CNMV ha publicado una guía operativa para que las entidades financieras reporten el registro completo de sus proveedores de servicios TIC, en cumplimiento del Reglamento DORA. El registro deberá seguir las plantillas establecidas en la normativa de nivel II de DORA.
La guía aclara que no todos los servicios TIC deben reportarse, excluyendo aquellos prestados por entidades financieras reguladas, salvo que se trate de servicios independientes. La CNMV subraya la importancia de identificar y prestar especial atención a los proveedores que soportan funciones esenciales o importantes.
Tras el rechazo de la Comisión al Reglamento delegado sobre subcontratación que desarrolla DORA, tal y como lo habían presentado en un primer momento las Autoridades Europeas de Supervisión, éstas aceptaron sin objeciones las modificaciones de la Comisión Europea. El cambio más relevante ha sido la eliminación del artículo 5 y su considerando, que obligaban a las entidades financieras a supervisar toda la cadena de subcontratación, un punto que la Comisión consideró que excedía el mandato normativo y que había generado preocupación durante la fase de consulta pública.
El texto fue adoptado por la Comisión en marzo y se encuentra en período de escrutinio por parte del Parlamento y el Consejo.
Por otro lado, las ESAs publicaron las traducciones de las Directrices conjuntas sobre la estimación de costes y pérdidas anuales, con el mismo contenido del borrador de julio de 2024 y que resultaron de aplicación el 19 de mayo de 2025.
En INVERCO estamos preparando una Guía de implementación de DORA cuyos primer y tercer bloque ya han sido compartidos con nuestros asociados. A este respecto, en abril se circuló a los asociados el “Bloque II: Gestión del riesgo relacionado con las TIC derivado de terceros” de la “Guía INVERCO sobre implementación de DORA”, en el ámbito de las Instituciones de Inversión Colectiva (“IIC”) y Planes y Fondos de pensiones (“PFP”), cuyo contenido e interpretación ha sido consensuado dentro del Grupo de Trabajo de DORA, formado por representantes de las entidades que integran la Agrupación de IIC y PFP de INVERCO y puesto en común con los respectivos supervisores, CNMV y DGSFP.
Únicamente resta el bloque IV sobre pruebas de resiliencia operativa digital en el que estamos actualmente trabajando en INVERCO.
Para una información más detallada sobre esta cuestión, se puede acceder a las siguientes comunicaciones en el Gestor documental del área privada de la página web de la Asociación.