BOARD BRIEFING REPORTBanca europea & mercados financierosManagement Board Question · For Discussion

Si su proveedor ICT crítico falla mañana: ¿qué se detiene — y durante cuánto tiempo?

TemaRiesgo crítico de terceros ICT
PúblicoManagement Board · Supervisory Board · Executive Committee
Tiempo de lectura7 minutos
Estado objetivoGREEN — cuando las dependencias críticas estén mapeadas, probadas y gobernables

De un vistazo

La cuestión ya no es solo el proveedor.

La cuestión es si la institución puede demostrar continuidad.

Board AskConfirmar si la institución puede demostrar continuidad y capacidad de exit para servicios ICT que soportan funciones críticas o importantes.

Situation

Supongamos la siguiente situación.

Un proveedor tercero ICT crítico deja de estar disponible. Soporta una plataforma, un servicio de datos, un entorno cloud, un workflow engine, una capa de reporting o un proceso AI-enabled utilizado por la institución. En cuestión de horas, la pregunta ya no es si el proveedor tiene una obligación contractual de restaurar el servicio.

La pregunta es qué se detiene dentro del banco.

¿Qué funciones críticas o importantes se ven afectadas? ¿Qué cadenas de clientes, riesgo, operativas o decisionales dependen del proveedor? ¿Cuál es el tiempo de recovery probado? ¿Puede el servicio ser sustituido, abandonado o restaurado dentro de la tolerancia de la institución?

La cuestión ya no es solo el proveedor.

La cuestión es si la institución puede demostrar continuidad.

Management Summary

DORA convierte el riesgo de terceros ICT en una disciplina board-level y basada en evidencia. Las entidades financieras siguen siendo responsables de la compliance incluso cuando los servicios ICT son prestados por terceros; DORA también exige gestión del riesgo de terceros ICT, un Register of Information y estrategias de exit para servicios ICT que soportan funciones críticas o importantes.

Las Autoridades Europeas de Supervisión publicaron el 18 de noviembre de 2025 la primera lista de 19 proveedores terceros ICT críticos designados bajo DORA. El proceso de designación utilizó datos de los Registers of Information y una evaluación de criticidad que cubre importancia sistémica, soporte a funciones críticas o importantes y sustituibilidad.

Una respuesta fuerte no es "we have an exit policy". Una respuesta fuerte muestra qué servicios se detienen, qué recovery objective aplica, dónde convergen las dependencias, qué exit path ha sido probado y quién puede decidir restringir, sustituir, salir o continuar el arrangement.

Management Report Panel

Situation in One Sentence
Una caída de un proveedor ICT crítico se convierte en un asunto de board cuando la institución no puede demostrar qué se detiene, cuánto tarda el recovery y quién owns la respuesta.
Key Issue
La supervisión de terceros no es lo mismo que la resiliencia institucional. Las ECB Supervisory Priorities 2026–28 establecen que la supervisión DORA de proveedores terceros críticos complementa, pero no sustituye, un sound third-party risk management.
Primary Risk
Un proveedor soporta una función crítica o importante, pero el business impact, recovery route, fourth-party chain, capacidad de exit o accountable owner no son suficientemente visibles para board reliance.
Board Ask
Confirmar si la institución puede demostrar continuidad y capacidad de exit para servicios ICT que soportan funciones críticas o importantes.
Target RAG
GREEN cuando las dependencias críticas estén mapeadas, clasificadas, habilitadas contractualmente, probadas y gobernadas.

Calibración de la calidad de respuesta

GREEN Decision-grade answer
AMBER Partially evidenced answer
RED Not decision-grade
RegisterEl Register of Information actual refleja las dependencias ICT reales.
RegisterEl registro existe, pero no está completamente reconciliado con la realidad operativa.
Register“We have an exit policy.”
Function MappingLas funciones críticas o importantes están mapeadas a proveedores y servicios.
Function MappingEl inventario de proveedores existe, pero el business service mapping es incompleto.
Function Mapping“The provider is now directly overseen under DORA.”
ConcentrationLa concentración de proveedores y las fourth-party chains están evaluadas.
ConcentrationEl exit plan está documentado, pero no probado para funciones críticas.
Concentration“This is managed by Procurement.”
RecoveryRTO, RPO y máxima interrupción tolerable están definidos por función.
RecoveryLos RTO están definidos, pero no probados mediante ejercicios de recovery.
Recovery“The cloud provider has its own resilience plan.”
ExitLos exit y substitution paths están documentados, probados y revisados.
ExitLos contratos incluyen cláusulas clave, pero la viabilidad de transition es incierta.
Exit“The contract includes SLAs.”
ContractsLas cláusulas contractuales soportan acceso, auditoría, recovery, devolución y transition.
ContractsLa concentración de proveedores se reporta, pero no se traduce en decisiones del board.
Contracts“We have more than one provider.”
Board ReportingEl board reporting muestra riesgo residual de concentración y acciones abiertas.
Board ReportingEl ownership existe en Procurement o IT, pero no end-to-end.
Board Reporting“This is only an AI workflow.”
Substitution
Substitution
Substitution“We could exit if we had to.”

El RAG status calibra la calidad de la respuesta. No juzga a la institución.

Quién debe responder

CIO / CTOCOOCRO / Operational RiskCISO / ICT RiskProcurement / Vendor Management / OutsourcingBusiness OwnerLegal / Compliance / DPOInternal Audit
Nota de responsabilidad:
  • Procurement puede poseer el contrato.
  • Technology puede poseer la plataforma.
  • El business posee el impacto.
  • El board necesita ver la cadena.

Evidencias que el consejo debería solicitar

  1. 01Register of Information
  2. 02Critical Function Mapping
  3. 03Provider Criticality Classification
  4. 04Concentration Risk Assessment
  5. 05Fourth-Party Dependency Map
  6. 06RTO / RPO / MTPD View
  7. 07Tested Exit Strategy
  8. 08Contractual Exit and Transition Evidence
  9. 09Incident and Recovery Exercise Log
  10. 10Board Resilience Dashboard

Señales de alerta

  • “We have an exit policy.”
  • “The provider is directly overseen under DORA.”
  • “This is handled by Procurement.”
  • “The provider has strong SLAs.”
  • “We use multiple providers.”
  • “The service is not client-facing.”
  • “The exit plan is documented.”
  • “We could exit if necessary.”

Ninguna de estas afirmaciones es necesariamente falsa. Simplemente no constituyen evidencia suficiente para board-level reliance.

Camino hacia el verde

  • Dependencias visibles
  • Criticidad clasificada
  • Concentración entendida
  • Recovery medido
  • Exit habilitado
  • Riesgo residual gobernado

GREEN is not a contract status.
GREEN is a tested continuity status.

Próxima pregunta sugerida

¿Qué función crítica o importante crearía la mayor disruption si su proveedor ICT fallara mañana — y podemos demostrar el recovery path probado?

Comentario de experto — 7 min de lectura

La resiliencia de terceros ICT suele discutirse mediante contratos, outsourcing registers y provider oversight. Esos elementos importan. Pero no responden a la pregunta más práctica del board.

¿Qué se detiene — y durante cuánto tiempo?

Esa pregunta es deliberadamente operativa. Traduce DORA desde el texto regulatorio a la realidad de gestión board-level. Un proveedor ICT crítico puede soportar un entorno cloud, un workflow engine, una capa de reporting, una capacidad de cybersecurity, un servicio de datos, un market-data feed, una plataforma documental o un proceso AI-enabled. El proveedor puede no ser visible para los clientes. La dependencia aun así puede ser crítica.

DORA hace explícito el punto de responsabilidad. Las entidades financieras que utilizan servicios ICT siguen siendo responsables de cumplir sus obligaciones, y el riesgo de terceros ICT debe gestionarse como parte del ICT risk management framework. DORA también exige que las entidades financieras mantengan y actualicen un Register of Information que cubra todos los arrangements contractuales sobre el uso de servicios ICT prestados por proveedores terceros ICT.

01

Visibilidad

Esto convierte la visibilidad en la primera disciplina.

Un board no puede supervisar una dependencia que no ve. Un banco no puede gobernar una cadena de proveedores que no ha mapeado. Y no puede responder "cuánto tiempo" sin un recovery objective probado vinculado a una función crítica o importante específica.

02

Concentración

La segunda disciplina es la concentración.

DORA exige que las entidades financieras consideren el riesgo de concentración al celebrar arrangements para servicios ICT que soporten funciones críticas o importantes. Esto incluye si un proveedor no es fácilmente sustituible o si múltiples arrangements crean dependencias del mismo proveedor o de proveedores estrechamente conectados.

Esto importa porque la diversificación puede ser engañosa.

Dos proveedores pueden parecer independientes a nivel contractual, pero converger en capas de cloud, data centre, network, identity, DNS, software, subcontracting u operational support. Una respuesta board-grade, por tanto, no se detiene en "we have more than one provider". Pregunta si los failure modes son genuinamente independientes.

03

Capacidad de exit

La tercera disciplina es la capacidad de exit.

DORA exige estrategias de exit para servicios ICT que soportan funciones críticas o importantes; esos exit plans deben ser completos, documentados, suficientemente probados y revisados periódicamente. DORA también exige arrangements contractuales escritos que asignen derechos y obligaciones, incluidas provisions relevantes para acceso, recovery, devolución de datos, termination y exit.

Aquí es donde las respuestas débiles suelen sonar plausibles.

  • Una exit policy no es un exit.
  • Una cláusula contractual no es una transition probada.
  • El resilience plan de un proveedor no es el recovery plan del banco.

Y la supervisión directa de un proveedor crítico no sustituye el third-party risk management propio de la institución. Las ECB Supervisory Priorities 2026–28 establecen que los requisitos relacionados con DORA, en particular ICT third-party risk e incident response management, deben implementarse de forma consistente y rápida; también establecen que el DORA oversight framework para critical third-party providers complementa, pero no sustituye, un sound third-party risk management.

La pregunta práctica del board no es, por tanto, si el proveedor es fuerte.

Es si la institución es resiliente al fallo del proveedor.

Eso requiere una estructura de respuesta diferente. El board debería ver una dependency map, una vista de criticidad, una concentration assessment, un recovery objective, un exit path probado, contractual evidence y un dashboard de riesgo residual. También debería ver dónde la substitution no es realista. En esos casos, la resiliencia debe venir de continuity arrangements, contingency planning, protección contractual, monitoring y aceptación formal del residual risk.

El objetivo no es eliminar cada dependencia.

Eso sería irrealista.

El objetivo es saber qué dependencias importan, qué se rompe cuando fallan, cuánto tarda el recovery, quién owns la respuesta y qué evidence soporta la respuesta.

Un proveedor supervisado no es lo mismo que una institución resiliente.

La resiliencia empieza cuando el board puede hacer la pregunta — y recibir una respuesta mapeada, probada y gobernable.

Base de fuentes seleccionada

← Todos los briefings