Anexo DORA

Introducción

El presente anexo («Anexo») relativo al Reglamento sobre la Resiliencia Operativa Digital («DORA») se ha elaborado para documentar la conformidad con el REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.

El presente anexo se aplica exclusivamente a los clientes sujetos al Reglamento DORA (en lo sucesivo, el Cliente) y entrará en vigor en la fecha de firma por ambas partes.

En caso de contradicción entre las disposiciones del presente Anexo y cualquier otro documento contractual, incluidas las CGU, prevalecerán las disposiciones del presente Anexo.

Posición de las partes

El Cliente es una entidad comprendida en el ámbito de aplicación de DORA, tal y como se define en el artículo 2 de DORA y/o en su ley nacional de aplicación.

KBINE se compromete a prestar al Cliente servicios considerados servicios TIC en el sentido de DORA. El objetivo del presente anexo es garantizar que estos requisitos y estándares se incluyan en el Acuerdo.

A efectos del presente anexo, las Partes parten del principio de que KBINE soporta funciones de negocio importantes o críticas del Cliente.

Descripción de todos los servicios TIC

Una descripción clara y completa de todas las funciones y servicios TIC que debe prestar KBINE se encuentra en las CGU, que forman parte del presente Contrato. Estos servicios TIC se considerarán servicios en la nube: SaaS.

Software SaaS que ofrece soluciones integradas de cartografía del sistema de información, de seguimiento financiero de la dirección de TI y de medición del uso y la salud del sistema de información.

Corresponde al Cliente identificar cuáles de estos servicios soportan sus funciones de negocio importantes o críticas.

Subcontratación

KBINE puede recurrir a subcontratistas para realizar una parte de los servicios («subcontratación» a un «socio subcontratista»).

En caso de que KBINE recurra a socios subcontratistas para la realización de una parte de los servicios, KBINE reconoce y acepta:

• seguir siendo plenamente responsable de la calidad de la prestación y del cumplimiento de todas sus obligaciones contractuales y reglamentarias, incluidas las derivadas de las CGU, por sus subcontratistas;

• garantizar que todo subcontratista esté sujeto a obligaciones al menos equivalentes a las suyas en materia de seguridad, confidencialidad, continuidad de actividad y protección de datos;

• informar al Cliente a la mayor brevedad sobre cualquier nuevo subcontratista o proyecto de subcontratación de los servicios y/o cualquier modificación significativa de los mismos, en particular cuando dicha modificación afecte a la capacidad de KBINE para cumplir sus responsabilidades conforme a los Acuerdos; y

• poner a disposición del Cliente, con la mayor brevedad tras solicitud escrita, información suficiente sobre los subcontratistas de KBINE para permitir al Cliente cumplir sus obligaciones en virtud de DORA.

Localización de los datos

(DORA artículo 30, apartado 2, letra b)

Se informa al Cliente de que los datos tratados en el marco de los Servicios se prestan (y se almacenan) desde las siguientes localizaciones:

(i) la sede social de KBINE tal y como se describe en las CGU; y

(ii) la localización de los subcontratistas de KBINE, tal y como se indica en la lista de Subencargados.

KBINE informará al Cliente de cualquier modificación de los lugares en los que se prestan las funciones y servicios subcontratados, de acuerdo con el proceso definido en las CGU para cualquier actualización

(i) de las CGU o

(ii) de la lista de Subencargados.

Seguridad de los servicios

(DORA art. 30(2)(c) y art. 30(3)(c))

KBINE se compromete a mantener un alto nivel de seguridad operativa en el conjunto de los Servicios. A tal efecto, implementa medidas técnicas y organizativas adecuadas para garantizar:

(i) la confidencialidad de los datos del Cliente (prevención de cualquier acceso no autorizado);

(ii) la integridad y autenticidad de los datos (prevención de cualquier alteración, corrupción o falsificación de los datos tratados y garantía de que solo fuentes autorizadas puedan modificarlos);

(iii) la disponibilidad de los Servicios y de los datos, es decir, un acceso fiable y continuo del Cliente a su espacio y a sus datos, salvo indisponibilidades programadas acordadas previamente para mantenimiento o casos de fuerza mayor.

KBINE adoptará todas las disposiciones necesarias para minimizar las interrupciones del Servicio e implantará una supervisión proactiva de la disponibilidad.

Niveles de servicio

(DORA art. 30(2)(e) y 30(3)(a))

KBINE se compromete a prestar los Servicios de conformidad con los niveles de servicio acordados con el Cliente.

Los indicadores clave de rendimiento y de calidad de servicio (en particular disponibilidad, rendimiento, plazos de soporte y resolución de incidentes) se definen en las CGU.

KBINE proporcionará al Cliente, previa solicitud, un informe de seguimiento de los niveles de servicio. En caso de incumplimiento significativo y reiterado de los objetivos del SLA, el Cliente podrá aplicar las medidas previstas en el SLA (descuentos o penalizaciones acordadas, en su caso) y, si el incumplimiento persiste, ejercer su derecho de resolución conforme al artículo [Resolución] que se indica a continuación.

Los niveles de servicio podrán ajustarse de mutuo acuerdo mediante un anexo escrito para tener en cuenta la evolución de las necesidades del Cliente o del Servicio, respetando la normativa aplicable.

Acceso, recuperación y devolución de los datos

Los datos del Cliente subidos a la Plataforma serán conservados por KBINE durante los plazos de conservación indicados

(i) en el Acuerdo de tratamiento de datos incluido en las CGU, y

(ii) en la Política de privacidad.

El Cliente podrá exportar sus datos en cualquier momento durante la vigencia del Contrato mediante las funcionalidades estándar disponibles en la Plataforma.

Durante las dos (2) semanas siguientes a la fecha efectiva de resolución del Contrato, KBINE proporcionará gratuitamente, previa solicitud escrita del Cliente, un expediente con la exportación de sus datos subidos a la Plataforma, en un formato legible por programas estándar habitualmente disponibles. Transcurrido ese plazo, y si los datos no se han eliminado conforme a los plazos de conservación aplicables, KBINE se reserva el derecho a facturar gastos razonables para cubrir los costes operativos de cualquier solicitud adicional de exportación de datos del Cliente.

Reversibilidad y fin de contrato

(DORA art. 30(2)(d))

En caso de finalización del contrato o de su resolución por cualquier causa, KBINE se compromete a asegurar la reversibilidad completa de los Servicios en beneficio del Cliente o de un tercero designado por él. A tal fin, KBINE:

(i) devolverá al Cliente el conjunto de los datos que le pertenezcan o le sean imputables (incluidos datos personales y otros datos de negocio) en un formato estándar utilizable y ello en un plazo de dos (2) semanas a contar desde la fecha efectiva de fin de contrato;

(ii) facilitará la asistencia técnica razonable solicitada por el Cliente para facilitar la migración de dichos datos y la transición hacia otro proveedor o hacia una solución interna, en condiciones económicas predefinidas o, en su defecto, sin coste adicional para las operaciones estándar de devolución;

(iii) mantendrá, a solicitud del Cliente, los Servicios durante un periodo transitorio de hasta dos (2) semanas después de la fecha de fin de contrato, en las condiciones del contrato inicial, a fin de evitar cualquier interrupción brusca de las actividades del Cliente durante la migración.

Durante este periodo transitorio, o mientras la reversibilidad no haya concluido, KBINE seguirá respetando todas sus obligaciones contractuales (en particular en materia de seguridad, confidencialidad y soporte). Finalizado el periodo transitorio, o en cuanto el Cliente indique que la reversibilidad ha concluido, KBINE procederá a la eliminación definitiva de todos los datos del Cliente que permanezcan en sus sistemas.

En caso de cese brusco de las actividades de KBINE (en particular por insolvencia, liquidación u otra causa imprevista), KBINE implementará su plan de continuidad para permitir al Cliente recuperar sus datos a la mayor brevedad. KBINE se esforzará por notificar previamente al Cliente cualquier riesgo de cese de sus actividades que pueda afectar a la continuidad de los Servicios.

Derecho de resolución del Cliente

(DORA art. 30(2)(h))

Sin perjuicio de los supuestos de resolución previstos en otros apartados (por ejemplo, fuerza mayor prolongada, rechazo de una nueva subcontratación crítica, etc.), el Cliente podrá resolver de pleno derecho el presente contrato antes de su término en caso de incumplimiento grave por parte de KBINE de cualquiera de sus obligaciones esenciales derivadas del mismo, mediante el envío de una notificación escrita a KBINE.

Esta resolución anticipada surtirá efecto tras un preaviso de treinta (30) días durante el cual KBINE podrá intentar subsanar el incumplimiento si es reversible. Si el incumplimiento se subsana a satisfacción razonable del Cliente dentro de ese plazo, el Cliente podrá revocar su decisión de resolución.

Constituyen, en particular, un incumplimiento grave de KBINE que justifica una resolución por parte del Cliente: indisponibilidad o degradación reiterada del Servicio que impida al Cliente ejercer normalmente sus actividades; pérdida o comprometimiento de datos del Cliente por causa imputable a KBINE; un incidente de seguridad mayor que revele carencias en las medidas de protección; incumplimiento reiterado de los niveles de servicio acordados; negativa de KBINE a cooperar con el Cliente o con las autoridades de supervisión; o cualquier otro hecho que revele deficiencias de KBINE en la gestión de los riesgos TIC que puedan exponer gravemente al Cliente.

Además, el Cliente podrá resolver el contrato sin preaviso en el supuesto de que una autoridad de supervisión competente (por ejemplo, tras medidas adoptadas en aplicación del Reglamento DORA) exija la terminación de la relación con KBINE por razones vinculadas a la protección de los clientes, a la estabilidad financiera o a la no conformidad de KBINE. En tal caso, KBINE se compromete a cooperar plenamente en la transición y la reversibilidad, según lo previsto anteriormente.

La resolución anticipada por el Cliente se ejercerá mediante carta certificada con acuse de recibo indicando el motivo invocado. No dará derecho a ninguna indemnización a favor de KBINE, sin perjuicio de la remuneración de los Servicios prestados hasta la fecha efectiva de fin de contrato.

Sensibilización y formación

(DORA art. 30(2)(i))

El Cliente podrá invitar a KBINE, como máximo una vez al año, a participar en sus programas de sensibilización en seguridad TIC o de formación en resiliencia operativa digital (Formación TIC) destinados a los proveedores externos críticos, en la medida en que sea pertinente para los Servicios TIC de KBINE y únicamente para el personal cuyos roles requieran interactuar con los sistemas, protocolos y herramientas TIC del Cliente.

El Cliente deberá formular su solicitud a KBINE por escrito al menos un (1) mes antes del inicio de cualquier sesión específica de formación TIC, precisando el calendario y la duración, una descripción del contenido y los objetivos de la sesión, cualquier requisito relativo a los participantes, si la sesión se celebrará en línea o presencialmente (únicamente si no es posible la participación en línea) y el lugar.

KBINE se compromete, dentro de lo razonable, a cooperar en tales iniciativas para reforzar la seguridad del Servicio. Las Partes convienen que la participación de KBINE en cualquier Formación TIC está sujeta a la disponibilidad y capacidad de KBINE para participar.

Cooperación con las autoridades competentes

En el marco de la ejecución de las prestaciones y servicios TIC comprendidos en el Contrato, KBINE se compromete y obliga a cooperar plenamente con las autoridades competentes y con las autoridades de resolución del Cliente, incluidas las personas nombradas por dichas autoridades.

Derecho aplicable

El presente anexo se rige por el derecho nacional francés y por los reglamentos europeos aplicables a los que se hace referencia en el presente documento, el Reglamento DORA y los reglamentos conexos.

Si el tribunal declara inválidos artículos del presente anexo, los demás artículos permanecerán plenamente en vigor.

Las disposiciones del presente anexo se basan en el Reglamento sobre Resiliencia Operativa Digital (DORA), sus disposiciones conexas, las normas técnicas de ejecución (ITS) y las normas técnicas de regulación (RTS). Si alguno de esos instrumentos jurídicos se modifica o se deroga y una disposición del presente anexo deja de estar reflejada o exigida en el marco regulatorio aplicable, dicha disposición dejará de aplicarse. No obstante, las demás disposiciones del presente anexo permanecerán plenamente en vigor, salvo acuerdo en contrario de las partes.