Agencia Estatal Boletín Oficial del Estado

(1)

El Reglamento (UE) 2022/2554 abarca una amplia variedad de entidades financieras que difieren en cuanto a su tamaño, estructura y organización interna, así como en cuanto a la naturaleza y complejidad de sus actividades, y que, por lo tanto, presentan más o menos elementos de complejidad o mayores o menores riesgos. Para garantizar que esa variedad se tenga debidamente en cuenta, los requisitos relativos a las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las tecnologías de la información y las comunicaciones (TIC) y los relativos al marco simplificado de gestión del riesgo relacionado con las TIC deben ser proporcionados al tamaño, la estructura, la organización interna, la naturaleza y la complejidad de dichas entidades financieras, así como a los riesgos correspondientes.

(2)

Por la misma razón, las entidades financieras sujetas al Reglamento (UE) 2022/2554 deben disponer de cierta flexibilidad en la forma de cumplir los requisitos relativos a las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC y los relativos al marco simplificado de gestión del riesgo relacionado con las TIC. Por tanto, debe permitirse a las entidades financieras utilizar la documentación de la que ya dispongan para cumplir las obligaciones de documentación que se deriven de dichos requisitos. Así pues, solo debe exigirse la elaboración, documentación y aplicación de políticas específicas en materia de seguridad de las TIC respecto de determinados elementos esenciales, teniendo en cuenta, entre otras cosas, las prácticas y normas punteras del sector. Además, es necesario elaborar, documentar y aplicar procedimientos de seguridad de las TIC para cubrir aspectos específicos de la ejecución técnica, en particular la gestión de la capacidad y el rendimiento, la gestión de vulnerabilidades y de parches, la seguridad de los datos y sistemas y el registro.

(3)

A fin de garantizar la correcta aplicación a lo largo del tiempo de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el título II, capítulo I, del presente Reglamento, es importante que las entidades financieras asignen correctamente y mantengan todas las funciones y responsabilidades pertinentes relacionadas con la seguridad de las TIC y que establezcan las consecuencias del incumplimiento de las políticas o procedimientos en materia de seguridad de las TIC.

(4)

A fin de limitar el riesgo de conflictos de intereses, las entidades financieras deben garantizar la separación de tareas a la hora de asignar funciones y responsabilidades en relación con las TIC.

(5)

En interés de la flexibilidad y a fin de simplificar el marco de control de las entidades financieras, estas no deben tener la obligación de elaborar disposiciones específicas sobre las consecuencias del incumplimiento de las políticas, procedimientos y protocolos en materia de seguridad de las TIC a que se refiere el título II, capítulo I, del presente Reglamento cuando tales disposiciones ya estén establecidas en otra política o procedimiento.

(6)

En un entorno dinámico en el que los riesgos relacionados con las TIC se encuentran en constante evolución, es importante que las entidades financieras elaboren su conjunto de políticas en materia de seguridad de las TIC sobre la base de las prácticas punteras y, cuando proceda, las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (2). De esta forma, cabe esperar que las entidades financieras a que se refiere el título II del presente Reglamento se mantengan informadas y preparadas en un panorama cambiante.

(7)

A fin de garantizar su resiliencia operativa digital, las entidades financieras a que se refiere el título II del presente Reglamento deben, dentro de sus políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC, elaborar y aplicar una política de gestión de activos de TIC, procedimientos de gestión de la capacidad y el rendimiento, y políticas y procedimientos relacionados con las operaciones de TIC. Tales políticas y procedimientos son necesarios para garantizar el seguimiento de la situación de los activos de TIC a lo largo de su ciclo de vida, de modo que se usen y mantengan de manera eficaz (gestión de activos de TIC). Asimismo, las políticas y procedimientos mencionados deben garantizar que se optimice la explotación de los sistemas de TIC y que el rendimiento de los sistemas y de la capacidad de TIC cumpla los objetivos empresariales y de seguridad de la información establecidos (gestión de la capacidad y del rendimiento). Por último, esas políticas y procedimientos deben garantizar la eficacia y fluidez en la gestión y explotación cotidianas de los sistemas de TIC (operaciones de TIC), minimizando así el riesgo de pérdida de confidencialidad, integridad y disponibilidad de los datos. Por tanto, se trata de políticas y procedimientos necesarios para garantizar la seguridad de las redes, ofrecer salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos, y preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos.

(8)

A fin de velar por una gestión adecuada del riesgo relacionado con los sistemas de TIC heredados, las entidades financieras deben registrar y hacer un seguimiento de las fechas límite de los servicios de soporte de terceros para las TIC. En vista de las repercusiones que puede tener la pérdida de confidencialidad, integridad y disponibilidad de los datos, las entidades financieras deben centrarse en aquellos activos o sistemas de TIC que sean esenciales para el funcionamiento de la empresa a la hora de registrar y hacer un seguimiento de dichas fechas límite.

(9)

Los controles criptográficos pueden garantizar la disponibilidad, autenticidad, integridad y confidencialidad de los datos. Por tanto, las entidades financieras a que se refiere el título II del presente Reglamento deben determinar y aplicar dichos controles siguiendo un enfoque basado en el riesgo. A tal fin, las entidades financieras deben cifrar los datos de que se trate en reposo, en tránsito o, en caso necesario, en uso, sobre la base de los resultados de un proceso doble, a saber, la clasificación de los datos y una evaluación exhaustiva del riesgo relacionado con las TIC. Dada la complejidad que reviste el cifrado de los datos en uso, las entidades financieras a que se refiere el título II del presente Reglamento solo deben cifrar esos datos cuando los resultados de la evaluación del riesgo relacionado con las TIC así lo aconsejen. No obstante, cuando el cifrado de los datos en uso no sea factible o resulte demasiado complejo, las entidades financieras a que se refiere el título II del presente Reglamento han de poder proteger la confidencialidad, integridad y disponibilidad de los datos de que se trate a través de otras medidas de seguridad de las TIC. Habida cuenta de los rápidos avances tecnológicos en el ámbito de las técnicas criptográficas, las entidades financieras a que se refiere el título II del presente Reglamento deben mantenerse al tanto de los avances pertinentes en materia de criptoanálisis y tener en cuenta las prácticas y normas punteras. Por consiguiente, las entidades financieras a que se refiere el título II del presente Reglamento deben adoptar un enfoque flexible, basado en la mitigación y el seguimiento de los riesgos, para hacer frente al panorama dinámico de las amenazas criptográficas, incluidas las amenazas derivadas de los avances en el ámbito cuántico.

(10)

La seguridad de las operaciones de TIC y las políticas, procedimientos, protocolos y herramientas operativos son fundamentales para garantizar la confidencialidad, integridad y disponibilidad de los datos. Un aspecto clave es la estricta separación entre los entornos de producción de TIC y los entornos en los que se desarrollen y prueben los sistemas de TIC u otros entornos distintos del de producción. Dicha separación debe constituir una medida fundamental para la seguridad de las TIC frente a acciones no intencionadas y no autorizadas de acceso a datos, modificación de datos o supresión de datos en el entorno de producción, que podrían provocar graves perturbaciones en las operaciones comerciales de las entidades financieras a que se refiere el título II del presente Reglamento. Ahora bien, teniendo en cuenta las prácticas actuales de desarrollo de sistemas de TIC, las entidades financieras deben estar autorizadas, en circunstancias excepcionales, a realizar pruebas en entornos de producción, siempre que justifiquen esas pruebas y obtengan la aprobación requerida.

(11)

La rápida evolución del panorama de las TIC, de las vulnerabilidades en materia de TIC y de las ciberamenazas exige un enfoque proactivo y global para determinar, evaluar y hacer frente a tales vulnerabilidades. Sin ese enfoque, las entidades financieras y sus clientes, usuarios o contrapartes pueden verse gravemente expuestos a riesgos, lo que pondría en peligro su resiliencia operativa digital, la seguridad de sus redes y la disponibilidad, autenticidad, integridad y confidencialidad de los datos que las políticas y procedimientos en materia de seguridad de las TIC deben proteger. Por consiguiente, las entidades financieras a que se refiere el título II del presente Reglamento deben determinar y subsanar las vulnerabilidades en su entorno de TIC, y tanto las entidades financieras como sus proveedores terceros de servicios de TIC deben adherirse a un marco de gestión de vulnerabilidades coherente, transparente y responsable. Por la misma razón, las entidades financieras deben hacer un seguimiento de las vulnerabilidades en materia de TIC utilizando recursos fiables y herramientas automatizadas y verificar que los proveedores terceros de servicios de TIC garanticen una actuación rápida ante las vulnerabilidades en los servicios de TIC prestados.

(12)

La gestión de parches debe ser una parte fundamental de las políticas y procedimientos en materia de seguridad de las TIC que, a través de la realización de pruebas y la implementación en un entorno controlado, tienen por objeto resolver las vulnerabilidades detectadas y evitar perturbaciones derivadas de la instalación de parches.

(13)

Las entidades financieras, a fin de garantizar una comunicación oportuna y transparente de las amenazas para la seguridad que podrían afectarles a ellas y a sus partes interesadas, deben establecer procedimientos para la divulgación responsable de las vulnerabilidades en materia de TIC a los clientes, las contrapartes y el público. Al establecer dichos procedimientos, las entidades financieras deben tener en cuenta distintos factores, como la gravedad de una vulnerabilidad, sus posibles repercusiones para las partes interesadas y la disponibilidad de una solución o de medidas de mitigación.

(14)

Con miras a la asignación de derechos de acceso de usuario, las entidades financieras a que se refiere el título II del presente Reglamento deben establecer medidas firmes para verificar la identificación única de las personas y los sistemas que vayan a acceder a su información. No hacerlo expondría a las entidades financieras a posibles situaciones de acceso no autorizado, violaciones de la seguridad de los datos y actividades fraudulentas, poniendo así en peligro la confidencialidad, integridad y disponibilidad de los datos financieros sensibles. Si bien debe permitirse excepcionalmente el uso de cuentas genéricas o compartidas en circunstancias especificadas por las entidades financieras, estas han de garantizar que se asuma en todo momento la responsabilidad por las acciones realizadas con dichas cuentas. Sin esa salvaguardia, los usuarios malintencionados podrían obstaculizar las medidas de investigación y correctoras, dejando así a las entidades financieras expuestas a actividades malintencionadas no detectadas o sanciones por incumplimiento.

(15)

A fin de gestionar los rápidos avances en los entornos de TIC, las entidades financieras a que se refiere el título II del presente Reglamento deben aplicar políticas y procedimientos sólidos de gestión de proyectos de TIC que permitan mantener la disponibilidad, autenticidad, integridad y confidencialidad de los datos. Dichas políticas y procedimientos deben determinar, con independencia de la metodología de gestión de proyectos de TIC escogida por la entidad financiera, los elementos necesarios para que esa gestión se realice correctamente, en particular por lo que respecta a la modificación, adquisición, mantenimiento y desarrollo de los sistemas de TIC de la entidad financiera. En el contexto de tales políticas y procedimientos, las entidades financieras deben adoptar prácticas y métodos de prueba que se ajusten a sus necesidades, siguiendo al mismo tiempo un enfoque basado en el riesgo y garantizando el mantenimiento de un entorno de TIC seguro, fiable y resiliente. A fin de garantizar la ejecución segura de un proyecto de TIC, las entidades financieras deben velar por que el personal de un determinado sector de actividad o una determinada función empresarial que se vean influidos o afectados por el proyecto en cuestión pueda proporcionar la información y los conocimientos especializados necesarios. Con vistas a una supervisión eficaz, deben presentarse al órgano de dirección informes sobre los proyectos de TIC, en particular aquellos que afecten a funciones esenciales o importantes, y sobre los riesgos que lleven aparejados. Las entidades financieras han de adaptar la frecuencia y los detalles de las revisiones y los informes sistemáticos y continuos a la importancia y las dimensiones de los proyectos de TIC de que se trate.

(16)

Es preciso garantizar que los paquetes de software que adquieran y desarrollen las entidades financieras a que se refiere el título II del presente Reglamento se integren de manera efectiva y segura en el entorno de TIC existente, de conformidad con los objetivos empresariales y de seguridad de la información establecidos. Por consiguiente, las entidades financieras deben evaluar exhaustivamente dichos paquetes de software. A tal fin, y con miras a detectar vulnerabilidades y posibles deficiencias de seguridad tanto en los paquetes de software como en los sistemas de TIC en general, las entidades financieras deben someter a prueba la seguridad de las TIC. Asimismo, para evaluar la integridad del software y garantizar que su uso no plantee riesgos relacionados con la seguridad de las TIC, las entidades financieras deben revisar, utilizando métodos de prueba tanto estáticos como dinámicos, los códigos fuente del software adquirido, incluido, cuando sea posible, del software propietario suministrado por proveedores terceros de servicios de TIC.

(17)

Los cambios, con independencia de su escala, conllevan riesgos inherentes, de manera que pueden plantear riesgos significativos de pérdida de confidencialidad, integridad y disponibilidad de los datos y, en consecuencia, provocar graves perturbaciones de la actividad. Para proteger a las entidades financieras frente a posibles vulnerabilidades y debilidades relacionadas con las TIC que las expongan a riesgos significativos, se precisa un riguroso proceso de verificación que permita confirmar que todos los cambios cumplen los requisitos necesarios en materia de seguridad de las TIC. Por consiguiente, las entidades financieras a que se refiere el título II del presente Reglamento deben, como elemento fundamental de sus políticas y procedimientos en materia de seguridad de las TIC, contar con políticas y procedimientos sólidos para la gestión de cambios en las TIC. A fin de asegurar la objetividad y la eficacia del proceso de gestión de cambios en las TIC, evitar conflictos de intereses y garantizar que los cambios en las TIC se evalúen de forma objetiva, es necesario que las funciones responsables de aprobar dichos cambios estén separadas de las funciones que los soliciten e implementen. Para lograr que las transiciones sean eficaces, que los cambios en las TIC se implementen de forma controlada y que las perturbaciones en el funcionamiento de los sistemas de TIC sean mínimas, las entidades financieras deben asignar funciones y responsabilidades claras que garanticen la planificación de los cambios en las TIC, la realización de las pruebas adecuadas en relación con esos cambios y la calidad. Asimismo, para garantizar que los sistemas de TIC sigan funcionando de manera eficaz y dotarse de una red de seguridad, las entidades financieras deben elaborar y aplicar procedimientos alternativos. Las entidades financieras han de determinar claramente esos procedimientos alternativos y asignar responsabilidades con el fin de garantizar una respuesta rápida y eficaz cuando los cambios en las TIC no se implementen de forma correcta.

(18)

Con miras a la detección, gestión y notificación de incidentes relacionados con las TIC, las entidades financieras a que se refiere el título II del presente Reglamento deben establecer una política de incidentes relacionados con las TIC que abarque los componentes de un proceso de gestión de tales incidentes. A tal fin, las entidades financieras deben identificar todos los contactos pertinentes dentro y fuera de la organización que puedan facilitar la correcta coordinación y ejecución de las diferentes fases de ese proceso. Para optimizar la detección de incidentes relacionados con las TIC y la respuesta a ellos, así como para definir tendencias en los incidentes, que constituyen una valiosa fuente de información a la hora de determinar y tratar las causas subyacentes y los problemas de manera eficaz, las entidades financieras deben, en particular, analizar en detalle los incidentes relacionados con las TIC que consideren más significativos, entre otras cosas, debido a su reiteración periódica.

(19)

A fin de garantizar la detección temprana y eficaz de las actividades anómalas, las entidades financieras a que se refiere el título II del presente Reglamento deben recopilar, someter a seguimiento y analizar las distintas fuentes de información y asignar las funciones y responsabilidades correspondientes. Por lo que se refiere a las fuentes internas de información, si bien los registros constituyen una fuente extremadamente importante, las entidades financieras no deben basarse únicamente en ellos, sino que deben ampliar sus fuentes e incluir la información comunicada por otras funciones internas, ya que esas funciones suelen ser una valiosa fuente de información pertinente. Por la misma razón, las entidades financieras deben analizar y hacer un seguimiento de la información recabada de fuentes externas, en particular la facilitada por los proveedores terceros de TIC sobre los incidentes que afecten a sus sistemas y redes, así como la información procedente de otras fuentes que las entidades financieras consideren pertinentes. En la medida en que dicha información esté constituida por datos personales, es de aplicación la legislación de la Unión en materia de protección de datos. Los datos personales deben limitarse a lo necesario para la detección de incidentes.

(20)

A fin de facilitar la detección de incidentes relacionados con las TIC, las entidades financieras deben conservar pruebas de dichos incidentes. Para garantizar, por una parte, que las pruebas se conserven el tiempo suficiente y evitar, por otra parte, una carga normativa excesiva, las entidades financieras han de determinar el período de conservación teniendo en cuenta, entre otras cosas, el carácter esencial de los datos y los requisitos de conservación derivados del Derecho de la Unión.

(21)

Con el fin de garantizar que los incidentes relacionados con las TIC se detecten a tiempo, las entidades financieras a que se refiere el título II del presente Reglamento no deben considerar que los criterios determinados para activar la detección de incidentes relacionados con las TIC y las respuestas a ellos son exhaustivos. Además, si bien las entidades financieras han de tener en cuenta cada uno de esos criterios, no es necesario que las circunstancias descritas en ellos se produzcan simultáneamente y ha de tenerse debidamente en cuenta la importancia de los servicios de TIC afectados para activar los procesos de detección de incidentes relacionados con las TIC y respuesta a ellos.

(22)

Al elaborar una política de continuidad de la actividad en materia de TIC, las entidades financieras a que se refiere el título II del presente Reglamento deben tener en cuenta los componentes fundamentales de la gestión del riesgo relacionado con las TIC, en particular las estrategias de gestión y comunicación de incidentes relacionados con las TIC, el proceso de gestión de cambios en las TIC y los riesgos asociados a los proveedores terceros de servicios de TIC.

(23)

Es necesario establecer el conjunto de escenarios que las entidades financieras a que se refiere el título II del presente Reglamento deben tener en cuenta a efectos tanto de la aplicación de los planes de respuesta y recuperación en materia de TIC como del sometimiento a prueba de los planes de continuidad de la actividad en materia de TIC. Dichos escenarios deben servir de punto de partida para que las entidades financieras analicen tanto la pertinencia y verosimilitud de cada escenario como la necesidad de elaborar escenarios alternativos. Las entidades financieras han de centrarse en aquellos escenarios en los que la inversión en medidas de resiliencia pueda ser más eficaz y eficiente. Mediante las pruebas de las conmutaciones entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes, las entidades financieras deben evaluar si esa capacidad, esas copias y esas instalaciones funcionan de manera eficaz durante un período de tiempo suficiente y cerciorarse de que el funcionamiento normal de la infraestructura primaria de TIC se restablezca de conformidad con los objetivos de recuperación.

(24)

Es necesario establecer requisitos relativos al riesgo operativo, y, más concretamente, a la gestión de proyectos de TIC y cambios en las TIC y a la gestión de la continuidad de la actividad en materia de TIC, partiendo de los requisitos que ya se aplican a las entidades de contrapartida central, los depositarios centrales de valores y los centros de negociación, en virtud, respectivamente, de los Reglamentos (UE) n.o 648/2012 (3), (UE) n.o 600/2014 (4) y (UE) n.o 909/2014 (5) del Parlamento Europeo y del Consejo.

(25)

El artículo 6, apartado 5, del Reglamento (UE) 2022/2554 exige a las entidades financieras que revisen su marco de gestión del riesgo relacionado con las TIC y presenten a su autoridad competente un informe sobre dicha revisión. A fin de que las autoridades competentes puedan tratar fácilmente la información contenida en esos informes y garantizar la transmisión adecuada de tal información, las entidades financieras deben presentar los informes en un formato electrónico que permita realizar búsquedas.

(26)

Los requisitos aplicables a las entidades financieras sujetas al marco simplificado de gestión del riesgo relacionado con las TIC a que se refiere el artículo 16 del Reglamento (UE) 2022/2554 deben centrarse en aquellos ámbitos y elementos clave que, a la luz de la escala, el riesgo, el tamaño y la complejidad de tales entidades financieras, sean, como mínimo, necesarios para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de sus datos y servicios. En ese contexto, dichas entidades financieras deben contar con un marco interno de gobernanza y control en el que se establezcan responsabilidades claras para hacer posible un marco eficaz y sólido de gestión de riesgos. Además, con miras a reducir la carga administrativa y operativa, las mencionadas entidades financieras deben elaborar y documentar una sola política, esto es, una política de seguridad de la información, en la que se especifiquen los principios y normas generales necesarios para proteger la confidencialidad, integridad, disponibilidad y autenticidad de sus datos y servicios.

(27)

Las disposiciones del presente Reglamento abordan el ámbito del marco de gestión del riesgo relacionado con las TIC detallando los elementos específicos aplicables a las entidades financieras de conformidad con el artículo 15 del Reglamento (UE) 2022/2554 y diseñando el marco simplificado de gestión del riesgo relacionado con las TIC para las entidades financieras contempladas en el artículo 16, apartado 1, del mismo Reglamento. A fin de garantizar la coherencia entre el marco ordinario y el marco simplificado de gestión del riesgo relacionado con las TIC, y teniendo en cuenta que las disposiciones correspondientes a uno y otro deben comenzar a aplicarse al mismo tiempo, conviene incluirlas en un único acto legislativo.

(28)

El presente Reglamento se basa en los proyectos de normas técnicas de regulación presentados a la Comisión por la Autoridad Bancaria Europea, la Autoridad Europea de Seguros y Pensiones de Jubilación y la Autoridad Europea de Valores y Mercados (Autoridades Europeas de Supervisión), en consulta con la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

(29)

El Comité Mixto de las Autoridades Europeas de Supervisión a que se refieren el artículo 54 del Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (6), el artículo 54 del Reglamento (UE) n.o 1094/2010 del Parlamento Europeo y del Consejo (7) y el artículo 54 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (8) ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los posibles costes y beneficios de las normas propuestas y ha solicitado el asesoramiento del Grupo de Partes Interesadas del Sector Bancario creado de conformidad con el artículo 37 del Reglamento (UE) n.o 1093/2010, el Grupo de Partes Interesadas del Sector de Seguros y Reaseguros y el Grupo de Partes Interesadas del Sector de Pensiones de Jubilación creados de conformidad con el artículo 37 del Reglamento (UE) n.o 1094/2010, y el Grupo de Partes Interesadas del Sector de los Valores y Mercados creado de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010.

(30)

En la medida en que el cumplimiento de las obligaciones establecidas en el presente acto requiera el tratamiento de datos personales, deben aplicarse plenamente los Reglamentos (UE) 2016/679 (9) (UE) 2018/1725 (10) del Parlamento Europeo y del Consejo. Por ejemplo, debe respetarse el principio de minimización de datos cuando se recojan datos personales para garantizar la detección adecuada de incidentes. Se ha consultado también al Supervisor Europeo de Protección de Datos acerca del proyecto de texto del presente acto.

a)

el cifrado y la criptografía;

b)

la seguridad de las operaciones de TIC;

c)

la seguridad de las redes;

d)

la gestión de proyectos de TIC y de cambios en las TIC;

e)

las posibles repercusiones del riesgo relacionado con las TIC sobre la confidencialidad, integridad y disponibilidad de los datos, y las posibles repercusiones de las perturbaciones sobre la continuidad y disponibilidad de las actividades de la entidad financiera.

a)

garanticen la seguridad de las redes;

b)

contengan salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos;

c)

preserven la disponibilidad, autenticidad, integridad y confidencialidad de los datos, en particular mediante el uso de técnicas criptográficas;

d)

garanticen una transmisión exacta y rápida de los datos sin perturbaciones importantes ni demoras indebidas.

a)

estén en consonancia con los objetivos de seguridad de la información contenidos en la estrategia de resiliencia operativa digital a que se refiere el artículo 6, apartado 8, del Reglamento (UE) 2022/2554;

b)

indiquen la fecha de su aprobación formal por el órgano de dirección;

c)

contengan indicadores y parámetros de medición para:

i) realizar el seguimiento de la aplicación de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC,

ii) registrar las excepciones a dicha aplicación,

iii) garantizar que se mantenga la resiliencia operativa digital de la entidad financiera cuando se produzcan las excepciones a que se refiere el inciso ii);

d)

especifiquen las responsabilidades del personal a todos los niveles para garantizar la seguridad de las TIC en la entidad financiera;

e)

especifiquen las consecuencias de su incumplimiento por parte del personal de la entidad financiera, cuando las disposiciones a tal efecto no estén establecidas en otras políticas de la entidad financiera;

f)

enumeren la documentación que debe conservarse;

g)

especifiquen las disposiciones sobre separación de funciones en el contexto del modelo de las tres líneas de defensa u otro modelo interno de gestión y control de riesgos, según proceda, con el fin de evitar los conflictos de intereses;

h)

tengan en cuenta las prácticas punteras y, en su caso, las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012;

i)

determinen las funciones y responsabilidades a efectos de su propia elaboración, aplicación y mantenimiento, así como de la elaboración, aplicación y mantenimiento de los procedimientos, protocolos y herramientas conexos;

j)

se revisen de conformidad con el artículo 6, apartado 5, del Reglamento (UE) 2022/2554;

k)

tomen en consideración los cambios importantes que afecten a la entidad financiera, en particular los cambios importantes en sus actividades o procesos, en el panorama de ciberamenazas o en las obligaciones jurídicas aplicables.

a)

la indicación de la aprobación del nivel de tolerancia al riesgo relacionado con las TIC que se haya establecido de conformidad con el artículo 6, apartado 8, letra b), del Reglamento (UE) 2022/2554;

b)

un procedimiento y una metodología para llevar a cabo la evaluación del riesgo relacionado con las TIC que determinen:

i) las vulnerabilidades y amenazas que afecten o puedan afectar a las funciones empresariales sustentadas y a los sistemas de TIC y activos de TIC que sustenten dichas funciones,

ii) los indicadores cuantitativos o cualitativos para medir las repercusiones y la probabilidad de las vulnerabilidades y amenazas a que se refiere el inciso i);

c)

el procedimiento para determinar, aplicar y documentar las medidas de tratamiento de los riesgos relacionados con las TIC que hayan sido detectados y evaluados, incluidas las medidas de tratamiento necesarias para situar el riesgo relacionado con las TIC dentro del nivel de tolerancia al riesgo a que se refiere la letra a);

d)

respecto de los riesgos residuales relacionados con las TIC que persistan tras aplicar las medidas de tratamiento a que se refiere la letra c):

i) disposiciones sobre la determinación de dichos riesgos residuales relacionados con las TIC,

ii) la asignación de funciones y responsabilidades en relación con:

 1) la aceptación de los riesgos residuales relacionados con las TIC que superen el nivel de tolerancia al riesgo de la entidad financiera a que se refiere la letra a);

 2) el proceso de revisión a que se refiere el inciso iv) de la presente letra d),

iii) la elaboración de un inventario de los riesgos residuales relacionados con las TIC aceptados, que incluya la justificación para tal aceptación,

iv) disposiciones sobre la revisión, al menos una vez al año, de los riesgos residuales relacionados con las TIC aceptados, incluido lo siguiente:

 1) determinación de posibles cambios en los riesgos residuales relacionados con las TIC;

 2) evaluación de las medidas de mitigación disponibles;

 3) evaluación de la validez y aplicabilidad, en la fecha de la revisión, de las razones que hayan justificado la aceptación de los riesgos residuales relacionados con las TIC;

e)

disposiciones sobre el seguimiento de:

i) los cambios en el panorama de los riesgos relacionados con las TIC y las ciberamenazas,

ii) las vulnerabilidades y amenazas internas y externas,

iii) los riesgos relacionados con las TIC de la entidad financiera, de manera que se detecte rápidamente todo cambio que pueda afectar a su perfil de riesgo relacionado con las TIC;

f)

disposiciones sobre un proceso para garantizar que se tenga en cuenta todo cambio en la estrategia empresarial y la estrategia de resiliencia operativa digital de la entidad financiera.

a)

se haga un seguimiento de la eficacia de las medidas aplicadas para el tratamiento del riesgo relacionado con las TIC;

b)

se evalúe si se han alcanzado los niveles de tolerancia al riesgo establecidos por la entidad financiera;

c)

se evalúe si la entidad financiera ha emprendido acciones para corregir o mejorar dichas medidas en caso necesario.

a)

exigirá el seguimiento y la gestión del ciclo de vida de los activos de TIC que hayan sido identificados y clasificados de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554;

b)

exigirá que la entidad financiera lleve un registro de todos los aspectos siguientes:

c)

en el caso de las entidades financieras que no sean microempresas, exigirá que tales entidades conserven la información necesaria para realizar la evaluación específica del riesgo relacionado con las TIC en todos los sistemas de TIC heredados a que se refiere el artículo 8, apartado 7, del Reglamento (UE) 2022/2554.

a)

una descripción de los activos de TIC, incluidos todos los requisitos siguientes:

i) requisitos relativos a la instalación, el mantenimiento, la configuración y la desinstalación con seguridad de un sistema de TIC,

ii) requisitos relativos a la gestión de los activos de información utilizados por los activos de TIC, en particular su tratamiento y manejo, tanto automatizado como manual,

iii) requisitos relativos a la identificación de los sistemas de TIC heredados y su control;

b)

controles y seguimiento de los sistemas de TIC, incluidos todos los aspectos siguientes:

i) requisitos relativos a la copia de seguridad y restauración de los sistemas de TIC,

ii) requisitos de planificación, teniendo en cuenta las interdependencias entre los sistemas de TIC,

iii) protocolos para la pista de auditoría y la información de registro del sistema,

iv) requisitos para garantizar que la realización de auditorías internas y otras pruebas cause las mínimas perturbaciones de las operaciones comerciales,

v) requisitos relativos a la separación entre los entornos de producción de TIC y los de desarrollo y de pruebas y otros entornos distintos del de producción,

vi) requisitos para llevar a cabo el desarrollo y las pruebas en entornos separados del entorno de producción,

vii) requisitos para llevar a cabo el desarrollo y las pruebas en entornos de producción;

c)

gestión de errores en relación con los sistemas de TIC, incluidos todos los aspectos siguientes:

i) procedimientos y protocolos para la gestión de errores,

ii) contactos para asistencia y traslado a una instancia jerárquica superior, incluidos los contactos externos para asistencia en caso de problemas operativos o técnicos imprevistos,

iii) procedimientos de reinicio, reversión y recuperación de los sistemas de TIC en caso de interrupción de dichos sistemas.

a)

determinar los recursos de información que sean pertinentes y fiables para desarrollar y mantener la sensibilización sobre las vulnerabilidades, y actualizarlos;

b)

garantizar la realización de exploraciones y evaluaciones automatizadas de vulnerabilidad de los activos de TIC cuya frecuencia y alcance serán acordes con la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y con el perfil de riesgo general del activo de TIC;

c)

verificar:

i) si los proveedores terceros de servicios de TIC gestionan las vulnerabilidades relacionadas con los servicios de TIC prestados a la entidad financiera,

ii) si dichos proveedores de servicios informan a la entidad financiera al menos de las vulnerabilidades graves y de las estadísticas y tendencias de manera oportuna;

d)

hacer un seguimiento del uso de:

i) las bibliotecas de terceros, incluidas las bibliotecas de código abierto, a las que recurran los servicios de TIC que sustentan funciones esenciales o importantes,

ii) los servicios de TIC desarrollados por la propia entidad financiera o personalizados o desarrollados específicamente para la entidad financiera por un proveedor tercero de servicios de TIC;

e)

establecer procedimientos para la divulgación responsable de las vulnerabilidades a los clientes, las contrapartes y el público;

f)

dar prioridad a la implementación de parches y otras medidas de mitigación para hacer frente a las vulnerabilidades detectadas;

g)

hacer un seguimiento de la subsanación de las vulnerabilidades y verificar esa subsanación;

h)

exigir el registro de toda vulnerabilidad detectada que afecte a los sistemas de TIC y el seguimiento de su resolución.

a)

en la medida de lo posible, determinar y evaluar los parches de software y hardware y las actualizaciones disponibles utilizando herramientas automatizadas;

b)

determinar los procedimientos de emergencia para el parcheo y la actualización de los activos de TIC;

c)

probar e implementar los parches de software y hardware y las actualizaciones con arreglo al artículo 8, apartado 2, letra b), incisos v), vi) y vii);

d)

fijar plazos para la instalación de parches de software y hardware y actualizaciones y establecer procedimientos de traslado a la instancia jerárquica superior en caso de que dichos plazos no puedan cumplirse.

a)

las restricciones de acceso a que se refiere el artículo 21 del presente Reglamento, que respaldarán los requisitos de protección de cada nivel de clasificación;

b)

la determinación de una configuración segura de referencia para los activos de TIC que minimice su exposición a ciberamenazas y medidas para verificar periódicamente que dicha configuración se aplique de manera efectiva;

c)

la determinación de medidas de seguridad para garantizar que únicamente se instale software autorizado en los sistemas de TIC y los dispositivos de nodo final;

d)

la determinación de medidas de seguridad contra códigos maliciosos;

e)

la determinación de medidas de seguridad para garantizar que únicamente se utilicen soportes de almacenamiento de datos, sistemas y dispositivos de nodo final autorizados a la hora de transferir y almacenar datos de la entidad financiera;

f)

los siguientes requisitos para garantizar el uso seguro de los dispositivos de nodo final portátiles y los dispositivos de nodo final no portátiles privados:

i) el requisito de utilizar una solución de gestión para gestionar a distancia los dispositivos de nodo final y borrar a distancia los datos de la entidad financiera,

ii) el requisito de utilizar mecanismos de seguridad que no puedan ser modificados, retirados o eludidos sin autorización por los miembros del personal o los proveedores terceros de servicios de TIC,

iii) el requisito de utilizar dispositivos de almacenamiento de datos extraíbles únicamente cuando el riesgo residual relacionado con las TIC permanezca dentro del nivel de tolerancia al riesgo de la entidad financiera a que se refiere el artículo 3, apartado 1, letra a);

g)

el proceso para la supresión segura de los datos que se encuentren en los locales de la entidad financiera o estén almacenados externamente y que la entidad financiera ya no necesite recopilar o almacenar;

h)

el proceso para desechar o desactivar de forma segura los dispositivos de almacenamiento de datos que se encuentren en los locales de la entidad financiera o estén almacenados externamente y que contengan información confidencial;

i)

la determinación y aplicación de medidas de seguridad para prevenir la pérdida y fuga de datos en relación con los sistemas y dispositivos de nodo final;

j)

la aplicación de medidas de seguridad para garantizar que el teletrabajo y el uso de dispositivos de nodo final privados no incidan negativamente en la seguridad de las TIC de la entidad financiera;

k)

en el caso de los activos o servicios de TIC explotados por un proveedor tercero de servicios de TIC, la determinación y aplicación de requisitos para mantener la resiliencia operativa digital, de conformidad con los resultados de la clasificación de datos y la evaluación del riesgo relacionado con las TIC.

a)

la aplicación de los parámetros recomendados por los proveedores en los elementos explotados por la entidad financiera;

b)

una distribución clara de funciones y responsabilidades en materia de seguridad de la información entre la entidad financiera y el proveedor tercero de servicios de TIC, de conformidad con el principio de plena responsabilidad de la entidad financiera respecto de su proveedor tercero de servicios de TIC a que se refiere el artículo 28, apartado 1, letra a), del Reglamento (UE) 2022/2554, y, en el caso de las entidades financieras a que se refiere el artículo 28, apartado 2, del mismo Reglamento, de conformidad con la política de la entidad financiera sobre el uso de servicios de TIC que sustentan funciones esenciales o importantes;

c)

la necesidad de garantizar y mantener las competencias adecuadas dentro de la entidad financiera en lo referente a la gestión y seguridad del servicio utilizado;

d)

medidas técnicas y organizativas destinadas a minimizar los riesgos relacionados con la infraestructura utilizada por el proveedor tercero para prestar sus servicios de TIC, teniendo en cuenta las prácticas punteras y las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012.

a)

la determinación de los hechos que deben registrarse, el período de conservación de los registros y las medidas para proteger y gestionar los datos de los registros, teniendo en cuenta la finalidad para la que se crean tales registros;

b)

la correspondencia entre el nivel de detalle de los registros y su finalidad y uso, a fin de permitir la detección eficaz de las actividades anómalas a que se refiere el artículo 24;

c)

el requisito de registrar los hechos relacionados con todos los aspectos siguientes:

i) el control del acceso lógico y físico a que se refiere el artículo 21 y la gestión de la identidad,

ii) la gestión de la capacidad,

iii) la gestión de cambios,

iv) las operaciones de TIC, incluidas las actividades de los sistemas de TIC,

v) las actividades de tráfico de red, incluido el rendimiento de las redes de TIC;

d)

medidas para proteger los sistemas de registro y la información de los registros contra la manipulación, la supresión y el acceso no autorizado en reposo, en tránsito y, en su caso, en uso;

e)

medidas para detectar fallos en los sistemas de registro;

f)

sin perjuicio de los requisitos normativos aplicables en virtud del Derecho de la Unión o nacional, la sincronización de los relojes de cada uno de los sistemas de TIC de la entidad financiera con una fuente de tiempo de referencia fiable y documentada.

a)

la separación y segmentación de los sistemas y redes de TIC teniendo en cuenta:

i) el carácter esencial o la importancia de la función sustentada por dichos sistemas y redes de TIC,

ii) la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554,

iii) el perfil de riesgo general de los activos de TIC que utilicen dichos sistemas y redes de TIC;

b)

la documentación de todas las conexiones de red y flujos de datos de la entidad financiera;

c)

el uso de una red separada y específica para la administración de los activos de TIC;

d)

la determinación y aplicación de controles de acceso a las redes para prevenir y detectar las conexiones a la red de la entidad financiera mediante cualquier dispositivo o sistema no autorizado o cualquier nodo final que no cumpla los requisitos de seguridad de la entidad financiera;

e)

el cifrado de las conexiones de red que pasen por redes corporativas, redes públicas, redes domésticas, redes de terceros y redes inalámbricas, en lo referente a los protocolos de comunicación utilizados, teniendo en cuenta los resultados de la clasificación de datos aprobada, los resultados de la evaluación del riesgo relacionado con las TIC y el cifrado de las conexiones de red a que se refiere el artículo 6, apartado 2;

f)

el diseño de las redes en consonancia con los requisitos de seguridad de las TIC establecidos por la entidad financiera, teniendo en cuenta las prácticas punteras para garantizar la confidencialidad, integridad y disponibilidad de las redes;

g)

la protección del tráfico de red entre las redes internas e internet y otras conexiones externas;

h)

la determinación de las funciones y responsabilidades y de las etapas para la especificación, aplicación, aprobación, modificación y revisión de las reglas cortafuegos y los filtros de conexión;

i)

la revisión de la arquitectura de las redes y del diseño de la seguridad de las redes una vez al año, y periódicamente en el caso de las microempresas, con el fin de detectar posibles vulnerabilidades;

j)

las medidas para aislar temporalmente, en caso necesario, las subredes y los componentes y dispositivos de red;

k)

la aplicación de una configuración segura de referencia de todos los componentes de las redes y el endurecimiento de las redes y de los dispositivos de red en consonancia con las instrucciones de los proveedores, las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012, en su caso, y las prácticas punteras;

l)

los procedimientos para limitar, bloquear y cerrar las sesiones de sistema y a distancia tras un período de inactividad especificado;

m)

respecto de los acuerdos de servicios de red:

a)

la disponibilidad, autenticidad, integridad y confidencialidad de los datos durante las transmisiones en red y el establecimiento de procedimientos para evaluar el cumplimiento de tales requisitos;

b)

la prevención y detección de fugas de datos y la transferencia segura de información entre la entidad financiera y las partes externas;

c)

la aplicación de requisitos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la entidad financiera en materia de protección de la información, en relación con el personal tanto de la entidad financiera como de terceros, y la documentación y revisión periódica de dichos requisitos o acuerdos.

a)

objetivos de los proyectos de TIC;

b)

gobernanza de los proyectos de TIC, en particular las funciones y responsabilidades;

c)

planificación, calendario y etapas de los proyectos de TIC;

d)

evaluación de los riesgos de los proyectos de TIC;

e)

hitos pertinentes;

f)

requisitos en materia de gestión de los cambios;

g)

sometimiento a prueba de todos los requisitos, entre ellos los requisitos de seguridad, y proceso correspondiente de aprobación para la implementación de un sistema de TIC en el entorno de producción.

a)

de forma individual o agregada, dependiendo de la importancia y las dimensiones de los proyectos de TIC;

b)

periódicamente y, en caso necesario, en función de hechos específicos.

a)

determinará las prácticas de seguridad y las metodologías relacionadas con la adquisición, el desarrollo y el mantenimiento de sistemas de TIC;

b)

exigirá la determinación de:

i) especificaciones técnicas y especificaciones técnicas de las TIC en el sentido del artículo 2, puntos 4 y 5, del Reglamento (UE) n.o 1025/2012,

ii) requisitos relativos a la adquisición, desarrollo y mantenimiento de sistemas de TIC, prestando especial atención a los requisitos de seguridad de las TIC y a su aprobación por la función empresarial pertinente y el propietario de los activos de TIC de conformidad con los mecanismos de gobernanza interna de la entidad financiera;

c)

especificará medidas para mitigar el riesgo de alteración no intencionada o de manipulación intencionada de los sistemas de TIC durante su desarrollo, mantenimiento e implementación en el entorno de producción.

a)

los miembros compensadores y clientes;

b)

las entidades de contrapartida central interoperables;

c)

otras partes interesadas.

a)

los usuarios;

b)

los prestadores de servicios esenciales;

c)

otros depositarios centrales de valores;

d)

otras infraestructuras del mercado;

e)

otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.

a)

identificar y analizar las vulnerabilidades y anomalías en el código fuente;

b)

adoptar un plan de acción para hacer frente a esas vulnerabilidades y anomalías;

c)

hacer un seguimiento de la aplicación de dicho plan de acción.

a)

los entornos distintos del de producción únicamente almacenarán datos de producción anonimizados, seudonimizados o aleatorizados;

b)

las entidades financieras deberán proteger la integridad y la confidencialidad de los datos en los entornos distintos del de producción.

a)

la verificación del cumplimiento de los requisitos de seguridad de las TIC;

b)

mecanismos para garantizar la independencia de las funciones que aprueban los cambios y las funciones responsables de solicitar y aplicar dichos cambios;

c)

una descripción clara de las funciones y responsabilidades a fin de garantizar:

i) la especificación y planificación de los cambios,

ii) el diseño de una transición adecuada,

iii) el sometimiento a prueba y la ultimación de los cambios de manera controlada,

iv) la existencia de un aseguramiento eficaz de la calidad;

d)

la documentación y comunicación de los detalles de los cambios, en particular:

i) el objeto y alcance de los cambios,

ii) el calendario para la aplicación de los cambios,

iii) los resultados esperados;

e)

la determinación de responsabilidades y procedimientos alternativos, en particular responsabilidades y procedimientos para abortar un cambio o recuperarse de un cambio que no se ha ejecutado correctamente;

f)

procedimientos, protocolos y herramientas para gestionar los cambios de emergencia que ofrezcan las salvaguardias adecuadas;

g)

procedimientos para documentar, reexaminar, evaluar y aprobar los cambios de emergencia tras su aplicación, incluidas las soluciones alternativas y los parches;

h)

la determinación de las posibles repercusiones de un cambio sobre las medidas de seguridad de las TIC vigentes, y la evaluación de si dicho cambio requiere la adopción de medidas de seguridad de las TIC adicionales.

a)

los miembros compensadores y clientes;

b)

las entidades de contrapartida central interoperables;

c)

otras partes interesadas.

a)

los usuarios;

b)

los prestadores de servicios esenciales;

c)

otros depositarios centrales de valores;

d)

otras infraestructuras del mercado;

e)

otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad en materia de TIC.

a)

una referencia a la parte de la política sobre el control de los derechos de gestión de accesos a que se refiere el artículo 21, apartado 1, letra g);

b)

medidas para proteger contra ataques, accidentes y amenazas y peligros naturales los locales, los centros de datos de la entidad financiera y las zonas sensibles designadas determinadas por la entidad financiera en las que se encuentren los activos de TIC y los activos de información;

c)

medidas para proteger los activos de TIC, tanto dentro como fuera de los locales de la entidad financiera, teniendo en cuenta los resultados de la evaluación del riesgo relacionado con las TIC respecto de los activos de TIC pertinentes;

d)

medidas para garantizar la disponibilidad, autenticidad, integridad y confidencialidad de los activos de TIC, los activos de información y los dispositivos de control del acceso físico de la entidad financiera mediante el mantenimiento adecuado;

e)

medidas para preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos, en particular:

i) una política de mesas limpias para los documentos,

ii) una política de pantallas limpias para las instalaciones de tratamiento de información.

a)

la determinación y asignación de toda responsabilidad específica en materia de seguridad de las TIC;

b)

los requisitos de que el personal de la entidad financiera y de los proveedores terceros de servicios de TIC que utilice activos de TIC de la entidad financiera o acceda a ellos:

i) esté informado de las políticas, procedimientos y protocolos en materia de seguridad de las TIC de la entidad financiera y se adhiera a ellos,

ii) conozca los canales de denuncia establecidos por la entidad financiera para la detección de comportamientos anómalos, incluidos, en su caso, los canales de denuncia establecidos de conformidad con la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (11),

iii) restituya a la entidad financiera, al término de su relación laboral, todos los activos de TIC y los activos de información tangibles que obren en su poder y pertenezcan a la entidad financiera.

a)

sin perjuicio de lo dispuesto en el artículo 21, apartado 1, letra c), se asignará una identidad única correspondiente a una cuenta de usuario única a cada miembro del personal de la entidad financiera o del personal de los proveedores terceros de servicios de TIC que acceda a los activos de información y los activos de TIC de la entidad financiera;

b)

un proceso de gestión de identidades y cuentas a lo largo de su ciclo de vida que gestione la creación, modificación, revisión y actualización, la desactivación temporal y la cancelación de todas las cuentas.

a)

la asignación de derechos de acceso a los activos de TIC sobre la base de los principios de «necesidad de conocer», «necesidad de uso» y «mínimo privilegio», también para el acceso a distancia y de emergencia;

b)

la separación de funciones con el fin de impedir el acceso injustificado a datos esenciales o la asignación de combinaciones de derechos de acceso que puedan utilizarse para eludir los controles;

c)

una disposición sobre responsabilidad de los usuarios que limite en la medida de lo posible el uso de cuentas de usuario genéricas y compartidas y garantice que, en todo momento, los usuarios sean identificables cuando realicen acciones en los sistemas de TIC;

d)

una disposición sobre las restricciones de acceso a los activos de TIC que establezca controles y herramientas para impedir el acceso no autorizado;

e)

procedimientos de gestión de cuentas para la concesión, modificación o revocación de derechos de acceso en relación con las cuentas de usuario y las cuentas genéricas, incluidas las cuentas de administrador genéricas, que incluyan disposiciones sobre todos los aspectos siguientes:

i) asignación de funciones y responsabilidades para la concesión, revisión y revocación de los derechos de acceso,

ii) asignación de acceso privilegiado, de emergencia y de administrador sobre la base del principio de «necesidad de uso» o con carácter ad hoc para todos los sistemas de TIC,

iii) retirada de los derechos de acceso sin demora indebida al término de la relación laboral o cuando el acceso ya no sea necesario,

iv) actualización de los derechos de acceso cuando se requiera introducir cambios y al menos una vez al año para todos los sistemas de TIC que no sustenten funciones esenciales o importantes y al menos cada seis meses para los sistemas de TIC que sustenten funciones esenciales o importantes;

f)

métodos de autenticación, incluidos todos los aspectos siguientes:

i) el uso de métodos de autenticación que sean acordes con la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y con el perfil de riesgo general de los activos de TIC, y que tengan en cuenta las prácticas punteras,

ii) el uso de métodos de autenticación sólidos de conformidad con las prácticas y técnicas punteras para el acceso a distancia a la red de la entidad financiera, el acceso privilegiado y el acceso a los activos de TIC que sustenten funciones esenciales o importantes o a los activos de TIC que sean de acceso público;

g)

medidas de control del acceso físico que incluyan lo siguiente:

i) la identificación y el registro de las personas físicas autorizadas a acceder a los locales, los centros de datos y las zonas sensibles designadas determinadas por la entidad financiera en los que se encuentren los activos de TIC y de información,

ii) la concesión de derechos de acceso físico a los activos de TIC esenciales únicamente a las personas autorizadas, de conformidad con los principios de «necesidad de conocer» y «mínimo privilegio» y con carácter ad hoc,

iii) el seguimiento del acceso físico a los locales, los centros de datos y las zonas sensibles designadas determinadas por la entidad financiera en los que se encuentren los activos de TIC, los activos de información o ambos,

iv) la revisión de los derechos de acceso físico para garantizar la rápida revocación de los derechos que no sean necesarios.

a)

documentarán el proceso de gestión de incidentes relacionados con las TIC a que se refiere el artículo 17 del Reglamento (UE) 2022/2554;

b)

establecerán una lista de los contactos pertinentes con las funciones internas y las partes interesadas externas que participen directamente en la seguridad de las operaciones de TIC, en particular por lo que respecta a:

i) la detección y el seguimiento de las ciberamenazas,

ii) la detección de actividades anómalas,

iii) la gestión de vulnerabilidades;

c)

establecerán, implementarán y aplicarán mecanismos técnicos, organizativos y operativos en apoyo del proceso de gestión de incidentes relacionados con las TIC, en particular mecanismos que permitan la rápida detección de actividades y comportamientos anómalos de conformidad con el artículo 23 del presente Reglamento;

d)

conservarán todas las pruebas sobre los incidentes relacionados con las TIC por un período no superior al necesario para los fines con los que se hayan recopilado los datos y acorde con el carácter esencial de las funciones empresariales, los procesos de apoyo y los activos de información y de TIC afectados, de conformidad con el [artículo [15] del Reglamento Delegado (UE) 2024/1772 de la Comisión (12) y con cualquier requisito de conservación aplicable en virtud del Derecho de la Unión;

e)

establecerán y aplicarán mecanismos para analizar los incidentes relacionados con las TIC significativos o recurrentes y los patrones en el número y la frecuencia de los incidentes relacionados con las TIC.

a)

recopilar, analizar y hacer un seguimiento de todos los aspectos siguientes:

i) factores internos y externos, incluidos, como mínimo, los registros recopilados de conformidad con el artículo 12 del presente Reglamento, la información de las funciones empresariales y de TIC, y los problemas notificados por los usuarios de la entidad financiera,

ii) posibles ciberamenazas internas y externas, teniendo en cuenta los escenarios utilizados habitualmente por los agentes de riesgo y los escenarios basados en actividades de inteligencia sobre amenazas,

iii) notificación por un proveedor tercero de servicios de TIC de la entidad financiera de incidentes relacionados con las TIC detectados en las redes y sistemas de TIC del proveedor que puedan afectar a la entidad financiera;

b)

detectar actividades y comportamientos anómalos e introducir herramientas que generen alertas sobre dichas actividades y comportamientos, al menos para los activos de TIC y los activos de información que sustenten funciones esenciales o importantes;

c)

dar prioridad a las alertas a que se refiere la letra b) para que los incidentes relacionados con las TIC detectados puedan gestionarse dentro del tiempo de resolución previsto, según lo especificado por las entidades financieras, tanto dentro como fuera del horario laboral;

d)

registrar, analizar y evaluar, de forma manual o automática, toda información pertinente sobre las actividades y comportamientos anómalos.

a)

determinar la fecha y hora en que se haya producido la actividad anómala;

b)

determinar la fecha y hora en que se haya detectado la actividad anómala;

c)

determinar el tipo de actividad anómala.

a)

indicios de que puede haberse llevado a cabo una actividad malintencionada en una red o sistema de TIC, o de que dicha red o sistema de TIC puede haberse visto comprometido;

b)

detección de pérdidas de datos en relación con la disponibilidad, autenticidad, integridad y confidencialidad de los datos;

c)

detección de efectos adversos en las transacciones y operaciones de la entidad financiera;

d)

indisponibilidad de las redes y sistemas de TIC.

a)

una descripción de:

i) los objetivos de la política de continuidad de la actividad en materia de TIC, incluida la interrelación entre la continuidad de la actividad en sentido global y la continuidad de la actividad en materia de TIC, y teniendo en cuenta los resultados del análisis de impacto en el negocio a que se refiere el artículo 11, apartado 5, del Reglamento (UE) 2022/2554,

ii) el alcance de las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC, incluidas las limitaciones y exclusiones,

iii) el período que deben cubrir las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC,

iv) los criterios para activar y desactivar los planes de continuidad de la actividad en materia de TIC, los planes de respuesta y recuperación en materia de TIC y los planes de comunicación de crisis;

b)

disposiciones sobre:

i) la gobernanza y organización para aplicar la política de continuidad de la actividad en materia de TIC, en particular las funciones y responsabilidades y los procedimientos de traslado a la instancia jerárquica superior que garanticen la disponibilidad de recursos suficientes,

ii) la armonización entre los planes de continuidad de la actividad en materia de TIC y los planes globales de continuidad de la actividad, en relación, como mínimo, con todos los aspectos siguientes:

 1) posibles escenarios de fallo, en particular los escenarios a que se refiere el artículo 26, apartado 2, del presente Reglamento;

 2) objetivos de recuperación, con la especificación de que, tras sufrir perturbaciones, la entidad financiera debe ser capaz de recuperar las operaciones de sus funciones esenciales o importantes dentro de un objetivo de tiempo de recuperación y un objetivo de punto de recuperación,

iii) la elaboración, dentro de dichos planes, de planes de continuidad de la actividad en materia de TIC para el caso de perturbaciones graves de la actividad, y la priorización de las acciones de continuidad de la actividad en materia de TIC utilizando un enfoque basado en el riesgo,

iv) la elaboración, sometimiento a prueba y revisión de planes de respuesta y recuperación en materia de TIC, de conformidad con los artículos 25 y 26 del presente Reglamento,

v) la revisión de la eficacia de las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC aplicados, de conformidad con el artículo 26 del presente Reglamento,

vi) la armonización de la política de continuidad de la actividad en materia de TIC con:

 1) la política de comunicación a que se refiere el artículo 14, apartado 2, del Reglamento (UE) 2022/2554;

 2) las acciones de comunicación y comunicación de crisis a que se refiere el artículo 11, apartado 2, letra e), del Reglamento (UE) 2022/2554.

a)

establezca un tiempo máximo de recuperación de sus funciones esenciales no superior a dos horas;

b)

tenga en cuenta los vínculos externos y las interdependencias existentes dentro de la infraestructura financiera, incluidos los centros de negociación de cuya compensación se encargue la entidad de contrapartida central, los sistemas de pago y de liquidación de valores y las entidades de crédito utilizadas por la entidad de contrapartida central o una entidad de contrapartida central vinculada;

c)

exija que se establezcan mecanismos para:

i) garantizar la continuidad de las funciones esenciales o importantes de la entidad de contrapartida central sobre la base de escenarios de catástrofe,

ii) mantener un centro de tratamiento secundario capaz de garantizar la continuidad de las funciones esenciales o importantes de la entidad de contrapartida central del mismo modo que el centro principal,

iii) mantener un centro secundario de actividad, o tener acceso inmediato a él, para permitir al personal garantizar la continuidad del servicio en caso de que no pueda disponerse del emplazamiento principal de la actividad,

iv) estudiar la necesidad de contar con centros de tratamiento adicionales, en particular si la diversidad de los perfiles de riesgo de los centros principal y secundario no ofrece suficiente seguridad en cuanto al cumplimiento de los objetivos de continuidad de la actividad de la entidad de contrapartida central en todos los escenarios.

a)

tenga en cuenta los vínculos e interdependencias con los usuarios, los prestadores de servicios esenciales, otros depositarios centrales de valores y otras infraestructuras del mercado;

b)

exija que sus mecanismos de continuidad de la actividad en materia de TIC garanticen que el objetivo de tiempo de recuperación de sus funciones esenciales o importantes no sea superior a dos horas.

a)

que la negociación puede reanudarse antes de que transcurran dos horas desde que se produzca un incidente perturbador, o en un plazo cercano;

b)

que la cantidad máxima de datos que puedan perderse en cualquier servicio informático del centro de negociación después de un incidente perturbador sea próxima a cero.

a)

se llevarán a cabo sobre la base de escenarios de prueba que simulen posibles perturbaciones, incluido un conjunto adecuado de escenarios graves pero verosímiles;

b)

comprenderán, en su caso, el sometimiento a prueba de los servicios de TIC prestados por proveedores terceros de servicios de TIC;

c)

en el caso de las entidades financieras que no sean microempresas, tal como se contempla en el artículo 11, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2554, comprenderán escenarios de conmutación entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes;

d)

estarán diseñadas para poner en cuestión las hipótesis en las que se basen los planes de continuidad de la actividad, incluidos los mecanismos de gobernanza y los planes de comunicación de crisis;

e)

incluirán procedimientos para verificar la capacidad del personal de las entidades financieras, los proveedores terceros de servicios de TIC, los sistemas de TIC y los servicios de TIC para responder de forma adecuada ante los escenarios que han de tenerse debidamente en cuenta de conformidad con el artículo 26, apartado 2.

a)

los miembros compensadores;

b)

los proveedores externos;

c)

las entidades pertinentes de la infraestructura financiera con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.

a)

sus usuarios;

b)

los prestadores de servicios esenciales;

c)

otros depositarios centrales de valores;

d)

otras infraestructuras del mercado;

e)

otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.

a)

especificarán las condiciones que motivarán su activación o desactivación, así como toda excepción a dicha activación o desactivación;

b)

describirán las medidas que deben adoptarse para garantizar la disponibilidad, integridad, continuidad y recuperación de, al menos, los sistemas y servicios de TIC que sustenten funciones esenciales o importantes de la entidad financiera;

c)

estarán concebidos para cumplir los objetivos de recuperación de las operaciones de las entidades financieras;

d)

se documentarán y pondrán a disposición del personal que participe en su ejecución y serán fácilmente accesibles en caso de emergencia;

e)

contemplarán opciones de recuperación tanto a corto como a largo plazo, incluida la recuperación parcial de los sistemas;

f)

establecerán los objetivos que persiguen y las condiciones para considerar que se han ejecutado correctamente.

a)

ciberataques y conmutaciones entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes;

b)

escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle, así como escenarios en los que se contemplen debidamente las posibles repercusiones de la insolvencia u otros fallos de cualquier proveedor tercero de servicios de TIC pertinente;

c)

fallo parcial o total de los locales, incluidas las oficinas y los locales de uso profesional, y de los centros de datos;

d)

fallo importante de los activos de TIC o de la infraestructura de comunicación;

e)

indisponibilidad de un número crucial de miembros del personal o de los miembros del personal a cargo de garantizar la continuidad de las operaciones;

f)

repercusiones de sucesos relacionados con el cambio climático y la degradación del medio ambiente, catástrofes naturales, pandemias y ataques físicos, como intrusiones y atentados terroristas;

g)

ataques internos;

h)

inestabilidad política y social, en particular, cuando proceda, en el territorio o país del proveedor tercero de servicios de TIC y en la ubicación en la que se almacenen y traten los datos;

i)

cortes de energía generalizados.

a)

una parte introductoria en la que:

i) se identificará claramente la entidad financiera objeto del informe y, en su caso, se describirá su estructura de grupo,

ii) se describirá el contexto del informe atendiendo a la naturaleza, escala y complejidad de los servicios, actividades y operaciones de la entidad financiera, su organización, sus funciones esenciales identificadas, su estrategia, sus principales proyectos o actividades en curso, sus relaciones y su dependencia de servicios y sistemas de TIC internos y contratados, o las implicaciones que tendría una pérdida total o una degradación grave de dichos sistemas para las funciones esenciales o importantes y la eficiencia del mercado,

iii) se resumirán los principales cambios en el marco de gestión del riesgo relacionado con las TIC desde el anterior informe presentado,

iv) se ofrecerá un resumen del perfil de riesgo de TIC actual y a corto plazo, el panorama de amenazas, la evaluación de la eficacia de los controles y la postura de ciberseguridad de la entidad financiera,

b)

la fecha de aprobación del informe por parte del órgano de dirección de la entidad financiera;

c)

una descripción de los motivos para revisar el marco de gestión del riesgo relacionado con las TIC de conformidad con el artículo 6, apartado 5, del Reglamento (UE) 2022/2554;

d)

las fechas de inicio y finalización del período de revisión;

e)

la indicación de la función responsable de la revisión;

f)

una descripción de los principales cambios y mejoras en el marco de gestión del riesgo relacionado con las TIC desde el informe anterior;

g)

un resumen de las constataciones de la revisión y un análisis y evaluación detallados de la gravedad de las debilidades, deficiencias y carencias en el marco de gestión del riesgo relacionado con las TIC durante el período de revisión;

h)

una descripción de las medidas para tratar las debilidades, deficiencias y carencias detectadas, incluidos todos los aspectos siguientes:

i) un resumen de las medidas adoptadas para subsanar las debilidades, deficiencias y carencias detectadas,

ii) la fecha prevista para la aplicación de las medidas y las fechas relativas al control interno de la aplicación, junto con información sobre el estado de la aplicación en la fecha de elaboración del informe, que explique, en su caso, si existe el riesgo de que no se respeten los plazos,

iii) las herramientas que se vayan a utilizar y la determinación de la función responsable de llevar a cabo las medidas, con indicación de si las herramientas y funciones son internas o externas,

iv) una descripción de las repercusiones de los cambios previstos en las medidas sobre los recursos presupuestarios, humanos y materiales de la entidad financiera, incluidos los recursos dedicados a la aplicación de cualquier medida correctora,

v) información sobre el proceso de información a la autoridad competente, en su caso,

vi) cuando las debilidades, deficiencias o carencias detectadas no sean objeto de medidas correctoras, una explicación detallada de los criterios utilizados para analizar las repercusiones de dichas debilidades, deficiencias o carencias, para evaluar el correspondiente riesgo residual relacionado con las TIC y para aceptar ese riesgo;

i)

información sobre la evolución prevista del marco de gestión del riesgo relacionado con las TIC;

j)

conclusiones extraídas de la revisión del marco de gestión del riesgo relacionado con las TIC;

k)

información sobre revisiones anteriores, en particular:

i) una lista de las revisiones realizadas hasta la fecha presente,

ii) en su caso, el estado de aplicación de las medidas correctoras señaladas en el último informe,

iii) cuando las medidas correctoras previstas en revisiones anteriores hayan demostrado ser ineficaces o hayan dado lugar a problemas inesperados, una descripción del modo en que podrían mejorarse esas medidas correctoras o de esos problemas inesperados;

l)

fuentes de información empleadas para elaborar el informe, en particular todas las siguientes:

i) en el caso de las entidades financieras que no sean microempresas a que se refiere el artículo 6, apartado 6, del Reglamento (UE) 2022/2554, los resultados de las auditorías internas,

ii) los resultados de las evaluaciones de cumplimiento,

iii) los resultados de las pruebas de resiliencia operativa digital y, en su caso, los resultados de las pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC sustentadas en pruebas de penetración basadas en amenazas,

iv) las fuentes externas.

a)

asuma la responsabilidad general de garantizar que el marco simplificado de gestión del riesgo relacionado con las TIC permita realizar la estrategia empresarial de la entidad financiera de conformidad con su apetito de riesgo y que, en ese contexto, se tenga en cuenta el riesgo relacionado con las TIC;

b)

defina claramente las funciones y responsabilidades para todas las tareas relacionadas con las TIC;

c)

defina los objetivos de seguridad de la información y requisitos en materia de TIC;

d)

apruebe, supervise y revise periódicamente:

i) la clasificación de los activos de información de la entidad financiera a que se refiere el artículo 30, apartado 1, del presente Reglamento, la lista de los principales riesgos detectados y el análisis de impacto en el negocio y las políticas conexas,

ii) los planes de continuidad de la actividad de la entidad financiera y las medidas de respuesta y recuperación a que se refiere el artículo 16, apartado 1, letra f), del Reglamento (UE) 2022/2554;

e)

asigne y revise, al menos una vez al año, el presupuesto necesario para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos, incluidos los pertinentes programas de sensibilización en materia de seguridad de las TIC y las pertinentes actividades de formación sobre resiliencia operativa digital y capacidades en materia de TIC para todo el personal;

f)

especifique y aplique las políticas y medidas contempladas en los capítulos I, II y III del presente título para determinar, evaluar y gestionar el riesgo relacionado con las TIC al que está expuesta la entidad financiera;

g)

determine y aplique los procedimientos, protocolos y herramientas de TIC necesarios para proteger todos los activos de información y activos de TIC;

h)

garantice que el personal de la entidad financiera se mantiene al día con conocimientos y capacidades suficientes para comprender y evaluar el riesgo relacionado con las TIC y sus repercusiones en las operaciones de la entidad financiera, de manera acorde con el riesgo relacionado con las TIC que se esté gestionando;

i)

establezca disposiciones sobre presentación de información, en particular la frecuencia, forma y contenido de los informes que se le deban presentar sobre la seguridad de la información y la resiliencia operativa digital.

a)

la determinación de los niveles de tolerancia al riesgo relacionado con las TIC, de acuerdo con el apetito de riesgo de la entidad financiera;

b)

la determinación y evaluación de los riesgos relacionados con las TIC a los que la entidad financiera esté expuesta;

c)

la especificación de las estrategias de mitigación al menos para los riesgos relacionados con las TIC que no entren dentro de los niveles de tolerancia al riesgo de la entidad financiera;

d)

el seguimiento de la eficacia de las estrategias de mitigación a que se refiere la letra c);

e)

la determinación y evaluación de todo riesgo relacionado con las TIC y la seguridad de la información que sea consecuencia de un cambio importante en los sistemas de TIC o los servicios, procesos o procedimientos de TIC, se derive de los resultados de las pruebas de seguridad de las TIC o surja tras un incidente grave relacionado con las TIC.

a)

derechos de acceso a los activos de información, los activos de TIC y las funciones que sustentan, así como a los emplazamientos esenciales de actividad de la entidad financiera, gestionados sobre la base de los principios de «necesidad de conocer», «necesidad de uso» y «mínimo privilegio», también para el acceso a distancia y de emergencia;

b)

responsabilidad de los usuarios, en virtud de la cual se garantice la identificación de los usuarios en las acciones realizadas en los sistemas de TIC;

c)

procedimientos de gestión de cuentas para la concesión, modificación o revocación de derechos de acceso en relación con las cuentas de usuario y cuentas genéricas, incluidas las cuentas de administrador genéricas;

d)

métodos de autenticación acordes con la clasificación a que se refiere el artículo 30, apartado 1, y con el perfil de riesgo general de los activos de TIC, y basados en las prácticas punteras;

e)

revisión periódica de los derechos de acceso y retirada de esos derechos cuando ya no sean necesarios.

a)

harán un seguimiento del ciclo de vida de todos los activos de TIC y lo gestionarán;

b)

harán un seguimiento, en su caso, de si los activos de TIC cuentan con el soporte de proveedores terceros de servicios de TIC;

c)

determinarán los requisitos de capacidad de sus activos de TIC y las medidas para mantener y mejorar la disponibilidad y eficiencia de los sistemas de TIC y prevenir la escasez de capacidad de TIC antes de que se materialice;

d)

llevarán a cabo exploraciones y evaluaciones automatizadas de vulnerabilidad de los activos de TIC, acordes con la clasificación de tales activos contemplada en el artículo 30, apartado 1, y con el perfil de riesgo general de cada activo de TIC, e implementarán parches para hacer frente a las vulnerabilidades detectadas;

e)

gestionarán los riesgos relacionados con los activos de TIC obsoletos, sin soporte o heredados;

f)

registrarán los acontecimientos relacionados con el control del acceso lógico y físico, las operaciones de TIC, incluidas las actividades de sistema y de tráfico de red, y la gestión de cambios en las TIC;

g)

determinarán y aplicarán medidas para el seguimiento y el análisis de la información sobre actividades y comportamientos anómalos respecto de operaciones de TIC esenciales o importantes;

h)

aplicarán medidas para el seguimiento de la información pertinente y actualizada sobre las ciberamenazas;

i)

aplicarán medidas para la detección de posibles fugas de información, códigos maliciosos y otras amenazas para la seguridad, así como vulnerabilidades en el software y el hardware conocidas públicamente, y comprobarán las nuevas actualizaciones de seguridad correspondientes.

a)

la determinación y aplicación de medidas para proteger los datos en uso, en tránsito y en reposo;

b)

la determinación y aplicación de medidas de seguridad relativas al uso del software, los soportes de almacenamiento de datos, los sistemas y los dispositivos de nodo final que transfieran y almacenen datos de la entidad financiera;

c)

la determinación y aplicación de medidas para prevenir y detectar las conexiones no autorizadas a sus redes, así como para proteger el tráfico de red entre sus redes internas e internet y otras conexiones externas;

d)

la determinación y aplicación de medidas que garanticen la disponibilidad, autenticidad, integridad y confidencialidad de los datos durante las transmisiones en redes;

e)

un proceso para la supresión segura de los datos que se encuentren en los locales o estén almacenados externamente y que la entidad financiera ya no necesite recopilar o almacenar;

f)

un proceso para desechar o desactivar de forma segura los dispositivos de almacenamiento de datos que se encuentren en los locales o estén almacenados externamente y que contengan información confidencial;

g)

la determinación y aplicación de medidas de seguridad para garantizar que el teletrabajo y el uso de dispositivos de nodo final privados no afecten negativamente a la capacidad para llevar a cabo sus actividades esenciales de manera adecuada, oportuna y segura.

a)

garantizará que, antes de la adquisición o el desarrollo de un sistema de TIC, los requisitos funcionales y no funcionales, incluidos los requisitos de seguridad de la información, hayan sido claramente especificados y aprobados por la función empresarial pertinente;

b)

garantizará que los sistemas de TIC se sometan a prueba y sean aprobados antes de su primera utilización y antes de introducir cambios en el entorno de producción;

c)

determinará medidas para mitigar el riesgo de alteración no intencionada o de manipulación intencionada de los sistemas de TIC durante el desarrollo y la implementación en el entorno de producción.

a)

serán aprobados por el órgano de dirección de la entidad financiera;

b)

estarán documentados y serán fácilmente accesibles en caso de emergencia o crisis;

c)

asignarán recursos suficientes para su ejecución;

d)

establecerán los niveles de recuperación previstos y los plazos para la recuperación y reanudación de las funciones y las dependencias internas y externas clave, en particular con respecto a los proveedores terceros de servicios de TIC;

e)

determinarán las condiciones que pueden motivar su activación y las medidas que deben adoptarse para garantizar la disponibilidad, continuidad y recuperación de los activos de TIC de las entidades financieras que sustenten funciones esenciales o importantes;

f)

determinarán las medidas de restauración y recuperación en relación con las funciones empresariales esenciales o importantes, los procesos de apoyo y los activos de información, así como sus interdependencias, con el fin de evitar efectos adversos en el funcionamiento de las entidades financieras;

g)

determinarán procedimientos y medidas de copia de seguridad que especifiquen el alcance de los datos objeto de dicha copia y la frecuencia mínima de su realización, de acuerdo con el carácter esencial de la función que utilice los datos de que se trate;

h)

contemplarán opciones alternativas ante la eventualidad de que la recuperación no sea viable a corto plazo debido a los costes, los riesgos, la logística o circunstancias imprevistas;

i)

especificarán los mecanismos de comunicación interna y externa, incluidos los planes para el traslado a la instancia jerárquica superior;

j)

se actualizarán en consonancia con las conclusiones extraídas de incidentes, las pruebas, los nuevos riesgos y amenazas detectados, los cambios en los objetivos de recuperación y los cambios importantes en la organización de la entidad financiera y en los activos de TIC que sustenten funciones esenciales o empresariales.

a)

una parte introductoria que contenga:

i) una descripción del contexto del informe atendiendo a la naturaleza, escala y complejidad de los servicios, actividades y operaciones de la entidad financiera, su organización, sus funciones esenciales identificadas, su estrategia, sus principales proyectos o actividades en curso, sus relaciones y su dependencia de servicios y sistemas de TIC internos y externalizados, o las implicaciones que tendría una pérdida total o una degradación grave de dichos sistemas para las funciones esenciales o importantes y la eficiencia del mercado,

ii) un resumen del riesgo relacionado con las TIC actual y a corto plazo identificado, el panorama de amenazas, la evaluación de la eficacia de los controles y la postura de ciberseguridad de la entidad financiera,

iii) información sobre el ámbito objeto del informe,

iv) un resumen de los principales cambios en el marco de gestión del riesgo relacionado con las TIC desde el informe anterior,

v) un resumen y una descripción de las repercusiones de los principales cambios en el marco simplificado de gestión del riesgo relacionado con las TIC desde el informe anterior;

b)

en su caso, la fecha de aprobación del informe por parte del órgano de dirección de la entidad financiera;

c)

una descripción de los motivos de la revisión, incluidos los aspectos siguientes:

i) cuando la revisión se haya iniciado siguiendo instrucciones de las autoridades de supervisión, las pruebas de dichas instrucciones,

ii) cuando la revisión se haya iniciado a raíz del acontecimiento de incidentes relacionados con las TIC, la lista de todos esos incidentes con el correspondiente análisis de las causas subyacentes;

d)

las fechas de inicio y finalización del período de revisión;

e)

la persona responsable de la revisión;

f)

un resumen de las constataciones y una autoevaluación de la gravedad de las debilidades, deficiencias y carencias detectadas en el marco de gestión del riesgo relacionado con las TIC durante el período de revisión, junto con un análisis detallado de esas debilidades, deficiencias y carencias;

g)

medidas correctoras determinadas para hacer frente a las debilidades, deficiencias y carencias en el marco simplificado de gestión del riesgo relacionado con las TIC y fecha prevista para la aplicación de dichas medidas, incluidas las medidas de respuesta a debilidades, deficiencias y carencias señaladas en informes anteriores, cuando aún no se hayan subsanado;

h)

conclusiones generales de la revisión del marco simplificado de gestión del riesgo relacionado con las TIC, incluida la posible evolución prevista de dicho marco.