Articulo 33 Resiliencia operativa digital del sector financiero

1. El supervisor principal, nombrado de conformidad con el artículo 31, apartado 1, letra b), llevará a cabo la supervisión de los proveedores terceros esenciales de servicios de TIC asignados y será, a efectos de todos los asuntos relacionados con la supervisión, el punto de contacto principal para dichos proveedores terceros esenciales de servicios de TIC.

2. A efectos de lo dispuesto en el apartado 1, el supervisor principal evaluará si cada proveedor tercero esencial de servicios de TIC ha establecido normas, procedimientos, mecanismos y disposiciones completos, sólidos y efectivos para gestionar el riesgo relacionado con las TIC que pueda plantear a las entidades financieras.

La evaluación a que se refiere el párrafo primero se centrará principalmente en los servicios de TIC prestados por el proveedor tercero esencial de servicios de TIC que sustenten funciones esenciales o importantes de las entidades financieras. Cuando sea necesario para abordar todos los riesgos pertinentes, dicha evaluación abarcará además los servicios de TIC que sustenten funciones distintas de aquellas que son esenciales o importantes.

3. La evaluación a la que se refiere el apartado 2 abarcará:

a) los requisitos en materia de TIC para garantizar, en particular, la seguridad, la disponibilidad, la continuidad, la escalabilidad y la calidad de los servicios que el proveedor tercero esencial de servicios de TIC presta a las entidades financieras, así como la capacidad para mantener en todo momento unos niveles elevados de disponibilidad, autenticidad, integridad o confidencialidad de los datos;

b) la seguridad física que contribuye a garantizar la seguridad de las TIC, incluida la seguridad de los locales, instalaciones y centros de datos;

c) los procesos de gestión de riesgos, incluidas las políticas de gestión del riesgo relacionado con las TIC, la política de continuidad de la actividad en materia de TIC y los planes de respuesta y recuperación en materia de TIC;

d) los mecanismos de gobernanza, incluida una estructura organizativa con líneas de responsabilidad claras, transparentes y coherentes y normas de rendición de cuentas que permitan la gestión eficaz del riesgo relacionado con las TIC;

e) la determinación, el seguimiento y la rápida notificación a las entidades financieras de los incidentes importantes relacionados con las TIC, la gestión y la resolución de dichos incidentes, en particular de los ciberataques;

f) los mecanismos para la portabilidad de los datos y la portabilidad e interoperabilidad de las aplicaciones, que garanticen el ejercicio efectivo de los derechos de terminación por las entidades financieras;

g) la prueba de los sistemas, las infraestructuras y los controles de TIC;

h) las auditorías de TIC;

i) la aplicación de las normas nacionales e internacionales pertinentes en materia de prestación de sus servicios de TIC a las entidades financieras.

4. Sobre la base de la evaluación a que se refiere el apartado 2, y en coordinación con la Red de Supervisión Conjunta a que se refiere el artículo 34, apartado 1, el supervisor principal adoptará un plan de supervisión particular claro, detallado y motivado en el que se describan los objetivos anuales de supervisión y las principales acciones de supervisión previstas para cada proveedor tercero esencial de servicios de TIC. Dicho plan se comunicará cada año al proveedor tercero esencial de servicios de TIC.

Antes de la adopción del plan de supervisión, el supervisor principal comunicará el proyecto de plan de supervisión al proveedor tercero esencial de servicios de TIC.

Cuando reciba el proyecto de plan de supervisión, el proveedor tercero esencial de servicios de TIC podrá presentar una declaración motivada en un plazo de quince días naturales en la que se exponga el efecto esperado en los clientes que sean entidades excluidas del ámbito de aplicación del presente Reglamento y en la que se planteen, en su caso, soluciones para mitigar los riesgos.

5. Una vez que los planes de supervisión anuales a que se refiere el apartado 4 hayan sido adoptados y notificados a los proveedores terceros esenciales de servicios de TIC, las autoridades competentes podrán adoptar medidas en relación con dichos proveedores solo de acuerdo con el supervisor principal.