CTIF

Sección IX

Proporcionalidad y disposiciones específicas

La Guía se aplica a un universo muy heterogéneo de sociedades cotizadas, con tamaño, complejidad, intensidad tecnológica y exposición regulatoria materialmente distintos. El principio de proporcionalidad —enunciado como rector en la Sección III— opera como instrumento de calibración inteligente que permite mantener la efectividad de la supervisión optimizando los recursos. No constituye una habilitación general para la inaplicación ni una autorización para reducir el estándar por debajo de lo materialmente necesario. La sociedad articula esta adecuación de buena fe, con transparencia sobre los criterios aplicados, conforme al régimen español de «cumplir o explicar».

IX.2 Factores de proporcionalidad

  1. Tamaño de la sociedad: capitalización bursátil, volumen de negocio, número de empleados, presencia geográfica, diversificación.
  2. Intensidad tecnológica del modelo de negocio: materialidad de la inversión tecnológica, dependencia operativa de sistemas críticos, centralidad de los activos digitales (software, plataformas, dato, modelos de IA) en la propuesta de valor.
  3. Exposición a riesgos tecnológicos: perfil de amenaza específico, historial reciente de incidentes, madurez de la postura defensiva.
  4. Materialidad del dato manejado: volúmenes de datos personales, categorías especiales, datos sometidos a regímenes reforzados, datos cuya pérdida o exposición tendría impacto material.
  5. Uso material de sistemas de IA, particularmente sistemas de alto riesgo conforme al AI Act, modelos fundacionales o sistemas con impacto material sobre personas.
  6. Grado de dependencia de proveedores tecnológicos críticos: concentración material en pocos proveedores, exposición a riesgos geopolíticos.
  7. Sometimiento a marcos regulatorios sectoriales específicos —DORA, telecomunicaciones, infraestructuras críticas, sanitaria— que intensifiquen las exigencias supervisoras.
  8. Frecuencia de operaciones de M&A tecnológico y alianzas estratégicas materiales en el modelo de crecimiento habitual.

IX.3 Tipologías orientativas de sociedades

| Tipología | Aplicación de la Guía | |---|---| | a) Elevada capitalización y alta intensidad tecnológica (tecnológico, financiero, telecomunicaciones, e-commerce, servicios digitales, medios digitales). | Criterios plenamente aplicables. La comisión es pieza materialmente necesaria del gobierno corporativo, sin perjuicio de su carácter formalmente voluntario. | | b) Elevada capitalización e intensidad tecnológica media (industrial, energético, infraestructuras, distribución, consumo, transporte). | Criterios mayoritariamente aplicables. Calibración específica de frecuencia (típicamente 4 sesiones), tamaño (3-5 miembros) e intensidad de sub-bloques (V.4 de IA puede tratarse con menor extensión si no hay uso material). | | c) Capitalización media o pequeña con apalancamiento tecnológico relevante (cotizadas tecnológicas en desarrollo, plataformas digitales especializadas, biotec con componente digital). | Constitución de comisión específica modulable: cuando el tamaño del consejo no permita dedicación efectiva, fórmulas alternativas —sub-comisión específica dentro de auditoría, consejero independiente con perfil técnico responsable de la materia, atribución temporal a la comisión ejecutiva con criterio técnico cualificado. No excluyen la aplicación material de los principios y criterios funcionales. | | d) Capitalización media o pequeña con intensidad tecnológica limitada. | Constitución de comisión específica no materialmente necesaria, sin perjuicio de la atención que la materia deba recibir en la comisión de auditoría y, cuando proceda, en el pleno. Principios y criterios aplicables como referencia orientativa. | | e) Sometidas a marcos sectoriales específicos (entidades financieras bajo DORA, operadores esenciales bajo NIS2, infraestructuras críticas, entidades sanitarias reforzadas). | Criterios en su versión más exigente, con incorporación expresa de las especificidades sectoriales que se desarrollan a continuación. |

IX.4 Disposiciones específicas por sectores

Entidades financieras: especificidades derivadas de DORA

  1. Coordinación expresa con las obligaciones específicas de DORA sobre el órgano de administración —marco de gestión del riesgo TIC, gestión de incidentes, pruebas de resiliencia, gestión del riesgo de proveedores TIC, intercambio de información sobre amenazas.
  2. Supervisión reforzada del marco de gestión del riesgo TIC con cumplimiento expreso de las exigencias de aprobación, supervisión y revisión que el Reglamento impone.
  3. Supervisión específica de los proveedores TIC críticos designados conforme a DORA: registro de información mantenido por la entidad, pruebas de resiliencia, eventuales designaciones de proveedor crítico a escala europea.
  4. Articulación con las directrices de la EBA, ESMA y EIOPA sobre gobierno corporativo tecnológico en el sector financiero, particularmente EBA/GL/2019/02 (externalización) y EBA/GL/2019/04 (gestión del riesgo TIC y de seguridad).
  5. Articulación con los requerimientos supervisores del Banco de España, CNMV o DGSFP, incluidos los relativos a idoneidad colectiva e individual del consejo en su dimensión tecnológica.

Operadores de servicios esenciales bajo NIS2

  1. Supervisión reforzada de las obligaciones específicas de ciberseguridad: medidas técnicas y organizativas adecuadas, gestión de incidentes con notificación específica, gestión del riesgo de la cadena de suministro tecnológica, formación específica del personal.
  2. Responsabilidad expresa del órgano de administración que la Directiva introduce en aprobación y supervisión de las medidas de ciberseguridad, así como obligaciones de formación específicas, preparadas y supervisadas en sede de comisión.
  3. Supervisión de los protocolos de notificación de incidentes a las autoridades competentes, atendiendo a los exigentes plazos: notificación inicial en 24 h, notificación de incidente en 72 h, informe final en un mes.

Operadores de infraestructuras críticas

  1. Supervisión reforzada de los planes específicos de protección y de las medidas de resiliencia exigidas por la Ley 8/2011 y la Directiva (UE) 2022/2557 (CER).
  2. Articulación con el CNPIC y con las autoridades competentes en ciberseguridad nacional.
  3. Supervisión de escenarios extremos pero plausibles que la criticidad del servicio reclama: ataques sofisticados, escenarios de guerra híbrida, fallos en cascada de sistemas interdependientes.

Sector salud y biomédico

  1. Régimen reforzado de protección de los datos de salud (art. 9 RGPD), en coordinación con el DPO.
  2. Cumplimiento de los Reglamentos (UE) 2017/745 y 2017/746 en su dimensión de seguridad del software como producto sanitario, cuando la sociedad desarrolle, fabrique o comercialice productos sanitarios o in vitro con software o componentes digitales.
  3. Espacio Europeo de Datos Sanitarios (Reglamento (UE) 2025/327).
  4. Sistemas de IA en contextos médicos o de salud: atención reforzada, particularmente como sistemas de alto riesgo bajo AI Act o como productos sanitarios.

Telecomunicaciones y servicios digitales

  1. Ley 11/2022 General de Telecomunicaciones en seguridad de redes y servicios y protección de las comunicaciones.
  2. DSA (Reglamento (UE) 2022/2065) y DMA (Reglamento (UE) 2022/1925) cuando apliquen, particularmente cuando la sociedad sea plataforma de gran tamaño o motor de búsqueda de gran tamaño bajo DSA, o guardián de acceso bajo DMA.
  3. Sistemas de moderación de contenidos y sistemas algorítmicos de recomendación a escala material.

Sector público y sociedades con contratación pública relevante

  1. Esquema Nacional de Seguridad (RD 311/2022) en las partes aplicables.
  2. Mantenimiento y renovación de certificaciones técnicas —ISO/IEC 27001, ENS, ISO/IEC 42001 y otras— como requisito habilitante para la contratación pública y para la posición competitiva.
  3. Articulación con CCN, INCIBE, AEPD en términos coherentes con las exigencias aplicables.

IX.5 Adaptación a la sociedad concreta

La aplicación se materializa en última instancia en:

  1. El reglamento específico de la comisión.
  2. El plan anual de actividades conforme a VI.3.
  3. Las políticas internas sobre las materias del perímetro —gobierno del dato, IA, gestión del riesgo tecnológico, proveedores críticos, continuidad operativa, uso aceptable de la tecnología.
  4. La matriz de capacidades del consejo y la planificación de la sucesión y formación continua.

Principio de coherencia interna: las decisiones adoptadas en cada instrumento deben ser consistentes con las restantes, evitando contradicciones materiales que erosionen la efectividad agregada del marco de gobernanza tecnológica.

IX.6 Revisión y actualización de la Guía

La materia se caracteriza por velocidad de evolución elevada. Revisión periódica con horizonte no superior a tres años, sin perjuicio de revisiones puntuales ante cambios materiales del entorno regulatorio o de la práctica del mercado. La revisión atenderá a:

  1. Evolución del marco regulatorio europeo y español.
  2. Práctica observada en las sociedades con comisión constituida, con identificación de buenas prácticas emergentes.
  3. Pronunciamientos de la CNMV y de otros supervisores nacionales y europeos.
  4. Desarrollos del estado del arte tecnológico que justifiquen ajustes en el perímetro funcional o en los criterios de supervisión.
  5. Aprendizajes derivados de incidentes materiales ocurridos en el mercado y de su tratamiento por las comisiones afectadas.