La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

• Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
• Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
• Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
• Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
• Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
• Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
• Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
• Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

• La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
• Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

• Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

• La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
• En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
• Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

• El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
• El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
• El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
• Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.