ISMS Copilot
DORA con IA

Cómo gestionar el riesgo de TIC de terceros de DORA usando IA

Resumen

Aprenderá a implementar los requisitos de gestión de riesgos de TIC de terceros de DORA según los Artículos 28-30 utilizando IA. Esta guía cubre la creación y el mantenimiento del registro de proveedores de servicios de TIC de terceros, la realización de evaluaciones precontractuales, la incorporación de cláusulas contractuales obligatorias, la evaluación del riesgo de concentración, el desarrollo de estrategias de salida y el establecimiento de una supervisión continua, con prompts específicos de ISMS Copilot para generar cada componente.

A quién va dirigido

Esta guía es para:

  • Gestores de riesgos de terceros y profesionales de gestión de proveedores en entidades financieras

  • Equipos de adquisiciones y legales responsables de los contratos de proveedores de servicios de TIC

  • CISOs y CROs que supervisan el riesgo de la cadena de suministro de TIC

  • Oficiales de cumplimiento que aseguran que los acuerdos con terceros cumplan con los requisitos de DORA

  • Consultores que asesoran a entidades financieras sobre la gestión de riesgos de terceros de DORA

  • Proveedores de servicios de TIC de terceros que buscan comprender las obligaciones de sus clientes

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Su inventario de activos de TIC de Cómo crear un marco de gestión de riesgos de TIC de DORA usando IA (identifica qué activos dependen de terceros)

  • Una lista de sus proveedores actuales de servicios de TIC de terceros y los servicios que suministran

  • Acceso a los contratos de servicios de TIC existentes para su revisión

  • Comprensión de qué servicios de TIC respaldan sus funciones críticas o importantes

  • Acceso a sus equipos legal, de adquisiciones y de gestión de proveedores

Cronograma de renegociación de contratos: DORA exige cláusulas obligatorias específicas en todos los contratos de servicios de TIC. Renegociar los contratos existentes con los principales proveedores suele ser el aspecto de la implementación de DORA que más tiempo consume. Comience temprano. Algunas organizaciones informan que las enmiendas contractuales con grandes proveedores de nube y de sistemas centrales pueden tardar de 6 a 12 meses en negociarse y finalizarse.

Comprensión de los requisitos de DORA sobre el riesgo de TIC de terceros

Desglose artículo por artículo

El Capítulo V, Sección I de DORA (Artículos 28-30) establece el régimen de gestión de riesgos de TIC de terceros más exhaustivo en la regulación financiera de la UE:

Artículo

Título

Requisitos clave

Entregables clave

Art 28

Principios generales

Política de riesgo de TIC de terceros, registro de todos los proveedores, evaluación precontractual, supervisión continua, responsabilidad del órgano de dirección

Política de riesgo de TIC de terceros, registro de proveedores, procedimientos de evaluación

Art 29

Evaluación preliminar del riesgo de concentración de TIC

Evaluar el riesgo de concentración antes de celebrar nuevos acuerdos, considerar la sustituibilidad, la ubicación de los datos y los riesgos operativos de la concentración

Evaluación del riesgo de concentración, análisis de dependencias

Art 30

Principales disposiciones contractuales

Cláusulas contractuales obligatorias: SLAs, derechos de auditoría, ubicación de los datos, soporte ante incidentes, disposiciones de salida, controles de subcontratación

Biblioteca de cláusulas contractuales, lista de verificación de revisión de contratos, plantillas de enmiendas

El alcance del riesgo de TIC de terceros bajo DORA

DORA adopta una visión amplia del riesgo de TIC de terceros. Los requisitos se aplican a todos los servicios de TIC obtenidos de terceros, no solo a los acuerdos de externalización. Esto incluye:

  • Servicios en la nube: Proveedores de IaaS, PaaS, SaaS (AWS, Azure, Google Cloud, Salesforce, etc.)

  • Proveedores de sistemas centrales: Banca central, procesamiento de pagos, plataformas de negociación

  • Servicios gestionados: Seguridad gestionada (SOC), operaciones de TI gestionadas, servicios de red gestionados

  • Servicios de datos: Análisis de datos, proveedores de datos de mercado, servicios de calificación crediticia

  • Servicios de comunicación: SWIFT, redes de pago, plataformas de mensajería

  • Proveedores de software: Aplicaciones empresariales, herramientas de seguridad, tecnología regulatoria

  • Proveedores de infraestructura: Colocación de centros de datos, conectividad de red, servicios de CDN

Las disposiciones de DORA sobre terceros se aplican a todos los servicios de TIC, incluidos aquellos que tradicionalmente no se clasifican como externalización. Revise toda su cadena de suministro de TIC, no solo los servicios formalmente externalizados. Incluso las suscripciones a SaaS y los flujos de datos requieren evaluación y términos contractuales conformes.

Paso 1: Construya su registro de proveedores de servicios de TIC de terceros (Artículo 28)

Creación del registro

El Artículo 28(3) exige que las entidades financieras mantengan y actualicen un registro de información en relación con todos los acuerdos contractuales para servicios de TIC. Este registro debe ponerse a disposición de la autoridad competente previa solicitud y notificarse anualmente mediante plantillas estandarizadas.

  1. Abra su espacio de trabajo de DORA en ISMS Copilot

  2. Genere la plantilla del registro:

    "Crea una plantilla para el registro de proveedores de TIC de terceros que cumpla con el Artículo 28(3) de DORA y los Estándares Técnicos de Regulación asociados. Incluye campos para: identificación del proveedor (nombre legal, LEI, jurisdicción, matriz), identificación del contrato (referencia del contrato, fecha de inicio, fecha de renovación, período de preaviso de rescisión), descripción del servicio (servicios de TIC prestados, categoría de servicio, modelo de entrega), función respaldada (función crítica o importante: sí/no, nombre de la función de negocio), clasificación de datos (tipos de datos procesados, ubicación de los datos incluyendo país y región, mecanismos de transferencia de datos), subcontratación (subcontratistas utilizados, ubicación del subcontratista, detalles del servicio subcontratado), resumen de la evaluación de riesgos (calificación de riesgo, fecha de la última evaluación, hallazgos clave), estado de cumplimiento del contrato (cláusulas obligatorias de DORA presentes: sí/parcial/no), estado de la estrategia de salida (plan de salida desarrollado: sí/no, fecha de la última prueba) y fecha de la última revisión. Incluye notas de orientación para cada campo y proporciona entradas de muestra para tipos comunes de proveedores (nube, banca central, seguridad gestionada)."

  3. Complete el registro sistemáticamente:

    "Ayúdanos a identificar y categorizar todos los proveedores de TIC de terceros para nuestro registro. Somos una [tipo de entidad] que utiliza los siguientes servicios de TIC: [lista de servicios y proveedores conocidos]. Para cada proveedor, ayúdanos a clasificar: si respaldan funciones críticas o importantes, los datos que procesan y su ubicación, acuerdos de subcontratación que deberíamos investigar, calificación de riesgo basada en la criticidad del servicio y la dependencia del proveedor, y prioridad de revisión del contrato. También identifica categorías de proveedores que podríamos haber pasado por alto: proveedores de DNS, autoridades de certificación, procesadores de pagos, flujos de datos de mercado, herramientas de informes regulatorios, proveedores de respaldo y recuperación ante desastres (DR), proveedores de identidad y operadores de telecomunicaciones."

Consejo profesional: Compare su inventario de activos de TIC (del marco de gestión de riesgos de TIC) con sus registros de compras y gastos de TI para asegurarse de que no se omita ningún proveedor. El "Shadow IT" y las suscripciones SaaS a nivel de departamento suelen pasarse por alto. Incluya un proceso para que TI, compras y las unidades de negocio informen sobre nuevas relaciones con proveedores de TIC al propietario del registro.

Mantenimiento y reporte del registro

El registro no es un ejercicio de una sola vez. Establezca procedimientos de mantenimiento continuo:

"Crea un procedimiento para mantener y actualizar el registro de proveedores de TIC de terceros bajo DORA. Incluye: detonantes para actualizaciones del registro (nuevos contratos, cambios contractuales, cambios de proveedor, cambios en subcontratación, reevaluación de riesgos), responsabilidades de actualización y flujo de trabajo, controles de garantía de calidad, proceso de revisión integral anual, requisitos de reporte a la autoridad competente (presentación anual según el formato RTS), reporte al órgano de dirección (resumen del estado del registro, concentraciones de riesgo, brechas de cumplimiento) e integración con los procesos de adquisición (la actualización del registro como paso obligatorio en nuevas compras de TIC). Proporciona una lista de verificación para la revisión anual del registro."

Paso 2: Realice evaluaciones precontractuales (Artículo 28)

Marco de debida diligencia

Antes de celebrar o renovar cualquier acuerdo de servicio de TIC, DORA exige una evaluación exhaustiva del proveedor y del acuerdo. La profundidad de la evaluación debe ser proporcional a la criticidad de la función que se respalda.

  1. Genere el marco de evaluación:

    "Crea un marco de evaluación precontractual de proveedores de TIC de terceros para el Artículo 28 de DORA. Incluye áreas de evaluación: estabilidad y viabilidad financiera del proveedor, capacidades y certificaciones de seguridad de TIC (ISO 27001, SOC 2, CSA STAR), capacidades de gestión y notificación de incidentes, capacidades de continuidad del negocio y recuperación ante desastres, cumplimiento de protección de datos y privacidad (alineación con GDPR), prácticas y transparencia de subcontratación, historial de cumplimiento regulatorio, evaluación de riesgo geográfico (ubicación de los datos, jurisdicción, estabilidad política), capacidades de soporte para la salida y transición, y reputación y posición en el mercado del proveedor. Para cada área, proporciona: preguntas de evaluación, evidencia a solicitar, criterios de puntuación (adecuado, necesita mejora, inadecuado) y señales de alerta. Crea dos niveles de profundidad de evaluación: evaluación estándar (para servicios no críticos) y evaluación mejorada (para servicios que respaldan funciones críticas o importantes). Proporciona una plantilla de informe de evaluación."

  2. Cree un cuestionario de evaluación de seguridad del proveedor:

    "Crea un cuestionario detallado de evaluación de seguridad de TIC para evaluar a proveedores de TIC de terceros bajo DORA. Cubre: gobernanza y organización (liderazgo de seguridad, políticas, certificaciones), gestión de accesos (autenticación, autorización, acceso privilegiado), protección de datos (cifrado en reposo y en tránsito, gestión de claves, clasificación de datos), seguridad de red (segmentación, monitoreo, detección de intrusiones), gestión de incidentes (capacidades de detección, procedimientos de respuesta, plazos de notificación), continuidad del negocio (BCP/DRP, capacidades de RTO/RPO, frecuencia de pruebas), gestión de vulnerabilidades (escaneo, parcheo, plazos de remediación), gestión de cambios (pruebas, aprobación, reversión), seguridad del personal (verificación de antecedentes, capacitación, concienciación), seguridad física (seguridad del centro de datos, controles ambientales) y riesgo de subcontratación y de cuartas partes. Incluye tanto preguntas de sí/no como abiertas. Proporciona orientación para la puntuación."

Funciones críticas o importantes: DORA impone requisitos más estrictos cuando los servicios de TIC respaldan funciones críticas o importantes. La evaluación precontractual debe ser más minuciosa, las cláusulas contractuales más completas, el monitoreo continuo más intensivo y las estrategias de salida más detalladas. Su inventario de activos de TIC debe identificar qué funciones son críticas o importantes, y esta clasificación determina la profundidad de la gestión de riesgos de terceros para cada proveedor.

Evaluación de los riesgos del proveedor antes de la contratación

Utilice ISMS Copilot para evaluar proveedores específicos o tipos de proveedores:

"Estamos considerando a [nombre/tipo de proveedor] para [descripción del servicio] que respalda una [función crítica/importante/estándar]. Realiza una evaluación de riesgos precontractual alineada con DORA. Considera: la capacidad del proveedor para cumplir con los requisitos de las cláusulas contractuales de DORA (Artículo 30), las implicaciones de la ubicación y transferencia de datos, la transparencia en la subcontratación, la alineación de la capacidad de notificación de incidentes con nuestro plazo de reporte de DORA de 4 horas, la auditabilidad (derecho de auditoría, acceso a informes), la viabilidad de la salida (portabilidad de datos, soporte de transición, riesgos de dependencia del proveedor), implicaciones de riesgo de concentración (¿ya dependemos de este proveedor o de su matriz para otros servicios críticos?) y consideraciones regulatorias para nuestra autoridad competente. Proporciona una evaluación calificada por riesgo con una recomendación sobre si proceder."

Paso 3: Implemente cláusulas contractuales obligatorias (Artículo 30)

Comprensión de los requisitos del Artículo 30

El Artículo 30 especifica elementos obligatorios que deben incluirse en los contratos de servicios de TIC. Los requisitos son aún más detallados para los servicios que respaldan funciones críticas o importantes. Este suele ser el aspecto que requiere más mano de obra en la gestión de riesgos de terceros de DORA.

  1. Genere la biblioteca de cláusulas contractuales:

    "Crea una biblioteca completa de cláusulas contractuales del Artículo 30 de DORA para acuerdos de servicios de TIC. Para cada requisito obligatorio, proporciona: la referencia al artículo de DORA, una cláusula contractual modelo (lista para revisión legal), notas explicativas y orientación para la negociación. Cubre todos los requisitos del Artículo 30: descripción clara del servicio con objetivos de rendimiento cuantitativos y cualitativos, ubicaciones de procesamiento de datos (incluidas ubicaciones de almacenamiento, procesamiento y respaldo) con notificación previa de cambios, obligaciones de protección de datos y confidencialidad, garantías de disponibilidad, autenticidad, integridad y accesibilidad de los datos, acuerdos de nivel de servicio (SLA) con métricas medibles, obligaciones de notificación de incidentes (alineadas con los plazos de reporte de DORA, requiriendo notificación del proveedor en plazos que respalden nuestro límite de 4 horas), cooperación del proveedor con las autoridades competentes, derechos de auditoría (derecho a realizar auditorías e inspecciones, incluso in situ, o confianza en certificaciones de terceros), disposiciones de terminación y períodos de transición adecuados, participación en capacitaciones de concienciación sobre seguridad de las TIC. Para los servicios que respaldan funciones críticas o importantes, añade cláusulas mejoradas para: descripción completa del servicio con funciones y subfunciones claras, objetivos de rendimiento con penalizaciones asociadas, obligaciones y pruebas de continuidad del negocio y recuperación ante desastres, obligaciones de reporte (informes regulares sobre el rendimiento del servicio, seguridad y cambios materiales), obligaciones de asistencia para la salida (devolución de datos, soporte de transición, asistencia para la migración), requisitos de subcontratación (aprobación previa, aplicación de las cláusulas de DORA en cascada, derecho a oponerse) y derecho irrestricto de la entidad financiera a supervisar de forma continua."

  2. Cree una lista de verificación para la revisión de contratos:

    "Crea una lista de verificación para la revisión de cumplimiento de contratos con el Artículo 30 de DORA para acuerdos de servicios de TIC existentes. Para cada requisito del Artículo 30, proporciona: la descripción del requisito, evaluación de cumple/parcial/no cumple, referencia a la cláusula específica en el contrato existente (si está presente), descripción de la brecha (si es parcial o no cumple), lenguaje de enmienda recomendado y prioridad (crítica para servicios que respaldan funciones críticas/importantes, estándar para otros). La lista de verificación debe ser utilizable por los equipos legales y de adquisiciones que revisan los contratos existentes de manera sistemática. Incluye un mecanismo de puntuación resumido para identificar qué contratos requieren una renegociación inmediata."

Consejo profesional: Comience las revisiones de contratos con sus proveedores de TIC más críticos, aquellos que respaldan funciones críticas o importantes. Para los grandes proveedores (principales plataformas en la nube, proveedores de sistemas bancarios centrales), espere plazos de negociación prolongados. Considere acercarse a estos proveedores a través de consorcios industriales o asociaciones bancarias, ya que muchos grandes proveedores están desarrollando anexos contractuales estándar que cumplen con DORA para sus clientes de servicios financieros.

Estrategias de negociación

Utilice ISMS Copilot para prepararse para las negociaciones de contratos:

"Crea una estrategia de negociación de contratos de DORA para las discusiones con nuestro [tipo de proveedor, por ejemplo, principal proveedor de la nube / proveedor de sistema bancario central / proveedor de seguridad gestionada]. Aborda las objeciones comunes de los proveedores: 'No podemos otorgar derechos de auditoría individuales a cada cliente' (discutir la confianza en informes SOC 2/ISO 27001, auditorías conjuntas y certificación de terceros según el Art 30(3)), 'No podemos garantizar ubicaciones de datos específicas' (requisitos de DORA, expectativas regulatorias, enfoques alternativos), 'Nuestros SLA estándar no son negociables' (requisitos mínimos de DORA, enfoques de escalamiento), 'No aceptamos responsabilidad ilimitada' (enfoques proporcionados, negociación de límites), 'Nuestros plazos de notificación son de 24-48 horas' (necesidad de respaldar el plazo de 4 horas de DORA, enfoque de notificación por niveles). Para cada objeción, proporciona: el requisito legal de DORA, enfoques alternativos que satisfagan la regulación, posiciones de compromiso y estrategias de escalamiento."

Paso 4: Evalúe y gestione el riesgo de concentración (Artículo 29)

Comprensión del riesgo de concentración de TIC

El Artículo 29 exige que las entidades financieras evalúen el riesgo de concentración de TIC antes de celebrar acuerdos de servicios de TIC y de forma continua. El riesgo de concentración surge cuando la dependencia excesiva de un solo proveedor (o un grupo pequeño de ellos) crea una vulnerabilidad sistémica.

  1. Genere el marco de evaluación del riesgo de concentración:

    "Crea un marco de evaluación del riesgo de concentración de TIC para el Artículo 29 de DORA. Incluye: definición y alcance del riesgo de concentración de TIC, metodología de evaluación que cubra: dependencia de un solo proveedor (cuántas funciones críticas dependen de un solo proveedor), dependencia de un grupo de proveedores (análisis de empresa matriz, subsidiaria y proveedores afiliados), dependencia de la pila tecnológica (dependencia de una sola plataforma tecnológica), concentración geográfica (todos los servicios críticos en una región o centro de datos), evaluación de sustituibilidad (facilidad de reemplazar a cada proveedor crítico), concentración en la cadena de suministro (múltiples proveedores que dependen de la misma cuarta parte), concentración de mercado (proveedores alternativos limitados en una categoría de servicio). Para cada dimensión, proporciona: criterios de evaluación, métricas de medición, umbrales de calificación de riesgo (bajo, medio, alto, crítico) y estrategias de mitigación. Crea una plantilla de panel de control de riesgo de concentración para el reporte al órgano de dirección."

  2. Realice un análisis de riesgo de concentración:

    "Basado en nuestro registro de proveedores de TIC de terceros, realiza un análisis de riesgo de concentración. Nuestros proveedores incluyen: [lista de proveedores y servicios clave]. Analiza: qué proveedores respaldan múltiples funciones críticas (concentración de un solo proveedor), si algún proveedor comparte empresas matrices o infraestructura (concentración de grupo), concentración geográfica de nuestros servicios de TIC críticos, disponibilidad en el mercado de proveedores alternativos para cada servicio crítico, riesgo sistémico potencial si nuestro proveedor más crítico experimentara una interrupción mayor, y dependencias de cuartas partes (por ejemplo, múltiples proveedores que usan la misma plataforma de nube). Califica el riesgo de concentración para cada dependencia identificada y recomienda acciones de mitigación."

Riesgo de concentración sistémico: DORA reconoce que el riesgo de concentración no es solo una preocupación de la entidad individual, sino un problema de estabilidad financiera sistémica. Si múltiples entidades financieras dependen del mismo proveedor de TIC crítico, una falla del proveedor podría perturbar el sector financiero de manera amplia. Las Autoridades de Supervisión Europeas designan a los proveedores de servicios de TIC de terceros críticos (Artículos 31-44) e imponen una supervisión directa sobre ellos. Su evaluación del riesgo de concentración debe considerar tanto las dependencias a nivel de entidad como a nivel de sector.

Mitigación del riesgo de concentración

Cuando se identifiquen riesgos de concentración, desarrolle estrategias de mitigación:

"Para cada riesgo de concentración alto o crítico identificado en nuestra evaluación, desarrolla estrategias de mitigación. Considera: estrategias multiproveedor (distribución de servicios críticos entre múltiples proveedores), enfoques multi-nube o híbridos, mantenimiento de capacidades internas como respaldo, protecciones contractuales (SLA mejorados, obligaciones de continuidad del negocio, acuerdos de depósito de garantía/escrow), medidas de portabilidad tecnológica (evitar el bloqueo de proveedores propietarios, usar formatos y estándares portátiles), diversificación geográfica de servicios críticos, gestión de riesgos de cuartas partes (asegurar que los proveedores tengan su propia mitigación del riesgo de concentración) y hojas de ruta de diversificación gradual donde el cambio inmediato no sea factible. Para cada estrategia de mitigación, proporciona: pasos de implementación, estimación del cronograma, consideraciones de costo, riesgo residual después de la mitigación y puntos de decisión del órgano de dirección."

Paso 5: Desarrolle estrategias de salida (Artículo 28)

Requisitos de la estrategia de salida

DORA exige que las entidades financieras cuenten con estrategias de salida para los servicios de TIC que respalden funciones críticas o importantes. Las estrategias de salida deben garantizar que la terminación o la transición desde un proveedor no interrumpa los servicios, comprometa los datos ni reduzca el cumplimiento regulatorio.

  1. Genere plantillas de estrategias de salida:

    "Crea plantillas de estrategias de salida para el cumplimiento del Artículo 28 de DORA, cubriendo servicios de TIC que respaldan funciones críticas o importantes. Para cada proveedor/servicio crítico, la estrategia de salida debe incluir: eventos detonantes para la salida (falla del proveedor, incumplimiento de contrato, riesgo de concentración, cambio estratégico, requisito regulatorio), planificación de la transición (opciones de estado objetivo: proveedor alternativo, interno, híbrido), cronograma de transición e hitos (realistas para la complejidad del servicio), plan de migración de datos (extracción de datos, conversión de formato, validación, eliminación del proveedor), requisitos de transferencia de conocimiento (documentación, capacitación, entrega operativa), período de ejecución en paralelo (duración mínima, criterios de aceptación para la transición), requisitos de recursos (equipo interno, soporte externo, presupuesto), plan de comunicación (clientes, reguladores, otras partes interesadas), prueba y validación de acuerdos alternativos antes de la transición completa, disposiciones contractuales que respalden la salida (período de asistencia para la transición, obligaciones de devolución de datos) y evaluación de riesgos del propio proceso de salida (riesgos de transición, medidas de mitigación). Crea plantillas para escenarios comunes: salida de proveedor de nube, reemplazo de sistema central y transición de servicios gestionados."

  2. Establezca pruebas de la estrategia de salida:

    "Crea procedimientos para probar las estrategias de salida de proveedores de TIC de terceros críticos. Incluye: frecuencia de las pruebas (al menos una revisión anual, prueba de componentes clave), tipos de prueba (revisión de escritorio del plan de salida, prueba de extracción parcial de datos, prueba de concepto de proveedor alternativo, simulación de transición completa), escenarios de prueba (salida planificada con cooperación, salida de emergencia con cooperación limitada del proveedor, escenario de insolvencia del proveedor), criterios de éxito para cada tipo de prueba, documentación y reporte de resultados de las pruebas, reporte al órgano de dirección sobre la preparación de la estrategia de salida y remediación de las brechas identificadas. Proporciona un calendario de pruebas alineado con nuestro programa general de pruebas de resiliencia de DORA."

Las pruebas de la estrategia de salida deben coordinarse con su programa general de pruebas de resiliencia según los Artículos 24-27. Consulte Cómo planificar las pruebas de resiliencia de DORA usando IA para obtener orientación sobre cómo integrar las pruebas de salida de terceros en su calendario de pruebas más amplio.

Paso 6: Establezca una supervisión continua (Artículo 28)

Monitoreo continuo de proveedores

DORA exige un seguimiento continuo de los proveedores de TIC de terceros, no solo evaluaciones puntuales. La intensidad del seguimiento debe ser proporcional a la criticidad del servicio:

  1. Genere el marco de monitoreo:

    "Crea un marco de monitoreo continuo de proveedores de TIC de terceros para el Artículo 28 de DORA. Incluye actividades de monitoreo: seguimiento del rendimiento de los SLA (disponibilidad, tiempos de respuesta, resolución de incidentes, frente a objetivos contractuales), monitoreo de la postura de seguridad (certificaciones mantenidas, divulgación de vulnerabilidades, notificaciones públicas de brechas), monitoreo de estabilidad financiera (calificaciones crediticias, informes financieros, noticias del mercado, actividad de adquisiciones), notificaciones de incidentes de proveedores (puntualidad, integridad, alineación con los requisitos de DORA), cambios en la subcontratación (nuevos subcontratistas, cambios de ubicación de subcontratistas), desarrollos regulatorios que afecten al proveedor (acciones de ejecución, cambios de licencia, designación como proveedor crítico) y cambios materiales en la prestación del servicio (cambios tecnológicos, migraciones de centros de datos, cambios de personal). Para cada actividad de monitoreo, especifica: frecuencia (continua, mensual, trimestral, anual), fuentes de datos, rol responsable, criterios de escalamiento (cuándo los hallazgos del monitoreo activan una reevaluación o revisión del contrato) y requisitos de documentación. Crea una plantilla de panel de monitoreo."

  2. Defina los procedimientos de revisión del desempeño del proveedor:

    "Crea un procedimiento de revisión del desempeño de proveedores de TIC de terceros para el cumplimiento de DORA. Incluye: frecuencia de revisión (trimestral para proveedores críticos, semestral para importantes, anual para estándar), plantilla de agenda de revisión (rendimiento de SLA, postura de seguridad, incidentes y notificaciones, subcontratación, cambios materiales, estado de cumplimiento), asistentes (gestor de relación con el proveedor, seguridad, cumplimiento), procedimientos de escalamiento por bajo rendimiento (solicitudes de remediación, monitoreo mejorado, notificación al órgano de dirección, activadores de rescisión de contrato), requisitos de documentación (actas de revisión, acciones pendientes, compromisos del proveedor) e informes de resumen anual para el órgano de dirección y la autoridad competente. Proporciona una plantilla de informe de revisión del desempeño del proveedor."

Consejo profesional: Para los proveedores de TIC críticos, considere la implementación de herramientas de monitoreo automatizadas que rastreen el estado del proveedor, las certificaciones de seguridad y los informes públicos de incidentes. Esto reduce la carga manual y garantiza que detecte cambios materiales rápidamente. Los servicios que monitorean los informes SOC 2 de los proveedores, las calificaciones de seguridad y las fuentes de noticias pueden complementar sus procesos de revisión manual.

Supervisión de la subcontratación

DORA exige la supervisión de las cadenas de subcontratación. Su monitoreo debe extenderse más allá de sus proveedores directos:

"Crea un procedimiento de supervisión de la subcontratación para el cumplimiento de DORA. Incluye: requisitos contractuales para la transparencia de la subcontratación (notificación o aprobación previa, derecho de oposición), obligaciones del proveedor de informar sobre los subcontratistas y sus funciones, criterios de evaluación para subcontratistas materiales (mismos criterios que para el proveedor principal), monitoreo de cambios en la cadena de subcontratación, procedimientos cuando los proveedores añaden nuevos subcontratistas (evaluación, revisión de riesgos, aprobación u oposición), evaluación de riesgo de cuartas partes (subcontratistas de subcontratistas), aplicación en cascada de los requisitos contractuales relevantes de DORA a los subcontratistas y procedimientos de escalamiento cuando los acuerdos de subcontratación aumentan el riesgo de concentración. Proporciona una plantilla de registro de subcontratación y un flujo de trabajo de evaluación."

Paso 7: Gobernanza y reporte al órgano de dirección

Política de riesgo de TIC de terceros

El Artículo 28(2) exige una política sobre el uso de servicios de TIC que respalden funciones críticas o importantes. Esta política debe ser aprobada por el órgano de dirección:

"Crea una Política de Gestión de Riesgos de TIC de Terceros para el Artículo 28(2) de DORA. Incluye: propósito, alcance y aplicabilidad de la política, responsabilidades del órgano de dirección para la supervisión del riesgo de TIC de terceros, apetito de riesgo para los servicios de TIC de terceros (niveles de concentración aceptables, restricciones geográficas, estándares de proveedores), requisitos de evaluación precontractual (criterios de activación, profundidad de la evaluación por criticidad), estándares contractuales y cláusulas obligatorias, obligaciones de monitoreo y revisión continuos, requisitos de estrategia de salida y continuidad del negocio, roles y responsabilidades (gestor de riesgos de terceros, CISO, legal, compras, propietarios de negocios), procedimientos de escalamiento y excepción, frecuencia de revisión y actualización de la política (al menos anual) e integración con el marco general de gestión de riesgos de TIC. Hazla adecuada para la aprobación del órgano de dirección."

Reporte al órgano de dirección

Mantenga informado al órgano de dirección sobre el riesgo de TIC de terceros a través de informes estructurados:

"Crea un paquete de informes para el órgano de dirección sobre el riesgo de TIC de terceros bajo DORA. Incluye: resumen del registro de proveedores (total de proveedores, proveedores que respaldan funciones críticas, acuerdos nuevos/terminados), panel de control de riesgo de concentración (métricas clave de dependencia, cambios respecto al período anterior), estado de cumplimiento de los contratos (porcentaje de contratos con cumplimiento total del Artículo 30 de DORA, progreso de la remediación), resumen del desempeño de los proveedores (tasas de cumplimiento de SLA, incidentes materiales en proveedores, cambios en la postura de seguridad), evaluación de la preparación de la estrategia de salida, riesgos clave y problemas emergentes (inestabilidad financiera del proveedor, acciones regulatorias, cambios tecnológicos) y decisiones recomendadas para el órgano de dirección. Proporciona una plantilla de reporte trimestral y una plantilla de revisión integral anual."

Enfoque del examen regulatorio: El riesgo de TIC de terceros es un área de enfoque principal para las autoridades competentes que examinan el cumplimiento de DORA. Prepárese para demostrar: un registro de proveedores completo y actualizado, evidencia de evaluaciones precontractuales para todos los proveedores de servicios críticos, contratos con cláusulas conformes a DORA (o planes de remediación documentados), evaluaciones de riesgo de concentración y acciones de mitigación, estrategias de salida probadas para proveedores críticos y evidencia de monitoreo continuo. Los registros incompletos y los contratos no conformes se encuentran entre los hallazgos más comunes.

Paso 8: Aborde las consideraciones transfronterizas y de grupo

Gestión de riesgos de TIC de terceros a nivel de grupo

Si su entidad forma parte de un grupo de servicios financieros, la gestión de riesgos de terceros de DORA debe coordinarse a nivel de grupo:

"Aborda las consideraciones a nivel de grupo para la gestión de riesgos de TIC de terceros de DORA. Nuestra entidad forma parte de [estructura del grupo]. Ayúdanos a: consolidar el registro de proveedores entre las entidades del grupo (identificar proveedores compartidos, riesgos de concentración a nivel de grupo), coordinar las negociaciones de contratos para proveedores utilizados por múltiples entidades del grupo, alinear los estándares de evaluación precontractual en todo el grupo, compartir actividades y hallazgos de monitoreo, coordinar estrategias de salida donde múltiples entidades dependan del mismo proveedor y reportar el riesgo de TIC de terceros a nivel de grupo al órgano de dirección de la entidad matriz. Proporciona un marco de coordinación de grupo."

Requisitos de ubicación de datos transfronterizos

El Artículo 30 de DORA exige que los contratos especifiquen las ubicaciones de procesamiento de datos. Para los acuerdos transfronterizos, aborde las implicaciones regulatorias:

"Analiza la ubicación de los datos y las consideraciones transfronterizas para nuestros acuerdos con terceros de TIC bajo el Artículo 30 de DORA. Nuestros proveedores procesan datos en [lista de países/regiones]. Evalúa: el cumplimiento de los requisitos de divulgación de la ubicación de los datos, las decisiones de adecuación del GDPR y los mecanismos de transferencia para el procesamiento de datos fuera de la UE, las restricciones regulatorias sobre las ubicaciones de procesamiento de datos financieros en nuestra jurisdicción, los riesgos del procesamiento de datos en jurisdicciones con protecciones legales más débiles, las obligaciones del proveedor de notificar cambios en la ubicación de los datos y los controles contractuales para mantener el cumplimiento de la ubicación de los datos. Proporciona recomendaciones para cada proveedor/servicio donde la ubicación de los datos presente un riesgo."

Próximos pasos

Ahora cuenta con una capacidad integral de gestión de riesgos de TIC de terceros según DORA:

  • Registro completo de proveedores de TIC de terceros con datos estandarizados

  • Marco de evaluación precontractual con cuestionario de seguridad del proveedor

  • Biblioteca completa de cláusulas contractuales con lista de verificación de cumplimiento del Artículo 30

  • Marco de evaluación del riesgo de concentración y estrategias de mitigación

  • Plantillas de estrategia de salida y procedimientos de prueba

  • Marco de monitoreo continuo con procedimientos de revisión del desempeño

  • Política de riesgo de TIC de terceros e informes para el órgano de dirección

Esto completa la serie de guías de implementación de DORA en cinco partes. Revise la serie completa:

  • Cómo empezar con la implementación de DORA usando IA -- Base: alcance, gobernanza, análisis de brechas, hoja de ruta

  • Cómo crear un marco de gestión de riesgos de TIC de DORA usando IA -- Pilar 1: Marco de los Artículos 6-16, políticas, controles

  • Cómo implementar el reporte de incidentes de DORA usando IA -- Pilar 2: Clasificación de los Artículos 17-23, reportes, análisis de causa raíz

  • Cómo planificar las pruebas de resiliencia de DORA usando IA -- Pilar 3: Programa de pruebas de los Artículos 24-27, TLPT, remediación

  • Cómo gestionar el riesgo de TIC de terceros de DORA usando IA (esta guía) -- Pilar 4: Proveedores de los Artículos 28-30, contratos, riesgo de concentración

Para obtener prompts listos para usar que cubren cada artículo de DORA, consulte la Biblioteca de Prompts para el Cumplimiento de DORA. Para obtener el resumen regulatorio completo, consulte la Guía de cumplimiento de DORA para entidades financieras.

Obtener ayuda

Para obtener soporte adicional en la gestión del riesgo de TIC de terceros de DORA:

  • Pregunte a ISMS Copilot: Use su espacio de trabajo de DORA para generar evaluaciones específicas de proveedores, análisis de cláusulas contractuales e informes de riesgo de concentración

  • Cargue contratos: Obtenga un análisis de cumplimiento específico del Artículo 30 cargando los acuerdos de servicios de TIC existentes para una revisión cláusula por cláusula

  • Preparación de la negociación: Utilice ISMS Copilot para preparar documentos de posición y propuestas de cláusulas alternativas antes de las negociaciones con los proveedores

  • Valide los resultados: Revise todas las cláusulas contractuales con su equipo legal y verifique los criterios de evaluación frente a los Artículos 28-30 de DORA y los Estándares Técnicos de Regulación pertinentes

Comience a gestionar su riesgo de TIC de terceros hoy mismo. Abra su espacio de trabajo de DORA en chat.ismscopilot.com y comience con su registro de proveedores. Gracias al profundo conocimiento de ISMS Copilot sobre los requisitos contractuales de DORA y las prácticas de evaluación de riesgos de terceros, puede poner en conformidad sistemáticamente cada acuerdo de proveedor de TIC y construir una cadena de suministro de TIC resiliente y bien gobernada.

¿Te fue útil?