02.04.2025
DORA: Cláusulas de los contratos. Más allá de lo fundamental: Profundizando en los requisitos contractuales para una resiliencia digital robusta
Por
Cobo Aragoneses, José Luis El Reglamento DORA, en su afán por garantizar la resiliencia operativa digital del sector financiero, establece una serie de requisitos contractuales fundamentales para las relaciones entre entidades financieras y proveedores terceros de servicios TIC.
A continuación presentamos la colaboración también en formato vídeo por si fuera de tu interés. No te llevará más de 3 minutos visualizarlo:
Sin embargo, para asegurar un control efectivo sobre los riesgos asociados a estos servicios y garantizar la continuidad del negocio, es necesario ir más allá de estas disposiciones básicas.
En este sentido, los contratos para la prestación de servicios TIC que sustentan funciones esenciales o importantes deben incluir una serie de cláusulas adicionales que permitan a las entidades financieras mantener el pleno control sobre los acontecimientos que puedan afectar su seguridad en materia de TIC. Estas cláusulas complementarias deben especificar lo siguiente:
1.- Niveles de servicio detallados:
Los contratos deben incluir descripciones completas de los niveles de servicio, con objetivos de rendimiento cuantitativos y cualitativos precisos. Esto permitirá a las entidades financieras medir el desempeño del proveedor y adoptar medidas correctoras de manera oportuna en caso de incumplimiento.
2.- Notificación de cambios:
Los proveedores terceros de servicios TIC deben estar obligados a notificar a la entidad financiera de manera pronta cualquier cambio que pueda afectar significativamente su capacidad para prestar los servicios contratados. Esta obligación permitirá a la entidad financiera evaluar el impacto de dichos cambios y tomar las medidas necesarias para mitigar los riesgos.
3.- Planes de contingencia y seguridad:
Los proveedores deben contar con planes de contingencia robustos y aplicar medidas de seguridad de la información adecuadas para garantizar la continuidad de los servicios en caso de incidentes. Además, deben estar dispuestos a participar en pruebas de penetración realizadas por la entidad financiera para evaluar la eficacia de sus medidas de seguridad.
4.- Cooperación en pruebas de penetración:
La entidad financiera debe tener derecho a realizar pruebas de penetración basadas en amenazas en los sistemas del proveedor para identificar vulnerabilidades y evaluar la efectividad de sus medidas de seguridad. El proveedor, por su parte, debe colaborar plenamente en estas pruebas y proporcionar la información necesaria.
Si te ha interesado este artículo no dudes en leer:
DORA y la confianza digital: El valor de las cláusulas contractuales tipo para los servicios en la nube
En resumen, el Reglamento DORA establece un marco regulatorio sólido para la resiliencia operativa digital en el sector financiero. Sin embargo, para garantizar una protección óptima, las entidades financieras deben ir más allá de los requisitos mínimos y negociar contratos que incluyan cláusulas detalladas y exigentes en materia de niveles de servicio, notificación de cambios, planes de contingencia y seguridad. De esta manera, las entidades financieras podrán construir una defensa sólida contra las amenazas cibernéticas y garantizar la continuidad de sus operaciones.
Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente:
DORA: Claúsulas contractuales esenciales para la resiliencia digital de las entidades financieras
Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.
