Contacto
DORA y subcontratación tic: la comisión europea aprueba el Reglamento Delegado 2025/532

Share this post

DORA y subcontratación tic: la comisión europea aprueba el Reglamento Delegado 2025/532 En un paso decisivo para reforzar la resiliencia operativa digital del sistema financiero europeo, la Comisión Europea ha aprobado el Reglamento Delegado (UE) 2025/532, que establece las Normas Técnicas de Regulación (RTS) sobre la subcontratación de servicios TIC críticos bajo el marco del […]

DORA y subcontratación tic: la comisión europea aprueba el Reglamento Delegado 2025/532

En un paso decisivo para reforzar la resiliencia operativa digital del sistema financiero europeo, la Comisión Europea ha aprobado el Reglamento Delegado (UE) 2025/532, que establece las Normas Técnicas de Regulación (RTS) sobre la subcontratación de servicios TIC críticos bajo el marco del Reglamento DORA (Digital Operational Resilience Act).

Este nuevo reglamento afecta de lleno a las entidades financieras y a su relación con proveedores tecnológicos externos, especialmente cuando estos están involucrados en funciones esenciales para la operativa de las entidades.

 

¿Qué cambia con este nuevo RTS de subcontratación TIC?

Uno de los puntos más relevantes es la reformulación del artículo 5, que ahora pone el foco en las condiciones contractuales para controlar mejor el uso de subcontratistas por parte de los proveedores TIC.

Las novedades más destacadas:

  • Notificación anticipada obligatoria: Los proveedores deben informar con antelación suficiente sobre cualquier cambio sustancial en sus subcontratos.
  • Derecho de objeción: Las entidades financieras podrán valorar el impacto, objetar si se supera su tolerancia al riesgo, o incluso proponer ajustes contractuales.
  • Aprobación tácita o expresa: Estos cambios no serán efectivos si la entidad se opone expresamente, o en su defecto, transcurrido el plazo sin oposición.

 

El órgano de dirección sigue en el centro de la responsabilidad

El nuevo RTS refuerza el principio ya recogido por DORA: la responsabilidad última recae siempre en el órgano de administración de la entidad financiera, incluso en casos de externalización intragrupo.

Este principio de gobernanza es clave para asegurar que las decisiones sobre subcontratación no diluyen el control ni transfieren el riesgo fuera de la entidad regulada.

 

Proporcionalidad y análisis previo: no todo vale

El Reglamento 2025/532 también introduce una lógica de proporcionalidad según el tamaño, complejidad y perfil de riesgo de cada entidad, lo que flexibiliza su aplicación en organizaciones más pequeñas o menos complejas.

Antes de subcontratar servicios TIC relacionados con funciones críticas, las entidades deben realizar un análisis previo del proveedor y su cadena de subcontratistas, evaluando aspectos como:

  • Criticidad y naturaleza del servicio.
  • Ubicación geográfica y si está sujeta a supervisión.
  • Complejidad de la cadena y tratamiento de datos.
  • Capacidad técnica y organizativa del proveedor.
  • Su nivel de resiliencia operativa y continuidad de servicio.

 

¿Qué deben hacer las entidades a partir de ahora?

Este nuevo reglamento introduce exigencias claras que deben trasladarse a los contratos con proveedores TIC, y que requerirán:

  • Revisar o renegociar acuerdos contractuales existentes.
  • Incorporar cláusulas que permitan a la entidad oponerse a cambios en la subcontratación.
  • Establecer mecanismos de seguimiento y auditoría en la cadena de suministro.
  • Formar a los órganos de gobierno para asumir su papel activo y responsable.

 

Conclusión: subcontratar sí, pero con control, transparencia y resiliencia

DORA y su desarrollo mediante el RTS 2025/532 suponen un cambio profundo en cómo se entienden las relaciones con terceros dentro del ecosistema financiero digital. Ya no basta con delegar un servicio: hay que asegurarse de que esa delegación no compromete la operativa ni la ciberresiliencia de la entidad.

Desde aesYc, animamos a las entidades a anticiparse, formarse y construir una estrategia de subcontratación basada en:

Gobernanza sólida
Visibilidad contractual
Evaluación de riesgos TIC
Tolerancia al riesgo supervisada

Porque la ciberseguridad no solo depende de los sistemas… sino de las decisiones estratégicas que toman las organizaciones.

 

Enlaces de interés:

 

¿Te interesan nuestros cursos? Consúltanos para más información
Quiero informarme
Artículos relacionados
Seguridad como cultura: cómo pasar de la concienciación al comportamiento sostenible
  • Sin categoría

Seguridad como cultura: cómo pasar de la concienciación al comportamiento sostenible La seguridad de la

Leer más
Ciberresiliencia, IA y cuántica: el tridente de riesgo que redefinirá el futuro financiero
  • Sin categoría

Ciberresiliencia, IA y cuántica: el tridente de riesgo que redefinirá el futuro financiero La transformación

Leer más
NIS2 y el Talento Ciber: ¿Está tu organización preparada para cumplir… con las personas adecuadas?
  • Sin categoría

NIS2 y el Talento Ciber: ¿Está tu organización preparada para cumplir… con las personas adecuadas?

Leer más
Contáctanos para más información

Nuestros coordinadores académicos te guiarán y explicarán cualquier detalle de los cursos e iniciativas que tenemos en aesYc.

Ubicación
  • C/ Hermosilla nº38, 28001 Madrid
  • Metro: Velázquez, línea 4

Alianza Española de Seguridad y Crisis

Contacto
Síguenos en Linkedin

© 2025 AESYC | Todos los derechos reservados | Diseñado y desarrollado por Fénix Byte