CNMV - Ciberseguridad

Inicio >
Sectores regulados >
Ciberseguridad

La ciberseguridad constituye uno de los retos que el sector financiero debe afrontar e incorporar en su modelo de negocio desde su diseño, debe estar adecuadamente reflejada en la estrategia y procedimientos de las entidades financieras, y la gestión del riesgo tecnológico debe ser contemplada dentro del mapa de riesgos de las entidades y ser gestionado de forma adecuada.

Se puede solicitar más información sobre todo lo relacionado con esta sección de la página web de la CNMV a través del correo electrónico ciberseguridad@cnmv.es

Legislación, guías y otra información de interés

Informe sobre el resultado de la autoevaluación sobre la preparación de las entidades con respecto a DORA (12.12.2024) Este Informe se basa en el análisis de las respuestas de entidades financieras al cuestionario elaborado por la CNMV. Recoge adicionalmente recomendaciones, expectativas, aspectos normativos destacables y referencias a materiales de apoyo de carácter más técnico que pueden resultar de ayuda en la implementación de DORA.
Código de buen gobierno de la ciberseguridad (13.07.2023) Este código se incorpora en la web a efectos informativos y la CNMV no es competente para la supervisión del mismo.
Reglamento sobre la resiliencia operativa digital del sector financiero (DORA, de aplicación el 17 de enero de 2025). Este reglamento tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en materia de ciberseguridad para las entidades financieras y sus proveedores de servicios TIC.
Directrices sobre la externalización de servicios a proveedores de servicios en la nube (10.05.2021). European Securities and Markets Authority (ESMA). Estas directrices tienen por objeto ayudar a las empresas y a las autoridades competentes a identificar, abordar y supervisar los riesgos y retos derivados de los acuerdos de externalización en la nube, desde la toma de decisiones de externalización, la selección de un proveedor de servicios en la nube, el seguimiento de las actividades externalizadas y la elaboración de estrategias de salida.

Reglamento de Resiliencia Operacional Digital - DORA

El 27 de diciembre de 2022 se publicó el Reglamento 2022/2554 (DORA – Digital Operational Resilience Act), de aplicación a partir del 17 de enero de 2025. DORA se aplica a las entidades financieras que ofrecen servicios en la Unión Europea.

Dada la gran dependencia del sector financiero de la tecnología para realizar sus funciones críticas de negocio y, cada vez más, su dependencia de servicios tecnológicos de terceras partes, el objetivo de DORA es fortalecer la capacidad de resiliencia del sector frente a amenazas a sus activos TIC. Este Reglamento armoniza a nivel europeo los requisitos más relevantes de resiliencia operativa para que las entidades, bajo el principio de proporcionalidad, sean capaces de detectar, responder y recuperarse de posibles incidentes que afecten a las funciones críticas o relevantes de su negocio.

DORA se articula en torno a cinco pilares:

Gestión del riesgo relacionado con las TIC
Gestión, clasificación y notificación de incidentes relacionados con las TIC
Pruebas de resiliencia operativa digital
Gestión del riesgo relacionado con las TIC derivado de terceros
Acuerdos de intercambio de información

Desarrollos normativos de nivel 2 y 3 por las ESAS:

Pilar I: Gestión del riesgo relacionado con las TIC
- Reglamento Delegado (UE) 2024/1774 de la Comisión sobre el marco de gestión de riesgos TIC y el marco simplificado de gestión de riesgo TIC (25/06/2024)
Pilar II: Gestión de incidentes relacionados con las TIC
Pilar III: Pruebas de resiliencia operativa digital
- Reglamento Delegado (UE) xxxx/xxxx de la Comisión sobre las pruebas de penetración basadas en amenazas (adoptado por la CE)
Pilar IV: Gestión del riesgo relacionado con las TIC derivado de terceros
Pilar IV bis: Marco de supervisión de los proveedores de servicios TIC esenciales

Marco TIBER-ES

TIBER-EU constituye el primer marco común a escala europea para la realización de pruebas de red-teaming, recogiendo el modo en que las autoridades, las entidades y los proveedores de servicios de ciberseguridad deben trabajar juntos para alcanzar el objetivo de estas las pruebas. Estas pruebas tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras.

TIBER-ES suscribe los principios de TIBER-EU y tiene como objetivo fortalecer la ciberresiliencia del sector financiero español, garantizando el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente este marco. La CNMV monitorizará las pruebas, a través del TCT (TIBER Cyber Team), cuando las entidades financieras que las lleven a cabo sean de su ámbito de supervisión.

TIBER-EU, marco europeo para la realización de pruebas de red-teaming.
Guía para la implementación del marco operativo TIBER-ES. El propósito de esta guía es especificar las condiciones para la realización de pruebas de red-teaming bajo el esquema de requisitos de TIBER-ES.

Comunicados públicos y eventos

Comunicación al sector: Guía operativa de reporte a la CNMV del registro completo de información de proveedores de servicios de TIC (25.02.2025)
Nota de prensa: Informe sobre el resultado de la autoevaluación sobre la preparación de las entidades con respecto a DORA (12.12.2024)
Comunicación al sector: Procedimiento para comunicar a la CNMV incidentes graves y ciberamenazas importantes (25.02.2025)
Comunicación al sector: Anuncio de las AES sobre el calendario para recibir el registro de información de proveedores bajo DORA (15.11.2024)
Comunicación al sector: Invitación al sector a participar en un simulacro sobre DORA (15.04.2024)
Nota de prensa: Nuevo Código de Buen Gobierno de la Ciberseguridad (13.07.2023)