La Comisión Europea publica el borrador de reglamento delegado sobre subcontratación acorde con el reglamento DORA

02-04-2025 — AR/2025/048

Este nuevo reglamento delegado recogerá las normas técnicas de regulación con los elementos que una entidad financiera tendrá que determinar y evaluar cuando subcontrate servicios tecnológicos TIC que apoyen funciones críticas o importantes.

[Nota de rectificación del 8-4-2025: Al publicar esta alerta, por error en la transcripción, se indicaba que este reglamento fue «promulgado el 25-3-2025». El contenido correcto es el que aparece ahora. Pedimos disculpas.]
_____________________________________________________________________________

La Comisión Europea ha publicado, el 24-03-2025, un borrador del reglamento delegado1 que contiene las normas técnicas de regulación con los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes.

Este futuro reglamento completa el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA, y es una versión nueva tras el rechazo en origen de la Comisión Europea a la primera versión propuesta por las autoridades europeas de supervisión.

Resumimos lo relevante de este borrador.

Modificación de las normas técnicas iniciales

Las autoridades europeas emitieron, en julio de 2024, el borrador de normas técnicas de regulación sobre estas subcontrataciones, acordes con el reglamento DORA.

Sin embargo, el 21-1-2025, la Comisión Europea les remitió una carta en la que comunicaba su decisión de rechazar el proyecto de julio de 2024.

La Comisión consideraba que los requisitos del artículo 5 de esas normas, sobre las «Condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», iban más allá del encargo del artículo 30.5 del reglamento DORA.

Contenido del borrador de reglamento delegado

La Comisión pidió a las autoridades europeas que eliminaran el artículo 5 y el considerando 5 del borrador de normas técnicas, que estas aceptaron el 7-3-2025, y ya refleja el nuevo borrador.

Esta supresión reduce las obligaciones contractuales de los proveedores de servicios TIC y, en concreto, la obligación de monitorizar la cadena de subcontratación, aunque mantiene la garantía, para la entidad financiera y para las autoridades competentes, de contar con el mismo derecho de acceso e inspección que para los proveedores.

El nuevo texto mantiene obligaciones importantes como:

  • los requisitos que deben trasladarse a otros proveedores, y
  • el mantenimiento de registros de la información.

Las entidades financieras son las responsables de que se cumplan y los proveedores deberán facilitarles la información necesaria.

Próximos pasos

Tras estos cambios y otros de redacción aclaratorios, el reglamento delegado sigue su trámite normal.


1 Reglamento Delegado (UE) …/… de la Comisión por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los elementos que debe determinar y evaluar una entidad financiera cuando subcontrata servicios de TIC que sustentan funciones esenciales o importantes. C(2025)1682, 24/03/2025.
2 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.