Articulo 15 Resiliencia operativa digital del sector financiero

Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con la Agencia de la Unión Europea para la Ciberseguridad (ENISA), desarrollará normas técnicas de regulación comunes a fin de:

a) especificar otros elementos que deban incluirse en las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, con vistas a garantizar la seguridad de las redes, activar salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos, preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos, incluidas las técnicas criptográficas, y garantizar una transmisión exacta y rápida de los datos sin perturbaciones importantes ni demoras indebidas;

b) desarrollar nuevos componentes de los controles de los derechos de gestión de accesos a que se refiere el artículo 9, apartado 4, letra c), y la correspondiente política de recursos humanos, especificando los derechos de acceso, los procedimientos de concesión y revocación de derechos, el seguimiento de comportamientos anómalos en relación con los riesgos relacionados con las TIC a través de indicadores adecuados, también para los patrones de uso de la red, las horas, la actividad informática y los dispositivos desconocidos;

c) desarrollar más detalladamente los mecanismos especificados en el artículo 10, apartado 1, que permitan la rápida detección de actividades anómalas y los criterios establecidos en el artículo 10, apartado 2, que activen los procesos de detección de incidentes relacionados con las TIC y de respuesta a los mismos;

d) especificar más detalladamente los componentes de la política de continuidad de la actividad en materia de TIC a que se refiere el artículo 11, apartado 1;

e) especificar más detalladamente las pruebas de los planes de continuidad de la actividad en materia de TIC a que se refiere el artículo 11, apartado 6, a fin de garantizar que dichas pruebas tengan debidamente en cuenta los escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle, así como el impacto potencial de la insolvencia u otros fallos de cualquier proveedor tercero de servicios de TIC pertinente y, cuando proceda, los riesgos políticos en los países o territorios de los proveedores de que se trate;

f) especificar más detalladamente los componentes de los planes de respuesta y recuperación en materia de TIC a que se refiere el artículo 11, apartado 3;

g) especificar en mayor medida el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 5.

Al desarrollar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión deberán tener en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, la escala y la complejidad de sus servicios, actividades y operaciones, y tener al mismo tiempo debidamente presente cualquier característica específica derivada de la distinta naturaleza de las actividades en los distintos sectores de los servicios financieros.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.