Acerca de operadores lógicos
Articulo 3 Resiliencia operativa digital del sector financiero
Artículo 3. Definiciones
A efectos del presente Reglamento, se entenderá por:
1) «resiliencia operativa digital»: la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones;
2) «red y sistema de información»: una red y un sistema de información según se definen en el artículo 6, punto 1, de la Directiva (UE) 2022/2555;
3) «sistema de TIC heredado»: un sistema de TIC que ha alcanzado el final de su ciclo de vida (final de vida útil) y que por razones tecnológicas o comerciales no admite actualizaciones o correcciones, o para el que su proveedor o un proveedor tercero de servicios de TIC ya no presta asistencia técnica, pero que sigue utilizándose y sustenta las funciones de la entidad financiera;
4) «seguridad de las redes y sistemas de información»: la seguridad de las redes y sistemas de información según se define en el artículo 6, punto 2, de la Directiva (UE) 2022/2555;
5) «riesgo relacionado con las TIC»: cualquier circunstancia razonablemente identificable en relación con el uso de redes y sistemas de información que, si se materializa, puede comprometer la seguridad de las redes y sistemas de información, de cualquier herramienta o proceso dependiente de la tecnología, de las operaciones y los procesos o de la prestación de servicios, al provocar efectos adversos en el entorno digital o físico;
6) «activo de información»: un compendio de información, tangible o intangible, que conviene proteger;
7) «activo de TIC»: un activo de software o hardware en las redes y sistemas de información utilizados por la entidad financiera;
8) «incidente relacionado con las TIC»: un único suceso o una serie de sucesos interrelacionados no previstos por la entidad financiera que pone en peligro la seguridad de las redes y sistemas de información y tiene repercusiones negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos o en los servicios prestados por la entidad financiera;
9) «incidente operativo o de seguridad relacionado con los pagos»: un único suceso o una serie de sucesos interrelacionados no previstos por las entidades financieras a que se refiere el artículo 2, apartado 1, letras a) a d), estén o no relacionados con las TIC, que tiene repercusiones negativas en la confidencialidad, disponibilidad, integridad o autenticidad de los datos relacionados con los pagos o en los servicios relacionados con los pagos prestados por la entidad financiera;
10) «incidente grave relacionado con las TIC»: un incidente relacionado con las TIC con graves repercusiones negativas en las redes y sistemas de información que sustentan funciones esenciales o importantes de la entidad financiera;
11) «incidente operativo o de seguridad grave relacionado con los pagos»: un incidente operativo o de seguridad relacionado con los pagos con graves repercusiones negativas en los servicios relacionados con los pagos prestados;
12) «ciberamenaza»: una ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;
13) «ciberamenaza importante»: una ciberamenaza cuyas características técnicas indican que podría dar lugar a un incidente grave relacionado con las TIC o a un incidente operativo o de seguridad grave relacionado con los pagos;
14) «ciberataque»: un incidente malintencionado relacionado con las TIC provocado mediante una tentativa, perpetrada por cualquier agente de riesgo, de destruir, revelar, alterar, desactivar o robar un activo, de obtener acceso no autorizado a ese activo o de hacer uso no autorizado de él;
15) «inteligencia sobre amenazas»: información que se ha agregado, transformado, analizado, interpretado o enriquecido para proporcionar el contexto necesario para la toma de decisiones y permitir una comprensión pertinente y suficiente para mitigar las repercusiones de un incidente relacionado con las TIC o de una ciberamenaza, incluidos los detalles técnicos de un ciberataque, los responsables del ataque, su modus operandi y sus motivaciones;
16) «vulnerabilidad»: una debilidad, susceptibilidad o defecto de un activo, sistema, proceso o control que puede ser explotado;
17) «pruebas de penetración basadas en amenazas»: un marco que imita las tácticas, técnicas y procedimientos de agentes de amenazas reales que se considera presentan una auténtica ciberamenaza, que permite someter a prueba (equipo rojo) de forma controlada, a medida y en función de la inteligencia los sistemas de producción activos esenciales de la entidad financiera;
18) «riesgo relacionado con las TIC derivado de terceros»: el riesgo relacionado con las TIC al que puede verse expuesta una entidad financiera en razón de su uso de servicios de TIC prestados por proveedores terceros de servicios de TIC o por subcontratistas de estos últimos, a través, entre otros, de acuerdos de externalización;
19) «proveedor tercero de servicios de TIC»: una empresa que presta servicios de TIC;
20) «proveedor intragrupo de servicios de TIC»: una empresa que forma parte de un grupo financiero y presta principalmente servicios de TIC a entidades financieras del mismo grupo o a entidades financieras que pertenecen al mismo sistema institucional de protección, también a sus sociedades matrices, filiales o sucursales o a otras entidades que compartan propiedad o control;
21) «servicios de TIC»: los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y excluidos los servicios telefónicos analógicos tradicionales;
22) «función esencial o importante»: una función cuya perturbación afectaría significativamente al rendimiento financiero de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en materia de servicios financieros;
23) «proveedor tercero esencial de servicios de TIC»: un proveedor tercero de servicios de TIC designado como esencial de conformidad con el artículo 31;
24) «proveedor tercero de servicios de TIC establecido en un tercer país»: un proveedor tercero de servicios de TIC que sea una persona jurídica establecida en un tercer país que haya celebrado un acuerdo contractual con una entidad financiera para la prestación de servicios de TIC;
25) «filial»: una empresa filial en el sentido del artículo 2, punto 10, y del artículo 22 de la Directiva 2013/34/UE;
26) «grupo»: un grupo tal como se define en el artículo 2, punto 11, de la Directiva 2013/34/UE;
27) «sociedad matriz»: una sociedad matriz en el sentido del artículo 2, punto 9, y del artículo 22 de la Directiva 2013/34/UE;
28) «subcontratista de TIC establecido en un tercer país»: un subcontratista de TIC que sea una persona jurídica establecida en un tercer país y que haya celebrado un acuerdo contractual con un proveedor tercero de servicios de TIC o con un proveedor tercero de servicios de TIC establecido en un tercer país;
29) «riesgo de concentración de TIC»: una exposición a uno o múltiples proveedores terceros esenciales de servicios de TIC relacionados que cree tal grado de dependencia de dichos proveedores que la indisponibilidad, fallo u otro tipo de deficiencia de estos últimos pueda poner en peligro la capacidad de una entidad financiera para desempeñar funciones esenciales o importantes o causarle otro tipo de efectos adversos, incluidas grandes pérdidas, o poner en peligro la estabilidad financiera de la Unión en su conjunto;
30) «órgano de dirección»: un órgano de dirección tal como se define en el artículo 4, apartado 1, punto 36, de la Directiva 2014/65/UE, el artículo 3, apartado 1, punto 7, de la Directiva 2013/36/UE, el artículo 2, apartado 1, letra s), de la Directiva 2009/65/CE del Parlamento Europeo y del Consejo (31), el artículo 2, apartado 1, punto 45, del Reglamento (UE) n.º 909/2014, el artículo 3, apartado 1, punto 20, del Reglamento (UE) 2016/1011 y las disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos, o las personas equivalentes que dirijan efectivamente la entidad o desempeñen funciones clave de conformidad con el Derecho de la Unión o nacional pertinente;
31) «entidad de crédito»: una entidad de crédito tal como se define en el artículo 4, apartado 1, punto 1, del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo (32);
32) «entidad exenta en virtud de la Directiva 2013/36/UE»: una entidad a que se refiere el artículo 2, apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE;
33) «empresa de servicios de inversión»: una empresa de servicios de inversión tal como se define en el artículo 4, apartado 1, punto 1, de la Directiva 2014/65/UE;
34) «empresa de servicios de inversión pequeña y no interconectada»: una empresa de servicios de inversión que cumple las condiciones establecidas en el artículo 12, apartado 1, del Reglamento (UE) 2019/2033 del Parlamento Europeo y del Consejo (33);
35) «entidad de pago»: una entidad de pago tal como se define en el artículo 4, punto 4, de la Directiva (UE) 2015/2366;
36) «entidad de pago exenta en virtud de la Directiva (UE) 2015/2366»: una entidad de pago exenta en virtud del artículo 32, apartado 1, de la Directiva (UE) 2015/2366;
37) «proveedor de servicios de información sobre cuentas»: un proveedor de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366;
38) «entidad de dinero electrónico»: una entidad de dinero electrónico tal como se define en el artículo 2, punto 1, de la Directiva 2009/110/CE;
39) «entidad de dinero electrónico exenta en virtud de la Directiva 2009/110/CE»: una entidad de dinero electrónico que se beneficia de una exención a tenor del artículo 9, apartado 1, de la Directiva 2009/110/CE;
40) «entidad de contrapartida central»: una entidad de contrapartida central tal como se define en el artículo 2, punto 1, del Reglamento (UE) n.º 648/2012;
41) «registro de operaciones»: un registro de operaciones tal como se define en el artículo 2, punto 2, del Reglamento (UE) n.º 648/2012;
42) «depositario central de valores»: un depositario central de valores tal como se define en el artículo 2, apartado 1, punto 1, del Reglamento (UE) n.º 909/2014;
43) «centro de negociación»: un centro de negociación tal como se define en el artículo 4, apartado 1, punto 24, de la Directiva 2014/65/UE;
44) «gestor de fondos de inversión alternativos»: un gestor de fondos de inversión alternativos tal como se define en el artículo 4, apartado 1, letra b), de la Directiva 2011/61/UE;
45) «sociedad de gestión»: una sociedad de gestión tal como se define en el artículo 2, apartado 1, letra b), de la Directiva 2009/65/CE;
46) «proveedor de servicios de suministro de datos»: un proveedor de servicios de suministro de datos en el sentido del Reglamento (UE) n.º 600/2014, a que se refiere su artículo 2, apartado 1, puntos 34 a 36;
47) «empresa de seguros»: una empresa de seguros tal como se define en el artículo 13, punto 1, de la Directiva 2009/138/CE;
48) «empresa de reaseguros»: una empresa de reaseguros tal como se define en el artículo 13, punto 4, de la Directiva 2009/138/CE;
49) «intermediario de seguros»: un intermediario de seguros tal como se define en el artículo 2, apartado 1, punto 3, de la Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo (34);
50) «intermediario de seguros complementarios»: un intermediario de seguros complementarios tal como se define en el artículo 2, apartado 1, punto 4, de la Directiva (UE) 2016/97;
51) «intermediario de reaseguros»: un intermediario de reaseguros tal como se define en el artículo 2, apartado 1, punto 5, de la Directiva (UE) 2016/97;
52) «fondo de pensiones de empleo»: un fondo de pensiones de empleo tal como se define en el artículo 6, punto 1, de la Directiva (UE) 2016/2341;
53) «fondo de pensiones de empleo pequeño»: un fondo de pensiones de empleo que gestiona planes de pensiones que cuentan con menos de 100 partícipes en total;
54) «agencia de calificación crediticia»: una agencia de calificación crediticia tal como se define en el artículo 3, apartado 1, letra b), del Reglamento (CE) n.º 1060/2009;
55) «proveedor de servicios de criptoactivos»: un proveedor de servicios de criptoactivos tal como se define en las disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos;
56) «emisor de fichas referenciadas a activos»: un emisor de fichas referenciadas a activos tal como se definen en las disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos;
57) «administrador de índices de referencia cruciales»: un administrador de «índices de referencia cruciales» tal como se definen en el artículo 3, apartado 1, punto 25, del Reglamento (UE) 2016/1011;
58) «proveedor de servicios de financiación participativa»: un proveedor de servicios de financiación participativa tal como se define en el artículo 2, apartado 1, letra e), del Reglamento (UE) 2020/1503 del Parlamento Europeo y del Consejo (35);
59) «registro de titulizaciones»: un registro de titulizaciones tal como se define en el artículo 2, punto 23, del Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo (36);
60) «microempresa»: una entidad financiera distinta de un centro de negociación, una entidad de contrapartida central, un registro de operaciones o un depositario central de valores, que emplea a menos de diez personas y cuyo volumen de negocios anual o balance anual total es igual o inferior a 2 millones EUR;
61) «supervisor principal»: la Autoridad Europea de Supervisión nombrada de conformidad con el artículo 31, apartado 1, letra b), del presente Reglamento;
62) «Comité Mixto»: el comité a que se refiere el artículo 54 del Reglamento (UE) n.º 1093/2010, el artículo 54 del Reglamento (UE) n.º 1094/2010 y el artículo 54 del Reglamento (UE) n.º 1095/2010;
63) «pequeña empresa»: una entidad financiera que emplea a 10 o más personas pero menos de 50 y cuyo volumen de negocios anual o balance anual total es superior a 2 millones EUR pero igual o inferior a 10 millones EUR;
64) «mediana empresa»: una entidad financiera distinta de una pequeña empresa, que emplea a menos de 250 personas y cuyo volumen de negocios anual es igual o inferior a 50 millones EUR o cuyo balance anual es igual o inferior a 43 millones EUR;
65) «autoridad pública»: cualquier gobierno u otra entidad de la administración pública, incluidos los bancos centrales nacionales.