La ciberseguridad constituye uno de los retos que el sector financiero debe afrontar e incorporar en su modelo de negocio desde su diseño, debe estar adecuadamente reflejada en la estrategia y procedimientos de las entidades financieras, y la gestión del riesgo tecnológico debe ser contemplada dentro del mapa de riesgos de las entidades y ser gestionado de forma adecuada.
Legislación, guías y otra información de interés
- Código de buen gobierno de la ciberseguridad (13.07.2023)
- Reglamento sobre la resiliencia operativa digital del sector financiero (DORA, de aplicación el 17 de enero de 2025). Este reglamento tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en materia de ciberseguridad para las entidades financieras y sus proveedores de servicios TIC.
- Directrices sobre la externalización de servicios a proveedores de servicios en la nube (10.05.2021). European Securities and Markets Authority (ESMA). Estas directrices tienen por objeto ayudar a las empresas y a las autoridades competentes a identificar, abordar y supervisar los riesgos y retos derivados de los acuerdos de externalización en la nube, desde la toma de decisiones de externalización, la selección de un proveedor de servicios en la nube, el seguimiento de las actividades externalizadas y la elaboración de estrategias de salida.
Marco TIBER-ES
TIBER-EU constituye el primer marco común a escala europea para la realización de pruebas de red-teaming, recogiendo el modo en que las autoridades, las entidades y los proveedores de servicios de ciberseguridad deben trabajar juntos para alcanzar el objetivo de estas las pruebas. Estas pruebas tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras.
TIBER-ES suscribe los principios de TIBER-EU y tiene como objetivo fortalecer la ciberresiliencia del sector financiero español, garantizando el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente este marco. La CNMV monitorizará las pruebas, a través del TCT (TIBER Cyber Team), cuando las entidades financieras que las lleven a cabo sean de su ámbito de supervisión. Pueden solicitar más información a través del correo electrónico ciberseguridad@cnmv.es
- TIBER-EU, marco europeo para la realización de pruebas de red-teaming.
- Guía para la implementación del marco operativo TIBER-ES. El propósito de esta guía es especificar las condiciones para la realización de pruebas de red-teaming bajo el esquema de requisitos de TIBER-ES.
Comunicados públicos y eventos