Las autoridades europeas de supervisión ensayan el registro de información contractual que exige el reglamento DORA

17-04-2024 — AR/2024/030

Estas autoridades invitan a las entidades financieras a participar en un ejercicio de prueba, que se desarrollará durante el segundo semestre de 2024, de cómo habría que informar de los datos de los contratos con proveedores de servicios informáticos.

 

El reglamento de resiliencia operativa digital,1 conocido por sus siglas inglesas DORA, requiere que, desde el 25-1-2025, las entidades financieras mantengan registros de información sobre el uso de proveedores externos de servicios de tecnologías de la información y comunicaciones (TIC).

Las autoridades europeas de supervisión, en adelante, AES, que son la Autoridad Bancaria Europea, la Autoridad Europea de Valores y Mercados, y la Autoridad Europea de Seguros y Pensiones de Jubilación, lanzarán un ensayo voluntario sobre ese registro de información contractual, para ayudar a las entidades a cumplir con esa obligación.

El ejercicio de prueba consiste en recopilar los registros de información contractual de las entidades financieras, a través de sus autoridades competentes, para que sirva como preparación para la presentación de registros citada.

Fundamento normativo

Todas las entidades financieras, a las que les afecta este reglamento, tienen que:

  • contar con un registro exhaustivo consolidado de sus acuerdos contractuales con proveedores de servicios de TIC, y
  • estar preparadas para comunicar esos registros a sus respectivas autoridades competentes, quienes, a su vez, los facilitarán a las AES.

Estos registros pretenden:

  • que las entidades financieras controlen su riesgo con terceros en el ámbito de las TIC;
  • que las autoridades competentes de la UE supervisen la gestión de ese riesgo, y
  • que las AES designen a los proveedores de servicios críticos de TIC, que estarán sujetos a supervisión en la UE.

Para ayudar a las entidades financieras a preparar sus registros de información para enero de 2025, las AES y las autoridades competentes van a desarrollar este ensayo general a mediados del año 2024 con las entidades que lo deseen.

Ejecución

Las entidades financieras que participen en el simulacro recibirán apoyo de las AES para:

  • crear su registro de información en un formato lo más cercano posible al de los informes que se emitirán a partir de 2025,
  • probar el proceso de presentación de informes,
  • abordar los problemas que surjan sobre calidad de los datos, y
  • mejorar los procesos internos y la calidad de sus registros de información.

Las AES entregarán a las entidades financieras participantes un borrador del modelo de datos (draft data point model – DPM), con especificaciones para crear el archivo con formato .csv, instrucciones, una plantilla en Excel basada en el DPM, y una herramienta para convertir las plantillas de Excel en archivos .csv.

La prueba consistiría en que:

  • las entidades financieras participantes preparen los ficheros de acuerdo con las especificaciones de las AES,
  • los presenten a sus autoridades competentes a través de los canales especificados por estas últimas,
  • que a su vez remitirán los ficheros a las AES, reproduciendo así el flujo y el canal de información previsto por el reglamento.

Las AES han indicado que procurarán que este ensayo se aproxime lo más posible a la futura presentación de información, para que las entidades participantes obtengan el mayor provecho del ejercicio.

Las autoridades competentes de cada país pasarán los resultados a las entidades participantes, que incluirán:

  1. la evaluación de la calidad de sus datos, y
  2. el registro depurado de la información presentada.

Las AES también publicarán un informe con observaciones generales sobre la calidad de los datos y organizarán un seminario para compartir sus conclusiones y observaciones generales con el sector.

Calendario

El ejercicio se desarrollará en el segundo semestre de 2024 y apuntan los siguientes hitos:

  • 30-4-2024: taller introductorio para entidades financieras;
  • 31-5-2024: lanzamiento; materiales, especificaciones y herramientas a disposición de los participantes;
  • Junio-julio: talleres de las AES con las entidades financieras participantes y las autoridades competentes; apoyo a través de un ejercicio de respuestas a preguntas frecuentes;
  • Del 1-7 al 30-8-2024: registros de la información recopilada (en general, no se prevén reenvíos) de las entidades financieras participantes a través de sus autoridades competentes (que pueden establecer plazos específicos);
  • 31-10-2024: fin de la depuración de datos y de los controles de calidad; las entidades financieras reciben comentarios y archivos depurados a través de sus autoridades competentes;
  • Noviembre: taller de «lecciones aprendidas» de las AES sobre la calidad de los datos abierto a todo el sector;
  • Principios de diciembre: publicación de informes agregados sobre la calidad de los datos.

Forma de participar

Las entidades financieras que quieran participar pueden contactar con sus autoridades competentes antes del 31-5-2024.

Estas autoridades también pueden invitar a participar a las entidades y remitirán la lista de participantes a las AES.

El 30-4-2024 realizarán un encuentro de trabajo (ver enlace en documentos asociados) en el que explicarán en detalle este ensayo. Hay que inscribirse antes del 25-4-2024.

 

1 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información