El 12 de enero de 2026, el Banco Central de Irlanda (CBI) publicó los resultados de su Evaluación Temática de la Resiliencia Operacional en el Sector de Empresas de Inversión MiFID. Esta evaluación se centró en cómo las empresas MiFID han implementado la guía del CBI sobre resiliencia operacional para los proveedores de servicios financieros regulados (la Guía) y se llevó a cabo como parte del trabajo de supervisión del CBI, en línea con sus prioridades establecidas en su Perspectiva Regulatoria y de Supervisión 2025 (ver nuestra breve explicación separada aquí).
El Banco Central considera que la resiliencia operacional es “la capacidad de una empresa, y del sector de servicios financieros en su conjunto, para identificar y prepararse para, responder a, adaptarse a, recuperarse de y aprender de una interrupción operacional que afecte la prestación de servicios empresariales críticos o importantes”. La Guía tiene como objetivo mejorar la resiliencia operacional de las empresas y del sector de servicios financieros en general. Se publicó originalmente en diciembre de 2021, entró en vigor el 1 de enero de 2024 y se actualizó recientemente en julio de 2025 para garantizar la alineación con el Reglamento de Resiliencia Operacional Digital (DORA) (ver nuestra breve explicación separada aquí). Los objetivos clave de la evaluación temática del CBI fueron determinar si: (i) existen marcos de resiliencia operacional que cumplen con las expectativas del CBI establecidas en la Guía; y (ii) los consejos de administración y la alta dirección de las empresas son responsables del diseño y la eficacia operativa de los marcos y la estrategia de resiliencia operacional.
Conclusiones del CBI
En términos positivos, el CBI encontró que muchas de las empresas MiFID incluidas en la evaluación tenían marcos de resiliencia operacional alineados con la Guía y con las expectativas de supervisión del CBI. En la mayoría de los casos, los consejos de administración de las empresas tenían la responsabilidad final de la resiliencia operacional, con delegación a comités apropiados y responsabilidad funcional a nivel de alta dirección. El CBI también observó buenas prácticas en términos de informes periódicos de información de gestión y desafíos a nivel de consejo de administración y alta dirección. Sin embargo, el CBI también identificó algunas deficiencias y recomendó mejoras en las siguientes áreas:
- la identificación de servicios empresariales críticos o importantes;
- el mapeo de cómo se prestan los servicios empresariales críticos o importantes;
- las pruebas de escenarios (nivel de detalle y rango de escenarios considerados); y
- la alineación con los marcos de gestión de riesgos existentes.
En cuanto al mapeo, el CBI señaló que algunos de los ejercicios de mapeo que revisó carecían del nivel de granularidad necesario, lo que impedía a las empresas identificar vulnerabilidades en la cadena de prestación de un servicio empresarial y preparar planes de remediación adecuados. En cuanto a la gestión de riesgos, el CBI destacó que “la resiliencia operacional es una evolución de la gestión de riesgos operacionales y la continuidad del negocio y, como tal, debe estar alineada con los marcos existentes o en desarrollo en estas áreas”.
Próximos pasos / Expectativas del CBI
En cuanto a los próximos pasos, el CBI espera que todas las empresas MiFID y sus consejos de administración y alta dirección revisen y consideren su cumplimiento de la Guía, incluidas las actualizaciones relacionadas con DORA realizadas en julio de 2025. En particular, el CBI ha destacado que se debe prestar atención a las siguientes Directrices tras los resultados de la evaluación temática:
- Directriz 4 – Una empresa debe identificar sus servicios empresariales críticos o importantes.
- Directriz 7 – Una empresa debe comprender y mapear cómo se prestan sus servicios empresariales críticos o importantes.
- Directriz 8 – Una empresa debe capturar las dependencias de terceros en el mapeo de los servicios empresariales críticos o importantes.
Si bien la evaluación temática no se centró específicamente en DORA, o en la resiliencia cibernética o digital de las empresas, el CBI también ha destacado que la resiliencia cibernética y digital siguen siendo áreas clave de enfoque para el CBI, y tienen la intención de llevar a cabo más trabajos de supervisión en esta área en 2026 – 2027. El CBI es consciente de que las empresas operan en un entorno cada vez más complejo y dinámico. La tecnología está evolucionando rápidamente, las amenazas se están volviendo cada vez más sofisticadas y existe un riesgo de concentración con los servicios de TIC centralizados en un número relativamente pequeño de proveedores externos. A la luz de esto, el CBI espera que las empresas continúen fortaleciendo sus marcos de resiliencia operacional, en particular en las áreas de resiliencia cibernética y digital, para garantizar que tengan las herramientas necesarias para recuperar sus servicios empresariales críticos o importantes de las interrupciones operacionales, minimizando al mismo tiempo los impactos negativos y protegiendo a los clientes. Las empresas deben tomar nota de lo anterior y revisar sus marcos de resiliencia operacional ahora, en preparación para una mayor participación de la supervisión en el próximo año.
Nuestro equipo en Arthur Cox tiene una amplia experiencia y conocimientos en el asesoramiento a empresas reguladas sobre resiliencia operacional, ciberseguridad y requisitos regulatorios asociados. Para las empresas que están reevaluando y actualizando sus marcos de resiliencia operacional a la luz de las expectativas del CBI, no dude en ponerse en contacto con nosotros, ya que estaremos encantados de ayudar.
