jueves, 30 de mayo de 2024

CRITERIOS PARA LA DESIGNACIÓN DE PROVEEDORES TERCEROS DE SERVICIOS DE TIC PARA FINANCIERAS. REGLAMENTO DELEGADO DE LA COMISION EUROPEA.

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 

cferreyros@hotmail.com

RESUMEN

A fin de evaluar si un proveedor tercero de servicios de TIC es esencial para las entidades financieras, y teniendo en cuenta los criterios establecidos en el artículo 31, apartado 2, del Reglamento (UE) 2022/2554, las Autoridades Europeas de Supervisión (AES) deben utilizar subcriterios en una evaluación en dos fases. Tomando en consideración el importante número de servicios de TIC y la diversidad y el número de entidades financieras que los utilizan, debe adoptarse tal enfoque para filtrar a la población de proveedores terceros de servicios de TIC y detectar a los más esenciales.

La medida en que un servicio de TIC prestado por un proveedor tercero de servicios de TIC apoya funciones esenciales o importantes de una entidad financiera se considera un elemento crucial de la evaluación del carácter esencial en general. Por lo tanto, la importancia de las actividades de las entidades financieras apoyadas por los servicios de TIC debe integrarse en todos los subcriterios tenidos en cuenta como parte de la primera fase.

 

Según el Artículo 1° Método de evaluación:

1. Al examinar los criterios establecidos en el artículo 31, apartado 2, del Reglamento (UE) 2022/2554 para designar a un proveedor tercero de servicios de TIC como esencial para las entidades financieras, las AES aplicarán el método siguiente:

a) Como primer paso, las AES evaluarán si el proveedor tercero de servicios de TIC cumple todos los subcriterios de la «fase 1» establecidos en el artículo 2, apartado 1, el artículo 3, apartado 1, y el artículo 5, apartado 1;

b) En una segunda fase, en el caso de los proveedores terceros de servicios de TIC que cumplan todos los subcriterios de la «fase 1» a que se refiere la letra a), las AES llevarán a cabo su evaluación a la luz de los subcriterios de la «fase 2» a que se refieren el artículo 2, apartado 5, el artículo 3, apartado 4, el artículo 4, apartado 1, y el artículo 5, apartado 5.

2. Una vez finalizado el plazo para la presentación de la declaración motivada, a través del Comité Mixto y previa recomendación del Foro de Supervisión, designarán a un proveedor tercero de servicios de TIC como esencial para las entidades financieras si cumple todos los subcriterios de la «fase 1» y tras un resultado positivo de la evaluación realizada en relación con los subcriterios de la «fase 2».

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com

 ____________________________________________________________________

European flag

Diario Oficial
de la Unión Europea

ES

Serie L


2024/1502

30.5.2024

REGLAMENTO DELEGADO (UE) 2024/1502 DE LA COMISIÓN

de 22 de febrero de 2024

por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante la especificación de los criterios para la designación de proveedores terceros de servicios de TIC como esenciales para las entidades financieras

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (1) y, en particular, el artículo 31, apartado 6, del citado Reglamento,

Considerando lo siguiente:

(1)

A fin de evaluar si un proveedor tercero de servicios de TIC es esencial para las entidades financieras, y teniendo en cuenta los criterios establecidos en el artículo 31, apartado 2, del Reglamento (UE) 2022/2554, las Autoridades Europeas de Supervisión (AES) deben utilizar subcriterios en una evaluación en dos fases. Tomando en consideración el importante número de servicios de TIC y la diversidad y el número de entidades financieras que los utilizan, debe adoptarse tal enfoque en dos fases para filtrar a la población de proveedores terceros de servicios de TIC y detectar a los más esenciales. Los subcriterios cuantitativos que deben tenerse en cuenta como parte de la primera fase de la evaluación son necesarios para llevar a cabo una primera selección de la población de proveedores terceros de servicios de TIC para la que es pertinente llevar a cabo un análisis en profundidad adicional a la luz de los subcriterios cualitativos que deben tenerse en cuenta como parte de la segunda fase de la evaluación.

(2)

La medida en que un servicio de TIC prestado por un proveedor tercero de servicios de TIC apoya funciones esenciales o importantes de una entidad financiera se considera un elemento crucial de la evaluación del carácter esencial en general. Por lo tanto, la importancia de las actividades de las entidades financieras apoyadas por los servicios de TIC debe integrarse en todos los subcriterios tenidos en cuenta como parte de la primera fase. Por consiguiente, no se debe llevar a cabo una evaluación cuantitativa diferenciada en relación con el carácter esencial de las funciones de las entidades financieras como parte de la primera fase de la evaluación. En lugar de ello, es conveniente que las AES tengan en cuenta el carácter esencial y la importancia de las funciones de las entidades financieras apoyadas por los servicios de TIC como parte de la segunda fase cualitativa de la evaluación.

(3)

La evaluación debe llevarse a cabo por proveedor tercero de servicios de TIC individual o, cuando proceda, por grupo de proveedores terceros de servicios de TIC en el caso de que el proveedor tercero de servicios de TIC pertenezca a un grupo, de conformidad con el artículo 31, apartado 3, del Reglamento (UE) 2022/2554. A fin de posibilitar una evaluación exhaustiva del posible impacto sistémico en el sector financiero de la Unión, los subcontratistas de los proveedores terceros de servicios de TIC también deben estar sujetos a la evaluación de las AES y, en su caso, ser designados como proveedores terceros esenciales de servicios de TIC.

(4)

Para determinar el impacto sistémico del proveedor tercero de servicios de TIC en la estabilidad, continuidad o calidad de la prestación de servicios financieros, es de vital importancia desarrollar una visión clara sobre el alcance y la naturaleza del impacto sistémico que tendría un fallo operativo a gran escala de un proveedor tercero de servicios de TIC en las entidades financieras que dependen de los servicios prestados por un proveedor tercero de servicios de TIC, así como en el sistema financiero. Por consiguiente, procede tener en cuenta el número de entidades financieras de una categoría específica de entidades financieras que utilizan los mismos servicios de TIC, así como el valor de sus activos, a fin de evaluar si es pertinente considerar que el proveedor tercero de servicios de TIC que ofrece esos servicios es esencial. Además, debe llevarse a cabo una evaluación cualitativa de la importancia sistémica y la interconexión de los proveedores terceros de servicios de TIC, así como de la importancia de los servicios prestados por un proveedor tercero de servicios de TIC para la prestación de servicios financieros por parte de las entidades financieras, teniendo en cuenta la estabilidad y la continuidad de los servicios, para determinar el impacto sistémico del proveedor tercero de servicios de TIC en las actividades de las entidades financieras.

(5)

Para determinar el carácter sistémico y la importancia de las entidades financieras que dependen de los servicios de TIC, es necesario tener en cuenta la naturaleza de dichas entidades financieras. Cuando las entidades financieras clasificadas como EISM y OEIS o que se identifiquen como «sistémicas» dependan de los mismos servicios de TIC para apoyar sus funciones esenciales o importantes, conviene evaluar si el proveedor tercero de servicios de TIC que presta dichos servicios debe considerarse esencial para el sector financiero de la Unión. La interconexión entre entidades financieras dentro del sector financiero de la Unión que dependen de servicios de TIC prestados por el mismo proveedor tercero de servicios de TIC también debe evaluarse para determinar la dependencia de las entidades financieras de dicho proveedor tercero de servicios de TIC.

(6)

Los servicios de TIC que apoyan funciones esenciales o importantes de las entidades financieras deben evaluarse con respecto a su tipo y su naturaleza esencial, necesarios para que las entidades financieras lleven a cabo sus actividades sin perturbaciones.

(7)

Para determinar el grado de sustituibilidad del proveedor tercero de servicios de TIC, es necesario tener en cuenta el número de proveedores terceros de servicios de TIC activos en un mercado determinado, la existencia de soluciones alternativas para el mismo servicio de TIC, así como los costes de migración de los datos y las cargas de trabajo de TIC a otros proveedores terceros de servicios de TIC como parte de la evaluación que deben llevar a cabo las AES.

(8)

A fin de garantizar la solidez del proceso de evaluación, es importante que las AES, al evaluar si los proveedores terceros de servicios de TIC deben ser designados como esenciales, se basen en los datos de los registros de información a que se refiere el artículo 28, apartado 3, del Reglamento (UE) 2022/2554, y en cualquier otra información fácilmente disponible.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Método de evaluación

1.   Al examinar los criterios establecidos en el artículo 31, apartado 2, del Reglamento (UE) 2022/2554 para designar a un proveedor tercero de servicios de TIC como esencial para las entidades financieras, las AES aplicarán el método siguiente:

a)

como primer paso, las AES evaluarán si el proveedor tercero de servicios de TIC cumple todos los subcriterios de la «fase 1» establecidos en el artículo 2, apartado 1, el artículo 3, apartado 1, y el artículo 5, apartado 1;

b)

en una segunda fase, en el caso de los proveedores terceros de servicios de TIC que cumplan todos los subcriterios de la «fase 1» a que se refiere la letra a), las AES llevarán a cabo su evaluación a la luz de los subcriterios de la «fase 2» a que se refieren el artículo 2, apartado 5, el artículo 3, apartado 4, el artículo 4, apartado 1, y el artículo 5, apartado 5.

No obstante lo dispuesto en el párrafo primero, para la evaluación del criterio c) del artículo 31, apartado 2, del Reglamento (UE) 2022/2554, la primera fase estará cubierta por la evaluación que se llevará a cabo en relación con los criterios a), b) y d) del artículo 31, apartado 2, del Reglamento (UE) 2022/2554.

2.   Una vez finalizado el plazo para la presentación de la declaración motivada a que se refiere el artículo 31, apartado 5, párrafo primero, del Reglamento (UE) 2022/2554, las AES, a través del Comité Mixto y previa recomendación del Foro de Supervisión, designarán a un proveedor tercero de servicios de TIC como esencial para las entidades financieras si cumple todos los subcriterios de la «fase 1» a que se refiere el apartado 1, letra a), y tras un resultado positivo de la evaluación realizada en relación con los subcriterios de la «fase 2» a que se refiere el apartado 1, letra b).

Artículo 2

Impacto sistémico de los proveedores terceros de servicios de TIC en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros

1.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra a), del Reglamento (UE) 2022/2554, las AES evaluarán si el proveedor tercero de servicios de TIC cumple los siguientes subcriterios de la «fase 1»:

a)

Subcriterio 1.1: porcentaje del número de entidades financieras, desglosadas por categorías de entidades financieras enumeradas en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554, a las que presta servicios de TIC el mismo proveedor tercero de servicios de TIC cuando tales servicios apoyen funciones esenciales o importantes.

b)

Subcriterio 1.2: porcentaje del valor total de los activos de las entidades financieras, desglosado por las categorías de entidades financieras enumeradas en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554, a las que preste servicios de TIC el mismo proveedor tercero de servicios de TIC cuando tales servicios apoyen funciones esenciales o importantes de entidades financieras.

2.   El subcriterio 1.1 establecido en el apartado 1, letra a), se calculará como sigue:

número de entidades financieras de una categoría de entidades financieras

del artículo 2,apartado 1,del Reglamento (UE)2022/2554

a las que presta servicios de TIC el mismo proveedor tercero de servicios de TIC,

cuando tales servicios apoyen funciones esenciales o importantes de las entidades financieras

número total de entidades financieras de la categoría de entidades financieras pertinente

del artículo 2,apartado 1,del Reglamento (UE) 2022/2554

3.   El subcriterio 1.2 establecido en el apartado 1, letra b), se calculará como sigue:

valor total de los activos de las entidades financieras de una categoría de entidades financieras

del artículo 2,apartado 1,del Reglamento (UE) 2022/2554

a las que presta servicios de TIC el mismo proveedor tercero de servicios de TIC,

cuando tales servicios apoyen funciones esenciales o importantes de las entidades financieras

valor total de los activos de todas las entidades financieras de la UE

de la categoría de entidades financieras pertinente del artículo 2,apartado 1,del Reglamento (UE) 2022/2554

4.   Se considerará que un proveedor tercero de servicios de TIC cumple los subcriterios de la «fase 1» a que se refiere el apartado 1 cuando ambos porcentajes, calculados de conformidad con los apartados 2 y 3, representen, como mínimo, el 10 % del número total de al menos una categoría de entidades financieras de las establecidas en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554.

5.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra a), del Reglamento (UE) 2022/2554, y cuando el proveedor tercero de servicios de TIC cumpla los subcriterios de la «fase 1» a que se refiere el apartado 1 del presente artículo, las AES llevarán a cabo su evaluación a la luz de los siguientes subcriterios de la «fase 2»:

a)

Subcriterio 1.3: intensidad del impacto de la interrupción de los servicios de TIC prestados por el proveedor tercero de servicios de TIC en las actividades y operaciones de las entidades financieras identificadas en los subcriterios de la «fase 1» a que se refiere el apartado 1 del presente artículo y el número de dichas entidades financieras afectadas.

b)

Subcriterio 1.4: dependencia del proveedor tercero esencial de servicios de TIC de los mismos subcontratistas que prestan servicios de TIC que apoyan funciones esenciales o importantes de las entidades financieras.

Artículo 3

Carácter sistémico e importancia de los servicios de TIC prestados a las entidades financieras

1.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra b), del Reglamento (UE) 2022/2554, las AES evaluarán si el proveedor tercero de servicios de TIC cumple los siguientes subcriterios de la «fase 1»:

a)

Subcriterio 2.1: número de entidades de importancia sistémica mundial (EISM) y otras entidades de importancia sistémica (OEIS) que son entidades de crédito a las que presta servicios de TIC el mismo proveedor tercero de servicios de TIC cuando los servicios de TIC apoyen funciones esenciales o importantes.

b)

Subcriterio 2.2: número de entidades financieras distintas de las entidades de crédito y las EISM y OEIS a que se refiere la letra a), consideradas sistémicas por las autoridades competentes a que se refiere el artículo 46 del Reglamento (UE) 2022/2554, a las que presta servicios de TIC el mismo proveedor tercero de servicios de TIC cuando los servicios de TIC apoyen funciones esenciales o importantes.

2.   Se considerará que un proveedor tercero de servicios de TIC cumple el subcriterio establecido en el apartado 1, letra a), si los servicios de TIC que presta son utilizados al menos por alguna de las entidades siguientes:

a)

una EISM;

b)

al menos tres OEIS;

c)

al menos una OEIS con una puntuación de OEIS superior a 3 000, calculada de conformidad con el artículo 131, apartado 3, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (2).

3.   Se considerará que un proveedor tercero de servicios de TIC cumple el subcriterio establecido en el apartado 1, letra b), si los servicios de TIC que presta son utilizados al menos por alguna de las entidades siguientes:

a)

una entidad financiera de las mencionadas en el artículo 2, apartado 1, letras g), h), i) o j), del Reglamento (UE) 2022/2554 y que las autoridades competentes identifiquen como «sistémica»;

b)

al menos tres entidades financieras, distintas de las entidades de crédito y de las entidades financieras a que se refiere el artículo 2, apartado 1, letras g), h), i) o j), del Reglamento (UE) 2022/2554 y que las autoridades competentes identifiquen como «sistémicas».

4.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra b), del Reglamento (UE) 2022/2554, y cuando el proveedor tercero de servicios de TIC cumpla los subcriterios de la «fase 1» a que se refiere el apartado 1 del presente artículo, las AES llevarán a cabo su evaluación a la luz del siguiente subcriterio de la «fase 2»:

Subcriterio 2.3: las EISM u OEIS y otras entidades financieras incluidas en la evaluación de los subcriterios de la «fase 1» a que se refiere el apartado 1 del presente artículo, incluso cuando dichas EISM u OEIS presten servicios de infraestructura financiera a otras entidades financieras que dependan de un servicio de TIC prestado por el mismo proveedor tercero de servicios de TIC, son interdependientes.

Artículo 4

Carácter esencial o importancia de las funciones

Al examinar el criterio establecido en el artículo 31, apartado 2, letra c), del Reglamento (UE) 2022/2554, las AES llevarán a cabo su evaluación a la luz del siguiente subcriterio de la «fase 2»:

Subcriterio 3.1: el servicio de TIC prestado en última instancia por el mismo proveedor tercero de servicios de TIC que apoya funciones esenciales o importantes de entidades financieras es de carácter esencial para las actividades de las entidades financieras.

Artículo 5

Grado de sustituibilidad

1.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra d), del Reglamento (UE) 2022/2554, las AES evaluarán si el proveedor tercero de servicios de TIC cumple los siguientes subcriterios de la «fase 1»:

a)

Subcriterio 4.1: proporción del número total de entidades financieras, desglosado por categorías de entidades financieras, tal como se establece en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554, para las que no se disponga de ningún proveedor tercero de servicios de TIC alternativo que tenga la capacidad necesaria para prestar los mismos servicios de TIC que apoyen funciones esenciales o importantes de las entidades financieras que el prestado por el proveedor tercero de servicios de TIC de que se trate.

b)

Subcriterio 4.2: proporción del número total de entidades financieras, desglosado por categorías de entidades financieras, tal como se establece en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554, para las que resulte muy complicado migrar un servicio de TIC prestado por el proveedor tercero de servicios de TIC pertinente que apoye funciones esenciales o importantes de las entidades financieras a otro proveedor tercero de servicios de TIC.

2.   El subcriterio 4.1 establecido en el apartado 1, letra a), se calculará como sigue:

número de entidades financieras de una categoría de entidades financieras

del artículo 2,apartado 1,del Reglamento (UE) 2022/2554

para las que no se dispone de ningún proveedor tercero de servicios de TIC alternativo

que tenga la capacidad necesaria para prestar los mismos servicios de TIC

que apoyen funciones esenciales o importantes de las entidades financieras

que el prestado por el proveedor tercero de servicios de TIC de que se trate

número total de entidades financieras de la categoría de entidades financieras pertinente

del artículo 2,apartado 1,del Reglamento (UE)2022/2554

3.   El subcriterio establecido en el apartado 1, letra b), se calculará como sigue:

número de entidades financieras de una categoría de entidades financieras

del artículo 2,apartado 1,del Reglamento (UE)2022/2554

para las que resulta muy complicado migrar a otro proveedor tercero de servicios de TIC,

o reincorporar internamente,un servicio de TIC que apoye funciones esenciales o importantes

de las entidades financieras prestado por el proveedor tercero de servicios de TIC de que se trate

número total de entidades financieras de la UE de la categoría de entidades financieras pertinente

del artículo 2,apartado 1,del Reglamento (UE) 2022/2554

4.   Se considerará que un proveedor tercero de servicios de TIC satisface los dos subcriterios 4.1 y 4.2 cuando se cumpla alguna de las condiciones siguientes:

a)

que la proporción del número total de entidades financieras a que se refiere el apartado 1, letra a), sea de al menos un 10 % del número total de entidades financieras para una categoría de entidades financieras, tal como se establece en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554;

b)

que la proporción del número total de entidades financieras a que se refiere el apartado 1, letra b), sea de al menos un 10 % del número total de entidades financieras o de una categoría de entidades financieras, tal como se establece en el artículo 2, apartado 1, del Reglamento (UE) 2022/2554.

5.   Al examinar el criterio establecido en el artículo 31, apartado 2, letra d), del Reglamento (UE) 2022/2554, y cuando el proveedor tercero de servicios de TIC cumpla los subcriterios de la «fase 1» a que se refiere el apartado 1 del presente artículo, las AES llevarán a cabo su evaluación a la luz del subcriterio de la segunda fase especificado en el artículo 31, apartado 2, letra d), inciso i), del Reglamento (UE) 2022/2554.

Artículo 6

Fuentes de información para posibilitar la evaluación del carácter esencial

1.   Las AES utilizarán los datos facilitados por los registros de información a que se refiere el artículo 28, apartado 3, del Reglamento (UE) 2022/2554 para evaluar los subcriterios enumerados en los artículos 2 a 5. Las AES podrán utilizar también los datos adicionales de que dispongan procedentes de todas las fuentes de información para llevar a cabo la evaluación del carácter esencial.

2.   Las AES tendrán en cuenta los datos más recientes de que dispongan durante el año al que se refiera la evaluación o, en su caso, los que se hayan puesto a su disposición a más tardar el 31 de diciembre del año anterior a la evaluación del carácter esencial.

Artículo 7

Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

No obstante, el supervisor principal aplicará el subcriterio 1.4 a que se refiere el artículo 2, apartado 5, letra b), a partir del 16 de enero de 2025.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 22 de febrero de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN


(1)   DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2)  Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).


ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj

ISSN 1977-0685 (electronic edition)

No hay comentarios:

Publicar un comentario