Articulo 16 Resiliencia operativa digital del sector financiero

1. Los artículos 5 a 15 del presente Reglamento no se aplicarán a las empresas de servicios de inversión pequeñas y no interconectadas ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366; ni a las entidades exentas en virtud de la Directiva 2013/36/UE respecto de las cuales los Estados miembros hayan decidido no aplicar la opción a que se refiere el artículo 2, apartado 4, del presente Reglamento, ni a las entidades de dinero electrónico exentas en virtud de la Directiva 2009/110/CE; ni a los fondos de pensiones de empleo pequeños.

Sin perjuicio de lo dispuesto en el párrafo primero, las entidades enumeradas en el párrafo primero deberán:

a) crear y mantener un marco de gestión sólido y documentado de riesgos relacionados con las TIC en el que se detallen los mecanismos y las medidas encaminados a procurar una gestión rápida, efectiva y global del riesgo relacionado con las TIC, incluida la protección de las infraestructuras y los componentes físicos pertinentes;

b) supervisar de manera permanente la seguridad y el funcionamiento de todos los sistemas de TIC;

c) minimizar las consecuencias del riesgo relacionado con las TIC mediante el uso de sistemas, protocolos y herramientas de TIC sólidos, resilientes y actualizados que sean apropiados para sustentar el desempeño de sus actividades y la prestación de servicios y para proteger adecuadamente la disponibilidad, autenticidad, integridad y confidencialidad de los datos en las redes y sistemas de información;

d) permitir que las fuentes de riesgo relacionado con las TIC y las anomalías en las redes y sistemas de información se identifiquen y detecten de inmediato y que los incidentes relacionados con las TIC se gestionen con rapidez;

e) identificar dependencias clave de proveedores terceros de servicios de TIC;

f) garantizar la continuidad de las funciones esenciales o importantes mediante planes de continuidad de la actividad y medidas de respuesta y recuperación que incluyan, al menos, medidas de respaldo y restablecimiento de datos;

g) someter a pruebas periódicas los planes y medidas a que se refiere la letra f), así como la eficacia de los controles llevados a cabo de conformidad con las letras a) y c);

h) aplicar, según proceda, las conclusiones operativas pertinentes resultantes de las pruebas a que se refiere la letra g) y de los análisis tras incidentes al proceso de evaluación del riesgo relacionado con las TIC y desarrollar, de acuerdo con las necesidades y el perfil de riesgo de TIC, programas de sensibilización en materia de seguridad de las TIC y formación en materia de resiliencia operativa digital para el personal y la dirección.

2. El marco de gestión del riesgo relacionado con las TIC a que se refiere el apartado 1, párrafo segundo, letra a), se documentará y revisará periódicamente y cuando se produzcan incidentes graves relacionados con las TIC, de conformidad con las instrucciones de supervisión. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la aplicación y el seguimiento. Se presentará a la autoridad competente cuando esta lo solicite un informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC.

3. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con la ENISA, desarrollarán proyectos de normas técnicas de regulación comunes a fin de:

a) especificar más detalladamente los elementos que deben incluirse en el marco de gestión del riesgo relacionado con las TIC a que se refiere el apartado 1, párrafo segundo, letra a);

b) especificar más detalladamente los elementos en relación con los sistemas, protocolos y herramientas para minimizar las consecuencias del riesgo relacionado con las TIC a que se refiere el apartado 1, párrafo segundo, letra c), con el fin de garantizar la seguridad de las redes, permitir el establecimiento de salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos y preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos;

c) especificar más detalladamente los componentes de los planes de continuidad de la actividad en materia de TIC a que se refiere el apartado 1, párrafo segundo, letra f);

d) especificar más detalladamente las normas sobre las pruebas de los planes de continuidad de la actividad y garantizar la efectividad de los controles a que se refiere el apartado 1, párrafo segundo, letra g), y asegurar que estas pruebas tengan debidamente en cuenta escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle;

e) especificar más detalladamente el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC a que se refiere el apartado 2.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.