Externalización TIC bajo DORA – Cuestiones básicas para (re)aseguradoras

Identificación de ser servicios de TIC según la DORA ¿En quién me fijo?

La primera tarea lógica que las (re)aseguradoras deben realizar es la identificación sus proveedores de servicios TIC. Con este fin, hay que atender a la definición que se prevé en la DORA:

Servicios TIC (art.3(21) DORA): “los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales”.

Esta definición debe interpretarse en términos amplios e independientemente de la importancia de la función para el servicio. En términos prácticos, incluye cualquier servicio digital o de datos continuo, como software, hardware (incluyendo asistencia técnica), excepto servicios telefónicos analógicos tradicionales. También abarca los servicios OTT (over-the-top) en la categoría de comunicaciones electrónicas.

¿Todos los servicios TIC son iguales y conllevan las mismas obligaciones?

No. La DORA regula diferentes categorías de servicios de TIC y, en consecuencia, las obligaciones aplicables a cada uno:

1. Los servicios de TIC generales.
2. Los servicios de TIC que desarrollan una función “esencial o importante”.
3. Los “proveedores terceros esenciales de servicios de TIC”, que son aquellos designados por las autoridades como tal, en base al riesgo sistémico que generan. Las autoridades competentes no han designado, por el momento, este tipo de proveedores de servicios de TIC.

Esta tarea de categorización también la realizarán los proprios proveedores de servicios TIC que, a su vez, también están tomando medidas a este respecto.

¿Cómo identificar una función “esencial” o “importante”?

Si bien, como apuntaremos más adelante, la gestión de todo proveedor de servicios TIC implica la toma de medidas por parte de las (re)aseguradoras; el conjunto de obligaciones se refuerza en relación con los proveedores de servicios que presten funciones esenciales o importantes. Por ello, su identificación temprana es clave.

Así, de forma genérica, la DORA define una función esencial o importante como:

“una función cuya perturbación afectaría significativamente al rendimiento financiero de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en materia de servicios financieros”. (resaltado por nosotros)

En resumen, son funciones que de verse afectadas impactarían materialmente a (i) los resultados financieros de la aseguradora; (ii) la solidez o continuidad de sus servicios y actividades; o (iii) su capacidad para cumplir las obligaciones regulatorias (entre otras, aquellas descritas en la autorización correspondiente).

Las aseguradoras deben evaluar qué funciones encajan en esta definición y, antes de suscribir contratos, determinar si implican servicios TIC que las sustenten. Asimismo, deberán mantener un registro con todos los acuerdos contractuales sobre el uso de servicios de TIC diferenciando aquellos que sustenten funciones esenciales o importantes.

Esta no es una actividad ajena a las entidades aseguradoras, que llevan a cabo un ejercicio similar bajo Solvencia II para externalizar funciones “críticas o importantes” (i.e., aquellas tan esenciales para el funcionamiento de la empresa que sería incapaz de prestar sus servicios a los tomadores sin dicha función o actividad). Por ejemplo, deben ser consideradas como tales (i) el diseño y tarificación de productos de seguro; (ii) la gestión de siniestros; (iii) las funciones fundamentales de las aseguradoras (riesgos, actuarial, cumplimiento y auditoría interna); o (iv) la prestación de servicios de almacenamiento de datos.

Dicho esto, DORA parece ir un poco más allá con su definición, que no es un copia/pega de Solvencia II, por lo que este análisis no se debe tomar por realizado automáticamente.

Como herramientas de ayuda, es recomendable acudir a las Directrices sobre Externalización del EBA o las Directrices acerca del Sistema de Gobernanza del EIOPA.

¿Cómo impacta en mi operativa?

La DORA prevé una serie de obligaciones de control de riesgo que deben aplicarse a todos los proveedores terceros de TIC, incluyendo:

• Mantener un registro de información: sobre acuerdos con los proveedores TIC (véase el Reglamento de Ejecución (UE) 2024/2956 en lo que respecta a las plantillas normalizadas para el registro de información).
• Deberes de due diligence e identificación del tipo de servicio TIC.
• Evaluación de riesgos.
• Cláusulas contractuales concretas – incluyendo aquellas relacionadas con la supervisión y terminación del contrato.

Además, en el caso de funciones esenciales o importantes, estas obligaciones se refuerzan y endurecen con seguridad avanzada, estrategias de salida, auditorías “sin restricciones”, etc.

Escrito por Cristina Barón, Eduardo Díaz y Santiago de Ampuero.