SECTOR FINANCIERO – El Reglamento DORA en Portugal: qué cambia con la Ley n.º 73/2025, de 23 de diciembre

El Reglamento DORA (Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022) entró en vigor el 17 de enero de 2025, imponiendo nuevas y rigurosas obligaciones a las entidades financieras y a los prestadores de servicios de Tecnologías de la Información y la Comunicación (“TIC”), como proveedores de cloud computing, software e infraestructuras TIC.

Al tratarse de un reglamento europeo, el DORA es directamente aplicable en los Estados miembros, sin necesidad de transposición para producir efectos jurídicos.

No obstante, la publicación de la Ley n.º 73/2025, de 23 de diciembre, vino a densificar su aplicación en el ordenamiento jurídico portugués, en particular mediante la identificación de las autoridades nacionales competentes, la articulación con los regímenes jurídicos internos relevantes y la consagración de un régimen sancionador nacional autónomo.

Ante el nuevo marco regulatorio, se impone un análisis detallado e inmediato de los contratos en vigor con vistas a su revisión y actualización.

Ello se debe a que, además de introducir obligaciones estructurales en materia de seguridad y resiliencia de los sistemas de las entidades financieras, el Reglamento DORA crea un marco normativo detallado destinado a regular las relaciones contractuales con los denominados “Terceros Proveedores de Servicios de TIC”, respondiendo a la creciente dependencia de las entidades financieras respecto de proveedores externos que soportan sus funciones y procesos en materia de TIC.

Uno de los ejes centrales del DORA es la gestión del riesgo asociado a dichos terceros proveedores, imponiendo un núcleo mínimo de obligaciones contractuales que deben ser respetadas tanto por las entidades financieras como por los prestadores, con el objetivo principal de asegurar (i) la monitorización continua de los servicios prestados, garantizando la continuidad operativa de las entidades financieras, y (ii) una supervisión eficaz por parte de las autoridades competentes sobre los prestadores de servicios de TIC, con especial atención a aquellos que soportan procesos críticos o importantes.

Así, con el fin de garantizar una monitorización eficaz, la continuidad operativa y la supervisión regulatoria, el legislador europeo, a través del artículo 30 del Reglamento DORA, estableció que los contratos celebrados entre entidades financieras y prestadores de servicios de TIC deben contemplar, como mínimo, las siguientes disposiciones:

  • Una descripción detallada de los servicios de TIC a prestar, incluida la posibilidad y las condiciones de subcontratación;
  • La identificación de los lugares de prestación de los servicios y de tratamiento de datos, con obligación de notificación previa en caso de modificación de dichos lugares;
  • El establecimiento de obligaciones estrictas en materia de políticas de tratamiento de datos, garantizando su disponibilidad, integridad, autenticidad y confidencialidad, así como el cumplimiento del Reglamento General de Protección de Datos (“RGPD”);
  • La previsión de procedimientos de acceso y recuperación de datos aplicables en situaciones de cese de actividad o en escenarios de insolvencia o resolución contractual;
  • El establecimiento de niveles de servicio (SLAs), incluida la obligación de actualización y revisión periódica, garantizando su adecuación y un enfoque de mejora continua a lo largo de la relación contractual;
  • La implementación de procedimientos obligatorios de asistencia en materia de incidentes de TIC;
  • La previsión de un deber de cooperación plena con las autoridades competentes, incluida la puesta a disposición de información relevante cuando sea necesario;
  • La estipulación de cláusulas de resolución con plazos mínimos de preaviso alineados con las exigencias regulatorias;
  • La definición de las condiciones de participación en programas de formación en materia de seguridad de las TIC y resiliencia operativa digital, cuya promoción pasa a ser una obligación de las entidades financieras.

En los casos en que los prestadores de servicios de TIC soporten funciones críticas o importantes – esto es, funciones cuya perturbación comprometa de forma significativa el desempeño, la continuidad de los servicios o el cumplimiento de las obligaciones legales de las entidades financieras – los contratos deberán prever adicionalmente:

  • Descripciones completas de los niveles de servicio, con metas rigurosas de desempeño cuantitativas y cualitativas, mecanismos de actualización y revisión, así como medidas correctivas inmediatas en caso de incumplimiento;
  • Obligaciones de notificación previa de cualquier desarrollo relevante que pueda tener un impacto material en la capacidad del prestador para prestar eficazmente servicios de TIC que soporten funciones críticas o importantes;
  • Planes de contingencia y medidas de seguridad robustas, probadas y ajustadas periódicamente, garantizando el cumplimiento normativo;
  • La participación obligatoria de los prestadores en pruebas de penetración (Threat-Led Penetration Testing o “TLPT”);
  • Derechos de monitorización continua, incluidos accesos, inspecciones y auditorías por parte de la entidad financiera, terceros designados y autoridades competentes;
  • La definición de estrategias de salida y períodos de transición obligatorios, garantizando la continuidad o migración eficiente de los servicios y minimizando el riesgo de perturbaciones.

Ante estas exigencias regulatorias, las entidades financieras deben adoptar una postura proactiva, implementando de forma rápida y eficaz:

(a) Un proceso riguroso de mapeo de los procesos internos que recurren a servicios de TIC de terceros proveedores, priorizando aquellos que soportan funciones críticas o importantes;

(b) Un programa de definición y gestión de prioridades con criterios claros para la revisión contractual;

(c) Una planificación exigente para garantizar el cumplimiento de las normas vigentes.

Cabe señalar que, para garantizar una supervisión eficaz y conforme al Reglamento DORA, las entidades financieras están obligadas a mantener un registro actualizado y detallado de todos los contratos celebrados con prestadores de servicios de TIC, con especial énfasis en aquellos que soportan funciones críticas o importantes.

Dicho registro debe incluir información relevante, como las principales cláusulas contractuales, fechas de vigencia, modificaciones significativas y el nivel de criticidad de los servicios prestados, y debe estar fácilmente accesible y ser inmediatamente facilitado a las autoridades de control cuando así se solicite.

Con la entrada en vigor de la Ley n.º 73/2025, de 23 de diciembre, el incumplimiento de las obligaciones derivadas del Reglamento DORA pasó a estar sujeto a un régimen sancionador nacional autónomo, previendo la aplicación de multas significativas a las entidades financieras, que pueden alcanzar los 5.000.000 € o, en determinados casos, el 10 % del volumen de negocios anual, así como la responsabilidad de personas físicas.

Adicionalmente, los terceros prestadores de servicios de TIC críticos pueden ser objeto de sanciones pecuniarias coercitivas que pueden alcanzar el 1 % del volumen de negocios mundial medio diario del ejercicio anterior, reforzando sustancialmente el riesgo económico asociado al incumplimiento.

Asimismo, esta nueva ley nacional prevé expresamente la divulgación pública de las decisiones definitivas o firmes de condena por la comisión de infracciones administrativas graves o muy graves relacionadas con el incumplimiento del Reglamento DORA.

Dicha divulgación se realiza a través del sitio web de la autoridad de supervisión competente y permanece accesible durante un período de cinco años, sin posibilidad de indexación por motores de búsqueda.

Este mecanismo de publicidad de las sanciones introduce una dimensión reputacional autónoma y especialmente relevante en el régimen sancionador, reforzando el impacto del incumplimiento más allá de la vertiente estrictamente financiera.

En este contexto, el cumplimiento del Reglamento DORA (ahora encuadrado por un régimen nacional claro de supervisión y sanciones) exige un enfoque integrado que involucre las áreas jurídicas, de compliance, tecnológicas (IT) y contractuales, con especial énfasis en la revisión urgente de los contratos de TIC.

Impacto específico del Reglamento DORA en el sector asegurador:

En el sector asegurador, la Ley n.º 73/2025, de 23 de diciembre, reviste especial relevancia al integrar expresamente el Reglamento DORA en el Régimen Jurídico de Acceso y Ejercicio de la Actividad Aseguradora y Reaseguradora, reforzando las exigencias de cumplimiento en materia de resiliencia operativa digital para las entidades aseguradoras y reaseguradoras con sede en Portugal.

La modificación del artículo 64 de dicho régimen consagra de forma expresa el deber de las aseguradoras de crear y gestionar sistemas de red e información conformes con el DORA, integrando la resiliencia digital en el núcleo de las obligaciones propias del ejercicio de la actividad aseguradora.

En la práctica, las deficiencias en la gobernanza del riesgo TIC, en la continuidad operativa, en la gestión de incidentes o en la relación con terceros prestadores de servicios de TIC dejan de ser meramente operativas, pudiendo constituir incumplimientos regulatorios y prudenciales sancionables por la autoridad de supervisión competente.

Belzuz Abogados, S.L.P. cuenta con abogados con amplia experiencia en las áreas de Contratos, Compliance y Derecho Digital y puede prestar asesoramiento jurídico especializado en esta materia, apoyando de forma eficaz los procesos de revisión contractual.

Solicite asesoramiento legal especializado

Nuestro equipo de abogados analiza su caso y le ofrece soluciones jurídicas claras, estratégicas y adaptadas a su situación.

Cuéntenos su caso y reciba una propuesta personalizada

Solicitar presupuesto legal

Otras publicaciones

DIGITAL SERVICES ACT (“DSA”): ¿Qué ha cambiado en las plataformas digitales desde 2024?

El Digital Services Act (“DSA”), aprobado mediante el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, marcó un cambio estructural en la forma en que los

Leer más

La acción directa contra la aseguradora de la Administración queda excluida si la reclamación patrimonial fue desestimada en vía administrativa

El Tribunal Supremo ha establecido recientemente que, cuando una reclamación de responsabilidad patrimonial frente a la Administración concluye con una resolución desestimatoria —ya sea expresa o por silencio administrativo—, el perjudicado no puede

Leer más

Cámaras de Videovigilancia: Todo lo que debe saber para instalar sistemas de Videovigilancia en Portugal

Nada en la ley impide la instalación de cámaras de videovigilancia en viviendas o tiendas para garantizar la seguridad de las personas y de los bienes. No obstante, el alcance de las cámaras

Leer más

El Tribunal Supremo delimita cuándo la paralización de actividad queda realmente cubierta por el seguro

Estas resoluciones, que resuelven litigios vinculados a reclamaciones surgidas durante la pandemia de la COVID‑19, dejan patente que la paralización de la actividad empresarial solo queda cubierta cuando deriva de los riesgos concretamente

Leer más

EMPRESAS FAMILIARES: Cuando los herederos acumulan deudas, ¿pueden las participaciones sociales heredadas quedar expuestas a la ejecución por parte de acreedores y comprometer la continuidad del negocio familiar?

Belzuz Abogados, S.L.P. ha asesorado a numerosos clientes con empresas y negocios familiares que manifiestan preocupaciones recurrentes en relación con la protección y continuidad del negocio en el contexto sucesorio. En este sentido,

Leer más

En Portugal, La dación en pago entre cónyuges en el régimen de gananciales: cómo proteger el patrimonio y evitar litigios futuros

En el contexto actual, donde los matrimonios se celebran con frecuencia a edades más avanzadas, es habitual que uno de los cónyuges sea titular de un inmueble propio antes del matrimonio. En estas

Leer más
error: Content is protected !!