CNMV - Ciberseguridad

Inicio >
Sectores regulados >
Ciberseguridad

La ciberseguridad constituye uno de los retos que el sector financiero debe afrontar e incorporar en su modelo de negocio desde su diseño, debe estar adecuadamente reflejada en la estrategia y procedimientos de las entidades financieras, y la gestión del riesgo tecnológico debe ser contemplada dentro del mapa de riesgos de las entidades y ser gestionado de forma adecuada.

Se puede solicitar más información sobre todo lo relacionado con esta sección de la página web de la CNMV a través del correo electrónico ciberseguridad@cnmv.es

Legislación, guías y otra información de interés

Código de buen gobierno de la ciberseguridad (13.07.2023)
Reglamento sobre la resiliencia operativa digital del sector financiero (DORA, de aplicación el 17 de enero de 2025). Este reglamento tiene como objetivo reforzar y armonizar a nivel europeo los principales requerimientos en materia de ciberseguridad para las entidades financieras y sus proveedores de servicios TIC.
Directrices sobre la externalización de servicios a proveedores de servicios en la nube (10.05.2021). European Securities and Markets Authority (ESMA). Estas directrices tienen por objeto ayudar a las empresas y a las autoridades competentes a identificar, abordar y supervisar los riesgos y retos derivados de los acuerdos de externalización en la nube, desde la toma de decisiones de externalización, la selección de un proveedor de servicios en la nube, el seguimiento de las actividades externalizadas y la elaboración de estrategias de salida.

Reglamento de Resiliencia Operacional Digital - DORA

El 27 de diciembre de 2022 se publicó el Reglamento 2022/2554 (DORA – Digital Operational Resilience Act), con entrada en vigor el 17 de enero de 2025. DORA se aplica a las entidades financieras que ofrecen servicios en la Unión Europea.

Dada la gran dependencia del sector financiero de la tecnología para realizar sus funciones críticas de negocio y, cada vez más, su dependencia de servicios tecnológicos de terceras partes, el objetivo de DORA es fortalecer la capacidad de resiliencia del sector frente a amenazas a sus activos TIC. Este Reglamento armoniza a nivel europeo los requisitos más relevantes de resiliencia operativa para que las entidades, bajo el principio de proporcionalidad, sean capaces de detectar, responder y recuperarse de posibles incidentes que afecten a las funciones críticas o relevantes de su negocio.

DORA se articula en torno a cinco pilares:

Gestión del riesgo relacionado con las TIC
Gestión, clasificación y notificación de incidentes relacionados con las TIC
Pruebas de resiliencia operativa digital
Gestión del riesgo relacionado con las TIC derivado de terceros
Acuerdos de intercambio de información

Documentos y consultas relevantes:

Desarrollos Normativos de nivel 2 y 3 por las ESAS	Consulta pública	Fecha prevista publicación documento final
Primer paquete de mandatos (artículos 15, 16(3), 18(3), 28(9) y 28(10) de DORA)	26/05/2023	17/01/2024
Segundo paquete de mandatos (artículos 11(11), 20a, 20b, 26(11), 30(5), 32(7) y 41 de DORA)	08/12/2023	17/07/2024

Marco TIBER-ES

TIBER-EU constituye el primer marco común a escala europea para la realización de pruebas de red-teaming, recogiendo el modo en que las autoridades, las entidades y los proveedores de servicios de ciberseguridad deben trabajar juntos para alcanzar el objetivo de estas las pruebas. Estas pruebas tienen como objetivo anticipar, en la medida de lo posible, el impacto que una entidad sufriría en caso de enfrentarse a un ciberataque real. Para ello, en este tipo de pruebas avanzadas de ciberseguridad se simula un ciberataque empleando tácticas, técnicas y procedimientos como los que utilizaría un ciberatacante sofisticado. Constituyen, por tanto, un instrumento muy poderoso para mejorar la ciberresiliencia de las entidades financieras.

TIBER-ES suscribe los principios de TIBER-EU y tiene como objetivo fortalecer la ciberresiliencia del sector financiero español, garantizando el reconocimiento de las autoridades en otras jurisdicciones que también han adoptado localmente este marco. La CNMV monitorizará las pruebas, a través del TCT (TIBER Cyber Team), cuando las entidades financieras que las lleven a cabo sean de su ámbito de supervisión.

TIBER-EU, marco europeo para la realización de pruebas de red-teaming.
Guía para la implementación del marco operativo TIBER-ES. El propósito de esta guía es especificar las condiciones para la realización de pruebas de red-teaming bajo el esquema de requisitos de TIBER-ES.

Comunicados públicos y eventos

Comunicación al sector: Invitación al sector a participar en un simulacro sobre DORA (15.04.2024)
Nota de prensa: Nuevo Código de Buen Gobierno de la Ciberseguridad (13.07.2023)