Articulo 12 Resiliencia operativa digital del sector financiero

1. Con el fin de garantizar el restablecimiento de los sistemas de TIC y los datos con un tiempo mínimo de inactividad y una perturbación y pérdida limitadas, como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras desarrollarán y documentarán:

a) políticas y procedimientos de respaldo que especifiquen el alcance de los datos objeto de respaldo y la frecuencia mínima de este, en función del carácter esencial de la información o del nivel de confidencialidad de los datos;

b) procedimientos y métodos de restablecimiento y recuperación.

2. Las entidades financieras establecerán sistemas de respaldo que puedan activarse de conformidad con las políticas y procedimientos de respaldo, así como procedimientos y métodos de restablecimiento y recuperación. La activación de sistemas de respaldo no pondrá en peligro la seguridad de las redes y los sistemas de información ni la disponibilidad, autenticidad, integridad o confidencialidad de los datos. Las pruebas de los procedimientos de respaldo y restablecimiento y los procedimientos y métodos de recuperación se llevarán a cabo periódicamente.

3. Al restablecer los datos de seguridad mediante sus propios sistemas, las entidades financieras utilizarán sistemas de TIC que estén separados, física y lógicamente, del sistema de TIC de origen. Los sistemas de TIC estarán protegidos de forma segura contra cualquier acceso no autorizado o corrupción de las TIC y permitirán el rápido restablecimiento de los servicios utilizando los respaldos de los sistemas y los datos que sean necesarios.

En el caso de las entidades de contrapartida central, los planes de recuperación permitirán la recuperación de todas las operaciones en el momento de la perturbación, para que la entidad de contrapartida central pueda seguir operando de manera segura y finalizar la liquidación en la fecha programada.

Los proveedores de servicios de suministro de datos mantendrán además recursos suficientes y dispondrán de instalaciones de respaldo y restablecimiento para ofrecer y mantener sus servicios en todo momento.

4. Las entidades financieras que no sean microempresas mantendrán capacidades de TIC redundantes provistas de recursos, medios y funciones adecuados para satisfacer las necesidades empresariales. Las microempresas evaluarán la necesidad de mantener estas capacidades de TIC redundantes sobre la base de su perfil de riesgo.

5. Los depositarios centrales de valores mantendrán al menos un centro de tratamiento secundario dotado de recursos, capacidades, funciones y personal adecuados para satisfacer las necesidades empresariales.

El centro de proceso secundario deberá:

a) estar situado a una determinada distancia geográfica del centro de proceso primario para garantizar que presente un perfil de riesgo distinto y evitar que se vea afectado por el suceso que haya afectado al centro primario;

b) ser capaz de garantizar la continuidad de las funciones esenciales o importantes del mismo modo que el centro primario, o de prestar el nivel de servicios necesario para garantizar que la entidad financiera realice sus operaciones esenciales dentro de los objetivos de recuperación;

c) estar inmediatamente accesible para el personal de la entidad financiera a fin de garantizar la continuidad de las funciones esenciales o importantes en caso de que el centro de proceso primario no esté disponible.

6. Al determinar los objetivos de tiempo y punto de recuperación para cada función, las entidades financieras tendrán en cuenta si se trata de una función esencial o importante y las posibles repercusiones globales en la eficiencia del mercado. Estos objetivos garantizarán que, en situaciones extremas, se alcancen los niveles de servicio acordados.

7. Al recuperarse de un incidente relacionado con las TIC, las entidades financieras realizarán las comprobaciones necesarias, incluidas múltiples comprobaciones y conciliaciones, a fin de garantizar que se mantenga el máximo nivel de integridad de los datos. Estas comprobaciones también se llevarán a cabo cuando se reconstruyan datos de partes interesadas externas, a fin de garantizar que todos los datos sean coherentes entre los sistemas.