Agencia Estatal Boletín Oficial del Estado

(1)

La prestación de servicios de TIC a entidades financieras depende a menudo de una compleja cadena de subcontratistas de TIC, en la que los proveedores terceros de servicios de TIC pueden celebrar uno o varios acuerdos de subcontratación con otros proveedores terceros de servicios de TIC. La dependencia indirecta de subcontratistas de TIC puede afectar a la capacidad de una entidad financiera para determinar, evaluar y gestionar sus riesgos, incluidos los relacionados con lagunas en la información facilitada por proveedores terceros de servicios de TIC, y con la capacidad limitada de una entidad financiera para obtener información de los subcontratistas de TIC que prestan servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas. A este respecto, cuando la prestación de servicios de TIC a entidades financieras dependa de una cadena potencialmente larga o compleja de subcontratistas de TIC, es esencial que las entidades financieras identifiquen la cadena global de subcontratistas que prestan servicios de TIC que sustentan funciones esenciales o importantes.

(2)

Entre los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, las entidades financieras deben centrarse, en particular y de forma continua, en aquellos que respalden efectivamente el servicio de TIC que sustente funciones esenciales o importantes, especialmente todos los subcontratistas que presten servicios de TIC cuya perturbación afecte a la seguridad o la continuidad del servicio, tal como se establece en el registro de información a que se refiere el artículo 28, apartado 3, del Reglamento (UE) 2022/2554.

(3)

Las entidades financieras varían considerablemente en cuanto al tamaño, la estructura, la organización interna y la naturaleza y complejidad de sus actividades. Para garantizar la proporcionalidad, esta diversidad debe tenerse en cuenta al especificar qué elementos debe determinar y evaluar una entidad financiera cuando subcontrate servicios de TIC que sustenten funciones esenciales o importantes.

(4)

Cuando lo permitan las entidades financieras de conformidad con el artículo 30, apartado 2, del Reglamento (UE) 2022/2554, el uso de servicios de TIC subcontratados que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC no puede reducir la responsabilidad última de los órganos de dirección de las entidades financieras de gestionar sus riesgos y cumplir sus obligaciones legislativas y normativas. Cuando se permita la subcontratación de servicios de TIC que sustenten funciones esenciales o importantes, es fundamental que las entidades financieras tengan una visión clara y holística de los riesgos asociados a la subcontratación de tales servicios, de modo que puedan supervisar, gestionar y mitigar dichos riesgos. Por lo tanto, deberán evaluar esos riesgos antes de subcontratar tales servicios.

(5)

(6)

Los subcontratistas intragrupo de servicios de TIC que presten servicios de TIC que sustenten funciones esenciales o importantes o partes sustanciales de ellas, incluidos los subcontratistas intragrupo de servicios de TIC cuya propiedad total o colectiva esté en manos de entidades financieras pertenecientes al mismo sistema institucional de protección, deben considerarse subcontratistas de servicios de TIC.

En el contexto de un grupo, cuando proceda, la sociedad matriz de las entidades financieras debe velar por que la política sobre el recurso a subcontratistas de servicios de TIC que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, se aplique de manera consistente y coherente dentro del grupo.

(7)

Es importante garantizar una gestión exhaustiva de los riesgos que pueden surgir cuando se subcontratan servicios de TIC que sustentan funciones esenciales o importantes. Por este motivo, las entidades financieras deben seguir los pasos del ciclo de vida de un acuerdo contractual para el uso de servicios de TIC que sustenten esas funciones y que sean prestados por proveedores terceros de servicios de TIC, también para los acuerdos de subcontratación. Por consiguiente, es necesario establecer requisitos para las entidades financieras que deben reflejarse en sus acuerdos contractuales con proveedores terceros de servicios de TIC en los que se permita el uso de servicios de TIC subcontratados que sustentan funciones esenciales o importantes.

(8)

Para mitigar los riesgos vinculados a la subcontratación, es necesario especificar las condiciones en las que los proveedores terceros de servicios de TIC pueden recurrir a subcontratistas para prestar servicios de TIC que sustenten funciones esenciales o importantes. A tal fin, los acuerdos contractuales de TIC entre entidades financieras y proveedores terceros de servicios de TIC deben establecer dichas condiciones, especialmente la planificación de los acuerdos de subcontratación, las evaluaciones de riesgos, la diligencia debida y el proceso de aprobación de nuevos acuerdos de subcontratación relativos a servicios de TIC que sustenten funciones esenciales o importantes o partes sustanciales de ellas, o los cambios importantes en los acuerdos existentes introducidos por el proveedor tercero de servicios de TIC.

(9)

Para determinar los riesgos que podrían surgir antes de que una entidad financiera celebre un acuerdo con un subcontratista de servicios de TIC, los proveedores terceros de servicios de TIC deben evaluar, de manera adecuada y proporcionada, la idoneidad de los posibles subcontratistas sobre la base de los acuerdos contractuales de TIC que el proveedor tercero de servicios de TIC haya celebrado con la entidad financiera. Por consiguiente, dichos acuerdos contractuales deben exigir al proveedor tercero de servicios de TIC, o a la entidad financiera directamente, según proceda, que evalúe los recursos del posible subcontratista, en particular sus conocimientos especializados, y si dispone de los recursos financieros, humanos y técnicos adecuados, así como que evalúe su seguridad de la información y su estructura organizativa, incluida la gestión de riesgos y los controles internos con los que debe contar el subcontratista.

(10)

Para mitigar las vulnerabilidades y amenazas que puedan plantear riesgos para sus sistemas y operaciones de TIC, las entidades financieras deben poder llevar a cabo un seguimiento del desempeño del servicio de TIC y ser informadas de cualquier cambio pertinente dentro de su cadena de subcontratación de servicios de TIC cuando dichos cambios se refieran a funciones esenciales o importantes.

(11)

Para que las entidades financieras puedan evaluar los riesgos asociados a los acuerdos de subcontratación o a los cambios sustanciales introducidos en ellos, los proveedores terceros de servicios de TIC deben informar a las entidades financieras a las que prestan servicios de TIC de todos estos nuevos acuerdos o cambios mucho antes de que comiencen a aplicarse. Por la misma razón, las entidades financieras deben tener derecho a terminar el contrato con el proveedor tercero de servicios de TIC cuando el resultado de su evaluación de riesgos muestre que los nuevos acuerdos o los cambios sustanciales conllevan un riesgo que supera su nivel de tolerancia.

(12)

(13)

Las Autoridades Europeas de Supervisión han llevado a cabo una consulta pública abierta sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, han analizado los costes y beneficios potenciales conexos y han recabado el dictamen de los grupos de partes interesadas de las AES establecidos de conformidad con el artículo 37 del Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (2), el artículo 37 del Reglamento (UE) n.o 1094/2010 del Parlamento Europeo y del Consejo (3) y el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (4).

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5), emitió su dictamen el 20 de agosto de 2024.

a)

el tipo de servicios de TIC que sustenten funciones esenciales o importantes cubiertas por el acuerdo contractual entre la entidad financiera y el proveedor tercero de servicios de TIC;

b)

el tipo de servicios de TIC cubiertos por el acuerdo contractual entre el proveedor tercero de servicios de TIC y sus subcontratistas;

c)

la ubicación del subcontratista de TIC que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, o de su sociedad matriz;

d)

la longitud y complejidad de la cadena de subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, utilizados por el proveedor tercero de servicios de TIC;

e)

la naturaleza de los datos compartidos con los subcontratistas de TIC que presten servicios de TIC y sustenten funciones esenciales o importantes, o partes sustanciales de ellas;

f)

si la prestación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, corre a cargo de subcontratistas situados en un Estado miembro o en un tercer país, incluidas la ubicación desde la que se prestan realmente los servicios de TIC y la ubicación en la que se tratan y almacenan realmente los datos;

g)

si los subcontratistas de TIC que prestan servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, forman parte del mismo grupo que la entidad financiera a la que se prestan dichos servicios;

h)

si los subcontratistas de TIC que prestan servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, están autorizados, registrados o sujetos a supervisión por parte de una autoridad competente de un Estado miembro, o están sujetos al marco de supervisión previsto en el capítulo V, sección II, del Reglamento (UE) 2022/2554;

i)

si los proveedores terceros de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, están autorizados, registrados o sujetos a supervisión por parte de una autoridad de supervisión de un tercer país;

j)

si la prestación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, se concentra en un único subcontratista de un proveedor tercero de servicios de TIC o en un número reducido de tales subcontratistas;

k)

si la subcontratación de servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, afectaría a la transferibilidad de dichos servicios a otro proveedor tercero de servicios de TIC;

l)

los posibles efectos de las perturbaciones en la continuidad y disponibilidad de los servicios de TIC que sustentan funciones esenciales o importantes, o partes sustanciales de ellas, prestados por el proveedor tercero de servicios de TIC cuando recurra a un subcontratista que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas.

a)

que los procesos de diligencia debida sobre el proveedor tercero de servicios de TIC garanticen que es capaz de seleccionar y evaluar las capacidades operativas y financieras de los posibles subcontratistas de TIC para prestar los servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, en particular participando, cuando así lo requiera la entidad financiera, en las pruebas de resiliencia operativa digital a que se refiere el capítulo IV del Reglamento (UE) 2022/2554;

b)

que el proveedor tercero de servicios de TIC pueda identificar a todos los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, así como notificar dichos subcontratistas e informar de ellos a la entidad financiera, y proporcionar a la entidad financiera toda la información que pueda ser necesaria para evaluar las condiciones establecidas en el presente artículo;

c)

que el proveedor tercero de servicios de TIC garantice que los acuerdos contractuales con los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, permiten a la entidad financiera cumplir sus propias obligaciones derivadas del Reglamento (UE) 2022/2554 y de la legislación nacional y de la Unión aplicable;

d)

que el subcontratista conceda a la entidad financiera y a las autoridades competentes y de resolución los mismos derechos contractuales de acceso e inspección que los concedidos por el proveedor tercero de servicios de TIC;

e)

que, sin perjuicio de la responsabilidad final de la entidad financiera de cumplir sus obligaciones jurídicas y normativas, el propio proveedor tercero de servicios de TIC disponga de capacidad, conocimientos especializados y recursos financieros, humanos y técnicos suficientes para llevar a cabo un seguimiento de los riesgos de TIC de los subcontratistas, en particular aplicando normas adecuadas de seguridad de la información y estableciendo una estructura organizativa, una gestión de riesgos y controles internos apropiados, así como la notificación de incidentes y la respuesta a ellos;

f)

que la entidad financiera disponga de capacidades, conocimientos especializados y recursos financieros, humanos y técnicos suficientes para llevar a cabo un seguimiento de los riesgos de TIC relacionados con el servicio que sustente funciones esenciales o importantes, o partes sustanciales de ellas, que se haya subcontratado, en particular aplicando normas adecuadas de seguridad de la información y estableciendo una estructura organizativa y una gestión de riesgos apropiadas, la respuesta a incidentes, un sistema de gestión de la continuidad de las actividades y controles internos;

g)

que la entidad financiera haya evaluado el impacto en la resiliencia operativa digital y la solidez financiera de la entidad financiera de un posible fallo de un subcontratista que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas;

h)

que la entidad financiera haya evaluado los riesgos asociados a la ubicación de los posibles subcontratistas en relación con los servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, prestados por el proveedor tercero de servicios de TIC;

i)

que la entidad financiera haya evaluado los riesgos de concentración de TIC a nivel de entidad de conformidad con el artículo 29 del Reglamento (UE) 2022/2554;

j)

que la entidad financiera haya evaluado si existen obstáculos para el ejercicio de los derechos de auditoría, inspección y acceso por parte de las autoridades competentes, las autoridades de resolución o la entidad financiera, incluidas las personas designadas por ellas.

a)

que el proveedor tercero de servicios de TIC es responsable de los servicios prestados por los subcontratistas;

b)

que el proveedor tercero de servicios de TIC está obligado a supervisar todos los servicios de TIC subcontratados que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a fin de garantizar el cumplimiento continuado de sus obligaciones contractuales con la entidad financiera;

c)

las obligaciones de seguimiento y notificación del proveedor tercero de servicios de TIC con respecto a la entidad financiera en relación con los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas;

d)

que el proveedor tercero de servicios de TIC debe evaluar todos los riesgos asociados a la ubicación de los subcontratistas actuales o potenciales que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a su sociedad matriz y a la ubicación desde la que se presta el servicio de TIC de que se trate;

e)

la ubicación de los datos tratados o almacenados por el subcontratista, cuando proceda;

f)

que el proveedor tercero de servicios de TIC debe especificar en el contrato que formalice con sus subcontratistas las obligaciones de seguimiento y notificación de dicho subcontratista con respecto al proveedor tercero de servicios de TIC y, cuando así se acuerde, con la entidad financiera;

g)

que el proveedor tercero de servicios de TIC debe garantizar la continuidad de los servicios de TIC que sustenten funciones esenciales o importantes a lo largo de toda la cadena de subcontratistas en caso de incumplimiento de las obligaciones contractuales por parte de un subcontratista de TIC;

h)

que el acuerdo contractual entre el proveedor tercero de servicios de TIC y sus subcontratistas contiene los requisitos relativos a los planes de contingencia empresarial a que se refiere el artículo 30, apartado 3, letra c), del Reglamento (UE) 2022/2554 y especifica los niveles de servicio que deben cumplir los subcontratistas de TIC en relación con dichos planes;

i)

que en el acuerdo contractual formalizado entre el proveedor tercero de servicios de TIC y sus subcontratistas se especifican las normas de seguridad de las TIC y los requisitos de seguridad adicionales a que se refiere el artículo 30, apartado 3, letra c), del Reglamento (UE) 2022/2554;

j)

que el subcontratista debe conceder a la entidad financiera y a las autoridades competentes y de resolución pertinentes los mismos derechos de acceso, inspección y auditoría a que se refiere el artículo 30, apartado 3, letra e), del Reglamento (UE) 2022/2554;

k)

que el proveedor tercero de servicios de TIC debe notificar a la entidad financiera cualquier cambio significativo introducido en los acuerdos de subcontratación;

l)

que la entidad financiera tiene derecho a rescindir el contrato con el proveedor tercero de servicios de TIC cuando se cumplan las condiciones establecidas en el artículo 6 del presente Reglamento o las condiciones establecidas en el artículo 28, apartado 7, del Reglamento (UE) 2022/2554.