Consideraciones para las entidades financieras de la UE: Las entidades financieras deben establecer un marco de trabajo interno de administración y control para la administración de riesgos de la TIC, y participar en la supervisión continua de los riesgos de la TIC. Estos requisitos de administración y supervisión de riesgos de la TIC se extienden al uso de los servicios de la TIC que ofrecen los proveedores externos.

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben admitir la administración y la supervisión de riesgos de la TIC de los clientes, incluido el lugar en el que los sistemas y procesos relevantes son administrados por el proveedor. Además, en el caso de los proveedores de la TIC esenciales, el nuevo supervisor de clientes potenciales evaluará los propios procesos de administración de riesgos del proveedor, incluidas las políticas administrativas de riesgos de la TIC, la política de continuidad del negocio de la TIC, la respuesta de la TIC y los planes de recuperación y respuesta. 

Asistencia de Google Cloud: Incluso antes de comenzar a usar Google Cloud, puedes usar nuestra solución de evaluación de riesgos y descubrimiento de recursos esenciales para evaluar el riesgo actual de TI de tu organización, identificar dónde residen tus recursos esenciales y recibir recomendaciones para mejorar tu postura de seguridad y resiliencia. También publicamos orientación sobre la administración del riesgo con controles y la administración de tus recursos. 

Una vez que estés en Google Cloud, puedes aprovechar varias herramientas para asignar y administrar tus recursos en la nube de forma continua, como Cloud Monitoring, Resource Manager, Infrastructure Manager y Cyber Insurance Hub. La información sobre el enfoque de Google en la administración de riesgos está disponible en los informes de auditoría y las certificaciones de Google. 

Si deseas obtener asistencia adicional, Mandiant (ahora parte de Google Cloud) ofrece servicios de administración de riesgos, incluidos el servicio de operaciones de administración de riesgos cibernéticos, el Servicio de seguridad de modelado de amenazas, el Servicio de diligencia debida de seguridad cibernética y la evaluación del programa de seguridad cibernética. Consulta también nuestra Guía para clientes sobre la administración de riesgos de la TCI para obtener orientación adicional.

Consideraciones para entidades financieras de la UE: La DORA consolida los requisitos de informes de incidentes del sector financiero en un marco de trabajo simple. Esto significa que las entidades financieras que operan en varios sectores o Estados miembros de la UE ya no deberían tener que superar los regímenes de informes superpuestos durante una situación urgente. 

La DORA también tiene como objetivo abordar los regímenes de informes de incidentes paralelos como NIS2. En conjunto, estos cambios ayudan a que los organismos reguladores obtengan la información necesaria y, al mismo tiempo, permiten que las entidades financieras se centren en otros aspectos fundamentales de la respuesta ante incidentes. Las entidades financieras deben informar los incidentes de acuerdo con umbrales definidos en plantillas y cronogramas específicos, así como implementar procedimientos para documentar las causas raíz y las mejoras después de los incidentes. 

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben ser capaces de cumplir con los requisitos de los informes de incidentes de los clientes Además, en el caso de los proveedores fundamentales de la TIC, el supervisor de clientes potenciales evaluará directamente los procesos del proveedor para la identificación, supervisión y generación de informes de los incidentes relacionados con la TIC ante entidades financieras. 

Asistencia de Google Cloud: Google notificará a los clientes con las condiciones actualizadas del contrato de la DORA sobre los incidentes relacionados con las TIC que afectan su uso de Google Cloud. Proporcionaremos estas notificaciones sin costo adicional a través de nuestros canales de notificaciones existentes (incluido el correo electrónico, el Personalized Service Health (PSH), el Panel de Service Health y Google Cloud Support Center). 

Nos comprometemos a notificar dentro de los plazos y con la información que las entidades financieras necesitan para facilitar su propia evaluación y generación de informes en función de los requisitos de la DORA.

Consideraciones para entidades financieras de la UE: A partir de las iniciativas existentes de la UE, como TIBER-EU, la DORA establece un nuevo enfoque para probar la resiliencia operativa digital en toda la UE. Para ciertas entidades financieras, esto incluye pruebas avanzadas de penetración basadas en amenazas (TLPT) cada tres años. Con la aclaración de la metodología de pruebas y la presentación del reconocimiento mutuo de resultados de las pruebas, la DORA ayuda a las entidades financieras a seguir desarrollando y escalando sus capacidades de prueba de una manera que funcione en toda la UE.  

Consideraciones para proveedores de la TIC: La DORA aborda directamente el rol del proveedor de la TIC en las TLPT que realizan las entidades financieras. En particular, la DORA permite realizar pruebas agrupadas para administrar el impacto de las pruebas en los servicios multiusuario, como las nubes públicas. Además, en el caso de los proveedores fundamentales de las TIC, el supervisor de clientes potenciales evaluará directamente las propias pruebas de los sistemas, la infraestructura y los controles de la TIC. 

Asistencia de Google Cloud: Google participará en la TLPT facilitando pruebas agrupadas por parte de un verificador externo, como se describe en el Artículo 26(4) de la DORA. Estamos seguros de que las pruebas agrupadas son la mejor manera de probar de manera eficaz la resiliencia operativa digital de Google Cloud y, al mismo tiempo, administrar los riesgos inherentes a las pruebas de otros clientes en un entorno multiusuario.

Consideraciones para entidades financieras de la UE: La DORA se fundamenta en la sólida base establecida por los respectivos lineamientos de tercerización de las autoridades supervisoras europeas a través de una mayor coordinación de la administración de riesgos de terceros de la TIC en todos los sectores, incluidos los requisitos para implementar un marco de trabajo de administración de riesgos de terceros y en contratos con proveedores de la TIC. Para garantizar que se aborden de manera similar los riesgos similares en todos los sectores y Estados miembros de la UE, la DORA permitirá que las entidades financieras consoliden y mejoren sus programas de administración de riesgos de TIC de terceros.

Consideraciones para proveedores de la TIC: Los proveedores de la TIC deben poder cumplir con los requisitos de administración de riesgos de terceros de los clientes. Además, la DORA permitirá que el supervisor de clientes potenciales supervise directamente a los proveedores fundamentales de la TIC. Este mecanismo creará un canal de comunicación directo entre los reguladores y los proveedores de la TIC designados a través de compromisos anuales, incluidos los planes de supervisión, las inspecciones y las recomendaciones. 

Asistencia de Google Cloud: Google ofrece a las entidades financieras condiciones contractuales actualizadas para Google Cloud, Google Workspace y Servicios de SecOps para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. También creamos asignaciones del Artículo 30 para Google Cloud y Google Workspace para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.

Consideraciones para las entidades financieras de la UE: La DORA describe las consideraciones que deben tener las entidades financieras para compartir de forma voluntaria la información y la inteligencia cibernéticas con otras entidades financieras y organismos reguladores. 

Consideraciones para proveedores de TIC: La DORA contempla la participación de la TIC en acuerdos de uso compartido de información que protejan información potencialmente sensible. Sin embargo, estos arreglos todavía no se definieron.  

Asistencia de Google Cloud: Google Cloud ofrece productos y servicios para ayudar a los clientes a protegerse de forma proactiva contra las amenazas cibernéticas según los requisitos de la DORA. Publicamos un informe trimestral de Threat Horizons para proporcionar información estratégica sobre las amenazas a nuestros clientes. Los clientes también pueden aprovechar la respuesta ante incidentes, los servicios de administración de riesgos cibernéticos y los servicios de seguridad ofensiva de Mandiant para protegerse y prepararse para los incidentes cibernéticos.

La DORA es una reglamentación de la UE. Se aplica a todo el sector de servicios financieros en todos los Estados miembros de la UE. La DORA actualiza las reglas existentes y establece un conjunto mejorado de requisitos comunes para mitigar los riesgos de TIC y aumentar la resiliencia digital en el sistema financiero europeo. Es importante destacar que la DORA también presenta un marco de trabajo para la supervisión directa de los proveedores fundamentales de TIC por parte de los reguladores financieros de la UE, es decir, la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados (en conjunto, las Autoridades Europeas de Supervisión).

La DORA establece un conjunto mejorado de requisitos comunes para las entidades financieras de la UE para mitigar los riesgos de TIC y aumentar la resiliencia digital en el sistema financiero europeo. En particular:

1. La DORA contiene los requisitos detallados para las entidades financieras sobre la administración de riesgos de TIC.
2. La DORA consolida los requisitos de los informes de incidentes del sector financiero en un único marco de trabajo optimizado.
3. La DORA, que se basa en iniciativas existentes de la UE, como TIBER-EU, establece un enfoque en toda la UE para probar la resiliencia operativa digital, incluidas las pruebas de penetración basadas en amenazas.
4. La DORA se basa en la sólida base establecida por los lineamientos respectivos de subcontratación de las autoridades supervisoras europeas a través de la coordinación adicional de los requisitos de administración de riesgos de terceros de TIC en todos los sectores, incluidos los requisitos para contratos con proveedores de TIC.

La DORA también permite que las autoridades supervisoras europeas supervisen directamente a los proveedores fundamentales de TIC. Este mecanismo crea un canal de comunicación directo entre los reguladores y los proveedores de la TIC designados a través de compromisos anuales, incluidos los planes de supervisión, las inspecciones y las recomendaciones.

La DORA se aplica principalmente a las entidades financieras de la UE. Sin embargo, parte de la DORA se aplica directamente a los proveedores de TIC (incluidos los proveedores de servicios en la nube) que las Autoridades Europeas de Supervisión designan como “fundamentales” después de un proceso oficial. La designación se basará en una serie de factores, como el impacto sistémico de la falla de los servicios del proveedor de TIC y la importancia sistémica de las entidades financieras que dependen de esos servicios.

La DORA entró en vigencia el 17 de enero de 2025 (2 años y 20 días después de su publicación en el Diario Oficial de la UE). 

La DORA solo aplica directamente a los proveedores de TIC fundamentales después de que las Autoridades Europeas de Supervisión los designan como “fundamentales”. Por lo tanto, el plazo para el cumplimiento de los proveedores esenciales de ICT depende del plazo de la designación.

Google Cloud EMEA Limited fue designada oficialmente como proveedor de servicios externo de TIC crítico (CTPP). Esta designación incluye las siguientes subsidiarias de Google Cloud EMEA Limited: Google Cloud France SARL, Google Cloud Italy S.r.l y Google Cloud Poland Sp. z o.o.

Google Cloud EMEA Limited fue designado como proveedor de servicios externo de TIC crítico (CTPP) en función de una evaluación de criticidad realizada por las Autoridades Europeas de Supervisión (ESA). Para llegar a una conclusión sobre cada CTPP, las ESA consideran los siguientes criterios establecidos en DORA: (a) el impacto sistémico de una interrupción de los servicios de TIC del CTPP en el sector financiero, (b) la importancia sistémica de las entidades financieras que utilizan los servicios de TIC del CTPP, (c) el nivel de dependencia de las entidades financieras de los servicios de TIC del CTPP y (d) la sustituibilidad de los servicios de TIC del CTPP. La metodología precisa para la evaluación de la criticidad de la ESA se establece en el Reglamento Delegado que especifica los criterios para la designación de proveedores de servicios de TIC externos como críticos para las entidades financieras.

Google Cloud EMEA Limited estará supervisada directamente por un supervisor principal asignado. El supervisor principal será una de las Autoridades Europeas de Supervisión del sector financiero. El supervisor principal evaluará si Google Cloud EMEA Limited tiene reglas, procedimientos, mecanismos y acuerdos integrales, sólidos y eficaces que permitan administrar el riesgo para la tecnología de la información y la comunicación (TIC) que puede representar para las entidades financieras que usan sus servicios. Si quieres obtener más información sobre cómo funcionará en la práctica la supervisión de los proveedores de servicios externos de TIC fundamentales (CTPP), consulta la Guía de actividades de supervisión publicada por las Autoridades Europeas de Supervisión.

La designación y supervisión de Google Cloud EMEA Limited como proveedor de servicios externo de TIC crítico (CTPP) no afecta el uso de nuestros servicios por parte de los clientes ni altera las condiciones de tu contrato.

Si tu organización es una entidad financiera sujeta a DORA, la supervisión de un CTPP no reemplaza ni reduce de ninguna manera las responsabilidades de tu organización en virtud de DORA, incluida la administración de riesgos de terceros.

Dicho esto, complementando la administración de riesgos por parte de las entidades financieras y creando un mecanismo claro para que la información y el aprendizaje fluyan entre los CTPP y las partes interesadas clave de supervisión de la UE y nacionales, confiamos en que los clientes y usuarios se beneficiarán de la supervisión de los CTPP.

El marco de supervisión para proveedores fundamentales de ICT de la DORA crea una oportunidad genuina para mejorar la comprensión, la transparencia y la confianza entre los proveedores de ICT, las entidades financieras y los reguladores financieros, y, en última instancia, estimular la innovación en el financiero en Europa. La DORA creará un canal de comunicación directo entre los reguladores y los proveedores de ICT designados a través de compromisos anuales, incluidos planes de supervisión, inspecciones y recomendaciones. Estamos seguros de que este diálogo estructurado ayudará a mejorar la administración de riesgos y la resiliencia en todo el sector.

Google Cloud se compromete a permitir que los reguladores supervisen de manera eficaz el uso de nuestros servicios por parte de las entidades financieras. Otorgamos derechos de acceso, auditoría e información a entidades financieras, así como a sus reguladores y personas designadas, y brindamos asistencia a nuestros clientes cuando ellos o sus reguladores deciden ejercerlos. Abordaremos una relación con nuestro supervisor principal o con el mismo compromiso con la transparencia, la colaboración y la garantía permanentes. 

Estamos muy enfocados en planificar los requisitos de supervisión directa y nos comprometemos a garantizar que nuestra función de supervisión directa apoye de manera eficaz la comunicación con el regulador, las auditorías eficientes y los planes de corrección dentro de los plazos.

Ofrecemos a las entidades financieras las condiciones del contrato actualizadas de Google Cloud, Google Workspace y los servicios de SecOps para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. 

También creamos asignaciones del Artículo 30 para Google Cloud y Google Workspace para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.

La RTS sobre la subcontratación contiene requisitos contractuales adicionales. Nuestras condiciones actualizadas de los contratos de Google Cloud, Google Workspace y los servicios de SecOps también abordan los requisitos contractuales de la RTS sobre la subcontratación. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles.

Cuando usas Google Cloud para proporcionar tus propios servicios de TCI a entidades financieras de la UE, reconocemos que necesitas las condiciones contractuales adecuadas con Google. Para ayudar, en esta situación, ofrecemos a los clientes y socios condiciones contractuales equivalentes para abordar las disposiciones contractuales clave del Artículo 30. Si necesitas las condiciones contractuales de la DORA, comunícate con tu representante de Google Cloud para obtener más detalles. 

También comparamos el Artículo 30 con respecto a lo que ofrece Google Cloud para ayudarte a comprender el modo en que nuestros contratos, controles y procesos pueden ayudarte a cumplir con los requisitos de la DORA.