Glosario · Cloud crítico · Riesgo TIC
Riesgo de concentración cloud: la dependencia como riesgo sistémico
El riesgo de concentración cloud es la exposición que se genera cuando muchas entidades dependen de un número reducido de proveedores —los hiperescalares— para funciones críticas. Bajo DORA, esa dependencia deja de ser un asunto interno y pasa a vigilarse como riesgo sistémico: el fallo de un único proveedor podría afectar a una parte sustancial del sector a la vez.
Cómo se gestiona
- Mapeo de dependencia — inventario de qué funciones críticas dependen de qué proveedor, hasta el subcontratista relevante.
- Estrategia de salida — plan documentado y probado para abandonar cada proveedor crítico sin interrumpir funciones esenciales.
- Reversibilidad — capacidad técnica de llevarse datos y cargas a otro proveedor o al on-premise, con formatos y herramientas abiertas.
- Multicloud — repartir cargas entre proveedores o mantener alternativas creíbles para no depender de uno solo.
Por qué importa en banca y seguros
Para el supervisor, la pregunta no es si una entidad usa la nube, sino qué pasaría si su proveedor crítico fallara —y si ese mismo proveedor sostiene a media banca a la vez. Por eso DORA (Reglamento UE 2022/2554) eleva el riesgo de concentración a categoría de vigilancia y faculta a las autoridades europeas para supervisar directamente a los proveedores TIC críticos. La respuesta de la entidad es demostrable: mapeo de dependencia, estrategia de salida probada y reversibilidad real, apoyada habitualmente en arquitecturas multicloud.
Cómo ayuda Vermont Solutions
Gobierno del riesgo TIC y estrategia de salida demostrable
Vermont acompaña a entidades financieras en el mapeo de dependencia de proveedores críticos, el diseño de estrategias de salida verificables y la reversibilidad multicloud que exige el marco de resiliencia operativa.
Ver gobernanza y cumplimiento →Fuentes
Última actualización: 2026-06-21. Contenido editorial de Vermont Solutions, citable bajo atribución.