STAY UPDATED
Subscribe to stay current on ILP Insights
Presentamos la colaboración también en vídeo, por si prefieres este formato (no te llevará más de 2 minutos visualizarlo):Evaluación del Grado de Concentración de Proveedores TIC
Las entidades financieras deben analizar el nivel de dependencia de sus proveedores TIC, particularmente aquellos que sustentan funciones esenciales. Esto implica evaluar si un proveedor (o grupo de proveedores vinculados) es fácilmente sustituible, así como los costes y beneficios de alternativas, como diversificar con otros proveedores. Esta ponderación debe alinearse con la estrategia de resiliencia digital de la entidad, asegurando que las soluciones sean viables y cumplan con los objetivos empresariales. Documentar estas valoraciones es crucial, ya que constituyen una prueba preconstituida ante posibles requerimientos de las Autoridades de Supervisión, bajo el estándar de la discrecionalidad empresarial (del buen comerciante).Gestión de Riesgos en la Subcontratación TIC. Veamos algunos ejemplos …
DORA también requiere que las entidades evalúen los riesgos asociados a la subcontratación, especialmente cuando un proveedor TIC delega funciones esenciales o importantes a terceros. Entre los aspectos a considerar destacan:Beneficios y riesgos de la subcontratación, especialmente si el subcontratista está ubicado en un tercer país.
- Beneficios:
- Reducción de costes operativos al contratar servicios TIC en países con mano de obra más económica, como India o Filipinas.
- Acceso a tecnología avanzada o experiencia especializada no disponible localmente, por ejemplo, en ciberseguridad o inteligencia artificial.
- Escalabilidad de servicios para adaptarse a picos de demanda, como en plataformas de computación en la nube gestionadas desde terceros países.
- Riesgos:
- Inestabilidad política o regulatoria en el tercer país, que podría interrumpir la continuidad del servicio (ej.: cambios legislativos en protección de datos en China).
- Diferencias en estándares de seguridad de datos, aumentando el riesgo de brechas de seguridad.
- Barreras lingüísticas o culturales que dificulten la comunicación y la gestión contractual con el subcontratista.
- Beneficios:
Riesgos legales relacionados con la insolvencia del proveedor, incluyendo las normativas aplicables en caso de quiebra.
- Normativas de insolvencia:
- En un tercer país, las leyes de quiebra pueden priorizar a acreedores locales sobre clientes extranjeros, retrasando o impidiendo la recuperación de activos digitales (ej.: datos almacenados en servidores en Brasil).
- Falta de armonización con la normativa de la UE, como el Reglamento General de Insolvencia, lo que complica la ejecución de derechos en caso de liquidación.
- Otros riesgos legales:
- Ausencia de acuerdos bilaterales que garanticen la recuperación de datos en caso de insolvencia (ej.: un proveedor en un país sin tratados con la UE).
- Costes legales elevados para litigar en jurisdicciones extranjeras, como en EE. UU., donde los procedimientos de bancarrota son complejos.
- Normativas de insolvencia:
Restricciones operativas, como la capacidad de recuperar datos de manera urgente o el cumplimiento de la normativa de protección de datos de la UE.
- Capacidad de recuperación urgente de datos:
- Retrasos en la recuperación de datos debido a restricciones de ancho de banda o infraestructura en el tercer país (ej.: servidores en África con conectividad limitada).
- Dependencia de procesos manuales del subcontratista para restaurar datos, lo que alarga los tiempos de respuesta en crisis.
- Cumplimiento de la normativa de protección de datos de la UE:
- Incumplimiento del RGPD por parte del subcontratista, como la falta de medidas técnicas adecuadas para garantizar la seguridad de datos personales.
- Transferencias internacionales de datos sin acuerdos de adecuación o cláusulas contractuales tipo, como en el caso de un proveedor en un país sin reconocimiento de la UE.
- Capacidad de recuperación urgente de datos:
Impacto de cadenas de subcontratación complejas, que pueden dificultar el seguimiento de las funciones contratadas y la supervisión efectiva por parte de las autoridades competentes.
- Dificultades de seguimiento:
- Pérdida de visibilidad sobre funciones críticas si un proveedor TIC subcontrata a múltiples terceros (ej.: un proveedor de nube en la UE que delega almacenamiento a un subcontratista en Asia).
- Falta de auditorías directas sobre subcontratistas secundarios, lo que dificulta verificar el cumplimiento de estándares de seguridad.
- Supervisión por autoridades competentes:
- Complejidad para las autoridades al rastrear responsabilidades en cadenas largas, aumentando el riesgo de sanciones por falta de control.
- Retos para garantizar que todos los subcontratistas cumplan con DORA, especialmente si operan en jurisdicciones con regulaciones menos estrictas.
- Dificultades de seguimiento:
Artículos relacionados
Importancia del Cumplimiento Proactivo
El cumplimiento de DORA no es solo una obligación regulatoria, sino una oportunidad para optimizar la gestión de riesgos TIC. Las entidades financieras deben integrar estas valoraciones en sus procesos de gobernanza, asegurando que las decisiones sean trazables y justificadas. La documentación adecuada y una evaluación continua de los proveedores TIC fortalecerán la posición de la entidad ante auditorías y mejorarán su resiliencia operativa. En conclusión, una gestión proactiva y estructurada de los riesgos de subcontratación TIC no solo garantiza el cumplimiento de DORA, sino que también protege a las entidades financieras frente a vulnerabilidades digitales, reforzando su competitividad en un entorno regulatorio cada vez más exigente. Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente: ¿Qué son los servicios TIC para DORA?¿Necesitas asesoramiento legal?
Contactar con ILP AbogadosGUÍA GRATUITA
Regulación Financiera España 2026
DORA + MiCA + MiFID II + EMIR en un solo documento
Descargar gratis →