Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento10 min de lectura

Gestión de riesgos de terceros (TPRM): guía completa 2026

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNMV, evaluación de proveedores, monitoreo continuo y cumplimiento normativo en España 2026.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for Gestión de riesgos de terceros (TPRM): guía completa 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La gestión de riesgos de terceros (Third-Party Risk Management o TPRM) se ha convertido en una obligación regulatoria de primer nivel para las entidades financieras españolas desde la entrada en vigor del Reglamento DORA el 17 de enero de 2025. El 35,5 % de las violaciones de datos tienen su origen en la cadena de suministro, y la CNMV ha constatado en su Informe de Autoevaluación DORA 2024 carencias significativas en las políticas de gestión de proveedores TIC entre las entidades supervisadas en España.

Este artículo presenta el marco regulatorio español y europeo, los cinco pilares de un programa TPRM efectivo y las herramientas prácticas para cumplir con las exigencias de la CNMV y el Sepblac en 2026.

Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Para cuestiones específicas a su organización, consulte con un profesional cualificado.

Qué es el TPRM y por qué es obligatorio en España

El TPRM (Third-Party Risk Management) es el proceso estructurado mediante el cual una organización identifica, evalúa, supervisa y mitiga los riesgos derivados de sus relaciones con proveedores externos, subcontratistas y socios tecnológicos.

La obligación legal de referencia en España es el Reglamento DORA (UE) 2022/2554, aplicable desde el 17 de enero de 2025, que impone a las entidades financieras requisitos precisos de gestión del riesgo vinculado a proveedores TIC. La CNMV, como supervisor nacional, evaluó en 2024 el nivel de implementación de DORA entre las entidades supervisadas, identificando que el 27 % de las entidades presentaba carencias en sus políticas de gestión de adquisiciones y cambios (Informe autoevaluación DORA 2024 CNMV).

Además de DORA, las entidades españolas deben cumplir con:

Marco normativo Ámbito de aplicación
DORA (Reglamento UE 2022/2554) Entidades financieras, TIC críticos
RGPD / LOPDGDD Tratamiento de datos personales con terceros
Ley 10/2010 de prevención del blanqueo Debida diligencia sobre proveedores de servicios
Real Decreto 813/2023 Requisitos de gestión de riesgos para ESIs
Circular CNMV 2/2025 Nuevos requisitos de reporte para CASP
NIS2 (para sectores fuera del financiero) Seguridad de la cadena de suministro

Marco regulatorio: CNMV, Sepblac y DORA en 2026

Obligaciones DORA para entidades financieras españolas

Desde el 17 de enero de 2025, DORA es de obligado cumplimiento para bancos, aseguradoras, sociedades gestoras, entidades de pago y prestadores de servicios de criptoactivos registrados en España. La CNMV y el Banco de España actúan como autoridades competentes nacionales para la supervisión del cumplimiento.

Las principales obligaciones DORA relacionadas con el TPRM son:

  • Registro de contratos TIC: mantenimiento de un registro completo de todos los acuerdos contractuales con proveedores TIC (artículo 28 DORA).
  • Due diligence precontractual: evaluación obligatoria de riesgos antes de suscribir cualquier acuerdo que cubra funciones críticas o importantes.
  • Cláusulas contractuales mínimas: los contratos deben incorporar las disposiciones del artículo 30(2) DORA — derechos de auditoría, niveles de servicio, notificación de incidentes en 4 horas, estrategias de salida.
  • Supervisión continua: las entidades no pueden delegar su responsabilidad de supervisión en un tercero.
  • Gestión del riesgo de concentración: evaluación de alternativas cuando existe dependencia excesiva de un único proveedor.

El informe de autoevaluación DORA 2024 de la CNMV muestra que el 93 % de las entidades había implementado una política de datos y sistemas, pero el 27 % presentaba carencias en políticas de gestión de proyectos, adquisiciones y cambios — precisamente el área donde se sitúa la mayor vulnerabilidad TPRM.

Sepblac y la debida diligencia sobre terceros

El Sepblac (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) exige, en el marco de la Ley 10/2010, que las entidades obligadas apliquen medidas de diligencia debida sobre sus proveedores de servicios cuando estos puedan exponer a la entidad a riesgos de blanqueo o financiación del terrorismo. Esta obligación complementa las exigencias DORA y amplía el perímetro del TPRM más allá del riesgo TIC.

Los cinco pilares de un programa TPRM efectivo

1. Inventario y clasificación de terceros

Un programa TPRM comienza con un inventario exhaustivo de todos los proveedores — directos, subcontratistas, socios tecnológicos y proveedores cloud. Cada tercero se clasifica según su criticidad:

  • Crítico: funciones esenciales o importantes según DORA, acceso a datos sensibles, alta dependencia operacional.
  • Importante: impacto moderado en caso de fallo, acceso limitado a datos.
  • Estándar: servicios periféricos, bajo impacto operacional.

Según datos de Whistic 2025, las organizaciones gestionan de media 286 proveedores, con un ratio de 33,6 proveedores por profesional del riesgo. Sin una clasificación clara, es imposible priorizar los recursos de due diligence y supervisión.

2. Due diligence precontractual

La evaluación precontractual de proveedores TIC críticos debe cubrir:

  • Solidez financiera (cuentas auditadas, rating crediticio, coberturas de seguro).
  • Postura de seguridad (certificaciones ISO 27001, SOC 2 Tipo II, resultados de test de penetración).
  • Cumplimiento normativo (RGPD, DORA, sectorial).
  • Capacidad de continuidad de negocio y recuperación ante desastres.
  • Documentación de planes de salida y portabilidad de datos.

CheckFile automatiza la recopilación y verificación de los documentos aportados por los proveedores en esta fase — certificaciones, cuentas auditadas, pólizas de seguro, extractos del Registro Mercantil — detectando automáticamente documentos ausentes o caducados.

3. Contratos conformes con DORA y el derecho español

Los contratos con proveedores TIC críticos deben incluir las cláusulas del artículo 30(2) del Reglamento DORA, so pena de incumplimiento ante la CNMV. Las cláusulas mínimas comprenden:

  • Descripción precisa de los servicios y niveles de rendimiento (SLA).
  • Derechos de auditoría e inspección para la entidad y sus supervisores.
  • Notificación de incidentes graves en un máximo de 4 horas.
  • Condiciones de resolución y estrategia de salida documentada.
  • Restricciones a la subcontratación de funciones críticas sin aprobación previa.
  • Localización de los datos y régimen jurídico aplicable.

4. Supervisión continua

La supervisión puntual ha dejado de ser suficiente. El 70 % de las partes interesadas carece de visibilidad sobre los riesgos de sus proveedores (Gartner, 2025). Los supervisores — tanto la CNMV como las Autoridades de Supervisión Europeas (ESAs) — esperan evidencia de monitoreo en tiempo real, no evaluaciones anuales estáticas.

Las prácticas de supervisión continua incluyen:

  • Revisión periódica de cuestionarios de evaluación (frecuencia adaptada a la criticidad).
  • Seguimiento de indicadores de riesgo cibernético (puntuaciones de seguridad externas, alertas CVE).
  • Monitoreo de la salud financiera del proveedor.
  • Control del cumplimiento de los SLA y gestión de incidentes.
  • Alertas automáticas sobre vencimiento de certificaciones y licencias regulatorias.

CheckFile permite centralizar la documentación de cumplimiento de proveedores y recibir alertas automáticas cuando un certificado ISO, una póliza de seguro o una licencia regulatoria se aproxima a su vencimiento.

5. Gestión de incidentes y estrategias de salida

DORA exige estrategias de salida documentadas y probadas para todos los proveedores TIC críticos. En la práctica, esto implica:

  • Identificación de proveedores alternativos o planes de internalización.
  • Planes de migración de datos y transición de sistemas probados.
  • Plazos de preaviso contractuales adaptados a la complejidad de la transición.
  • Registro completo de dependencias técnicas y flujos de datos.

Para profundizar en el marco regulatorio DORA y la verificación documental en el sector financiero, consulte nuestro artículo sobre DORA 2026.

Desafíos prácticos del TPRM en España

Los foros de cumplimiento y los profesionales del riesgo identifican de forma recurrente los mismos obstáculos para implementar un programa TPRM maduro.

El primer reto es obtener la documentación adecuada de los proveedores: el 48 % de los equipos de cumplimiento lo señala como su principal dificultad (ISACA, 2020). Muchos proveedores, especialmente las pymes, carecen de programas de cumplimiento estructurados y tienen dificultades para proporcionar la documentación exigida.

El segundo reto es la falta de recursos internos: el 62 % de los responsables de riesgo considera que su programa TPRM está insuficientemente dotado de personal. Con ratios de 33,6 proveedores por profesional del riesgo, la automatización documentaria deja de ser opcional.

El tercer reto es la obtención del apoyo de la dirección: solo el 40 % de las empresas reporta regularmente sobre riesgos de terceros a su consejo de administración. El argumento económico es directo: el coste medio de una violación de datos alcanzó los 4,88 millones de dólares en 2024 (IBM Cost of a Data Breach Report 2024).

Para una visión completa del marco de gobernanza en el que se inscribe el TPRM, consulte nuestra guía GRC y la guía de conformidad documental.

Checklist operativa del programa TPRM

Un programa TPRM maduro incluye los siguientes elementos:

  • Política TPRM escrita y aprobada por la dirección.
  • Inventario completo y actualizado de terceros con clasificación por criticidad.
  • Cuestionarios de evaluación adaptados al nivel de riesgo.
  • Registro de contratos TIC conforme al artículo 28 DORA.
  • Cláusulas contractuales conformes al artículo 30(2) DORA para proveedores críticos.
  • Proceso de supervisión continua documentado.
  • Estrategias de salida probadas para proveedores críticos.
  • Informe anual TPRM presentado al órgano de administración.
  • Mapa de riesgos de concentración.
  • Procedimiento de gestión de incidentes con implicación de terceros.

Para centralizar la gestión documental de proveedores y automatizar el seguimiento de certificaciones y contratos, descubra CheckFile y sus funcionalidades de conformidad de proveedores.

Preguntas frecuentes

¿Qué es el TPRM y por qué es obligatorio para entidades financieras españolas?

El TPRM (Third-Party Risk Management) es el conjunto de procesos para gestionar los riesgos derivados de proveedores externos. Es obligatorio para las entidades financieras españolas desde el 17 de enero de 2025 en virtud del Reglamento DORA (UE) 2022/2554, con la CNMV y el Banco de España como autoridades supervisoras nacionales.

¿Cómo afecta DORA a la gestión de proveedores en España?

DORA exige mantener un registro completo de todos los contratos TIC, realizar due diligence precontractual para funciones críticas, incluir cláusulas mínimas en los contratos (auditoría, notificación de incidentes, planes de salida) y supervisar continuamente a los proveedores críticos. Las entidades no pueden delegar su responsabilidad de supervisión.

¿Cuál es la diferencia entre TPRM y gestión de proveedores?

La gestión de proveedores se centra en el rendimiento operativo y las condiciones comerciales. El TPRM añade una dimensión de riesgo estructurada: evaluación de seguridad, cumplimiento normativo, solidez financiera y resiliencia, con documentación destinada a los supervisores.

¿Qué documentos hay que exigir a los proveedores críticos?

Los documentos mínimos para un proveedor TIC crítico bajo DORA incluyen: el contrato con las cláusulas del artículo 30(2), certificados de seguridad (ISO 27001, SOC 2), plan de continuidad de negocio, plan de respuesta a incidentes, plan de salida e informes de auditoría recientes.

¿Qué sanciones conlleva el incumplimiento de DORA en materia de TPRM?

Las entidades financieras que incumplan DORA están sujetas a sanciones de la CNMV o el Banco de España, incluyendo multas administrativas e injonctions. Para los proveedores TIC críticos directamente supervisados por las ESAs, las penalizaciones pueden alcanzar el 1 % del volumen de negocio diario a escala mundial.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento15 min

Evaluación de riesgos de cumplimiento normativo: guía práctica 2026

Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.

Leer
Cumplimiento10 min

GRC: gobernanza, gestión de riesgos y cumplimiento — guía 2026

Qué es el GRC (governance risk management compliance), sus tres pilares, requisitos regulatorios en España bajo CNMV y Sepblac, y cómo implementar un marco eficaz.

Leer
Cumplimiento14 min

Guía completa del cumplimiento documental en España

Cumplimiento documental en España: KYC, PBC, RGPD-LOPDGDD, eIDAS 2, DORA. Obligaciones legales, sanciones SEPBLAC y automatización. Guía 2026 actualizada.

Leer