{"id":3589,"date":"2025-02-09T23:00:00","date_gmt":"2025-02-09T23:00:00","guid":{"rendered":""},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T23:00:00","slug":"revision-contractual-urgente-impactos-del-reglamento-dora-en-el-sector-financiero","status":"publish","type":"publicacion","link":"https:\/\/belzuz.com\/en\/publicacion\/revision-contractual-urgente-impactos-del-reglamento-dora-en-el-sector-financiero\/","title":{"rendered":"Revisi\u00f3n contractual urgente: Impactos del Reglamento DORA en el sector financiero"},"content":{"rendered":"

\n

El (Reglamento (UE) 2022\/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022) entró en vigor el 17 de enero de 2025, imponiendo nuevas y rigurosas obligaciones a las entidades financieras y a los proveedores terceros de servicios de Tecnologías de la Información y la Comunicación (TIC), como proveedores de computación en la nube, software e infraestructuras TIC.<\/p>\n

Frente a este nuevo marco normativo, es necesario realizar un análisis detallado e inmediato de los contratos vigentes para proceder a su revisión y actualización.<\/p>\n

Esto se debe a que, además de imponer obligaciones estructurales sobre la seguridad y la resiliencia de los sistemas de las entidades financieras, el Reglamento DORA establece un marco normativo detallado que regula las relaciones contractuales con los denominados “Proveedores Terceros de Servicios de TIC”, respondiendo a la creciente dependencia de las entidades financieras de proveedores externos de soporte para sus funciones y procesos en TIC.<\/p>\n

Uno de los ejes centrales del DORA es la gestión del riesgo asociado con estos terceros proveedores, exigiendo un conjunto mínimo de obligaciones contractuales<\/span><\/strong> que tanto las entidades financieras como los proveedores deben respetar, con el objetivo principal de garantizar (i)<\/strong> el monitoreo continuo de los servicios prestados, para asegurar la continuidad operativa de las entidades financieras, y (ii)<\/strong> una supervisión efectiva por parte de las autoridades competentes sobre los proveedores de servicios TIC, con especial énfasis en aquellos que apoyan funciones críticas o importantes de las entidades financieras.<\/p>\n

De acuerdo con lo anterior, para garantizar un monitoreo efectivo, la continuidad operativa y la supervisión regulatoria, el legislador europeo, a través del artículo 30 del Reglamento DORA, establece que los contratos celebrados entre las entidades financieras y los proveedores de servicios TIC deben, como mínimo<\/span><\/strong>, incluir las siguientes disposiciones:<\/p>\n

– Descripción detallada de los servicios TIC a prestar, incluida la posibilidad y las condiciones de subcontratación;<\/p>\n

– Identificación de los lugares de prestación de servicios y tratamiento de datos, con la obligación de notificación previa en caso de cambio;<\/p>\n

– Establecimiento de obligaciones rigurosas en cuanto a las políticas de tratamiento de datos, asegurando su disponibilidad, integridad, autenticidad y confidencialidad, así como el cumplimiento de las disposiciones del Reglamento General de Protección de Datos Personales (RGPD);<\/p>\n

– Procedimientos de acceso y recuperación de datos en caso de cese de actividad o insolvencia;<\/p>\n

– Establecimiento de niveles de servicio (SLAs) con actualización y revisión periódicas;<\/p>\n

– Procedimientos de asistencia obligatoria en caso de incidentes TIC;<\/p>\n

– Obligación de cooperación con las autoridades competentes;<\/p>\n

– Cláusulas de rescisión y períodos mínimos de preaviso;<\/p>\n

– Condiciones para la participación en programas de formación sobre seguridad TIC y resiliencia operativa digital.<\/p>\n

Cuando los proveedores de servicios TIC apoyen funciones críticas o importantes<\/strong><\/span>, los contratos deben incluir también<\/span>:<\/p>\n

– Descripción completa de los niveles de servicio, con metas de rendimiento cuantitativas y cualitativas rigurosas;<\/p>\n

– Obligaciones de notificación previa sobre desarrollos relevantes que puedan afectar la capacidad del proveedor para prestar servicios eficaces;<\/p>\n

– Planes de contingencia y medidas de seguridad ajustadas y probadas regularmente;<\/p>\n

– Participación obligatoria en pruebas de penetración (TLPT);<\/p>\n

– Derechos de monitoreo continuo, incluidas auditorías e inspecciones;<\/p>\n

– Estrategias de salida y períodos de transición obligatorios.<\/p>\n

Ante estos requisitos regulatorios, de nuestra experiencia en la asesoría prestada a entidades financieras recomendamos que se adopte un enfoque proactivo para implementar de manera ágil y eficaz:<\/p>\n

(a) Un análisis detallado de los procesos internos que dependen de servicios TIC de terceros, priorizando aquellos que apoyan funciones críticas o importantes;<\/p>\n

(b) Un programa de definición y gestión de prioridades para la revisión contractual;<\/p>\n

(c) Una calendarización rigurosa para garantizar el cumplimiento de las normas.<\/p>\n

Las entidades financieras deben mantener un registro actualizado de todos los contratos celebrados con proveedores de servicios de TIC<\/span>, destacando aquellos que involucran funciones críticas. Este registro debe estar disponible para las autoridades de control, lo que permite una verificación rápida y eficaz del cumplimiento de las obligaciones regulatorias.<\/p>\n

Por último, es importante señalar que las autoridades competentes tienen la facultad de supervisar y controlar tanto a las entidades financieras como a los proveedores de TIC<\/span>, con la capacidad de imponer multas coercitivas a los proveedores de servicios TIC<\/span> que no cumplan las medidas exigidas, que pueden llegar hasta el 1% de su volumen de negocios diario global promedio del año fiscal anterior.<\/p>\n

<\/strong> cuenta con abogados experimentados en el ámbito de los Contratos, Cumplimiento Normativo y , y podrá prestar asesoría jurídica en esta área, apoyando eficazmente los procesos de revisión contractual.<\/p>\n

 <\/p>\n

<\/span><\/p>\n

<\/p>\n","protected":false},"featured_media":431,"template":"","categories":[],"area-de-practica":[],"publicaciones":[],"idioma-publicacion":[70],"areas-practica-publicacciones":[],"class_list":["post-3589","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry","idioma-publicacion-espanol"],"acf":[],"_links":{"self":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion\/3589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/types\/publicacion"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media\/431"}],"wp:attachment":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media?parent=3589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/categories?post=3589"},{"taxonomy":"area-de-practica","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/area-de-practica?post=3589"},{"taxonomy":"publicaciones","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicaciones?post=3589"},{"taxonomy":"idioma-publicacion","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/idioma-publicacion?post=3589"},{"taxonomy":"areas-practica-publicacciones","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/areas-practica-publicacciones?post=3589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}