Articulo 24 Resiliencia operativa digital del sector financiero

1. A fin de evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades, deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades financieras que no sean microempresas establecerán, mantendrán y revisarán, teniendo en cuenta los criterios establecidos en el artículo 4, apartado 2, un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6.

2. El programa de pruebas de resiliencia operativa digital incluirá una serie de evaluaciones, pruebas, métodos, prácticas y herramientas que se aplicarán de conformidad con los artículos 25 y 26.

3. Al llevar a cabo el programa de pruebas de resiliencia operativa digital a que se refiere el apartado 1 del presente artículo, las entidades financieras que no sean microempresas seguirán un enfoque basado en el riesgo que tengan en cuenta los criterios establecidos en el artículo 4, apartado 2, considerando debidamente el panorama cambiante del riesgo relacionado con las TIC, todo riesgo específico al que la entidad financiera de que se trate esté o pueda estar expuesta, el carácter esencial de los activos de información y de los servicios prestados, así como cualquier otro factor que la entidad financiera considere apropiado.

4. Las entidades financieras que no sean microempresas garantizarán que las pruebas sean realizadas por partes independientes, ya sean internas o externas. Cuando un probador interno se encargue de realizar las pruebas, las entidades financieras dedicarán recursos suficientes y garantizarán que se evitan los conflictos de intereses durante todas las fases de constitución y ejecución de las pruebas.

5. Las entidades financieras que no sean microempresas establecerán procedimientos y políticas para ordenar por prioridades, clasificar y corregir todos los problemas descubiertos durante la realización de las pruebas y establecerán métodos de validación internos para asegurarse de que todas las debilidades, deficiencias o carencias sean tratadas de manera exhaustiva.

6. Las entidades financieras que no sean microempresas garantizarán, al menos una vez al año, que se efectúen las pruebas apropiadas de todos los sistemas y aplicaciones de TIC que sustenten funciones esenciales o importantes.