Saltar al contenido principal
Vermont Solutions
Contacto

Glosario · DORA Art. 28

DORA Artículo 28 — proveedores TIC críticos en banca europea

El Artículo 28 del Reglamento UE 2022/2554 (DORA) regula los acuerdos contractuales con proveedores externos de servicios TIC para entidades financieras europeas. Es el artículo más operativo de la norma: aterriza la política de resiliencia digital en obligaciones concretas de gobernanza de proveedores. Aplicable desde el 17 de enero de 2025.

Ámbito de aplicación

DORA Art. 28 aplica a todas las entidades sujetas al reglamento: bancos, aseguradoras, gestoras, EFAs, empresas de servicios de inversión, depositarios centrales, contrapartes centrales, proveedores de criptoactivos (MiCAR) y otros. Cubre tanto contratos con proveedores externos (incluyendo cloud público) como con entidades del mismo grupo.

Las 5 obligaciones operativas

  1. Registro de acuerdos TIC: documento vivo con todos los acuerdos vigentes, su criticidad, ubicación del servicio (incluyendo subcontratistas) y datos de la relación contractual. Disponible para la autoridad supervisora en cualquier momento.
  2. Evaluación previa: due diligence técnica, regulatoria y financiera del proveedor antes de la contratación. Para servicios que soportan funciones críticas, incluye análisis de riesgo de concentración y de país.
  3. Contenido contractual mínimo: las cláusulas del Art. 30 (descripción completa, ubicaciones, subcontratación, disponibilidad, derechos de acceso/auditoría/terminación, notificación de incidentes y asistencia de salida).
  4. Estrategia de salida: plan documentado y testado para migrar el servicio a otro proveedor o reinternalizarlo, sin interrupción operativa, en plazos razonables. Obligatorio para servicios que soportan funciones críticas.
  5. Supervisión continua: monitorización del desempeño contra los SLAs durante toda la vida del contrato, revisión periódica de la criticidad y del riesgo de concentración, registro de incidentes y auditoría regular.

Cómo afecta a la contratación de Vermont u otros proveedores

Vermont Solutions opera como proveedor TIC para banca tier-1 y seguros desde antes de DORA. Para contratos posteriores a enero 2025, aportamos directamente:

  • Plantillas contractuales preparadas para el contenido mínimo del Art. 30 — listas para revisión por su asesoría jurídica.
  • Documentación técnica para el registro de acuerdos: descripción del servicio, subcontratistas (cloud, herramientas), ubicaciones de tratamiento.
  • Plan de exit-strategy documentado para servicios profesionales y para los productos propios (Monitor HPC, Add-on IBM Symphony, Baram).
  • Acceso a auditoría a coste razonable e información de continuidad operativa solicitable por el cliente o por la autoridad supervisora.

Servicios relacionados

Modernización de sistemas legacy y Gobernanza de IA

Vermont acompaña a entidades financieras en modernización tecnológica alineada con DORA Art. 28 y en la implementación de AIMS ISO 42001 para sistemas de IA.

Ver Modernización Legacy → Ver Gobernanza IA →

Fuentes oficiales

Última actualización: 2026-05-27. Esta entrada del glosario es contenido editorial de Vermont Solutions, citable bajo atribución "Vermont Solutions". No constituye asesoramiento jurídico.