Saltar al contenido principal
Vermont Solutions
Contacto

Blog · Gobernanza y cumplimiento

DORA Artículo 28: checklist práctico para sourcing TIC en banca europea

Publicado el 27 de mayo de 2026 · Tiempo de lectura ~8 min · Por equipo Vermont Solutions

DORA es aplicable desde el 17 de enero de 2025. Año y medio después, las áreas de compras y cumplimiento de la banca europea siguen afinando los procesos del Artículo 28 sobre contratación de proveedores TIC. Este checklist condensa los 12 puntos que vemos repetirse en los proyectos en los que acompañamos a entidades financieras.

No es un documento legal — es un instrumento operativo para CTO, CIO, áreas de compras y DPO. Para definiciones canónicas, ver la entrada de glosario DORA Artículo 28.

Antes de contratar

1. Clasificar el servicio

¿El servicio soporta una función crítica o importante? La clasificación condiciona el resto del proceso: contenido contractual, intensidad de la evaluación previa, exigencia del plan de salida y carga de supervisión continua. Por defecto, infraestructura HPC, modelos de scoring crediticio, plataformas de pago, core bancario y sistemas actuariales son críticos. Documentar el razonamiento, no solo el resultado.

2. Due diligence técnica del proveedor

Capacidad técnica real verificada (no folleto comercial), certificaciones aplicables, referencias en el mismo sector, controles de subcontratación (cuántos proveedores aguas abajo, dónde, gobernanza de cambios), prácticas de seguridad y respuesta a incidentes. Si el proveedor no puede sustentar evidencia, no es contratable para una función crítica.

3. Riesgo de concentración

¿Cuántos servicios críticos están ya con este proveedor o con proveedores de su mismo subcontratista cloud? ¿Qué impacto tendría su caída? El supervisor pregunta esto en cada inspección. Mantener una matriz de concentración por proveedor y por función, no solo por contrato individual.

4. Riesgo país

Localización del servicio, jurisdicción del proveedor, jurisdicción de los subcontratistas, transferencias internacionales bajo RGPD. Para entidades sujetas a soberanía de datos (banca pública, cajas regionales, sectores estratégicos), el riesgo país puede ser bloqueante incluso si el resto del análisis es positivo.

En el contrato

5. Cláusulas mínimas del Art. 30

El Art. 28 referencia el Art. 30 para el contenido contractual. No son recomendaciones — son requisitos. Verificar punto a punto:

  • Descripción clara, completa y comprensible de funciones y servicios.
  • Ubicaciones donde se prestan los servicios y donde se tratan los datos.
  • Disposiciones sobre subcontratación de funciones críticas.
  • Niveles de servicio acordados (SLA) y procedimientos de medición.
  • Derechos completos de acceso, inspección y auditoría — sin contracoste.
  • Asistencia al cliente cuando la autoridad supervisora ejerza sus poderes.
  • Obligación de notificación de incidentes y cooperación.
  • Derechos de terminación con plazos razonables.
  • Asistencia de migración o reinternalización al término del contrato.

6. Subcontratación

El cliente debe poder identificar la cadena completa de subcontratación que soporta el servicio, oponerse a cambios relevantes y exigir el mismo nivel de obligaciones aguas abajo. En la práctica esto significa exigir mapas actualizados y un proceso formal de notificación con derecho de oposición razonable.

7. Plan de salida y reversibilidad

Para funciones críticas, el contrato debe garantizar la capacidad de migrar el servicio a otro proveedor o reinternalizarlo sin interrupción operativa. No basta con la cláusula — debe haber un plan documentado y, idealmente, testado al menos una vez durante la vida del contrato. El plan incluye datos, configuración, conocimiento, scripts, dependencias y plazos.

8. Cooperación con la autoridad supervisora

El proveedor acepta cooperar con la autoridad supervisora del cliente (Banco de España, BCE, EBA, EIOPA según aplique). En caso de proveedores TIC críticos designados por las ESAs, esta cooperación es directa con la supervisión europea, no solo con la nacional.

Después de la firma

9. Registro de acuerdos

Mantener el registro actualizado en formato auditable: tipo de servicio, criticidad, ubicaciones, subcontratistas, fechas de renovación, SLAs y referencia al expediente de evaluación previa. Las autoridades pueden solicitarlo en cualquier momento.

10. Monitorización continua de SLA

No es suficiente con medir — hay que documentar la medición, las desviaciones y las acciones tomadas. Es habitual que el regulador pregunte por incidentes que el área de TI conocía pero que nunca llegaron a la gobernanza del contrato.

11. Revisión periódica de criticidad

La criticidad de un servicio cambia con el negocio. Lo que era marginal hace dos años puede ser crítico hoy si soporta un canal de ingreso clave o un proceso regulatorio. Revisar al menos anualmente, y con cada cambio relevante de uso.

12. Test del plan de salida

Aunque la norma no exige test obligatorio para todos los contratos, el supervisor lo está pidiendo de facto para los más críticos. El test descubre dependencias que el plan teórico no recoge.

Plantilla descargable

Checklist DORA Art. 28 — 12 puntos verificables (PDF)

Una hoja A4 con los 12 puntos y casillas marcables, para revisiones internas o el kick-off con un nuevo proveedor TIC. Solicítela por correo y se la enviamos.

Solicitar checklist y plantilla contractual →

Servicios relacionados

Vermont Solutions acompaña a entidades financieras europeas en el diseño y operación de procesos DORA Art. 28, tanto como proveedor TIC (modernización legacy, HPC, gobernanza IA) como en consultoría de cumplimiento sobre proveedores propios. Productos como Monitor HPC y el Add-on para IBM Spectrum Symphony incluyen nativamente capacidades de observabilidad y Evidence-as-Code relevantes para Art. 28.

Gobernanza de IA → Modernización Legacy → Add-on IBM Symphony →

Última actualización: 2026-05-27. Contenido editorial Vermont Solutions, citable bajo atribución. No constituye asesoramiento jurídico — para decisiones específicas consultar con auditoría externa o asesoría legal de la entidad.