Portal de Resiliencia Operativa

Información y recursos sobre la resiliencia operativa y el marco regulatorio DORA

 

Compromiso de Iberpay con la resiliencia digital y el Reglamento DORA 

Iberpay es la entidad que gestiona el Sistema Nacional de Pagos (SNCE) en virtud de la Ley 41/1999, de 12 de noviembre, sobre sistemas de pagos y liquidación de valores. Su misión principal es el procesamiento y liquidación de operaciones entre entidades financieras, conforme a una normativa común y homogénea para todas ellas, fundamentalmente el Reglamento del SNCE y sus instrucciones operativas, supervisadas y aprobadas previamente por el Banco de España. Iberpay presta, además, otros servicios de carácter accesorio y complementario, que aportan valor añadido a las entidades participantes y al ecosistema de pagos, y que se desarrollan conforme a la normativa y estándares sectoriales aplicables.

En este marco, Iberpay refuerza su compromiso con la resiliencia operativa, la seguridad y la transparencia en la prestación de sus servicios, y pone a disposición de las entidades y organismos interesados este Portal de Resiliencia Operativa que sirve como punto de información y referencia sobre el Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act).

icono Documentación

Sobre DORA: nuevo marco europeo

El Reglamento DORA, en vigor desde el 17 de enero de 2025, establece un marco común para reforzar la resiliencia operativa digital de todas las entidades financieras y operadores del ecosistema financiero europeo. Su objetivo es garantizar que los servicios financieros críticos puedan resistir, responder y recuperarse frente a incidentes tecnológicos o cibernéticos, consolidando los requisitos relativos al riesgo TIC como parte del riesgo operativo global.

Aunque inicialmente DORA no contemplaba a los gestores de sistemas de pago nacionales minoristas, el legislador español, no obstante, ha extendido el cumplimiento del Capítulo II del Reglamento a los operadores de sistemas de pago mediante el Real Decreto 8/2023, de 27 de diciembre.

El Banco de España, adicionalmente, en línea con el criterio de las autoridades europeas de supervisión y sobre la base del Considerando n.º 63 del propio Reglamento, ha determinado que los operadores de sistemas de pago tengan la consideración de proveedores de servicios TIC exclusivamente a los efectos de DORA.

Al ser considerado proveedor de servicios TIC, las entidades financieras deben aplicar frente a Iberpay los requisitos de la Sección I del Capítulo V relativos a la gestión de terceros. Iberpay facilita a las entidades financieras su adecuación a DORA mediante una adenda contractual estándar, común para todas las entidades financieras y única para todos los servicios prestados por Iberpay, previamente validada por el Banco de España, y conforme a criterios homogéneos y proporcionados, según resolución aprobada por los órganos de gobierno de la compañía.

Cabe señalar, la previsible aplicación directa de esa Sección I del Capítulo V a los operadores de sistemas de pago está condicionada a la futura aprobación del Anteproyecto de Ley de Digitalización y Modernización del Sector Financiero (art. 20.1).

DORA en Iberpay: alcance y supervisión

De acuerdo con el criterio adoptado por las autoridades europeas y en coordinación con el Banco de España, Iberpay ha sido considerada proveedor de servicios TIC exclusivamente a efectos del Reglamento DORA. En consecuencia, determinadas obligaciones del Reglamento resultan de aplicación respecto a los servicios tecnológicos que Iberpay presta a las entidades participantes.

Asimismo, como infraestructura de mercado financiero (FMI) de importancia sistémica, Iberpay está sujeta al marco de supervisión definido por el Banco Central Europeo (BCE) para las FMI, aplicado a nivel nacional a través del Banco de España como autoridad competente. Esta estrategia de supervisión se fundamenta en varios pilares y herramientas, entre los que destacan los Principios para Infraestructuras de Mercado Financiero (PFMI) publicados por CPMI-IOSCO, referencia internacional para la gestión global de riesgos y resiliencia operativa. Este marco constituye la base de la estrategia de resiliencia de Iberpay desde 2018 y está alineado con los principios que DORA incorpora al marco regulatorio europeo.

De este modo, la aplicación de DORA consolida el modelo de gestión de la resiliencia ya existente en Iberpay, asegurando la continuidad y la coherencia entre los requisitos internacionales y el entorno supervisor europeo. Además, DORA incorpora un marco de supervisión y sanción más estricto a nivel europeo, lo que refuerza la responsabilidad, la transparencia y el cumplimiento normativo en materia de resiliencia digital.

Plan de adecuación y enfoque sectorial

Con el objetivo de garantizar una alineación eficaz, coherente y proporcionada con los nuevos requerimientos, el Consejo de Administración de Iberpay, en el que están representadas las principales entidades financieras españolas, aprobó en mayo de 2025 una resolución sobre la estrategia y el plan de adecuación a DORA, validado por el Banco de España y actualmente en ejecución bajo la supervisión directa de sus órganos de gobierno.

Este plan incluye, entre otras medidas:

  • Establecer un modelo común de adenda contractual para todos los servicios TIC y entidades participantes, canalizando las nuevas obligaciones normativas de manera homogénea y evitando duplicidades. La adenda, revisada por el Banco de España, regula aspectos como los derechos de acceso y auditoría, las obligaciones de resiliencia, y los mecanismos de supervisión y control aplicables en el marco DORA.
  • Coordinar ejercicios conjuntos de auditoría TIC bajo un enfoque sectorial común, optimizando recursos, garantizando homogeneidad y reforzando la eficiencia del sistema.

Este enfoque neutral, equitativo y coordinado refuerza la resiliencia y estabilidad del sistema nacional de pagos, consolidando la alineación entre el marco técnico existente y los nuevos estándares regulatorios, y facilitando al mismo tiempo el cumplimiento normativo de las entidades participantes.

Portal de Resiliencia Operativa: Lanzamiento y evolución

El Portal de Resiliencia Operativa nace con el propósito de ser un espacio de referencia y transparencia para las entidades participantes y las instituciones del ecosistema de pagos.

A través de este portal, Iberpay compartirá la documentación relevante, así como la información actualizada y materiales de apoyo relacionados con la aplicación del Reglamento DORA.

Contacto institucional

Las consultas relacionadas con DORA o con el proceso de adecuación de Iberpay deberán canalizarse preferentemente a través de los representantes institucionales designados en el Consejo de Administración, los comités técnicos o los grupos de trabajo sectoriales, lo que permitirá una gestión coordinada y eficiente.

No obstante, Iberpay pone a disposición una dirección específica para atender consultas puntuales relacionadas con el cumplimiento del Reglamento DORA que no puedan resolverse por los canales habituales o la información compartida en este portal: compliance@iberpay.com