Reglamento DORA: requisitos de contratación de terceros proveedores
El 16 de enero de 2023 entró en vigor el Reglamento 2022/2554 del Parlamento Europeo y del Consejo, conocido como DORA. Las entidades financieras y proveedores de TIC deben cumplir con DORA antes del 17 de enero de 2025.
DORA tiene como objetivo reforzar la resistencia operativa digital en el sector financiero de la Unión Europea y asegurar su resiliencia ante perturbaciones. Las entidades financieras deben contar con capacidades, mecanismos y políticas específicas para gestionar y notificar incidentes graves relacionados con las TIC.
DORA cubre entidades financieras de la UE y proveedores de servicios TIC. Las AES pueden designar proveedores terceros según criterios e impacto. Además de actualizar normativas, DORA introduce nuevas obligaciones en cuatro pilares para mejorar la seguridad de los sistemas.
Las entidades deben tener un marco de gestión de riesgos de las TIC conforme al Capítulo V del Reglamento, bajo responsabilidad del órgano de dirección. Este órgano define estrategias, evalúa riesgos y puede ser responsable de incumplimientos.
DORA requiere notificar incidentes TIC con procedimientos de supervisión, clasificación y comunicación a las autoridades. Las entidades deben enviar una notificación inicial, un informe intermedio y un final sobre las causas del incidente, que la autoridad competente compartirá con los destinatarios especificados.
DORA exige pruebas anuales de resiliencia operativa digital, incluyendo evaluaciones de vulnerabilidad y, para roles críticos, pruebas de penetración. Los proveedores de TIC también deben participar para abordar vulnerabilidades.
Por último, la gestión del riesgo de terceros en relación con las TIC, detallada en el Capítulo V, Sección I, también se aplica a los proveedores. Las entidades financieras deben gestionar este riesgo negociando acuerdos, realizando auditorías y estableciendo objetivos de rendimiento en áreas como integridad, accesibilidad y seguridad.
Pero en referencia a los proveedores, de acuerdo con el artículo 31, son designados por las Autoridades Europeas de Supervisión por medio del Comité Mixto y por recomendación del Foro de Supervisión, los que deberán:
a) designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, tras una evaluación que tenga en cuenta los criterios especificados en el apartado 2;
b) nombrar como supervisor principal para cada proveedor tercero esencial de servicios de TIC a la Autoridad Europea de Supervisión que sea responsable, de conformidad con los Reglamentos (UE) nº 1093/2010, (UE) nº 1094/2010 o (UE) nº 1095/2010, para las entidades financieras que tengan conjuntamente la parte más grande de activos totales del valor de activos totales de todas las entidades financieras que utilizan los servicios del proveedor tercero esencial de servicios de TIC pertinente, según conste en la suma de los balances particulares de dichas entidades financieras.
La designación a la que se hace referencia en el apartado 1.a) del artículo anterior, se basa en unos determinados criterios establecidos en el punto 2 del mismo artículo, y son los siguientes:
a) el impacto sistémico en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros en caso de un posible fallo operativo a gran escala del proveedor tercero de servicios de TIC de que se trate que afecte a la prestación de sus servicios, teniendo en cuenta el número de entidades financieras y el valor total de los activos de las entidades financieras a las que presta servicios el proveedor tercero de servicios de TIC de que se trate;
b) el carácter o la importancia sistémicos de las entidades financieras que dependen del proveedor tercero de servicios de TIC de que se trate, evaluados con arreglo a los parámetros siguientes:
i) el número de entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS) que dependen del proveedor tercero de servicios de TIC correspondiente,
ii) la interdependencia entre las EISM u OEIS a que se refiere el inciso i) y otras entidades financieras, incluidas las situaciones en las que las EISM u OEIS prestan servicios de infraestructura financiera a otras entidades financieras;
c) la dependencia de las entidades financieras respecto de los servicios prestados por el proveedor tercero de servicios de TIC pertinente en relación con funciones esenciales o importantes de entidades financieras que, en última instancia, impliquen al mismo proveedor tercero de servicios de TIC, con independencia de que las entidades financieras recurran a dichos servicios directa o indirectamente, a través de acuerdos de subcontratación;
d) el grado de sustituibilidad del proveedor tercero de servicios de TIC, teniendo en cuenta los parámetros siguientes:
i) la falta de alternativas reales, siquiera parciales, debido al número limitado de proveedores terceros de servicios de TIC activos en un mercado específico, o a la cuota de mercado del proveedor tercero de servicios de TIC de que se trate, o a la complejidad o dificultad técnica existente, entre otras cosas en relación con tecnologías protegidas por derechos, o a las características específicas de la organización o la actividad del proveedor tercero de servicios de TIC,
ii) las dificultades relacionadas con la migración parcial o total de los datos y cargas de trabajo pertinentes del proveedor tercero de servicios de TIC en cuestión a otro, al ser considerables los costes financieros, el tiempo u otros recursos que el proceso de migración podría implicar, o debido al aumento del riesgo de TIC o de otros riesgos operativos a los que podría verse expuesta la entidad financiera a través de dicha migración.
En síntesis, DORA, que comenzó a aplicarse el 16 de enero de 2023, fortalece la resistencia operativa digital en el sector financiero de la UE. Impone nuevas responsabilidades a entidades financieras y proveedores de TIC para gestionar incidentes, llevar a cabo pruebas de resiliencia y supervisar riesgos de terceros. Las Autoridades Europeas de Supervisión son clave en la selección y regulación de proveedores esenciales. A través de cuatro pilares principales, DORA actualiza las regulaciones para aumentar la seguridad y estabilidad del sector.
Senior Lawyer IP/IT
María José cuenta con experiencia profesional en Derecho de las Nuevas Tecnologías, en Derecho de Contratos Comerciales, Regulatorio y Compliance.