Inicio
Articulo 28 Resiliencia o...financiero

Articulo 28 Resiliencia operativa digital del sector financiero

Resiliencia operativa digital del sector financiero
No hay nodos disponibles
Ver Indice
»

Artículo 28. Principios generales

Vigente

Tiempo de lectura: 9 min

Tiempo de lectura: 9 min

1. Las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros como un elemento integrante del riesgo relacionado con las TIC dentro de su marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y de conformidad con los principios siguientes:

a) las entidades financieras que tengan acuerdos contractuales en vigor para utilizar servicios de TIC en el funcionamiento de sus operaciones comerciales serán, en todo momento, plenamente responsables del cumplimiento y observancia de todas las obligaciones con arreglo al presente Reglamento y al Derecho aplicable en materia de servicios financieros;

b) las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros con arreglo al principio de proporcionalidad, teniendo en cuenta:

i) la naturaleza, la escala, la complejidad y la importancia de las dependencias con respecto a las TIC,

ii) los riesgos derivados de los acuerdos contractuales sobre el uso de servicios de TIC celebrados con proveedores terceros de servicios de TIC, teniendo en cuenta el carácter esencial o la importancia del servicio, el proceso o la función de que se trate, y la repercusión potencial en la continuidad y la disponibilidad de las actividades y los servicios financieros, a escala particular y de grupo.

2. Como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras distintas de las entidades contempladas en el artículo 16, apartado 1, párrafo primero, y distintas de microempresas adoptarán una estrategia, que revisarán periódicamente, sobre el riesgo relacionado con las TIC derivado de terceros, teniendo en cuenta la estrategia de múltiples proveedores a que se refiere el artículo 6, apartado 9, cuando proceda. Esa estrategia relativa al riesgo relacionado con las TIC derivado de terceros incluirá una política sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC y se aplicará a título particular y, cuando proceda, de forma subconsolidada y consolidada. El órgano de dirección, a partir de una evaluación del perfil de riesgo general de la entidad financiera y la escala y la complejidad de los servicios empresariales, revisará periódicamente los riesgos detectados por lo que respecta a los acuerdos contractuales relativos al uso de servicios de TIC que sustenten funciones esenciales o importantes.

3. Como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras mantendrán y actualizarán a nivel de la entidad, y a nivel subconsolidado y consolidado, un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC.

Los acuerdos contractuales a que se refiere el párrafo primero se documentarán adecuadamente, distinguiendo entre los que comprendan servicios de TIC que sustentan funciones esenciales o importantes y los que no.

Las entidades financieras comunicarán al menos una vez al año a las autoridades competentes información sobre el número de nuevos acuerdos relativos al uso de servicios de TIC, las categorías de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales y los servicios y funciones prestados en materia de TIC.

Las entidades financieras pondrán a disposición de la autoridad competente que lo solicite el registro completo de información o, cuando así se solicite, secciones específicas de este, junto con toda información que se considere necesaria para permitir la supervisión efectiva de la entidad financiera.

Las entidades financieras informarán oportunamente a la autoridad competente cuando se propongan celebrar cualquier acuerdo contractual para el uso de servicios de TIC que sustenten funciones esenciales o importantes y cuando una función se haya convertido en esencial o importante.

4. Antes de celebrar un acuerdo contractual sobre el uso de servicios de TIC, las entidades financieras:

a) evaluarán si el acuerdo contractual se refiere al uso de servicios de TIC que sustenten una función esencial o importante;

b) evaluarán si se cumplen las condiciones de supervisión para la contratación;

c) determinarán y evaluarán todos los riesgos pertinentes en relación con el acuerdo contractual, incluida la posibilidad de que dicho acuerdo pueda contribuir a reforzar el riesgo de concentración de TIC a que se refiere el artículo 29;

d) llevarán a cabo todas las comprobaciones debidas con respecto a los posibles proveedores terceros de servicios de TIC y se asegurarán, a través de los procesos de selección y evaluación, de la idoneidad de dichos proveedores;

e) determinarán y evaluarán los conflictos de intereses que el acuerdo contractual pueda causar.

5. Las entidades financieras únicamente podrán celebrar acuerdos contractuales con proveedores terceros de servicios de TIC que cumplan estándares adecuados en materia de seguridad de la información. Cuando tales acuerdos contractuales se refieran a funciones esenciales o importantes, las entidades financieras, antes de celebrarlos, prestarán la debida consideración a la aplicación, por parte de proveedores terceros de servicios de TIC, de los estándares en materia de seguridad de la información más actualizados y más estrictos en términos de calidad.

6. Al ejercer los derechos de acceso, inspección y auditoría sobre el proveedor tercero de servicios de TIC, las entidades financieras determinarán previamente, con arreglo a un enfoque basado en el riesgo, la frecuencia de las auditorías e inspecciones y los ámbitos que deben auditarse, según normas de auditoría comúnmente aceptadas en consonancia con las instrucciones de supervisión sobre el uso y la incorporación de dichas normas de auditoría.

Cuando los acuerdos contractuales relativos al uso de servicios de TIC celebrados con proveedores terceros de servicios de TIC impliquen una gran complejidad técnica, la entidad financiera verificará que los auditores, ya sean internos, externos o un grupo de auditores, posean las capacidades y los conocimientos adecuados para llevar a cabo efectivamente las auditorías y evaluaciones pertinentes.

7. Las entidades financieras garantizarán la posibilidad de terminar los acuerdos contractuales sobre el uso de servicios de TIC en cualquiera de los siguientes casos:

a) incumplimiento importante por parte del proveedor tercero de servicios de TIC de las disposiciones legales o reglamentarias o las cláusulas contractuales aplicables;

b) circunstancias observadas durante el seguimiento del riesgo relacionado con las TIC derivado de terceros que se considere que pueden alterar el desempeño de las funciones prestadas en virtud del acuerdo contractual, incluidos cambios importantes que afecten al acuerdo o a la situación del proveedor tercero de servicios de TIC;

c) debilidades manifiestas del proveedor tercero de servicios de TIC en cuanto a su gestión global del riesgo relacionado con las TIC y, en particular, a la forma en que garantiza la disponibilidad, la autenticidad, la integridad y la confidencialidad de los datos, ya sean personales o sensibles en cualquier otro sentido, o no personales;

d) cuando la autoridad competente haya dejado de poder supervisar efectivamente a la entidad financiera como resultado de las condiciones del acuerdo contractual de que se trate o las circunstancias relacionadas con él.

8. En el caso de los servicios de TIC que sustenten funciones esenciales o importantes, las entidades financieras establecerán estrategias de salida. Las estrategias de salida tendrán en cuenta los riesgos que puedan surgir en relación con los proveedores terceros de servicios de TIC, en particular un posible fallo por su parte, un deterioro de la calidad de los servicios de TIC prestados, cualquier perturbación de la actividad debida a una falta de prestación de servicios de TIC o a una prestación inadecuada, o cualquier riesgo sustancial que pueda plantearse en relación con el ejercicio adecuado y continuo del servicio de TIC correspondiente, o la terminación de los acuerdos contractuales con proveedores terceros de servicios de TIC en cualquiera de las circunstancias enumeradas en el apartado 7.

Las entidades financieras se asegurarán de poder abandonar los acuerdos contractuales sin:

a) perturbación de sus operaciones comerciales;

b) limitación del cumplimiento de los requisitos reglamentarios;

c) perjuicio para la continuidad y la calidad de los servicios prestados a los clientes.

Los planes de salida serán globales, estarán documentados y, de conformidad con los criterios establecidos en el artículo 4, apartado 2, se someterán a suficientes pruebas y se revisarán periódicamente.

Las entidades financieras hallarán soluciones alternativas y elaborarán planes de transición que les permitan recuperar los servicios de TIC contratados y los datos pertinentes del proveedor tercero de servicios de TIC y transferirlos de forma segura e íntegra a proveedores alternativos o reincorporarlos internamente.

Las entidades financieras dispondrán de medidas de contingencia adecuadas para mantener la continuidad de la actividad en caso de que se den las circunstancias mencionadas en el párrafo primero.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de ejecución a fin de establecer las plantillas normalizadas para el registro de información a que se refiere el apartado 3, incluyendo la información común a todos los acuerdos contractuales relativa al uso de servicios de TIC. Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de ejecución a más tardar el 17 de enero de 2024.

Se otorgan a la Comisión competencias para adoptar las normas técnicas de ejecución a que se refiere el párrafo primero de conformidad con el artículo 15 del Reglamento (UE) n.º 1093/2010, el artículo 15 del Reglamento (UE) n.º 1094/2010 y el artículo 15 del Reglamento (UE) n.º 1095/2010.

10. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación a fin de especificar en más profundidad el contenido detallado de la política a que se refiere el apartado 2 en relación con los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.