La Comisión Europea aclara el concepto de «servicios de TIC» del reglamento DORA
24-01-2025 — AR/2025/008
Esta aclaración, publicada como respuesta a una consulta a la Autoridad Europea de Seguros y Pensiones de Jubilación, indica cómo ha de evaluarse la distinción y cómo se aplica esta a los servicios que una entidad financiera presta a otra.
- Compartir
- Correo electrónico
La Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ o EIOPA, en siglas inglesas) ha respondido, el 23-1-2025, a una pregunta sobre la definición de «servicios de TIC» (tecnologías de la información y las comunicaciones) en el Reglamento 2022/2554,1 conocido como reglamento DORA.
La respuesta la ha preparado la Comisión Europea.
Resumimos lo esencial de la respuesta, por su interés.
Definición de «servicios de TIC»
El artículo 3.21 del reglamento DORA recoge que los servicios de TIC se limitan a los prestados a través de sistemas de TIC y excluyendo la provisión de personal en los sistemas de las entidades financieras.
Sin embargo, el proyecto de normas técnicas de ejecución sobre registro de información incluye, en su anexo III, servicios como la gestión de proyectos o la consultoría de TIC, que suelen implicar provisión de personal.
La Comisión indica en esta respuesta que corresponde a las entidades financieras evaluar si los servicios que utilizan se ajustan a esta definición, teniendo en cuenta las precisiones del considerando 63, que amplía el alcance de DORA a diversos proveedores de servicios de TIC, incluidas las entidades financieras que ofrecen esos servicios a otras entidades.
Prestación de servicios de TIC por una entidad financiera a otra
Si una entidad financiera presta servicios de TIC a otra para sus servicios financieros, la entidad receptora debe determinar si:
- el reglamento DORA considera esos servicios como TIC, y
- la entidad proveedora y sus servicios están regulados por normativa de la Unión Europea, por la legislación de un Estado miembro o por la de otro país.
Si ambas condiciones se cumplen, el servicio en cuestión debe tratarse como un servicio financiero, no como un servicio de TIC.
Por el contrario, si una entidad financiera regulada presta servicios que son independientes de sus servicios financieros, estos deben clasificarse como servicios de TIC.
Esto también se aplica a servicios auxiliares, dependiendo de si están vinculados, son preparatorios o esenciales para un servicio financiero regulado, o si son independientes.
La distinción entre servicios financieros y de TIC no afecta a los requisitos generales del reglamento DORA aplicables a las entidades financieras, «distintos de los requisitos de la gestión de riesgos de terceros relacionados con las TIC».
Iniciativas relacionadas
Alertas Relacionadas
-
La Comisión Europea promulga el reglamento de ejecución para registrar los proveedores tecnológicos según el reglamento DORA
05-12-2024—AR/2024/100 -
Comunicación de incidentes tecnológicos graves a la CNMV por el reglamento DORA
17-12-2024—AR/2024/104 -
Las autoridades europeas de supervisión fijan la fecha límite para entregar la información de los acuerdos contractuales que exige el reglamento DORA
20-11-2024—AR/2024/096