Articulo 30 Resiliencia operativa digital del sector financiero

1. Los derechos y obligaciones de la entidad financiera y del proveedor tercero de servicios de TIC estarán claramente asignados y establecidos por escrito. El contrato completo incluirá los acuerdos de nivel de servicio y se formalizará en un documento escrito que estará a disposición de las partes en papel, o en un documento en otro formato descargable, duradero y accesible.

2. Los acuerdos contractuales sobre el uso de servicios de TIC incluirán, como mínimo, los elementos siguientes:

a) una descripción clara y completa de todas las funciones y los servicios de TIC que deba prestar el proveedor tercero de servicios de TIC en la que se indique si está permitida la subcontratación de un servicio de TIC que sustente una función esencial o importante, o partes sustanciales de ellas, y, en caso afirmativo, las condiciones aplicables a dicha subcontratación;

b) los lugares, en concreto, las regiones o países, en los que deberán proporcionarse las funciones y los servicios de TIC contratados o subcontratados y en los que deberán tratarse los datos, incluido el lugar de almacenamiento, y el requisito de que el proveedor tercero de servicios de TIC notifique por adelantado a la entidad financiera cualquier cambio previsto de dichos lugares;

c) disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad en relación con la protección de los datos, incluidos los datos personales;

d) disposiciones sobre las garantías de la entidad financiera de poder acceder a los datos personales y no personales tratados y de poder recuperarlos y que le sean devueltos en un formato fácilmente accesible en caso de insolvencia, resolución o interrupción de las operaciones comerciales del proveedor tercero de servicios de TIC o en caso de terminación de los acuerdos contractuales;

e) descripciones del nivel de servicio, incluidas sus actualizaciones y revisiones;

f) la obligación del proveedor tercero de servicios de TIC de prestar asistencia a la entidad financiera sin coste adicional, o a un coste determinado con anterioridad, cuando se produzca un incidente de TIC relacionado con el servicio de TIC prestado a la entidad financiera;

g) la obligación del proveedor tercero de servicios de TIC de cooperar plenamente con las autoridades competentes y las autoridades de resolución de la entidad financiera, incluidas las personas nombradas por ellas;

h) los derechos de terminación y los correspondientes plazos mínimos de notificación para la terminación de los acuerdos contractuales, conforme a las expectativas de las autoridades competentes y las autoridades de resolución;

i) las condiciones para la participación de proveedores terceros de servicios de TIC en los programas de sensibilización en materia de seguridad de las TIC y en las actividades de formación sobre resiliencia operativa digital de las entidades financieras, de conformidad con el artículo 13, apartado 6.

3. Además de los elementos a que se refiere el apartado 2, los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes incluirán por lo menos lo siguiente:

a) descripciones completas del nivel de servicio, incluidas sus actualizaciones y revisiones, con objetivos precisos de rendimiento cuantitativos y cualitativos dentro de los niveles de servicio acordados, de modo que la entidad financiera pueda realizar un seguimiento efectivo de los servicios de TIC y que se puedan adoptar sin demora indebida las medidas correctoras adecuadas cuando no se alcancen los niveles de servicio acordados;

b) plazos de notificación y obligaciones de información del proveedor tercero de servicios de TIC a la entidad financiera, incluida la notificación de cualquier hecho que pueda afectar considerablemente a la capacidad del proveedor tercero de servicios de TIC para prestar de forma efectiva los servicios de TIC que sustentan funciones esenciales o importantes de conformidad con los niveles de servicio acordados;

c) requisitos para que el proveedor tercero de servicios de TIC aplique y someta apruebe los planes de contingencia empresarial y disponga de medidas, herramientas y políticas de seguridad de las TIC que proporcionen un nivel adecuado de seguridad para la prestación de servicios por parte de la entidad financiera en consonancia con su marco regulador;

d) la obligación de que el proveedor tercero de servicios de TIC participe y coopere plenamente en las pruebas de penetración basadas en amenazas de la entidad financiera a que se refieren los artículos 26 y 27;

e) el derecho a realizar un seguimiento continuo de la actuación del proveedor tercero de servicios de TIC, lo que implica lo siguiente:

i) derechos ilimitados de acceso, inspección y auditoría por la entidad financiera o un tercero designado, y por la autoridad competente, y el derecho a hacer copias de la documentación pertinente in situ si son esenciales para las operaciones del proveedor tercero de servicios de TIC, cuyo ejercicio efectivo no se vea obstaculizado o limitado por otros acuerdos contractuales o políticas de aplicación,

ii) el derecho a pactar niveles de garantía alternativos si se ven afectados los derechos de otros clientes,

iii) la obligación de que el proveedor tercero de servicios de TIC coopere plenamente durante las inspecciones y las auditorías in situ realizadas por las autoridades competentes, el supervisor principal, la entidad financiera o un tercero designado, y

iv) la obligación de proporcionar detalles sobre el alcance, los procedimientos que deben seguirse y la frecuencia de tales inspecciones y auditorías;

f) estrategias de salida, en particular el establecimiento de un período transitorio suficiente obligatorio:

i) durante el cual el proveedor tercero de servicios de TIC seguirá proporcionando las funciones o los servicios de TIC de que se trate con el fin de reducir el riesgo de perturbación en la entidad financiera o de garantizar su resolución y reestructuración efectivas,

ii) que permita a la entidad financiera migrar a otro proveedor tercero de servicios de TIC o adoptar soluciones internas coherentes con la complejidad del servicio prestado.

Como excepción a lo dispuesto en la letra e), el proveedor tercero de servicios de TIC y la entidad financiera que sea una microempresa podrán acordar que se puedan delegar los derechos de acceso, inspección y auditoría de la entidad financiera en un tercero independiente, designado por el proveedor tercero de servicios de TIC, y que la entidad financiera pueda solicitar al tercero en cualquier momento información y garantías sobre la actuación del proveedor tercero de servicios de TIC.

4. Al negociar acuerdos contractuales, las entidades financieras y los proveedores terceros de servicios de TIC considerarán el uso de cláusulas contractuales tipo elaboradas por las autoridades públicas para servicios específicos.

5. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de regulación para especificar más detalladamente los elementos a que se refiere el apartado 2, letra a), que una entidad financiera debe determinar y evaluar a la hora de subcontratar servicios de TIC que sustenten funciones esenciales o importantes.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.