Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021) tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.
Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:
-
-
-
- Empresas de inversión
- Entidades de crédito que ofrecen servicios de inversión
- Contrapartes Centrales (CCPs)
- Depósitos Centrales de Valores (CSDs)
- Gestores de fondos de inversión (UCITS y AIFMs)
-
-
Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.
Los aspectos y orientaciones principales en estas Directrices son:
1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.
-
En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:
-
-
- Solidez financiera y estabilidad del proveedor.
- Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
- Ubicación de los servidores y jurisdicciones aplicables.
- Historial de incidentes de seguridad o interrupciones del servicio.
- Cumplimiento normativo con GDPR y regulaciones financieras.
-
-
-
Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:
-
-
- Un proceso formal de aprobación para externalizar funciones críticas.
- Supervisión continua del proveedor mediante revisiones periódicas.
- Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
- Roles y responsabilidades definidos para la gestión de los servicios en la nube.
- Aprobación y puesta en marcha de políticas y procedimientos adecuados para la gestión de la externalización en la nube.
-
-
3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:
-
-
-
- Definir los niveles de servicio (alcance y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
- Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
- Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
- Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
- Medidas para la confidencialidad, integridad y disponibilidad de los datos externalizados.
- Sistemas para verificar el cumplimiento normativo por parte del proveedor.
-
-
4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:
-
-
-
- Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
- Definir estrategias de transición a otros proveedores o reinternalización de los servicios.
-
-
5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.