Articulo 13 Resiliencia operativa digital del sector financiero

1. Las entidades financieras dispondrán de capacidades y de personal para recopilar información sobre vulnerabilidades, ciberamenazas e incidentes relacionados con las TIC, en particular ciberataques, y para analizar las repercusiones que es probable que tengan en su resiliencia operativa digital.

2. Las entidades financieras llevarán a cabo revisiones tras incidentes relacionados con las TIC después de que un incidente grave relacionado con las TIC perturbe sus actividades principales, analizando sus causas e identificando las mejoras necesarias para las operaciones de TIC o en la política de continuidad de la actividad en materia de TIC a que se refiere el artículo 11.

Las entidades financieras que no sean microempresas comunicarán, previa petición, a las autoridades competentes los cambios que se hayan introducido después de las revisiones tras incidentes relacionados con las TIC a que se refiere el párrafo primero.

Las revisiones tras incidentes relacionados con las TIC a que se refiere el párrafo primero determinarán si se han seguido los procedimientos establecidos y si las medidas adoptadas han sido eficaces, inclusive en relación con lo siguiente:

a) la rapidez a la hora de responder a las alertas de seguridad y determinar las repercusiones de los incidentes relacionados con las TIC y su gravedad;

b) la calidad y rapidez en la realización de un análisis forense, cuando se considere oportuno;

c) la eficacia de la activación de los niveles sucesivos de intervención en caso de incidente dentro de la entidad financiera;

d) la eficacia de la comunicación interna y externa.

3. Las enseñanzas derivadas de las pruebas de resiliencia operativa digital llevadas a cabo de conformidad con los artículos 26 y 27 y de los incidentes reales relacionados con las TIC, en particular los ciberataques, junto con los problemas que se hayan planteado al activar los planes de continuidad de la actividad en materia de TIC y los planes de respuesta y recuperación en materia de TIC, además de la información pertinente intercambiada con las contrapartes y evaluada durante las revisiones supervisoras, se incorporarán debidamente de forma continua al proceso de evaluación del riesgo relacionado con las TIC. Tales hallazgos conformarán la base para las revisiones adecuadas de los componentes pertinentes del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1.

4. Las entidades financieras harán un seguimiento de la efectividad de la aplicación de su estrategia de resiliencia operativa digital establecida en el artículo 6, apartado 8. Cartografiarán la evolución del riesgo relacionado con las TIC a lo largo del tiempo, analizarán la frecuencia, los tipos, la magnitud y la evolución de los incidentes relacionados con las TIC, en particular los ciberataques y sus patrones, con el fin de comprender el nivel de exposición al riesgo relacionado con las TIC, en particular por cuanto atañe a funciones esenciales o importantes, y mejorar la madurez y preparación cibernéticas de la entidad financiera.

5. El personal directivo responsable de las TIC informará al menos una vez al año al órgano de dirección de los hallazgos a que se refiere el apartado 3 y formulará recomendaciones.

6. Las entidades financieras desarrollarán programas de sensibilización en materia de seguridad de las TIC y formación sobre resiliencia operativa digital, que constituirán módulos obligatorios en sus programas de formación del personal. Esos programas y acciones formativas serán aplicables a todos los empleados y al personal de alta dirección y tendrán un nivel de complejidad acorde con las atribuciones de sus funciones. Cuando proceda, las entidades financieras también incluirán a proveedores terceros de servicios de TIC en sus planes de formación pertinentes de conformidad con el artículo 30, apartado 2, letra i).

7. Las entidades financieras que no sean microempresas supervisarán continuamente los avances tecnológicos pertinentes, también con vistas a comprender las posibles repercusiones del despliegue de esas nuevas tecnologías en los requisitos de seguridad de las TIC y la resiliencia operativa digital. Se mantendrán al día de los últimos procesos de gestión del riesgo relacionado con las TIC, para luchar efectivamente contra las formas existentes o nuevas de ciberataques.