a diversas entidades financieras supervisadas por la CNMV, entre las que se incluyen las empresas de servicios de inversión, los proveedores de servicios de criptoactivos, las infraestructuras de mercado, las sociedades gestoras, los gestores de fondos de inversión alternativa, y los proveedores de servicios de suministro de datos y de financiación participativa.

La CNMV precisa que quedan excluidos del ámbito de aplicación de DORA los gestores de fondos de inversión alternativa cuyos patrimonios gestionados se sitúen por debajo de los umbrales de activos establecidos –100 millones de euros y 500 millones de euros para carteras apalancadas y no apalancadas, respectivamente–, así como las Empresas de Asesoramiento Financiero Nacional (EAFN). Estas últimas –entidades autorizadas por la CNMV para operar exclusivamente en España y únicamente para la prestación de servicios de asesoramiento en materia de inversión y servicios accesorios– quedan excluidas al no estar contempladas en el artículo 2.1 de DORA ni constituir empresas de inversión conforme a la definición del artículo 4.1.1 de la Directiva MiFID II (Directiva 2014/65/UE del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros).

Las obligaciones aplicables a las entidades comprendidas en el ámbito de aplicación de DORA se ven moduladas por el principio de proporcionalidad (artículo 4 de DORA), teniendo en cuenta factores como el tamaño de la entidad, su perfil de riesgo, su dimensión operativa y organizativa, así como la naturaleza, el alcance y la complejidad de las actividades desarrolladas. En este sentido, las entidades previstas en el artículo 16 de DORA, incluidas las microempresas –aquellas con menos de 10 empleados y un volumen anual de negocio inferior a 2 millones de euros– y las entidades no interconectadas, están sujetas a un marco simplificado de gestión del riesgo de las Tecnologías de la Información y la Comunicación (TIC), mientras que las entidades más críticas quedan sujetas a obligaciones adicionales, como la realización de pruebas de penetración basadas en amenazas (TLPT, según sus siglas en inglés) o la implantación de planes de continuidad.

2. Gestión del riesgo relacionado con las TIC

La CNMV explica que la gestión del riesgo TIC en el marco de DORA debe basarse en una evaluación del riesgo estructurada y documentada, que abarque el inventario y la clasificación de los activos TIC, el análisis de amenazas y vulnerabilidades, la evaluación del impacto y de la probabilidad de ocurrencia, así como la definición de medidas de mitigación y planes de acción. Para fundamentar este proceso, las entidades financieras deben apoyarse en indicadores cuantitativos y cualitativos, tales como:

  • la disponibilidad de los sistemas,
  • el número y la gravedad de los incidentes TIC,
  • el tiempo medio de reparación,
  • el grado de cobertura de los activos críticos por los controles implantados, y
  • las alertas o anomalías de seguridad detectadas.

Estos marcos de gestión del riesgo deben revisarse al menos con carácter anual –o de forma periódica en el caso de los regímenes simplificados– y, en particular, tras la ocurrencia de incidentes significativos, cambios materiales en el negocio o en la tecnología, actualizaciones normativas, evaluaciones o auditorías internas, o a requerimiento de la autoridad competente.

La CNMV subraya, asimismo, la necesidad de identificar y mantener actualizada la lista de funciones críticas e importantes, ya que ello resulta esencial para la priorización de los recursos y los esfuerzos de gestión del riesgo en aquellas áreas que podrían comprometer las operaciones esenciales. En este contexto, se espera que las entidades financieras mantengan –y revisen periódicamente– un inventario estructurado de activos TIC y lleven a cabo análisis de impacto en el negocio (BIA, según sus siglas en inglés) que evalúen la exposición a interrupciones graves. Del mismo modo, las entidades financieras deben establecer planes de continuidad debidamente documentados, basados en el BIA, y garantizar que dichos planes definan claramente los roles correspondientes, las condiciones de activación y las medidas a adoptar; contemplen la planificación de contingencias; y cuenten con recursos suficientes asignados.

En relación con las salvaguardas, la CNMV señala que las entidades financieras deben implantar controles preventivos proporcionados a la criticidad de sus actividades TIC, en lugar de apoyarse exclusivamente en medidas reactivas. Entre estos controles se incluyen, entre otros:

  • la segregación de responsabilidades TIC,
  • los controles de acceso basados en el principio de mínimo privilegio,
  • la autenticación reforzada,
  • el cifrado,
  • las copias de seguridad,
  • las evaluaciones de vulnerabilidades, y
  • la gestión del riesgo TIC de terceros.

Asimismo, las entidades deben desplegar mecanismos para la detección temprana de actividades TIC anómalas que deben integrarse en el marco de gestión del riesgo TIC, como:

  • la monitorización continua,
  • el análisis de registros,
  • las alertas automatizadas, y
  • los indicadores clave de riesgo.

Por último, la CNMV destaca que la gestión del riesgo TIC debe estar integrada en la gobernanza y la estrategia global de la entidad financiera, atribuyendo al Consejo de Administración –cuyos miembros deben contar igualmente, con conocimientos y experiencia suficientes en materia de riesgos TIC y resiliencia operativa digital–, la responsabilidad de garantizar su efectiva implantación.

En este sentido, la CNMV aclara, igualmente, que el cumplimiento de estándares como ISO 27001 no garantiza necesariamente el cumplimiento de DORA, por lo que las entidades deben llevar a cabo su propio gap analysis (análisis de brechas) para evaluar su grado de alineamiento con los requisitos del Reglamento.

3. Gestión, clasificación y notificación de incidentes relacionados con las TIC

La CNMV aclara que los incidentes relacionados con las TIC –que incluyen tanto eventos técnicos como incidentes de ciberseguridad– son sucesos imprevistos que interrumpen o degradan el funcionamiento normal de los sistemas TIC, comprometiendo la seguridad de la información o la capacidad operativa de la entidad financiera. Una gestión eficaz de los incidentes requiere, entre otras medidas:

  • la detección y documentación oportunas de los incidentes o anomalías;
  • su clasificación y evaluación de la gravedad;
  • la asignación clara de roles;
  • el establecimiento de medidas de contención y recuperación;
  • la realización de análisis de causa raíz; y
  • la coordinación con los proveedores externos de servicios TIC afectados.

Se considera que un incidente relacionado con las TIC afecta a servicios críticos cuando impacta en sistemas TIC en que se sustenten funciones críticas o importantes; en servicios sujetos a autorización o supervisión previa; o cuando implica un acceso efectivo, no autorizado y malintencionado a los sistemas o redes de la entidad (artículo 6 del Reglamento Delegado (UE) 2024/1772 (Reglamento Delegado)).

Los incidentes se califican como incidentes TIC graves cuando se cumplen al menos dos de los umbrales de materialidad –relativos al número de clientes o transacciones afectados, impacto reputacional, duración, extensión geográfica, pérdida de datos o pérdida económica (incluidos los costes de personal) sufrida por la entidad– establecidos en el artículo 9 del Reglamento Delegado.

Por otro lado, los incidentes recurrentes que no alcancen individualmente los umbrales de los incidentes graves pueden considerarse graves con arreglo al artículo 8 del Reglamento Delegado cuando se produzcan múltiples recurrencias en un plazo de 6 meses, deriven de la misma causa raíz y, de forma conjunta, superen los criterios de materialidad. Determinados eventos, como los ataques DDoS o las campañas de phishing, no se consideran automáticamente graves, pero pueden clasificarse como tales en función de su impacto en funciones críticas o de la escala y el origen del incidente.

Cuando un incidente se clasifica como grave, las entidades financieras deben cumplir con el régimen de notificación previsto en el artículo 19 de DORA, que incluye la presentación de una notificación inicial, seguida de un informe intermedio en un plazo de 72 horas, incluso cuando no existan actualizaciones materiales. Serán necesarios informes intermedios adicionales si no se han restablecido las operaciones normales dentro de las primeras 72 horas, y deberá presentarse un informe final en el plazo de un mes desde el último informe intermedio.

Los incidentes graves también deben comunicarse sin dilación indebida a los clientes afectados cuando se vean perjudicados sus intereses financieros y deben escalarse internamente al Consejo de Administración y a la alta dirección correspondiente. Si la entidad revisa posteriormente la calificación de un incidente inicialmente considerado grave, deberá notificarlo a la autoridad competente utilizando el modelo previsto en el Anexo II del Reglamento de Ejecución (UE) 2025/302. Todas las notificaciones de incidentes TIC deben presentarse a nivel de cada persona jurídica sujeta a DORA, que seguirá siendo responsable del cumplimiento –y susceptible de medidas correctoras o sanciones administrativas conforme a los artículos 50 y 51 de DORA– incluso cuando la notificación se externalice a terceros.

Por último, la CNMV destaca una serie de buenas prácticas en esta materia, entre las que se incluyen:

  • el establecimiento de procedimientos internos claros de gestión de incidentes alineados con los plazos y formatos regulatorios;
  • el uso de herramientas de monitorización y detección temprana;
  • la realización de simulaciones y pruebas periódicas de incidentes;
  • el fomento de una cultura interna de notificación;
  • la incorporación sistemática de las lecciones aprendidas;
  • la coordinación con proveedores TIC críticos; y
  • una comunicación oportuna con las autoridades competentes.

4. Pruebas de resiliencia operativa digital

La CNMV explica que, de conformidad con el artículo 24 de DORA, las entidades financieras están obligadas a establecer, mantener y revisar periódicamente un programa de pruebas de resiliencia operativa digital, que debe aplicarse al menos con carácter anual a todos los sistemas y aplicaciones TIC que soporten funciones críticas e importantes. Dichos programas pueden incluir pruebas realizadas por partes independientes, ya sean internas o externas, como:

  • evaluaciones de vulnerabilidades,
  • análisis de software de código abierto y de código fuente,
  • pruebas de seguridad de red y física,
  • pruebas basadas en escenarios,
  • pruebas de penetración, y
  • pruebas de los planes de continuidad del negocio y de los procesos de desarrollo y migración de sistemas TIC.

La idoneidad de las pruebas a adoptar debe ser determinada por cada entidad atendiendo al principio de proporcionalidad, teniendo en cuenta su nivel de madurez y los riesgos TIC identificados. En este sentido, las microempresas pueden aplicar un enfoque basado en riesgo que equilibre los recursos disponibles con la urgencia de los riesgos detectados, y se benefician, asimismo, de exenciones respecto de determinados requisitos, entre ellos, la realización de pruebas independientes, el seguimiento exhaustivo de los resultados y la obligación de someter a prueba todos los sistemas TIC que soporten funciones críticas e importantes. Por su parte, las entidades más maduras, en particular aquellas cuya interrupción pueda afectar a la estabilidad financiera, están sujetas a obligaciones de pruebas de TLPT, que deben realizarse al menos cada tres años y pueden llevarse a cabo conforme a marcos reconocidos a nivel de la UE o nacional –como TIBER-EU y TIBER-ES, respectivamente–.

A este respecto, la CNMV destaca como buenas prácticas: la definición de objetivos claros y criterios de éxito, la participación de equipos multidisciplinares, una adecuada documentación y trazabilidad de las pruebas, y la incorporación de sus resultados en el proceso de mejora continua de la resiliencia operativa digital.

5. Gestión del riesgo relacionado con las TIC derivado de terceros

La CNMV recuerda que DORA adopta una definición amplia de los servicios TIC, que abarca todos los servicios digitales y relacionados con datos prestados de forma continuada a través de sistemas TIC. Cuando una entidad financiera regulada presta a otra entidad financiera un servicio financiero regulado, los componentes TIC integrados se consideran, por regla general, parte de un servicio financiero a efectos de DORA. Por el contrario, cuando los elementos TIC son independientes o no están relacionados con el servicio financiero regulado, se califican como servicios TIC y quedan sujetos al marco de gestión del riesgo de terceros previsto en el Capítulo V de DORA.

DORA distingue entre los proveedores terceros críticos de servicios TIC –designados por las Autoridades Europeas de Supervisión y sujetos a supervisión directa conforme a los artículos 31 a 44 de DORA– y otros proveedores de servicios TIC contratados directamente por las entidades financieras. Las entidades financieras siguen siendo responsables de identificar los proveedores que respaldan sus funciones críticas e importantes y de garantizar el cumplimiento de requisitos contractuales y de gobernanza específicos, como los previstos en el artículo 30.2 de DORA. Asimismo, deben mantener un registro de todos los proveedores terceros de servicios TIC –incluidos los proveedores intragrupo–, priorizando aquellos más relevantes desde una perspectiva de riesgo, y cumplir con las obligaciones de información a las autoridades competentes establecidas en el artículo 28.3 de DORA. Antes de formalizar acuerdos de externalización de servicios TIC, las entidades financieras deben llevar a cabo una evaluación y diligencia debida precontractual basada en el riesgo, centrada principalmente en:

  • la criticidad del servicio,
  • los riesgos de concentración,
  • los conflictos de interés,
  • los acuerdos de subcontratación, y
  • la complejidad global de la cadena de valor TIC.

Del mismo modo, las entidades deben conservar derechos adecuados de resolución y salida, en particular en supuestos de:

  • incumplimiento material por parte del proveedor,
  • cambios significativos que afecten al servicio,
  • deficiencias en la gestión del riesgo TIC del proveedor,
  • impedimentos a una supervisión eficaz por parte de la autoridad competente, o
  • incumplimiento de los controles de subcontratación establecidos legal o contractualmente.

No obstante, la CNMV reconoce que, dada la reciente entrada en vigor de DORA, las entidades financieras pueden no ser capaces de cumplir plenamente con todas las obligaciones relativas a la gestión del riesgo TIC de terceros en las fases iniciales.

En este contexto, la CNMV recomienda a las entidades financieras, evitar una concentración excesiva de proveedores de servicios TIC, habida cuenta de los riesgos operativos que ello puede conllevar, y aconseja recurrir a servicios de monitorización independientes para los proveedores más críticos cuando las capacidades internas resulten insuficientes.

Asimismo, la CNMV aclara que certificaciones como ISO 27001 no garantizan, por sí solas, el cumplimiento de DORA, al no estar específicamente alineadas con el Reglamento, si bien pueden servir de apoyo en el proceso de diligencia debida para evaluar la idoneidad de los proveedores de servicios TIC.

Por último, la CNMV destaca como buenas prácticas en la gestión del riesgo TIC de terceros bajo DORA, el mantenimiento de un inventario y clasificación de proveedores, la realización de evaluaciones previas y continuas, la incorporación de salvaguardas contractuales claras, el establecimiento de planes de salida y contingencia, y la integración de la gestión del riesgo de terceros en el marco general de gestión del riesgo TIC.

6. Conclusión

En definitiva, las orientaciones de la CNMV sobre DORA ofrecen a las entidades financieras un marco claro para avanzar en la mejora de su resiliencia operativa digital, resaltando la importancia de un enfoque basado en riesgo, una gobernanza sólida y una gestión proactiva tanto de los activos TIC como de los terceros proveedores. La aplicación eficaz del Reglamento requiere una evaluación continua, una documentación rigurosa y una integración transversal de las funciones tecnológicas en la estrategia corporativa.

Aunque el cumplimiento pleno puede resultar complejo en esta fase inicial, la adopción de buenas prácticas y la anticipación regulatoria permitirán a las entidades fortalecer su preparación frente a incidentes, reducir su exposición operativa y alinearse con las expectativas supervisoras que empiezan a marcar un nuevo estándar en la gestión del riesgo digital en el sector financiero.

Footnotes

1 Reglamento Delegado (UE) 2024/1772 de la Comisión de 13 de marzo de 2024 por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves.

2 Reglamento Delegado (UE) 2025/301 de la Comisión de 23 de octubre de 2024 por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes.

3 Reglamento de ejecución (UE) 2025/302 de la Comisión de 23 de octubre de 2024 por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Photo of Jaime Bofill
Jaime Bofill
Person photo placeholder
Sara Piñero
Person photo placeholder
Devansh Agrawal
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More