Autoridad neerlandesa para los mercados financieros y el Banco Central de países bajos

Acerca del AFM y DNB

Los principales responsables financieros de los Países Bajos son la Autoridad holandesa para los mercados financieros (Autoriteit Financiële Markten, AFM) y el Banco Central de los Países Bajos (De Nederlandsche Bank, DNB). El AFM, cuyo papel es comparable al de la SEC en el Estados Unidos, es la autoridad de supervisión independiente para los mercados de ahorro, préstamos, inversiones y seguros.» El DNB, dentro del Sistema europeo de bancos centrales, determina y aplica una política monetaria y ejerce la supervisión prudencial de las organizaciones financieras de los Países Bajos.

Ambas instituciones actúan en conjunto con la Autoridad Bancaria Europea (ABE), «una autoridad independiente de la UE que trabaja para garantizar una regulación y supervisión prudencial eficaz y coherente en todo el sector bancario europeo». Para este fin, la EBA ha descrito un enfoque global para el uso de la informática en la nube por parte de instituciones financieras en la UE: Recomendaciones para subcontratar a proveedores de servicios en la nube.

Por lo general, estas leyes y directrices son compatibles con el punto de vista de que la informática en la nube, que implique servicios de terceros, califica como una forma de subcontratación, y las instituciones financieras de los Países Bajos deben responder a los riesgos asociados antes de trasladar sus actividades comerciales a la nube. Entre ellos se incluyen:

  • La Ley de Supervisión Financiera (FSA, por sus siglas en inglés), emitida por el legislador holandés en 2018, establece condiciones para que las instituciones financieras controlen los riesgos asociados a la subcontratación y garanticen que no impide la supervisión normativa.
  • Circulaire Cloud Computing, emitido por el DNB, requiere que antes de que las instituciones holandesas supervisadas participen en la informática en la nube, deben informar a la DNB de sus posibles acuerdos de subcontratación para garantizar que los procesos operativos y los riesgos están bajo control.

Haciendo uso de una plantilla proporcionada por el DNB, deben presentar un análisis de riesgos obligatorio que incluya lo siguiente:

  • Un examen relativo al cumplimiento de la legislación actual, al conocimiento mutuo entre las partes en relación con los servicios ofrecidos, la estabilidad y confiabilidad del proveedor de servicios, dónde se deben proporcionar los servicios, y la importancia y grado de la confianza en los servicios subcontratados.
  • Atención explícita para afrontar riesgos asociados con la integridad de datos, la confidencialidad y la disponibilidad.

El Reglamento delegado de la comisión UE 2017/565 describe de forma muy amplia los requisitos para un acuerdo de subcontratación entre empresas de inversión y proveedores de servicio en la nube.

Microsoft, AFM y DNB

Para guiar a las instituciones financieras de los Países Bajos que consideren la subcontratación de funciones empresariales en la nube, Microsoft ha publicado una lista de comprobación de cumplimiento para las instituciones financieras de los Países Bajos. Al revisar y completar la lista de comprobación, las organizaciones financieras pueden adoptar servicios en la nube empresarial de Microsoft con la confianza de que cumplen los requisitos normativos aplicables.

Cuando las instituciones financieras de Bélgica subcontratan actividades de empresa a la nube, deben cumplir con las reglas y directrices de la Autoridad holandesa para los mercados financieros (AFM) y el Banco de los Países Bajos (DNB) dentro del marco general de directivas de la Autoridad Bancaria Europea (EBA).

La lista de comprobación de Microsoft ayuda a las empresas financieras de los Países Bajos a realizar evaluaciones de diligencia debida de los servicios empresariales en la nube de Microsoft e incluye:

  • Información general sobre el panorama normativo para dar contexto.
  • Una lista de comprobación que describe las cuestiones que deben tratarse y asigna los servicios de Microsoft Azure, Microsoft Dynamics 365 y Microsoft 365 frente a dichas obligaciones reglamentarias. La lista de comprobación puede usarse como una herramienta para medir el cumplimiento con un marco normativo y proporcionar una estructura interna para documentar el cumplimiento, así como para ayudar a los clientes a llevar a cabo sus propias evaluaciones de riesgo de los servicios empresariales en la nube de Microsoft.

Servicios y plataformas en la nube dentro de Microsoft

Cómo implementar

Preguntas más frecuentes

¿Se necesita la aprobación de normativas?

No. Sin embargo, en el Comunicado sobre informática en la nube se especifica que el DNB espera que las instituciones supervisadas de los Países Bajos envíen un análisis de riesgo sobre acuerdos de subcontratación potencial antes de participar en informática en la nube.

¿Hay términos obligatorios que se deban incluir en el contrato con el proveedor de servicios en la nube?

Sí. Las disposiciones y modalidades que deben incluirse en los contratos de la nube dependen del tipo de institución financiera. Requisitos, como los que se describen en el Art.. 31 del Reglamento delegado de la comisión (UE) 2017/565, se establecen en la parte 2 de la lista de comprobación.

Recursos