Norma vigente
[2]LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011[3], y en particular su artículo 28, apartado 9, párrafo segundo,
Considerando lo siguiente:
(1) Es necesario establecer plantillas normalizadas a efectos del registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de tecnologías de la información y la comunicación (TIC) a que se refiere el artículo 28, apartado 3, del Reglamento (UE) 2022/2554. La información recopilada a partir de dicho registro es fundamental para la gestión interna del riesgo relacionado con las TIC de las entidades financieras, la supervisión eficaz de las entidades financieras por parte de sus autoridades competentes, y el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de TIC por parte del supervisor principal. Además, dicha información es fundamental para el proceso anual de designación de proveedores terceros esenciales de servicios de TIC por parte de la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados (denominadas colectivamente «Autoridades Europeas de Supervisión» o «AES»).
(2) A fin de garantizar que los resultados de la supervisión sean coherentes con los marcos de supervisión vigentes, la sociedad matriz de las entidades financieras que formen parte de un grupo, tal como se define en el Reglamento (UE) 2022/2554, debe determinar las entidades que habrán de incluirse en el registro de información a nivel subconsolidado y consolidado de conformidad con la legislación de la Unión en materia de servicios financieros. Con miras a reducir los costes administrativos para los grupos, estos deben tener la posibilidad de crear un registro único de información a nivel de entidad, subconsolidado y consolidado en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC a todas las entidades financieras que formen parte del mismo grupo. En tales casos, el registro único de información ha de permitir que cada una de las entidades financieras cumpla su obligación de mantener y actualizar el registro de información a nivel de entidad y subconsolidado, cuando proceda, incluida la notificación a la autoridad competente.
(3) En virtud del artículo 28, apartado 1, letra b), del Reglamento (UE) 2022/2554, a efectos de la gestión del riesgo relacionado con las TIC que se derive de terceros, las entidades financieras deben evaluar la naturaleza, la escala, la complejidad y la importancia de las dependencias con respecto a las TIC, así como los riesgos derivados de los acuerdos contractuales sobre el uso de servicios de TIC celebrados con proveedores terceros de servicios de TIC. La evaluación del riesgo ha de tener en cuenta el carácter esencial o la importancia del servicio, el proceso o la función de la entidad financiera y la repercusión potencial en la continuidad y la disponibilidad de las actividades y los servicios financieros, a escala particular y de grupo.
(4) Determinados actos legislativos sectoriales de la Unión en materia de servicios financieros contienen requisitos relativos a la externalización que han sido desarrollados con más detalle en directrices publicadas por las AES. Con arreglo a esas directrices, se espera que algunas entidades financieras, en el marco de su gestión de los riesgos vinculados a la externalización, registren información específica sobre sus acuerdos de externalización, en algunos casos también en forma de registros. En los últimos años, varias autoridades nacionales competentes y el BCE han ido recopilando información incluida en dichos registros en el marco de su supervisión del cumplimiento de los requisitos relativos a la externalización por parte de las entidades financieras. La experiencia adquirida con los distintos ejercicios de recopilación de datos de los registros de externalización llevados a cabo en los últimos años por las AES y las autoridades competentes pone de manifiesto que las plantillas normalizadas deben tener un diseño tecnológicamente neutro con cuadros abiertos que contengan un número predefinido de columnas y un número indefinido de filas. Además, las plantillas normalizadas deben estar vinculadas entre sí mediante distintas claves específicas que permitan crear una estructura relacional entre ellas.
(5) Para recibir servicios de TIC de un proveedor tercero de servicios de TIC, incluidos los proveedores intragrupo de servicios de TIC, las entidades financieras celebran un contrato por escrito con el proveedor tercero de servicios de TIC. En el caso de los grupos, es posible que los proveedores intragrupo de servicios de TIC celebren contratos con proveedores terceros de TIC externos al grupo para la prestación de servicios de TIC a una o más entidades financieras del grupo. A fin de abarcar la totalidad de la cadena de suministro de servicios de TIC, las entidades financieras que mantengan el registro de información deben comunicar tanto la información relativa al acuerdo contractual con su proveedor intragrupo de servicios de TIC como la información relativa al acuerdo celebrado entre el proveedor intragrupo de servicios de TIC y los proveedores terceros de TIC que sean externos al grupo en calidad de subcontratistas. Por tanto, el registro de información debe incluir una plantilla específica que permita conciliar los contratos intragrupo con los contratos con proveedores terceros de servicios de TIC que sean externos al grupo.
(6) La prestación de servicios de TIC a entidades financieras podría articularse en cadenas de subcontratación potencialmente largas o complejas que deben ser objeto de seguimiento por parte de las entidades financieras. Las entidades financieras han de evaluar los riesgos asociados, incluidos los riesgos de concentración relacionados con las TIC que se derivan de terceros con respecto a los proveedores terceros de servicios de TIC que sustenten una función esencial o importante o partes sustanciales de ella, adoptando un enfoque basado en el riesgo y teniendo en cuenta el principio de proporcionalidad. Con miras a posibilitar dicha evaluación, debe exigirse que las entidades financieras incluyan en el registro de información únicamente a los subcontratistas que de manera efectiva presten servicios de TIC que sustenten una función esencial o importante o partes sustanciales de ella, incluidos todos los subcontratistas que presten servicios de TIC cuya perturbación afectaría a la seguridad o la continuidad de la prestación del servicio. A la hora de identificar a tales subcontratistas, las entidades financieras deben tomar en consideración los aspectos relacionados con la continuidad de la actividad y de los servicios de TIC y con la seguridad de las TIC.
(7) Las entidades financieras deben mantener y actualizar un registro de información, también cuando una entidad financiera externalice la totalidad de sus actividades a otra entidad, ya que el mantenimiento del registro de información contribuye a la resiliencia operativa de dicha entidad financiera. Por consiguiente, cuando una entidad actúe en nombre de una entidad financiera respecto de la totalidad de las actividades de esta última (incluidos los servicios de TIC), los proveedores terceros directos que presten servicios de TIC a tal entidad deben quedar registrados en las plantillas pertinentes del registro de información de la entidad financiera. En ese caso, la entidad solo figurará como entidad responsable del mantenimiento del registro.
(8) Con miras a garantizar la transparencia y comparabilidad de los acuerdos contractuales y su seguimiento permanente, el registro de información debe centrarse en los vínculos operativos entre las entidades financieras y los proveedores terceros de servicios de TIC. A tal fin, es preciso que el registro de información utilice cuatro claves que, entre otras funciones, vinculen entre sí los datos pertinentes de las distintas plantillas del registro de información: i) el número de referencia del acuerdo contractual entre la entidad financiera que firma el acuerdo y el proveedor tercero directo de servicios de TIC, ii) un identificador adecuado de entidades financieras y proveedores terceros de servicios de TIC, iii) el identificador de función y iv) el tipo de servicios de TIC.
(9) A fin de documentar debidamente los acuerdos contractuales entre las entidades financieras y los proveedores terceros de servicios de TIC, conforme a lo exigido por el Reglamento (UE) 2022/2554, se entiende que los proveedores terceros de servicios de TIC deben facilitar un número de identificación mediante el cual puedan ser identificados de manera uniforme y precisa por parte de las entidades financieras, las AES, el Foro de Supervisión y las autoridades competentes, en el ejercicio de sus facultades de supervisión, incluido por lo que respecta a la designación de proveedores terceros esenciales de servicios de TIC en virtud del artículo 31 de dicho Reglamento. En el caso de las personas jurídicas, el LEI y el EUID son identificadores internacionales y europeos que garantizan una identificación uniforme, única y fiable de las empresas. En consecuencia, para identificar a los proveedores terceros de servicios de TIC establecidos en la Unión a efectos de la aplicación del citado Reglamento debe usarse uno de esos dos identificadores, que han de considerarse información común a todos los acuerdos contractuales; en cambio, para identificar a los proveedores terceros de servicios de TIC establecidos en terceros países debe utilizarse únicamente el LEI. En las plantillas utilizadas para el registro de información acerca de los proveedores terceros de servicios de TIC se debe exigir información sobre uno de los dos identificadores en el caso de los proveedores de servicios de TIC que sean personas jurídicas, mientras que se debe permitir emplear códigos de identificación alternativos en el caso de las personas jurídicas que actúen en capacidad de proveedores de servicios de TIC.
(10) Cada entidad financiera, incluidas las entidades financieras del mismo grupo, tiene su propia taxonomía interna de funciones dependiendo de su modelo de negocio y organización interna específicos. A fin de poder realizar un seguimiento claro, distinguiendo entre las funciones de las entidades financieras y los servicios de TIC, las propias entidades financieras deben designar las funciones pertinentes empleando el identificador de función a nivel individual y de grupo.
(11) Con miras a posibilitar la operabilidad del registro de información a nivel de entidad, subconsolidado y consolidado entre todas las entidades financieras que formen parte de un mismo grupo, las entidades financieras deben velar por la corrección y coherencia de todos los datos del registro. En particular, para posibilitar esa operabilidad, es necesario garantizar la coherencia en la consolidación de los identificadores, a saber, los números de referencia de los acuerdos contractuales, el identificador de función, el LEI de las entidades financieras y los identificadores de los proveedores terceros de servicios de TIC.
(12) A fin de garantizar la coherencia y armonización y evitar un retratamiento oneroso de los datos a efectos de la comunicación de información, es preciso que, en la estructura de las plantillas y los requisitos de los elementos de datos, se contemplen las perspectivas de gestión de datos y de comunicación de información. Al objeto de garantizar que la información consignada en el registro de información sea plenamente comparable con la información facilitada en el marco de otros procesos de comunicación de información con fines estadísticos o reglamentarios, las entidades financieras deben observar los principios de calidad de los datos cuando lleven a cabo el mantenimiento y actualización de dicho registro.
(13) El presente Reglamento se basa en los proyectos de normas técnicas de ejecución presentados por las AES a la Comisión.
(14) Las AES han llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de ejecución en que se basa el presente Reglamento, han analizado los costes y beneficios potenciales conexos y han recabado el dictamen de los grupos de partes interesadas de las AES establecidos de conformidad con el artículo 37 del Reglamento (UE) n.º 1093/2010 del Parlamento Europeo y del Consejo[4], el artículo 37 del Reglamento (UE) n.º 1094/2010 del Parlamento Europeo y del Consejo[5] y el artículo 37 del Reglamento (UE) n.º 1095/2010 del Parlamento Europeo y del Consejo[6].
(15) Se ha consultado al Supervisor Europeo de Protección de Datos, de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo.
HA ADOPTADO EL PRESENTE REGLAMENTO:
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1. «proveedor tercero directo de servicios de TIC»: el proveedor tercero de servicios de TIC o el proveedor intragrupo de servicios de TIC que haya firmado un acuerdo contractual con:
a) una entidad financiera para prestarle directamente sus servicios de TIC;
b) una entidad financiera o no financiera para prestar sus servicios a otras entidades financieras del mismo grupo.
2. «cadena de suministro de servicios de TIC»: secuencia de acuerdos contractuales vinculados con el servicio de TIC prestado por el proveedor tercero directo de servicios de TIC a la entidad financiera y que comienza por el proveedor tercero directo de servicios de TIC que cuenta con uno o varios proveedores terceros de servicios de TIC como contrapartes (subcontratistas);
3. «posición»: puesto que ocupa un proveedor tercero de servicios de TIC en la cadena de suministro de servicios de TIC.
Clasificación de los proveedores terceros de TIC por posición en la cadena de suministro
Las entidades financieras atribuirán una posición a cada proveedor tercero de servicios de TIC. Dicha posición consistirá en un número natural igual o superior a «1», de manera que, cuanto menor sea el número natural atribuido a la posición, más próximo estará el acuerdo a la entidad financiera.
La posición del proveedor tercero directo de servicios de TIC en la cadena de suministro de servicios de TIC será siempre «1».
La posición del subcontratista en la cadena de suministro de servicios de TIC será siempre superior a «1».
Requisitos generales aplicables a las plantillas del registro de información
1. Las entidades financieras usarán las plantillas que figuran en los anexos I a IV para mantener y actualizar el registro de información de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2022/2554, a nivel de entidad o a nivel subconsolidado y consolidado.
2. Las entidades financieras velarán por que las plantillas a que se refiere el apartado 1 contengan toda la información siguiente:
a) la información pertinente relativa a todos los servicios de TIC prestados por proveedores terceros directos de servicios de TIC;
b) la información relativa a todos los subcontratistas que de manera efectiva presten servicios de TIC que sustenten funciones esenciales o importantes o partes sustanciales de ellas.
3. Las entidades financieras velarán por que la información recogida en las plantillas a que se refiere el apartado 1 sea exacta y coherente. Las entidades financieras revisarán la información recogida en las plantillas periódicamente y corregirán de inmediato todo error o discrepancia detectados.
En el caso de los grupos, las entidades financieras responsables del mantenimiento y actualización del registro de información a nivel subconsolidado y consolidado velarán por que la información a nivel de entidad en el ámbito de consolidación sea correcta y coherente con la información a nivel subconsolidado y consolidado.
4. Las entidades financieras velarán por que la información recogida en las plantillas a que se refiere el apartado 1 sea conforme con los principios de calidad de los datos que se enumeran a continuación:
a) exactitud;
b) completitud;
c) coherencia;
d) integridad;
e) homogeneidad;
f) validez.
5. Las entidades financieras usarán un identificador de entidad jurídica (LEI) válido y activo o el identificador único europeo a que se refiere el artículo 16 de la Directiva (UE) 2017/1132 («EUID»), o ambos identificadores, cuando se disponga de ellos, para identificar a todos sus proveedores terceros de servicios de TIC que sean personas jurídicas, a excepción de las personas que actúen en capacidad empresarial.
6. Cuando un servicio de TIC prestado por un proveedor tercero directo de servicios de TIC sustente una función esencial o importante de las entidades financieras, estas se asegurarán, a través del proveedor tercero directo de servicios de TIC, de que todos los subcontratistas de dicho proveedor que estén incluidos en el registro de información de conformidad con el apartado 2, letra b), y que de manera efectiva presten servicios de TIC que sustenten funciones esenciales o importantes, utilicen un LEI válido y activo o proporcionen su EUID, o ambos identificadores, cuando se disponga de ellos, salvo en el caso de que tales subcontratistas sean personas físicas que actúen en capacidad empresarial.
Requisito relativo al formato de los datos
1. A menos que se indique otra cosa en las instrucciones, cada una de las plantillas que compongan el registro de información consistirá en un cuadro con un número predefinido de columnas y un número indefinido de filas.
2. Las entidades financieras cumplimentarán cada elemento de datos con un valor único. Cuando exista más de un valor válido para un elemento de datos específico, las entidades financieras añadirán una fila adicional para cada uno de los valores válidos en la plantilla correspondiente.
3. Las entidades financieras cumplimentarán todos los elementos de datos del registro de información a nivel de entidad, subconsolidado y consolidado, según proceda.
Contenido del registro de información
1. Las entidades financieras incluirán en el registro de información, de conformidad con las instrucciones del anexo I, la información que se enumera a continuación:
a) información general sobre la entidad financiera responsable del mantenimiento y actualización del registro de información a nivel de entidad, subconsolidado y consolidado, respectivamente, conforme a lo especificado en la plantilla B_01.01 del anexo I;
b) información general sobre las entidades incluidas en el ámbito de consolidación, conforme a lo especificado en la plantilla B_01.02 del anexo I;
c) identificación de las sucursales de las entidades financieras ubicadas fuera del país de origen consignadas en la plantilla B_01.02, cuando proceda, conforme a lo especificado en la plantilla B_01.03 del anexo I;
d) información general sobre los acuerdos contractuales, conforme a lo especificado en la plantilla B_02.01 del anexo I;
e) información específica sobre los acuerdos contractuales, conforme a lo especificado en la plantilla B_02.02 del anexo I;
f) información sobre los vínculos entre los acuerdos contractuales intragrupo y los acuerdos contractuales con proveedores terceros de servicios de TIC que no formen parte del grupo, empleando para ello los números de referencia contractuales cuando parte de la cadena de suministro de servicios de TIC sea intragrupo, conforme a lo especificado en la plantilla B_02.03 del anexo I;
g) información sobre las entidades que firmen los acuerdos contractuales con los proveedores terceros directos de servicios de TIC para la recepción de servicios de TIC o en nombre de las entidades que utilicen los servicios de TIC, conforme a lo especificado en la plantilla B_03.01 del anexo I;
h) identificación de los proveedores terceros de servicios de TIC que firmen los acuerdos contractuales para la prestación de servicios de TIC, conforme a lo especificado en la plantilla B_03.02 del anexo I;
i) identificación de las entidades que firmen los acuerdos contractuales para la prestación de servicios de TIC a otras entidades incluidas en el ámbito de consolidación, conforme a lo especificado en la plantilla B_03.03 del anexo I;
j) información sobre las entidades que utilicen los servicios de TIC prestados por los proveedores terceros de servicios de TIC, conforme a lo especificado en la plantilla B_04.01 del anexo I;
k) información sobre los proveedores terceros directos de servicios de TIC y subcontratistas, conforme a lo especificado en la plantilla B_05.01 del anexo I;
l) información sobre la cadena de suministro de servicios de TIC, conforme a lo especificado en la plantilla B_05.02 del anexo I;
m) información sobre la identificación de funciones, conforme a lo especificado en la plantilla B_06.01 del anexo I;
n) información sobre la evaluación de los servicios de TIC prestados por proveedores terceros de servicios de TIC que sustenten una función esencial o importante o partes sustanciales de ella, conforme a lo especificado en la plantilla B_07.01 del anexo I;
o) información sobre la terminología empleada por las entidades financieras y los términos incluidos en las listas cerradas y sistemas de clasificación utilizados al cumplimentar las plantillas, conforme a lo especificado en la plantilla B_99.01 del anexo I.
2. Cuando sea pertinente a efectos de la gestión de riesgos o de contratos, las entidades financieras podrán incluir información adicional en el registro de información empleando el formato más adecuado para los fines de dicha información adicional.
Alcance del registro de información a nivel subconsolidado y consolidado
1. En el caso de los grupos, las sociedades matrices tendrán en cuenta la legislación sectorial pertinente de la Unión para determinar las entidades que deben incluirse en el registro de información.
2. Cuando el registro de información se mantenga y actualice a nivel subconsolidado y consolidado, incluirá la totalidad de las entidades financieras y los proveedores intragrupo de servicios de TIC que formen parte del subgrupo y del grupo.
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
