DORA: Claúsulas contractuales esenciales para la resiliencia digital de las entidades financieras

El Reglamento DORA (Digital Operational Resilience Act) impone nuevos requisitos a las entidades financieras en materia de ciberseguridad y resiliencia operativa digital. Una de las herramientas clave para cumplir con estas exigencias es la inclusión de cláusulas contractuales específicas en los acuerdos con los proveedores terceros de servicios TIC. Estas cláusulas son fundamentales para garantizar la continuidad del negocio, la protección de los datos y la capacidad de respuesta ante incidentes de seguridad.

A continuación te dejamos el vídeo de la colaboración, por si fuera de tu interés:

Tipología de cláusulas contractuales fundamentales y sus requisitos:

El Reglamento DORA exige que los contratos con proveedores terceros de servicios TIC incluyan, al menos, las siguientes cláusulas:

1. Descripción completa de las funciones y servicios: Es necesario detallar de manera precisa todas las funciones y servicios que el proveedor prestará a la entidad financiera, incluyendo por ejemplo: el desarrollo y mantenimiento de aplicaciones, almacenamiento en la nube, gestión de redes, servicios de ciberseguridad, etc.
2. Lugares de prestación de servicios y procesamiento de datos: Debe especificarse dónde se prestarán los servicios y en qué lugares se procesarán los datos, tanto dentro como fuera de la Unión Europea.
3. Niveles de servicio: Se deben definir claramente los niveles de servicio esperados en términos de disponibilidad, rendimiento y tiempo de respuesta.
4. Seguimiento del riesgo TIC: El contrato debe incluir cláusulas que permitan a la entidad financiera realizar un seguimiento continuo del riesgo asociado a las TIC, como informes periódicos sobre el estado de seguridad y los incidentes ocurridos.
5. Garantías de seguridad y protección de datos: El proveedor debe garantizar la accesibilidad, la disponibilidad, la integridad, la seguridad y la protección de los datos personales procesados en el marco del contrato, cumpliendo con las normativas aplicables en materia de protección de datos.
6. Acceso y recuperación de datos en caso de insolvencia: Se deben establecer mecanismos para garantizar que la entidad financiera pueda acceder, recuperar y restituir sus datos en caso de insolvencia, resolución o interrupción de las operaciones del proveedor.
7. Cooperación con autoridades: El proveedor debe estar obligado a cooperar plenamente con las autoridades competentes y con las autoridades de resolución de la entidad financiera en caso de incidentes de seguridad o investigaciones.
8. Terminación del contrato: Se deben establecer los derechos de terminación y los plazos mínimos de notificación para la terminación del contrato, teniendo en cuenta las expectativas de las autoridades competentes y de las autoridades de resolución.

Si te ha interesado este artículo no dudes en leer:

DORA y la Notificación de incidentes TIC: ¿Un Gran Hermano Digital para la Banca?

La entrada en vigor de DORA (Reglamento (UE) 2022/2554) ha marcado un antes y un después en el panorama regulatorio de la ciberseguridad en el sector financiero. Este nuevo marco legal, diseñado para fortalecer la resiliencia operativa digital de las entidades financieras, plantea un debate crucial: ¿Es necesaria una mayor centralización en la notificación de incidentes cibernéticos?

Al garantizar que los contratos con proveedores terceros de servicios TIC incluyan estas cláusulas fundamentales, las entidades financieras pueden tomar medidas proactivas para proteger su infraestructura tecnológica y minimizar los riesgos asociados a la ciberseguridad.

Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:

DORA y la confianza digital: El valor de las cláusulas contractuales tipo para los servicios en la nube