Revista AJA 1012-articulos

inline Rectangle nº 1.012 - 5 de diciembre de 2024

DORA: principales retos en la remediación contractual

inline Rectangle

inline Polygon Inés Gutiérrez Fernández. Asociada principal de Regulación Financiera de Deloitte Legal

inline Polygon Marta Goméz Rosas. Abogada de Regulación Financiera de Deloitte Legal

El plazo para la remediación contractual se encuentra en su etapa final, a las puertas de la entrada en vigor del Reglamento DORA el próximo 17 de enero de 2025

DORA establece estándares comunes que afectan tanto a las entidades financieras como a los proveedores terceros de servicios TIC

En medio de la avalancha regulatoria en la que el sector financiero se encuentra inmerso los últimos años, el Reglamento sobre la resiliencia operativa digital del sector financiero (en adelante, «DORA»), que entrará en vigor el próximo 17 de enero de 2025, nace como una reacción de la Unión Europea a la creciente dependencia del sector financiero en los servicios tecnológicos, con los riesgos en materia de ciberseguridad que ello conlleva. Así, tras varios incidentes que impactaron en la infraestructura de los servicios de tecnología, información y comunicación (en adelante, «servicios TIC»), la Unión Europea decidió implementar un marco legal que armonizara la gestión de los riesgos digitales en todas las entidades financieras.

Este Reglamento y su normativa de desarrollo, no solo afecta a entidades financieras, sino también a proveedores terceros de servicios TIC, como empresas de tecnología y plataformas en la nube, que a partir de ahora deben cumplir con una serie de estándares comunes para mitigar los riesgos de ciberseguridad y las vulnerabilidades operativas por las que se pueden ver afectados.

Por lo que a las entidades financieras se refiere, éstas se enfrentan a desafíos complejos en varios ámbitos de actuación relacionados con DORA, tales como: la clasificación del riesgo tecnológico, reporting de incidentes o pruebas de resiliencia, entre otros. Pero uno de los más complicados de gestionar es la necesidad de las entidades financieras de establecer un marco de gestión del riesgo relacionado con los proveedores terceros de servicios TIC. Este marco de gestión incluye, entre otras medidas, la necesidad de adaptar los contratos con proveedores terceros de servicios TIC a los requerimientos establecidos por DORA.

Complejidad en la remediación contractual bajo la normativa DORA

El primer paso en el proceso de adaptación es la remediación contractual, la cual requiere un esfuerzo considerable por parte de las entidades financieras, puesto que se ven obligadas a destinar recursos tanto a la identificación de todos sus proveedores terceros de servicios TIC y servicios afectados, como a la recopilación de documentación contractual.

Tras esta labor de clasificación y archivo, las entidades deben revisar los contratos con el objetivo de verificar su contenido y garantizar que se incluyan las disposiciones establecidas por DORA.

Dificultades en la negociación con proveedores terceros de servicios TIC

Una vez superada la fase de revisión contractual a nivel interno, el siguiente hito es el acuerdo de los términos propuestos con los proveedores terceros de servicios TIC a través de los correspondientes procesos de negociación.

En este punto, la reacción de los proveedores difiere en función de su diferente tamaño y presencia en el mercado. Así, los proveedores terceros de servicios TIC con posiciones de mercado fuertes, suelen mostrar resistencia a incluir en los contratos ciertas cláusulas que limitan sus derechos o imponen condiciones adicionales de control y supervisión por parte de las entidades financieras.

Al margen de lo anterior, buena parte de las reticencias en la negociación por parte de estos proveedores trae causa de la exigencia de DORA de contar con determinadas obligaciones en materia de derechos de acceso a la información, inspección y auditoría, alegando su preocupación por posibles brechas de confidencialidad y seguridad en sus sistemas.

Cláusulas detalladas y de subcontratación obligatorias

Otro punto conflictivo también es la necesidad de incorporar cláusulas detalladas que regulen unas estrategias de salida, planes de continuidad y planes de transición. En la práctica, muchos contratos con proveedores de servicios TIC cuentan con disposiciones incompletas o no adaptadas al respecto, lo que puede generar riesgos significativos para las entidades financieras en caso de incidentes graves y, en el peor de los casos, la pérdida de datos o el acceso a una infraestructura crítica que provoque un impacto directo en la operativa de la entidad.

La incorporación de estas cláusulas es fundamental para evitar estos incidentes y así establecer las condiciones necesarias para el mantenimiento de los servicios prestados por los proveedores durante el tiempo suficiente, con el fin de asegurar una migración segura y sin interrupciones.

Otro ámbito que está causando controversia en las negociaciones es la inclusión de las cláusulas de subcontratación obligatorias con proveedores terceros de servicios TIC, las cuales contienen nuevos requisitos específicos. Por este motivo, los proveedores terceros de servicios TIC no siempre están dispuestos a aceptar estas cláusulas que limitan sus propios derechos o que implican una mayor supervisión por parte de las entidades financieras, lo que ralentiza el proceso de negociación.

Más allá de todo lo expuesto hasta el momento, en el momento de redacción del presente artículo, se suma otro riesgo en el ámbito de la remediación contractual, como es el hecho de que todos los motivos citados han dado lugar a que la Comisión Europea manifieste sus inquietudes acerca de los RTS que desarrollan los requisitos en materia de subcontratación en el marco de la normativa DORA.

Esta preocupación está motivada principalmente por el alto grado de detalle que los RTS introducen en estos contratos, los cuales incluyen obligaciones como, por ejemplo, mantener actualizada la cadena completa de subcontratistas y evaluar los riesgos inherentes a una cadena larga o completa de subcontratación. Igualmente, los RTS también exigen a los proveedores terceros de servicios TIC notificar cambios materiales en la subcontratación, una medida que, si bien promueve la transparencia, incrementa las demandas de control y supervisión para las entidades financieras.

Así, en caso de que se materialice la objeción por parte de la Comisión, esto podría derivar en un nuevo texto, lo cual implicaría un desafío significativo para las entidades financieras que ya han iniciado la revisión y actualización de sus contratos con proveedores terceros de servicios TIC.

Por último, entre otros retos de menor calado, podemos encontrar cuestiones como, por ejemplo, la clasificación de determinados proveedores como entidades que prestan servicios financieros regulados, la participación de intermediarios o resellers en la firma de los contratos o la aplicación del principio de proporcionalidad en la relación contractual intragrupo de las entidades financieras.

En definitiva, las entidades financieras y los proveedores terceros de servicios TIC deberán adaptar sus contratos conforme a las disposiciones establecidas por DORA con la finalidad de reducir el riesgo en el sistema financiero y promover una relación contractual transparente entre las partes.

Por todo lo anterior, se puede afirmar, por un lado, que DORA se ha convertido en una pieza fundamental para asegurar la resiliencia operativa digital del sistema financiero europeo y, por otro, que las consecuencias de su implementación están suponiendo para las entidades financieras y proveedores terceros de servicios TIC un desafío mayor del que se estimaba en un principio. Habrá que esperar para ver cómo y cuándo reacciona el supervisor una vez se haya superado el día de la entrada en vigor. ■