Sobre la Directiva DORA, (complementa al Reglamento DORA) y las cadenas de proveedores TIC en el sector financiero

Spread the love

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Uni贸n Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbaci贸n relacionada con las tecnolog铆as de la informaci贸n y la comunicaci贸n (TIC). Adem谩s, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gesti贸n de riesgos derivados de las terceras partes que proveen servicios tecnol贸gicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposici贸n concluy贸 el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinaci贸n de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversi贸n colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversi贸n alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de cr茅dito y la supervisi贸n prudencial de las entidades de cr茅dito y las empresas de inversi贸n.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperaci贸n y la resoluci贸n de entidades de cr茅dito y empresas de servicios de inversi贸n.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisi贸n de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2. 聽Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisi贸n y gesti贸n de riesgos: Implementar mecanismos robustos de gesti贸n de riesgos de las TIC y establecer procesos de notificaci贸n de incidentes significativos.
  4. Terceras Partes Cr铆ticas: Regular la supervisi贸n de proveedores externos de servicios TIC que sean cr铆ticos para el funcionamiento de las entidades financieras, asegurando que tambi茅n cumplan con los est谩ndares de resiliencia operativa.

En relaci贸n con este 煤ltimo aspecto,聽 las cadenas de suministros TIC m谩s importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gesti贸n de Riesgos de Terceras Partes Cr铆ticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios cr铆ticos, como los proveedores de tecnolog铆a, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Art铆culo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios cr铆ticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibern茅ticos. En particular, se exige que las entidades financieras eval煤en la concentraci贸n de sus proveedores, para evitar dependencias excesivas de un 煤nico proveedor o de una regi贸n geogr谩fica vulnerable.

4.2 Supervisi贸n de las Cadenas de Valor Externas

La directiva establece una obligaci贸n de transparencia y supervisi贸n de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnol贸gicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibern茅ticos, tecnol贸gicos o de infraestructura que afecten a los servicios cr铆ticos.

4.3 Requisitos de Notificaci贸n de Incidentes de Terceras Partes

El Art铆culo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a trav茅s de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Adem谩s, las autoridades competentes deben tener acceso a esta informaci贸n para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deber谩n informar de los incidentes que hayan tenido un impacto significativo en su operaci贸n o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluaci贸n y Mitigaci贸n de Riesgos en las Cadenas de Valor

  • La directiva tambi茅n obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sist茅micos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnolog铆a.
  • Las medidas de mitigaci贸n pueden incluir la diversificaci贸n de proveedores y la gesti贸n de contratos con cl谩usulas espec铆ficas que aseguren la continuidad de los servicios en caso de crisis.

聽 4.5 Intervenci贸n de las Autoridades de Supervisi贸n

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisi贸n pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

驴Qu茅 relaci贸n tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los 谩mbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un 茅nfasis en la gesti贸n de riesgos de las cadenas de valor externas y la supervisi贸n de las relaciones con terceros. Se ocupa de los聽siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gesti贸n de riesgos derivados de los proveedores de servicios tecnol贸gicos cr铆ticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnolog铆a. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios cr铆ticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluaci贸n de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. Tambi茅n exige que las entidades informen sobre incidentes graves de terceros que afecten su operaci贸n.
  • Por lo que respecta a la supervisi贸n y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibern茅ticos o tecnol贸gicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles m谩s t茅cnicos y operativos sobre la implementaci贸n de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos espec铆ficos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluaci贸n de proveedores de servicios cr铆ticos (terceras partes). En 茅l, se encuentran las especificaciones para la supervisi贸n de los proveedores de servicios tecnol贸gicos y los requisitos detallados sobre c贸mo las entidades financieras deben gestionar su relaci贸n con estos proveedores.
  • El art铆culo 28 del Reglamento detalla c贸mo deben gestionarse las relaciones contractuales con los proveedores cr铆ticos, asegurando que las cl谩usulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos m谩s detallados para la evaluaci贸n de riesgos y la mitigaci贸n de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnol贸gicos.
  • Establece las obligaciones de monitoreo y gesti贸n continua de las relaciones con terceros y c贸mo las entidades deben gestionar los riesgos de concentraci贸n, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la聽 Directiva DORA聽proporciona el marco legal general para la gesti贸n de riesgos de las cadenas de valor en el sector financiero, enfoc谩ndose en las relaciones con proveedores externos (servicios cr铆ticos) y la obligaci贸n de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el聽Reglamento DORA ofrece los detalles operativos y espec铆ficos sobre c贸mo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluaci贸n de riesgos, contratos con proveedores y supervisi贸n continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos espec铆ficos para llevar a cabo esos principios en la pr谩ctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.