Gestión de Riesgos de Terceros TIC
El marco de DORA que exige a las entidades financieras gestionar los riesgos derivados de su dependencia de proveedores terceros de servicios TIC, incluyendo requisitos contractuales, vigilancia del riesgo de concentración y un marco de supervisión para proveedores críticos.
Definición Completa
El Capítulo V de DORA (Artículos 28-44) establece un marco integral para la gestión de los riesgos derivados de la dependencia de las entidades financieras respecto a los proveedores terceros de servicios TIC. Este marco aborda una de las fuentes más significativas de riesgo sistémico en el sector financiero moderno: la concentración de servicios críticos en un número reducido de proveedores tecnológicos, particularmente los proveedores de servicios en la nube.
Las entidades financieras deben mantener y actualizar un registro de información relativo a todos los acuerdos contractuales sobre el uso de servicios TIC prestados por proveedores terceros. Este registro debe distinguir entre los acuerdos que cubren funciones críticas o importantes y los que no. Antes de formalizar un acuerdo contractual, las entidades financieras deben evaluar los riesgos, incluyendo el riesgo de concentración, y verificar que el proveedor cumple las normas adecuadas de seguridad de la información.
DORA prescribe disposiciones contractuales obligatorias detalladas que deben incluirse en los acuerdos con proveedores terceros de TIC que soportan funciones críticas o importantes. Estas incluyen descripciones claras de los servicios con objetivos de rendimiento cuantitativos y cualitativos, disposiciones sobre accesibilidad, disponibilidad, integridad, seguridad y protección de datos personales, derechos garantizados de acceso, inspección y auditoría, derechos de resolución, estrategias de salida y períodos de transición adecuados.
Quizás el aspecto más innovador del marco de terceros de DORA es el mecanismo de supervisión directa de los proveedores terceros de servicios TIC críticos (CTPP). Las Autoridades Europeas de Supervisión pueden designar a un proveedor como crítico en función de criterios de impacto sistémico y nombrar un Supervisor Principal para llevar a cabo la supervisión directa. El Supervisor Principal puede emitir recomendaciones y, si el CTPP no cumple, las AES pueden solicitar a las entidades financieras que suspendan o resuelvan sus acuerdos con el proveedor, creando efectivamente un mecanismo regulatorio sobre entidades que no están, en sí mismas, reguladas como instituciones financieras.
Regulaciones Relacionadas
Regulaciones donde este término es relevante
Términos Relacionados
Otros términos que pueden ser útiles
Adelántate a los Cambios Regulatorios
Reversa monitoriza los cambios regulatorios en tiempo real para que nunca te pierdas una actualización que afecte a tu negocio.