Obligaciones de Proveedores de TIC de DORA
La Ley de Resiliencia Operativa Digital de la UE (DORA), que entra en vigor en enero de 2025, requiere que las instituciones financieras — bancos, compañías de seguros, firmas de inversión, proveedores de servicios de pago — implementen programas rigurosos de gestión de riesgos de terceros en TIC. Requisitos clave:
Cláusulas contractuales obligatorias (Artículo 30): DORA especifica cláusulas obligatorias para los contratos con proveedores de servicios de terceros en TIC, incluyendo disposiciones para acceso completo, derechos de inspección y auditoría; plazos de notificación de incidentes; estrategias de salida; y estándares de rendimiento.
Evaluaciones anuales (Artículo 28): Las instituciones financieras deben realizar la debida diligencia sobre todos los proveedores de servicios de terceros en TIC materiales al menos anualmente. "Material" se define de manera amplia: cualquier proveedor de TIC cuya interrupción afectaría significativamente las operaciones, incluyendo herramientas de anonimización utilizadas en flujos de trabajo de cumplimiento.
Registro de terceros en TIC (Artículo 28(3)): Las instituciones financieras deben mantener y actualizar un registro de todos los acuerdos materiales de terceros en TIC, incluyendo documentación de seguridad.
Gestionar reevaluaciones anuales de docenas de proveedores de TIC es operativamente costoso. La estimación típica para una evaluación personalizada no estructurada: 40–80 horas por proveedor por año. Para un banco holandés con 50 proveedores de TIC materiales, las evaluaciones anuales representan 2,000–4,000 horas del tiempo del equipo de cumplimiento — el equivalente a uno o dos miembros del personal a tiempo completo dedicados exclusivamente a la evaluación de proveedores.
El Atajo de Evaluación Anual de ISO 27001
El valor de la certificación ISO 27001 para el cumplimiento de DORA es su estructura de vigilancia anual. El organismo de certificación realiza auditorías de vigilancia anualmente y auditorías de recertificación cada tres años. La certificación se mantiene vigente mientras las auditorías de vigilancia confirmen el cumplimiento continuo. El certificado en sí tiene una fecha de caducidad.
Para el requisito de evaluación anual de DORA, una institución financiera puede satisfacer el estándar de "debida diligencia realizada" obteniendo anualmente el certificado ISO 27001 actual del proveedor y verificando su vigencia. El certificado demuestra que un organismo de auditoría independiente evaluó los 93 controles de seguridad del proveedor en el último año. Esta evidencia se documenta en el registro de terceros en TIC.
Un banco holandés sujeto a DORA puede evaluar a un proveedor de anonimización certificado por ISO 27001 verificando la vigencia del certificado — tomando horas en lugar de semanas. El banco ahorra 60 horas de tiempo de evaluación por proveedor por año. A través de 20 proveedores certificados por ISO 27001 en su registro, el ahorro anual representa 1,200 horas — suficiente para reasignar recursos significativos de cumplimiento.
La Relevancia de DORA para Herramientas de Privacidad
Las herramientas de privacidad y anonimización son proveedores de TIC bajo el alcance de DORA para las instituciones financieras que las utilizan para procesar datos de clientes, cumplir con GDPR, preparar presentaciones regulatorias o manejar documentación KYC. Una herramienta de anonimización que procesa datos de clientes es un proveedor de TIC material si su interrupción impediría que la institución cumpla con los requisitos de minimización de datos de GDPR o produzca presentaciones regulatorias compatibles con GDPR.
Fuentes: