La Comisión promulga el reglamento sobre la subcontratación de servicios de TIC que desarrolla el reglamento DORA
09-07-2025 — AR/2025/080
Este reglamento delegado describe los elementos que las entidades financieras tienen que considerar al subcontratar servicios tecnológicos que soporten funciones esenciales o importantes.
- Compartir
- Correo electrónico
La Comisión Europea ha promulgado, el 2-7-2025, el Reglamento Delegado (UE) 2025/532,1 que recoge las normas técnicas de regulación con los elementos que una entidad financiera tendrá que determinar y evaluar cuando subcontrate servicios tecnológicos que apoyen funciones críticas o importantes.
Este nuevo reglamento es uno de los que desarrolla el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA.
El texto definitivo de este reglamento delegado no varía del borrador sobre el que informamos en la alerta del 2-4-2025, adjunta al margen.
Resumimos lo esencial del nuevo reglamento delegado.
Aspectos principales
Resaltamos los siguientes aspectos:
- Describe los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes; es decir:
- perfil de riesgo general y complejidad de la entidad financiera y sus servicios, actividades y operaciones;
- cuando se trate de grupos económicos, aplicación coherente de los criterios por parte de la sociedad matriz responsable;
- diligencia debida y evaluación de los subcontratistas que sustenten funciones esenciales o importantes;
- condiciones en las que pueden subcontratarse estos servicios cuando sustenten funciones esenciales o importantes;
- procedimiento a seguir en los cambios significativos de los acuerdos de subcontratación;
- forma de finalizar los acuerdos con los proveedores TIC.
- Contempla las rectificaciones a las que instó la Comisión a las autoridades europeas de supervisión sobre las «condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», que describimos en la alerta citada.
- Estos cambios reducen las obligaciones contractuales de los proveedores de servicios de TIC, aunque mantiene obligaciones importantes como:
- los requisitos que deben trasladarse a otros proveedores, y
- el mantenimiento de registros de la información.
Entrada en vigor
El reglamento delegado entrará en vigor y es aplicable en todos los Estados miembros a los veinte días de su publicación en el Diario Oficial de la Unión Europea, es decir, desde el 22-7-2025.
Iniciativas relacionadas
Alertas Relacionadas
-
La Comisión Europea publica el borrador de reglamento delegado sobre subcontratación acorde con el reglamento DORA
02-04-2025—AR/2025/048 -
La CNMV publica una guía sobre el registro de los proveedores de servicios tecnológicos de acuerdo con el reglamento DORA
28-02-2025—AR/2025/033 -
La Comisión Europea promulga dos reglamentos delegados para notificar incidentes graves según el reglamento DORA
24-02-2025—AR/2025/028