La CNMV publica una guía de preguntas frecuentes sobre el reglamento DORA para el sector financiero

La Comisión Nacional del Mercado de Valores (CNMV) ha publicado una versión actualizada, con fecha 10 de febrero de 2026, de su documento de preguntas frecuentes sobre el Reglamento (UE) 2022/2554 de resiliencia operativa digital (DORA), aplicable desde el 17 de enero de 2025 a las entidades financieras que prestan servicios en la Unión Europea.

El texto tiene carácter explicativo y no normativo y está dirigido a las entidades sujetas al ámbito de aplicación del Reglamento DORA, con el objetivo de facilitar su implementación práctica .

El documento resuelve 74 dudas frecuentes en el sector con la aplicación del reglamento y recuerda que el Reglamento DORA es aplicable a las entidades financieras que ofrecen servicios en la Unión Europea. En el caso de las entidades supervisadas por la CNMV, incluye, entre otras, empresas de servicios de inversión, proveedores de servicios de criptoactivos autorizados bajo MiCA, infraestructuras de mercado, sociedades gestoras y proveedores de servicios de financiación participativa .

En relación con la proporcionalidad, el texto subraya que las entidades financieras deberán aplicar las obligaciones “de conformidad con el principio de proporcionalidad, teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones” .

El documento añade que este principio actúa como “un atenuador normativo, liberando a las microempresas de exigencias técnicas y organizativas desproporcionadas, pero sin dejar a un lado la necesidad de que las mismas realicen un análisis fundado de su exposición e implanten un marco de resiliencia digital sólido, documentado y acorde con su realidad operativa” .

La actualización dedica un apartado específico al papel del Consejo de Administración, que “desempeña un papel crítico y decisivo en la gestión del riesgo TIC, ya que es responsable último de garantizar que el marco de gestión del riesgo TIC se implemente de manera efectiva y se alinee con la estrategia y objetivos de la entidad financiera” .

En materia de gestión de riesgos, la CNMV destaca la importancia de mantener un inventario actualizado de activos TIC, realizar análisis de impacto en el negocio (BIA), definir planes de continuidad y someterlos a prueba al menos una vez al año .

También se detallan los controles preventivos esperados, como la segregación de funciones, el control de accesos, el cifrado de la información, las copias de seguridad y la gestión del riesgo derivado de proveedores de servicios TIC .

Criterios para la notificación de incidentes

El documento precisa qué se considera un “incidente relacionado con las TIC”, definido como “un único suceso o una serie de sucesos interrelacionados no previstos por la entidad financiera que pone en peligro la seguridad de las redes y sistemas de información y tiene repercusiones negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos o en los servicios prestados por la entidad financiera"

Asimismo, se detallan los umbrales cuantitativos y cualitativos que determinan cuándo un incidente debe calificarse como grave y, por tanto, notificarse a la autoridad competente, incluyendo criterios relativos al número de clientes afectados, duración del incidente, impacto reputacional o pérdidas económicas.

En la práctica, esto busca que, ante un incidente grave —como un ataque de denegación de servicio o una brecha de seguridad— la entidad pueda restaurar rápidamente la operativa y minimizar el impacto en los clientes.

La CNMV recuerda que corresponde a cada entidad financiera determinar si le resulta de aplicación el Reglamento DORA y actuar de forma proactiva para su cumplimiento.

Este contenido se ha elaborado parcialmente con inteligencia artificial, bajo un criterio editorial y no constituye una recomendación ni propuesta de inversión. La inversión contiene riesgos. Las rentabilidades pasadas no son garantía de rentabilidades futuras.