DORA | Derecho Mercantil. (DerMerUle).

En el marco del Congreso Internacional de Contratación Mercantil y Competencia Empresarial: reformas recientes y pendientes, celebrado en la Facultad de Derecho y Ciencias Económicas y Empresariales de la Universidad de Córdoba los días 11 y 12 de junio de 2026, se presentó , quien esto escribe,la comunicación titulada “El contrato de provisión de servicios TIC al sector financiero en el nuevo marco europeo de resiliencia digital operativa” .

Esta comunicación se inserta en el análisis de la profunda transformación del Derecho contractual mercantil en el contexto de la digitalización del sistema financiero europeo. En particular, aborda la reconfiguración del contrato de provisión de servicios tecnológicos —cloud computing, software as a service, ciberseguridad, tratamiento de datos y plataformas digitales— como pieza estructural de la resiliencia operativa del sistema financiero en el marco del Reglamento (UE) 2022/2554 (DORA) y su desarrollo reglamentario posterior. El eje central de la intervención consistió en la idea de que el contrato de servicios TIC ha dejado de ser un instrumento puramente privado de intercambio económico para convertirse en un dispositivo jurídico de gobernanza del riesgo tecnológico, directamente vinculado a la estabilidad del sistema financiero europeo. En este sentido, el contrato se ve condicionado por un conjunto de normas imperativas que inciden en todas sus fases: formación, contenido, ejecución, supervisión y extinción.

Primavera en color anaranjado

A partir de los artículos 28 a 30 de DORA, así como de los Reglamentos Delegados (UE) 2024/1773 y 2025/532, se puso de relieve la consolidación de un auténtico estatuto jurídico del contrato TIC en el sector financiero. Este estatuto se caracteriza por tres elementos esenciales: la responsabilidad no delegable de la entidad financiera, la integración del riesgo de terceros en el sistema global de gestión del riesgo y la configuración de exigentes deberes de control sobre proveedores y subcontratistas. Asimismo, se destacó que la externalización de servicios TIC ha dejado de ser una decisión organizativa autónoma para convertirse en una actividad regulada, sometida a evaluaciones previas de criticidad, análisis de riesgos y deberes reforzados de diligencia debida. El contrato, en este contexto, funciona como instrumento de aseguramiento de la continuidad operativa y de la resiliencia digital del sistema financiero, incorporando cláusulas obligatorias sobre niveles de servicio, seguridad, auditoría, localización de datos, gestión de incidentes y estrategias de salida. La comunicación subrayó la aparición de un nuevo paradigma en el Derecho contractual financiero europeo, en el que el contrato de servicios TIC se configura como una pieza estructural del sistema de supervisión y gestión del riesgo sistémico.

El Congreso Internacional de Contratación Mercantil y Competencia Empresarial, celebrado en Córdoba los días 11 y 12 de junio de 2026, en la Facultad de Derecho y Ciencias Económicas y Empresariales de la Universidad de Córdoba es un encuentro académico de referencia en el ámbito del Derecho mercantil contemporáneo, que reúne a un amplio número de catedráticos y profesores de diversas universidades españolas y europeas, con el objetivo de analizar las transformaciones recientes del Derecho de la contratación, la competencia empresarial y los contratos mercantiles en sectores estratégicos de la economía.

La dirección académica del Congreso correspondió a los Catedráticos de Derecho Mercantil Luis María Miranda Serrano, Javier Pagador López y José Manuel Serrano Cañas, todos ellos de la Universidad de Córdoba. La secretaría técnica estuvo integrada por Antonio Casado Navarro, Pedro Mario González Jiménez, Ana Miranda Anguita, Laura Diéguez Aguilera y M.ª Dolores Ramírez Benavente, quienes garantizaron la organización científica y logística del evento. Contó, este evento jurídico de primer nivel, con un amplio comité científico, presidido por la Catedrática Emérita María Teresa de Gispert Pastor y el Catedrático Emérito Jesús Quijano González, junto con destacados especialistas del Derecho mercantil nacional e internacional, lo que refuerza su posición como foro de referencia en el estudio de la contratación empresarial y sus transformaciones contemporáneas.

La sesión inaugural del Congreso contó con la intervención del Decano de la Facultad de Derecho y CC. EE. y Empresariales de la Universidad de Córdoba, D. José Albert Márquez, del Catedrático de Derecho Mercantil de la Universidad de Valladolid D. Luis Velasco San Pedro, en representación del Comité científico, y del Catedrático de Derecho Mercantil de la Universidad de Córdoba D. Luis María Miranda Serrano, en representación de la dirección académica del Congreso. A lo largo de las dos jornadas, el Congreso se estructuró en diversas mesas temáticas dedicadas al análisis de los principales ámbitos del Derecho mercantil contemporáneo, abordando de forma sistemática la competencia desleal, la contratación mercantil en sus diversas manifestaciones, la defensa de la competencia, el transporte, los contratos bancarios y financieros y el contrato de seguro, así como los desafíos derivados de la digitalización de la economía.

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

Derecho Mercantil. (DerMerUle).

Derecho Mercantil desde la Universidad de León. Recursos de apoyo docente, estudio y de investigación

Archivo de la etiqueta: DORA

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA