La Comisión Europea rechaza el borrador de normas técnicas para subcontratar servicios de TIC que desarrollan el reglamento DORA

Las autoridades europeas de supervisión¹ (AES o ESA, en siglas inglesas) remitieron a la Comisión Europea, el 26-7-2024, el borrador de normas técnicas de regulación sobre subcontratación de servicios de TIC (tecnologías de la información y la comunicación), como desarrollo del Reglamento (UE) 2022/2554,² (más conocido como reglamento DORA).

La Comisión ha rechazado ese borrador de normas técnicas.

Resumimos lo esencial de ese rechazo.

Borrador de normas técnicas

El borrador de normas técnicas de regulación que remitieron las AES:

• define criterios y condiciones para las entidades financieras al subcontratar servicios de TIC relacionados con funciones críticas o importantes;
• exige que estas entidades evalúen, antes de los acuerdos, los riesgos asociados con la subcontratación y sigan el proceso de diligencia debida, y además
• incluye requisitos para implementar y gestionar estos acuerdos contractuales, que considera también las condiciones para asegurar que las entidades financieras supervisen a las entidades subcontratadas que respaldan los servicios de TIC para funciones críticas o importantes.

Rechazo por la Comisión Europea

La Comisión considera que los requisitos incluidos en el artículo 5 del borrador de normas técnicas, sobre:

• las condiciones de subcontratación referidas a la cadena de subcontratistas que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera, y
• las disposiciones sobre la supervisión de la cadena de subcontratación,

exceden de la facultad delegada a las AES por el artículo 30.5 del reglamento DORA.

Por este motivo, considera que el artículo 5 y el considerando 5 del borrador deben eliminarse.

Siguientes pasos

La Comisión ha pedido a las AES que eliminen el artículo 5 y ajusten el borrador en un plazo de seis semanas y se lo reenvíen.