DORA & Prestadores de servicios de TIC – Cuestiones básicas

1.¿Qué se consideran servicios de TIC bajo la DORA?

La primera pregunta, por obvia que sea, no hay que despreciarla (no en vano cada norma tiene su definición y sus matices).

Servicios TIC (art.3(21) DORA): “los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales”.

Como la DORA indica, esta definición hay que entenderla en términos amplios: incluyendo también los servicios OTT (over the top) que entran dentro de la categoría de servicios de comunicaciones electrónicas. Se excluyen únicamente la categoría limitada de servicios telefónicos analógicos tradicionales que se clasifican como servicios de red telefónica pública conmutada (PSTN), servicios de línea terrestre, servicios de telefonía convencional (POTS) o servicios de telefonía fija.

2.¿Qué clientes activan que me aplique la DORA?

Otro elemento clave para que les sea de aplicación la DORA, es que los proveedores de TIC presten servicios a entidades financieras. Estas son las siguientes (con ciertos matices en la práctica):

3.¿Todos los servicios TIC están sujetos a las mismas obligaciones?

La DORA diferencia entre servicios de TIC y, en consecuencia, entre las obligaciones que sujetan a cada uno:

1. Los servicios de TIC generales.
2. Los servicios de TIC que desarrollan una función “esencial o importante”.
3. Los proveedores terceros esenciales de servicios de TIC, que es aquel designado por el riesgo sistémico que generan.

4.¿Presto servicios de TIC que suponen una función esencial o importante?

De forma algo genérica, la DORA define una función esencial o importante como aquella cuya “perturbación afectaría significativamente al rendimiento financiero de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en materia de servicios financieros”.

Esta definición es amplia, dependiente de las entidades financieras y da alguna pista. Aunque el análisis hay que hacerlo caso por caso, siempre ayuda acudir a las directrices sobre externalización del EBA o al EIOPA y sus directrices acerca del Sistema de Gobernanza (Directriz 60), en las que se añaden “pistas” adicionales.

5.¿Cómo impacta en mi operativa?

La DORA prevé un set de obligaciones de control de riesgo de los proveedores terceros de TIC. Este se refuerza en el caso de funciones esenciales o importantes (más aún en el caso de proveedores terceros esenciales de servicios de TIC – que, por su particularidad, no analizamos en esta breve entrada). Como proveedor de TIC no es de extrañar que en las próximas semanas y, a partir de principios de 2025, se encuentre con:

• Fuertes due diligences o evaluaciones preliminares sobre los servicios y la seguridad implementada. Más aún en el caso de funciones esenciales o importantes.
• Remisión de nuevo clausulado o “Anexo DORA”. El art. 30 de la DORA prevé un mínimo contractual que depende de si hablamos de una función esencial o importante, o de una función “estándar”.
• Mayores exigencias de auditoría y cooperación.

Nuevas exigencias a efectos de terminación del contrato y estrategias de salida. 

Santiago de Ampuero y Eduardo Diaz.