En la entrada de ayer continuábamos comentando funcionamiento del sistema de Resiliencia Operartiva Digital (ROD) de las entidades financieras que diseña el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (Ley de Resiliencia Operativa Digital, Digital Operational Resilience Act DORA). Hoy ponemos punto final a esta serie de comentarios culminando la exposición sintética del complejo funcionamiento de este sistema de ROD de las entidades financieras.
(…)
C) FUNCIONAMIENTO
(…)
C.4) La gestión del riesgo operativo digital derivado de terceros
C.4.1) El principio de especialización de las actividades económicas y la necesidad de las entidades financieras de externalizar o subcontratar servicios TIC con terceros proveedores
El principio general de especialización de las actividades económicas de producción de bienes y servicios nos conduce a constatar que las entidades financieras tienen como actividades típicas y reservadas las de intermediación en los tres sectores en los que se divide el mercado financiero dentro de la UE: el bancario, el de valores y el de seguros. Como un precipitado lógico de este principio general de especialización de las actividades económicas de producción de bienes y servicios resulta la necesidad frecuente de las entidades financieras de recurrir a proveedores terceros de servicios de TIC que son empresas que prestan servicios de TIC que se definen como “los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales” (art.3.21).
Y el paso siguiente en nuestro razonamiento debe ser que el sistema de ROD establecido por DORA debe abarcar dos hipótesis diferentes que conviven en el tiempo y que exigen la gestión eficiente de dos tipos de ROD: el que nace en el ámbito interno de las propias entidades financieras y el que surge de la externalización o subcontratación por parte de las entidades financieras de loa servicios de TIC con proveedores terceros.
En relación con lo que acabamos de señalar, recordamos que, en la primera entrada del pasado 6 de febrero, cuando abordamos los aspectos generales del sistema de resiliencia operativa digital que establece DORA comenzamos por diferenciar dos ámbitos de aplicación: el interno, referido a los requisitos internos o reflexivos exigibles a las propias entidades financieras para gestionar eficientemente el ROD que ellas mismas generan (los factores de riesgo endógenos); y el externo, referido a los requisitos externos o transitivos que establece el DORA y resultan aplicables a las entidades financieras en relación con proveedores terceros de servicios de TIC abarcando los requisitos de los acuerdos contractuales celebrados entre los proveedores terceros de servicios de TIC y las entidades financieras y las normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios de TIC cuando presten servicios a entidades financieras (los factores de riesgo exógenos).
Ahora, es llegado el momento de recuperar la distinción para exponer el sistema de Gestión del riesgo relacionado con las TIC derivado de terceros regulado en el Capítulo V arts.28 a 44) de DORA que podemos ordenar en tres apartados dedicados a la regulación, la contratación y la supervisión.
C.4.2) Regulación: los “principios fundamentales de una buena gestión del riesgo relacionado con las TIC derivado de terceros”
En primer lugar, DORA establece los principios generales de gestión por parte de las entidades financieras del riesgo relacionado con las TIC derivado de terceros que son:
a) La responsabilidad, principio general a todas las entidades financieras cuando externalizan y subcontratan servicios o actividades en terceras entidades, plasmado en el art.28.1.a) de DORA cuando dice: “Las entidades financieras que tengan acuerdos contractuales en vigor para utilizar servicios de TIC en el funcionamiento de sus operaciones comerciales serán, en todo momento, plenamente responsables del cumplimiento y observancia de todas las obligaciones con arreglo al presente Reglamento y al Derecho aplicable en materia de servicios financieros”.
b) La proporcionalidad, principio también común a todas las entidades financieras cuando externalizan y subcontratan servicios o actividades en terceras entidades, plasmado en el art.28.1.b) de DORA cuando dice: “las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros con arreglo al principio de proporcionalidad, teniendo en cuenta: i) la naturaleza, la escala, la complejidad y la importancia de las dependencias con respecto a las TIC, ii) los riesgos derivados de los acuerdos contractuales sobre el uso de servicios de TIC celebrados con proveedores terceros de servicios de TIC, teniendo en cuenta el carácter esencial o la importancia del servicio, el proceso o la función de que se trate, y la repercusión potencial en la continuidad y la disponibilidad de las actividades y los servicios financieros, a escala particular y de grupo”. Adviértase que se trata de una aplicación de la característica general de DORA que se manifiesta en su art.4.
Procede recordar que este principio de proporcionalidad rige tanto en el ámbito de gestión del ROD derivado de factores internos o endógenos como externos o exógenos como lo podemos verificar:
a) En el ámbito de gestión del ROD derivado de factores internos o endógenos cuando el DORA, en su artículo 16 se refiere al “marco simplificado de gestión del riesgo relacionado con las TIC” y comienza señalando: “Los artículos 5 a 15 del presente Reglamento no se aplicarán a las empresas de servicios de inversión pequeñas y no interconectadas ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366; ni a las entidades exentas en virtud de la Directiva 2013/36/UE respecto de las cuales los Estados miembros hayan decidido no aplicar la opción a que se refiere el artículo 2, apartado 4, del presente Reglamento, ni a las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE; ni a los fondos de pensiones de empleo pequeños”.
b) En el ámbito de gestión del ROD derivado de factores externos o exógenos cuando el DORA, en su artículo 28, al enunciar los “principios fundamentales de una buena gestión del riesgo relacionado con las TIC derivado de terceros” señala: “Como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras distintas de las entidades contempladas en el artículo 16, apartado 1, párrafo primero, y distintas de microempresas adoptarán una estrategia, que revisarán periódicamente, sobre el riesgo relacionado con las TIC derivado de terceros, teniendo en cuenta la estrategia de múltiples proveedores a que se refiere el artículo 6, apartado 9, cuando proceda”.
C.4.3) Contratación
Dado que la necesidad frecuente de las entidades financieras de recurrir a proveedores terceros de servicios de TIC se documenta en forma de contratos, el DORA presta una particular atención a su contenido en tres fases:
c.4.3.1) Precontractual
Las entidades financieras deben realizar una suerte de “examen de conciencia” antes de recurrir a proveedores terceros de servicios de TIC para suscribir los correspondientes contratos, de tal manera que antes de celebrar un acuerdo contractual sobre el uso de servicios de TIC, las entidades financieras: “evaluarán si el acuerdo contractual se refiere al uso de servicios de TIC que sustenten una función esencial o importante; evaluarán si se cumplen las condiciones de supervisión para la contratación; determinarán y evaluarán todos los riesgos pertinentes en relación con el acuerdo contractual, incluida la posibilidad de que dicho acuerdo pueda contribuir a reforzar el riesgo de concentración de TIC a que se refiere el artículo 29; llevarán a cabo todas las comprobaciones debidas con respecto a los posibles proveedores terceros de servicios de TIC y se asegurarán, a través de los procesos de selección y evaluación, de la idoneidad de dichos proveedores; y determinarán y evaluarán los conflictos de intereses que el acuerdo contractual pueda causar” (art.28.4).
Este “examen de conciencia” precontractual abarca un control de calidad de los terceros proveedores porque “las entidades financieras únicamente podrán celebrar acuerdos contractuales con proveedores terceros de servicios de TIC que cumplan estándares adecuados en materia de seguridad de la información”. Examen de idoneidad reforzado cuando tales acuerdos contractuales se refieran a funciones esenciales o importantes porque, entonces, “las entidades financieras, antes de celebrarlos, prestarán la debida consideración a la aplicación, por parte de proveedores terceros de servicios de TIC, de los estándares en materia de seguridad de la información más actualizados y más estrictos en términos de calidad” (art.28.4).
c.4.3.2) Contractual
Los contratos que documenten las relaciones de las entidades financieras con los proveedores terceros de servicios de TIC deberán describir los derechos y obligaciones de la entidad financiera y del proveedor tercero de servicios de TIC de manera clara, formalizándose en un documento escrito que estará a disposición de las partes en papel, o en un documento en otro formato descargable, duradero y accesible. Las cláusulas contractuales fundamentales de estos documentos deben describir dos tipos de elementos con un alcance diferente:
a) Sobre los elementos que sustenten funciones normales, respecto de los cuales deben incluir una descripción clara y completa de todas las funciones y los servicios de TIC que deba prestar el proveedor tercero de servicios de TIC en la que se indique si está permitida la subcontratación de un servicio de TIC que sustente una función esencial o importante, o partes sustanciales de ellas, y, en caso afirmativo, las condiciones aplicables a dicha subcontratación; los lugares, en concreto, las regiones o países, en los que deberán proporcionarse las funciones y los servicios de TIC contratados o subcontratados y en los que deberán tratarse los datos, incluido el lugar de almacenamiento, y el requisito de que el proveedor tercero de servicios de TIC notifique por adelantado a la entidad financiera cualquier cambio previsto de dichos lugares; las disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad en relación con la protección de los datos, incluidos los datos personales; etc. (art.30.2).
b) Sobre los elementos que sustenten funciones esenciales o importantes las descripciones completas del nivel de servicio, incluidas sus actualizaciones y revisiones, con objetivos precisos de rendimiento cuantitativos y cualitativos dentro de los niveles de servicio acordados, de modo que la entidad financiera pueda realizar un seguimiento efectivo de los servicios de TIC y que se puedan adoptar sin demora indebida las medidas correctoras adecuadas cuando no se alcancen los niveles de servicio acordados; los plazos de notificación y obligaciones de información del proveedor tercero de servicios de TIC a la entidad financiera, incluida la notificación de cualquier hecho que pueda afectar considerablemente a la capacidad del proveedor tercero de servicios de TIC para prestar de forma efectiva los servicios de TIC que sustentan funciones esenciales o importantes de conformidad con los niveles de servicio acordados; los requisitos para que el proveedor tercero de servicios de TIC aplique y someta apruebe los planes de contingencia empresarial y disponga de medidas, herramientas y políticas de seguridad de las TIC que proporcionen un nivel adecuado de seguridad para la prestación de servicios por parte de la entidad financiera en consonancia con su marco regulador; etc. (art.30.3).
c.4.3.3) Post-contractual
Las entidades financieras deberán garantizar la posibilidad de terminar los acuerdos contractuales sobre el uso de servicios de TIC con dos dimensiones:
a) Si se trata de servicios de TIC que sustentan funciones normales u ordinarias, deben garantizar la resolución contractual en los supuestos siguientes: incumplimiento importante por parte del proveedor tercero de servicios de TIC de las disposiciones legales o reglamentarias o las cláusulas contractuales aplicables; circunstancias observadas durante el seguimiento del riesgo relacionado con las TIC derivado de terceros que se considere que pueden alterar el desempeño de las funciones prestadas en virtud del acuerdo contractual, incluidos cambios importantes que afecten al acuerdo o a la situación del proveedor tercero de servicios de TIC; debilidades manifiestas del proveedor tercero de servicios de TIC en cuanto a su gestión global del riesgo relacionado con las TIC y, en particular, a la forma en que garantiza la disponibilidad, la autenticidad, la integridad y la confidencialidad de los datos, ya sean personales o sensibles en cualquier otro sentido, o no personales; o cuando la autoridad competente haya dejado de poder supervisar efectivamente a la entidad financiera como resultado de las condiciones del acuerdo contractual de que se trate o las circunstancias relacionadas con él (art.28.7).
b) Si se trata de servicios de TIC que sustentan funciones esenciales o importantes, las entidades financieras deberán establecer estrategias de salida que tendrán en cuenta los riesgos que puedan surgir en relación con los proveedores terceros de servicios de TIC, en particular un posible fallo por su parte, un deterioro de la calidad de los servicios de TIC prestados, cualquier perturbación de la actividad debida a una falta de prestación de servicios de TIC o a una prestación inadecuada, o cualquier riesgo sustancial que pueda plantearse en relación con el ejercicio adecuado y continuo del servicio de TIC correspondiente, o la terminación de los acuerdos contractuales con proveedores terceros de servicios de TIC en cualquiera de las circunstancias enumeradas para los servicios normales. En estos supuestos, las entidades financieras se asegurarán de poder abandonar los acuerdos contractuales sin perturbación de sus operaciones comerciales; limitación del cumplimiento de los requisitos reglamentarios; ni perjuicio para la continuidad y la calidad de los servicios prestados a los clientes (art.28.8).
C.4.4) Supervisión
Tal y como señalamos al comienzo de la exposición del sistema de Gestión del riesgo relacionado con las TIC derivado de terceros regulado en el Capítulo V arts.28 a 44) del DORA, el orden racional de este sistema se cierra con su supervisión que puede ser de dos tipos:
C.4.4.1) Supervisión privada por las propias entidades financieras o autorsupervisión
Nos referimos, en primer, lugar, a la supervisión privada del riesgo relacionado con las TIC derivado de terceros por parte de las propias entidades financieras o autosupervisión porque las entidades financieras distintas de las microempresas adoptarán -como parte de su marco de gestión del riesgo relacionado con las TIC- una estrategia sobre el riesgo relacionado con las TIC derivado de terceros, que revisarán periódicamente. Estrategia que incluirá una política sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC.
El DORA establece tres requisitos de aplicación de esta estrategia: se aplicará a título particular; de forma subconsolidada y consolidada, cuando proceda; y se revisará periódicamente por el órgano de dirección de la entidad financiera, a partir de una evaluación del perfil de riesgo general de la entidad financiera y la escala y la complejidad de los servicios empresariales, incidiendo en particular sobre los riesgos detectados por lo que respecta a los acuerdos contractuales relativos al uso de servicios de TIC que sustenten funciones esenciales o importantes (art.28.2).
La supervisión privada por las propias entidades financieras de su estrategia sobre el riesgo relacionado con las TIC derivado de terceros abarca los deberes de llevar un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC y de comunicarán al menos una vez al año a las autoridades competentes información sobre el número de nuevos acuerdos relativos al uso de servicios de TIC, las categorías de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados en materia de TIC (art.28.3).
C.4.4.2) Supervisión pública por las autoridades competentes
La supervisión en sentido estricto por las autoridades competentes del riesgo asumido por las entidades financieras derivado de los servicios de TIC contratados con terceros proveedores se regula en la Sección II del Capítulo V del DORA (arts.31 a 44) dedicada a trazar el “marco de supervisión de los proveedores terceros esenciales de servicios de TIC”. Se trata de una estructura de supervisión pública extremadamente compleja porque la complejidad propia de la supervisión de las entidades financieras “se apalanca” y multiplica exponencialmente al introducir en la ecuación las complejidades añadidas de los factores tecnológicos y transfronterizos.
Para exponer de la manera más sencilla posible este complejo marco de supervisión pública de los proveedores terceros esenciales de servicios de TIC procede identificar a los dos extremos de esta relación de sujeción administrativa especial que son las autoridades públicas supervisoras y a los sujetos supervisados:
C.4.4.2.1) Autoridades públicas supervisoras
DORA identifica, como sujetos agentes de la relación de sujeción administrativa especial a las siguientes autoridades a las que les encomienda las funciones respectivas:
a) Las Autoridades Europeas de Supervisión, a través del Comité Mixto y por recomendación del Foro de Supervisión, deberán (art.31):
a.1) Designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, tras una evaluación que tenga en cuenta los criterios del impacto sistémico en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros en caso de un posible fallo operativo a gran escala del proveedor tercero de servicios de TIC de que se trate que afecte a la prestación de sus servicios, teniendo en cuenta el número de entidades financieras y el valor total de los activos de las entidades financieras a las que presta servicios el proveedor tercero de servicios de TIC de que se trate; el carácter o la importancia sistémicos de las entidades financieras que dependen del proveedor tercero de servicios de TIC de que se trate, evaluados con arreglo a los parámetros establecidos; etc.
a.2) Nombrar como supervisor principal para cada proveedor tercero esencial de servicios de TIC a la Autoridad Europea de Supervisión que sea responsable, de conformidad con los Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 o (UE) n.o 1095/2010, para las entidades financieras que tengan conjuntamente la parte más grande de activos totales del valor de activos totales de todas las entidades financieras que utilizan los servicios del proveedor tercero esencial de servicios de TIC pertinente, según conste en la suma de los balances particulares de dichas entidades financieras.
b) El Foro de Supervisión que deberá elaborar los proyectos de posiciones conjuntas y de actos comunes del Comité Mixto de las AES en este ámbito; debatirá periódicamente las novedades pertinentes en materia de riesgos y vulnerabilidades en materia de TIC y promoverá un enfoque coherente de seguimiento de los riesgos relacionados con las TIC derivados de terceros a escala de la UE; llevará a cabo anualmente una evaluación colectiva de los resultados y las conclusiones de las actividades de supervisión realizadas para todos los proveedores terceros esenciales de servicios de TIC y promoverá medidas de coordinación para incrementar la resiliencia operativa digital de las entidades financieras, fomentar buenas prácticas para hacer frente al riesgo de concentración de TIC y estudiar medidas de mitigación de la transferencia de riesgos entre sectores; presentará índices de referencia exhaustivos; etc. (art.32).
c) El supervisor principal designado para cada proveedor tercero esencial de servicios de TIC quien tendrá atribuidas las tareas y las facultades de requerimiento de información e inspección, sobre las entidades supervisadas radicadas dentro y fuere de la UE que se establecen en los arts.33 a 44 del DORA.
C.4.4.2.2) Sujetos supervisados
DORA identifica, como sujetos pacientes de la relación de sujeción administrativa especial a las siguientes entidades:
a) Las entidades financieras que establezcan acuerdos contractuales con proveedores terceros de servicios de TIC.
b) Los proveedores terceros de servicios de TIC; en particular, de los que resulten esenciales para las entidades financieras.
C.5) El régimen sancionador
Como todo sistema jurídico obligatorio, la relación de sujeción administrativa especial entre las autoridades competentes y las entidades supervisadas que establece el DORA se perfecciona mediante un sistema sancionador establecido en su Capítulo VII (arts.46 a 56) que se titula “autoridades competentes”. Esta responsabilidad administrativa se desarrolla en tres fases que son:
a) La supervisión
En este sentido, las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para cumplir sus obligaciones que incluirán, como mínimo, las facultades para tener acceso a cualquier documento o a los datos bajo cualquier forma que la autoridad competente considere pertinentes para el ejercicio de sus funciones y recibir o procurarse copia de los mismos; realizar investigaciones o inspecciones in situ, en las que se llevarán a cabo, entre otras, las siguientes actividades: exigir medidas correctoras y reparadoras en caso de incumplimiento (art.50.1 y 2).
b) La infracción
A estos efectos y sin perjuicio del derecho de los Estados miembros a imponer sanciones penales, los Estados miembros deberán establecer normas que prevean sanciones administrativas y medidas correctoras adecuadas en caso de infracción del DORA y garantizarán su aplicación efectiva (art.50.3).
c) La sanción
En este sentido, los Estados miembros deberán conferir a las autoridades competentes la facultad de aplicar al menos las siguientes sanciones administrativas o medidas correctoras en caso de infracción del DORA: emitir un requerimiento dirigido a la persona física o jurídica que esté infringiendo el DORA para que ponga fin a su conducta y se abstenga de repetirla; exigir el cese provisional o definitivo de toda práctica o conducta que la autoridad competente considere contraria a las disposiciones del DORA e impedir la repetición de dicha práctica o conducta; adoptar cualquier tipo de medida, también de carácter pecuniario, para garantizar que las entidades financieras sigan cumpliendo los requisitos legales; etc. (art.50.4).