La ciberseguridad constituye uno de los retos que el sector financiero debe afrontar e incorporar en su modelo de negocio desde su diseño, debe estar adecuadamente reflejada en la estrategia y procedimientos de las entidades financieras, y la gestión del riesgo tecnológico debe ser contemplada dentro del mapa de riesgos de las entidades y ser gestionado de forma adecuada.

Se puede solicitar más información sobre todo lo relacionado con esta sección de la página web de la CNMV a través del correo electrónico ciberseguridad@cnmv.es

Legislación, guías y otra información de interés

  • Código de buen gobierno de la ciberseguridad (13.07.2023) Este código se incorpora en la web a efectos informativos y la CNMV no es competente para la supervisión del mismo.
  • Reglamento sobre la resiliencia operativa digital del sector financiero (DORA, de aplicación el 17 de enero de 2025). Este reglamento tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en materia de ciberseguridad para las entidades financieras y sus proveedores de servicios TIC.
  • Directrices sobre la externalización de servicios a proveedores de servicios en la nube (10.05.2021). European Securities and Markets Authority (ESMA). Estas directrices tienen por objeto ayudar a las empresas y a las autoridades competentes a identificar, abordar y supervisar los riesgos y retos derivados de los acuerdos de externalización en la nube, desde la toma de decisiones de externalización, la selección de un proveedor de servicios en la nube, el seguimiento de las actividades externalizadas y la elaboración de estrategias de salida.

Reglamento de Resiliencia Operacional Digital - DORA

El 27 de diciembre de 2022 se publicó el Reglamento 2022/2554 (DORA – Digital Operational Resilience Act), con entrada en vigor el 17 de enero de 2025. DORA se aplica a las entidades financieras que ofrecen servicios en la Unión Europea.

Dada la gran dependencia del sector financiero de la tecnología para realizar sus funciones críticas de negocio y, cada vez más, su dependencia de servicios tecnológicos de terceras partes, el objetivo de DORA es fortalecer la capacidad de resiliencia del sector frente a amenazas a sus activos TIC. Este Reglamento armoniza a nivel europeo los requisitos más relevantes de resiliencia operativa para que las entidades, bajo el principio de proporcionalidad, sean capaces de detectar, responder y recuperarse de posibles incidentes que afecten a las funciones críticas o relevantes de su negocio.

DORA se articula en torno a cinco pilares:

  • Gestión del riesgo relacionado con las TIC
  • Gestión, clasificación y notificación de incidentes relacionados con las TIC
  • Pruebas de resiliencia operativa digital
  • Gestión del riesgo relacionado con las TIC derivado de terceros
  • Acuerdos de intercambio de información

Documentos y consultas relevantes:

Desarrollos Normativos de nivel 2 y 3 por las ESAS Fecha de publicación
Primer paquete de borradores de mandatos (artículos 15, 16(3), 18(3), 28(9) y 28(10) de DORA) 17/01/2024
Segundo paquete de borradores de mandatos (artículos 11(11), 20a, 20b, 26(11), 30(5), 32(7) y 41 de DORA) 17/07/2024
Informe final sobre el borrador de RTS sobre subcontratación 26/07/2024
Reglamento Delegado (UE) 2024/1772 de la Comisión sobre los criterios para la clasificación de los incidentes relacionados con las TIC 25/06/2024
Reglamento Delegado (UE) 2024/1773 de la Comisión sobre la política sobre acuerdos con proveedores de servicios TIC 25/06/2024
Reglamento Delegado (UE) 2024/1774 de la Comisión sobre el marco de gestión de riesgos TIC y el marco simplificado de gestión de riesgo TIC 25/06/2024

Marco TIBER-ES

TIBER-EU constituye el primer marco común a escala europea para la realización de pruebas de red-teaming, recogiendo el modo en que las autoridades, las entidades y los proveedores de servicios de ciberseguridad deben trabajar juntos para alcanzar el objetivo de estas las pruebas. Estas pruebas tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras.

 

TIBER-ES suscribe los principios de TIBER-EU y tiene como objetivo fortalecer la ciberresiliencia del sector financiero español, garantizando el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente este marco. La CNMV monitorizará las pruebas, a través del TCT (TIBER Cyber Team), cuando las entidades financieras que las lleven a cabo sean de su ámbito de supervisión.

Comunicados públicos y eventos