Articulo 11 Resiliencia operativa digital del sector financiero

1. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y sobre la base de los requisitos de identificación establecidos en el artículo 8, las entidades financieras pondrán en práctica una política global de continuidad de la actividad en materia de TIC, que podrá ser adoptada como una política específica propia que forme parte integrante de la política global de continuidad de la actividad de la entidad financiera.

2. Las entidades financieras aplicarán la política de continuidad de la actividad en materia de TIC mediante disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados destinados a:

a) garantizar la continuidad de las funciones esenciales o importantes de la entidad financiera;

b) responder a todos los incidentes relacionados con las TIC y resolverlos rápida, adecuada y eficazmente de manera que se limiten los daños y se dé prioridad a la reanudación de las actividades y a las acciones de recuperación;

c) activar, sin demora, planes específicos que permitan recurrir a medidas de contención, procesos y tecnologías adaptados a cada tipo de incidente relacionado con las TIC y que eviten nuevos daños, así como a procedimientos de respuesta y recuperación adaptados establecidos de conformidad con el artículo 12;

d) estimar con carácter preliminar las repercusiones, daños y pérdidas;

e) definir acciones de comunicación y gestión de crisis que garanticen la transmisión de información actualizada a todo el personal interno y las partes interesadas externas pertinentes de conformidad con el artículo 14, y su notificación a las autoridades competentes de conformidad con el artículo 19.

3. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras aplicarán planes conexos de respuesta y recuperación en materia de TIC que, en el caso de entidades financieras que no sean microempresas, estarán sujetos a auditorías internas independientes.

4. Las entidades financieras establecerán, mantendrán y someterán a prueba periódicamente planes adecuados de continuidad de las actividades de TIC, en particular en lo que se refiere a las funciones esenciales o importantes externalizadas o contratadas mediante acuerdos con proveedores terceros de servicios de TIC.

5. Como parte de la política global de continuidad de la actividad, las entidades financieras llevarán a cabo un análisis de impacto en el negocio de sus exposiciones a perturbaciones graves de la actividad. En el marco de dicho análisis, las entidades financieras evaluarán el impacto potencial de las perturbaciones graves de la actividad mediante criterios cuantitativos y cualitativos, utilizando datos internos y externos y análisis de escenarios, según proceda. El análisis de impacto en el negocio tendrá en cuenta el carácter esencial de las funciones empresariales identificadas y cartografiadas, los procesos de apoyo, las dependencias de terceros y los activos de información, así como sus interdependencias. Las entidades financieras garantizarán que los activos de TIC y los servicios de TIC se diseñen y utilicen en plena consonancia con el análisis de impacto en el negocio, en particular en lo que se refiere a garantizar adecuadamente la redundancia de todos los componentes esenciales.

6. Como parte de su gestión global del riesgo relacionado con las TIC, las entidades financieras:

a) someterán a prueba los planes de continuidad de la actividad y los planes de respuesta y recuperación en materia de TIC en relación con los sistemas de TIC que sustenten todas las funciones al menos una vez al año, así como en caso de que se produzca cualquier cambio sustancial en los sistemas de TIC que sustenten funciones esenciales o importantes;

b) someterán a prueba los planes de comunicación en caso de crisis establecidos de conformidad con el artículo 14.

A efectos del párrafo primero, letra a), las entidades financieras que no sean microempresas incluirán, en los planes de pruebas, escenarios de ciberataques y de conmutación entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes necesarias para cumplir con las obligaciones establecidas en el artículo 12.

Las entidades financieras revisarán periódicamente su política de continuidad de la actividad en materia de TIC y sus planes de respuesta y recuperación en materia de TIC teniendo en cuenta los resultados de las pruebas realizadas de conformidad con el párrafo primero y las recomendaciones derivadas de los controles de auditoría o las revisiones supervisoras.

7. Las entidades financieras que no sean microempresas dispondrán de una función de gestión de crisis que, en caso de activación de sus planes de continuidad de la actividad en materia de TIC o de sus planes de respuesta y recuperación en materia de TIC, establecerá, entre otros, procedimientos claros para gestionar las comunicaciones de crisis internas y externas de conformidad con el artículo 14.

8. Las entidades financieras mantendrán registros fácilmente accesibles de las actividades antes de las perturbaciones y durante estas cuando se activen sus planes de continuidad de la actividad en materia de TIC y sus planes de respuesta y recuperación en materia de TIC.

9. Los depositarios centrales de valores facilitarán a las autoridades competentes copias de los resultados de las pruebas de continuidad de la actividad en materia de TIC, o de ejercicios similares.

10. Las entidades financieras que no sean microempresas informarán a las autoridades competentes, si estas lo solicitan, una estimación de los costes y pérdidas anuales agregados causados por incidentes graves relacionados con las TIC.

11. De conformidad con el artículo 16 del Reglamento (UE) n.º 1093/2010, el artículo 16 del Reglamento (UE) n.º 1094/2010 y el artículo 16 del Reglamento (UE) n.º 1095/2010, las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán, a más tardar el 17 de julio de 2024, directrices comunes sobre la estimación de los costes y pérdidas anuales agregados a que se refiere el apartado 10.