El Diario Oficial de la Unión Europea (DOUE) del 2 de julio publica el Reglamento Delegado (UE) 2025/532 de la Comisión, de 24 de marzo de 2025, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los elementos que debe determinar y evaluar una entidad financiera cuando subcontrata servicios de TIC que sustentan funciones esenciales o importantes.
La prestación de servicios de TIC a entidades financieras depende a menudo de una compleja cadena de subcontratistas de TIC, en la que los proveedores terceros de servicios de TIC pueden celebrar uno o varios acuerdos de subcontratación con otros proveedores terceros de servicios de TIC. La dependencia indirecta de subcontratistas de TIC puede afectar a la capacidad de una entidad financiera para determinar, evaluar y gestionar sus riesgos, incluidos los relacionados con lagunas en la información facilitada por proveedores terceros de servicios de TIC, y con la capacidad limitada de una entidad financiera para obtener información de los subcontratistas de TIC que prestan servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas. A este respecto, cuando la prestación de servicios de TIC a entidades financieras dependa de una cadena potencialmente larga o compleja de subcontratistas de TIC, es esencial que las entidades financieras identifiquen la cadena global de subcontratistas que prestan servicios de TIC que sustentan funciones esenciales o importantes.
Entre los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, las entidades financieras deben centrarse, en particular y de forma continua, en aquellos que respalden efectivamente el servicio de TIC que sustente funciones esenciales o importantes, especialmente todos los subcontratistas que presten servicios de TIC cuya perturbación afecte a la seguridad o la continuidad del servicio.
El uso de servicios de TIC subcontratados que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC no puede reducir la responsabilidad última de los órganos de dirección de las entidades financieras de gestionar sus riesgos y cumplir sus obligaciones legislativas y normativas. Cuando se permita la subcontratación de servicios de TIC que sustenten funciones esenciales o importantes, es fundamental que las entidades financieras tengan una visión clara y holística de los riesgos asociados a la subcontratación de tales servicios, de modo que puedan supervisar, gestionar y mitigar dichos riesgos. Por lo tanto, deberán evaluar esos riesgos antes de subcontratar tales servicios.
Es importante garantizar una gestión exhaustiva de los riesgos que pueden surgir cuando se subcontratan servicios de TIC que sustentan funciones esenciales o importantes. Por este motivo, las entidades financieras deben seguir los pasos del ciclo de vida de un acuerdo contractual para el uso de servicios de TIC que sustenten esas funciones y que sean prestados por proveedores terceros de servicios de TIC, también para los acuerdos de subcontratación. Por consiguiente, es necesario establecer requisitos para las entidades financieras que deben reflejarse en sus acuerdos contractuales con proveedores terceros de servicios de TIC en los que se permita el uso de servicios de TIC subcontratados que sustentan funciones esenciales o importantes.
Las entidades financieras tendrán en cuenta su tamaño y su perfil de riesgo global, así como la naturaleza, la escala y los elementos de mayor o menor complejidad de sus servicios, actividades y operaciones, en particular los relativos a:
a) | el tipo de servicios de TIC que sustenten funciones esenciales o importantes cubiertas por el acuerdo contractual entre la entidad financiera y el proveedor tercero de servicios de TIC; |
b) | el tipo de servicios de TIC cubiertos por el acuerdo contractual entre el proveedor tercero de servicios de TIC y sus subcontratistas; |
c) | la ubicación del subcontratista de TIC que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, o de su sociedad matriz; |
d) | la longitud y complejidad de la cadena de subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, utilizados por el proveedor tercero de servicios de TIC; |
e) | la naturaleza de los datos compartidos con los subcontratistas de TIC que presten servicios de TIC y sustenten funciones esenciales o importantes, o partes sustanciales de ellas; |
f) | si la prestación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, corre a cargo de subcontratistas situados en un Estado miembro o en un tercer país, incluidas la ubicación desde la que se prestan realmente los servicios de TIC y la ubicación en la que se tratan y almacenan realmente los datos; |
g) | si los subcontratistas de TIC que prestan servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, forman parte del mismo grupo que la entidad financiera a la que se prestan dichos servicios; |
h) | si los subcontratistas de TIC que prestan servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, están autorizados, registrados o sujetos a supervisión por parte de una autoridad competente de un Estado miembro, o están sujetos al marco de supervisión previsto en el capítulo V, sección II, del Reglamento (UE) 2022/2554; |
i) | si los proveedores terceros de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, están autorizados, registrados o sujetos a supervisión por parte de una autoridad de supervisión de un tercer país; |
j) | si la prestación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, se concentra en un único subcontratista de un proveedor tercero de servicios de TIC o en un número reducido de tales subcontratistas; |
k) | si la subcontratación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, afectaría a la transferibilidad de dichos servicios a otro proveedor tercero de servicios de TIC; |
l) | los posibles efectos de las perturbaciones en la continuidad y disponibilidad de los servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, prestados por el proveedor tercero de servicios de TIC cuando recurra a un subcontratista que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas. |
En el acuerdo contractual celebrado entre la entidad financiera y el proveedor tercero de servicios de TIC se determinará qué servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, pueden ser objeto de subcontratación y en qué condiciones. En dicho contrato se especificará:
a) | que el proveedor tercero de servicios de TIC es responsable de los servicios prestados por los subcontratistas; |
b) | que el proveedor tercero de servicios de TIC está obligado a supervisar todos los servicios de TIC subcontratados que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a fin de garantizar el cumplimiento continuado de sus obligaciones contractuales con la entidad financiera; |
c) | las obligaciones de seguimiento y notificación del proveedor tercero de servicios de TIC con respecto a la entidad financiera en relación con los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas; |
d) | que el proveedor tercero de servicios de TIC debe evaluar todos los riesgos asociados a la ubicación de los subcontratistas actuales o potenciales que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a su sociedad matriz y a la ubicación desde la que se presta el servicio de TIC de que se trate; |
e) | la ubicación de los datos tratados o almacenados por el subcontratista, cuando proceda; |
f) | que el proveedor tercero de servicios de TIC debe especificar en el contrato que formalice con sus subcontratistas las obligaciones de seguimiento y notificación de dicho subcontratista con respecto al proveedor tercero de servicios de TIC y, cuando así se acuerde, con la entidad financiera; |
g) | que el proveedor tercero de servicios de TIC debe garantizar la continuidad de los servicios de TIC que sustenten funciones esenciales o importantes a lo largo de toda la cadena de subcontratistas en caso de incumplimiento de las obligaciones contractuales por parte de un subcontratista de TIC; |
h) | que el acuerdo contractual entre el proveedor tercero de servicios de TIC y sus subcontratistas contiene los requisitos relativos a los planes de contingencia empresarial y especifica los niveles de servicio que deben cumplir los subcontratistas de TIC en relación con dichos planes; |
i) | que en el acuerdo contractual formalizado entre el proveedor tercero de servicios de TIC y sus subcontratistas se especifican las normas de seguridad de las TIC y los requisitos de seguridad adicionales |
j) | que el subcontratista debe conceder a la entidad financiera y a las autoridades competentes y de resolución pertinentes los mismos derechos de acceso, inspección y auditoría |
k) | que el proveedor tercero de servicios de TIC debe notificar a la entidad financiera cualquier cambio significativo introducido en los acuerdos de subcontratación; |
l) | que la entidad financiera tiene derecho a rescindir el contrato con el proveedor tercero de servicios de TIC |
El Reglamento entrará en vigor a los veinte días de su publicación en el DOUE, será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.