Articulo 22 Resiliencia operativa digital del sector financiero

1. Sin perjuicio de las aportaciones técnicas, el asesoramiento o las medidas correctoras y el seguimiento posterior que puedan facilitar, cuando proceda y de conformidad con el Derecho nacional, los CSIRT con arreglo a la Directiva (UE) 2022/2555, la autoridad competente, tras recibirlos, deberá acusar recibo de la notificación inicial y de cada uno de los informes a que se refiere el artículo 19, apartado 4, podrá, cuando sea posible, proporcionar de forma oportuna a la entidad financiera observaciones pertinentes y proporcionadas u orientación de alto nivel, en particular poniendo a su disposición cualquier información o inteligencia anonimizadas pertinentes relativas a amenazas similares, y podrá abordar las medidas correctoras aplicadas a nivel de la entidad financiera y las formas de minimizar y mitigar las repercusiones negativas en el sector financiero. Sin perjuicio de las observaciones de las autoridades de supervisión, las entidades financieras seguirán siendo plenamente responsables de la gestión de los incidentes relacionados con las TIC notificados en virtud del artículo 19, apartado 1, así como de sus consecuencias.

2. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, informarán anualmente, utilizando datos anonimizados y agregados, sobre los incidentes graves relacionados con las TIC, a cuyo respecto las autoridades competentes facilitarán información detallada de conformidad con el artículo 19, apartado 6, indicando al menos el número de incidentes graves relacionados con las TIC, su naturaleza y su repercusión en las operaciones de las entidades financieras o de los clientes, las medidas correctoras tomadas y los costes soportados.

Las Autoridades Europeas de Supervisión emitirán advertencias y elaborarán estadísticas de alto nivel para apoyar las evaluaciones de las amenazas y las vulnerabilidades que afecten a las TIC.