La Comisión promulga el reglamento sobre la subcontratación de servicios de TIC que desarrolla el reglamento DORA

09-07-2025 — AR/2025/080

Este reglamento delegado describe los elementos que las entidades financieras tienen que considerar al subcontratar servicios tecnológicos que soporten funciones esenciales o importantes.

La Comisión Europea ha promulgado, el 2-7-2025, el Reglamento Delegado (UE) 2025/532,1 que recoge las normas técnicas de regulación con los elementos que una entidad financiera tendrá que determinar y evaluar cuando subcontrate servicios tecnológicos que apoyen funciones críticas o importantes.

Este nuevo reglamento es uno de los que desarrolla el Reglamento (UE) 2022/2554,2 conocido como reglamento DORA.

El texto definitivo de este reglamento delegado no varía del borrador sobre el que informamos en la alerta del 2-4-2025, adjunta al margen.

Resumimos lo esencial del nuevo reglamento delegado.

Aspectos principales

Resaltamos los siguientes aspectos:

  1. Describe los elementos que una entidad financiera tiene que determinar y evaluar cuando subcontrate servicios de tecnologías de la información y las comunicaciones (TIC) que apoyen funciones críticas o importantes; es decir:
    • perfil de riesgo general y complejidad de la entidad financiera y sus servicios, actividades y operaciones;
    • cuando se trate de grupos económicos, aplicación coherente de los criterios por parte de la sociedad matriz responsable;
    • diligencia debida y evaluación de los subcontratistas que sustenten funciones esenciales o importantes;
    • condiciones en las que pueden subcontratarse estos servicios cuando sustenten funciones esenciales o importantes;
    • procedimiento a seguir en los cambios significativos de los acuerdos de subcontratación;
    • forma de finalizar los acuerdos con los proveedores TIC.
  2. Contempla las rectificaciones a las que instó la Comisión a las autoridades europeas de supervisión sobre las «condiciones de subcontratación relativas a la cadena de subcontratistas de TIC que prestan un servicio de apoyo a una función crítica o importante de la entidad financiera», que describimos en la alerta citada.
  3. Estos cambios reducen las obligaciones contractuales de los proveedores de servicios de TIC, aunque mantiene obligaciones importantes como:
    • los requisitos que deben trasladarse a otros proveedores, y
    • el mantenimiento de registros de la información.

Entrada en vigor

El reglamento delegado entrará en vigor y es aplicable en todos los Estados miembros a los veinte días de su publicación en el Diario Oficial de la Unión Europea, es decir, desde el 22-7-2025.


1 Reglamento Delegado (UE) 2025/532 de la Comisión, de 24 de marzo de 2025, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los elementos que debe determinar y evaluar una entidad financiera cuando subcontrata servicios de TIC que sustentan funciones esenciales o importantes.
2 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.