Articulo 5 Resiliencia operativa digital del sector financiero

1. A fin lograr un nivel elevado de resiliencia operativa digital, las entidades financieras dispondrán de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC, de conformidad con el artículo 6, apartado 4.

2. El órgano de dirección de la entidad financiera definirá, aprobará y supervisará todas las disposiciones relacionadas con el marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y será responsable de su aplicación.

A efectos del párrafo primero, el órgano de dirección:

a) asumirá la responsabilidad última de gestionar el riesgo relacionado con las TIC de la entidad financiera;

b) adoptará políticas encaminadas a garantizar el mantenimiento de unos niveles elevados de disponibilidad, autenticidad, integridad y confidencialidad de los datos;

c) definirá claramente los cometidos y responsabilidades por lo que respecta a todas las funciones relacionadas con las TIC y establecerá mecanismos de gobernanza adecuados para garantizar una comunicación, cooperación y coordinación efectivas y oportunas entre dichas funciones;

d) asumirá la responsabilidad general de establecer y aprobar la estrategia de resiliencia operativa digital a que se refiere el artículo 6, apartado 8, lo que incluye determinar el nivel adecuado de tolerancia al riesgo relacionado con las TIC de la entidad financiera a que se refiere el artículo 6, apartado 8, letra b);

e) aprobará, supervisará y revisará periódicamente la aplicación de la política de continuidad de la actividad en materia de TIC y de los planes de respuesta y recuperación en materia de TIC de la entidad financiera a que se refiere, respectivamente, el artículo 11 apartados 1 y 3, que podrán ser adoptados como una política específica que forme parte integrante de la política global de continuidad de la actividad y del plan de respuesta y recuperación de la entidad financiera;

f) aprobará y revisará periódicamente los planes de auditoría internos de TIC y las auditorías de TIC de la entidad financiera, así como sus modificaciones significativas;

g) asignará y revisará periódicamente el presupuesto adecuado para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos, incluidos los programas de sensibilización en materia de seguridad de las TIC y las actividades de formación sobre resiliencia operativa digital pertinentes a que se refiere el artículo 13, apartado 6, y las capacidades en materia de TIC para todo el personal;

h) aprobará y revisará periódicamente la política de la entidad financiera sobre los acuerdos relativos al uso de servicios de TIC prestados por proveedores terceros de servicios de TIC;

i) establecerá, a escala corporativa, canales de comunicación que le permitan estar debidamente informado de lo siguiente:

i) de los acuerdos celebrados con proveedores terceros de servicios de TIC sobre el uso de servicios de TIC,

ii) de cualquier cambio sustancial pertinente previsto en relación con los proveedores terceros de servicios de TIC,

iii) de las posibles repercusiones de tales cambios en las funciones esenciales o importantes reguladas por dichos acuerdos, incluido un resumen del análisis de riesgos para evaluar las repercusiones de dichos cambios, y al menos de los incidentes graves relacionados con las TIC y sus repercusiones, así como de las medidas de respuesta, recuperación y corrección.

3. Las entidades financieras que no sean microempresas crearán un cargo para el seguimiento de los acuerdos celebrados con proveedores terceros de servicios de TIC sobre el uso de servicios de TIC o designarán a un miembro de la alta dirección como responsable de supervisar la exposición al riesgo correspondiente y la documentación pertinente.

4. Los miembros del órgano de dirección de la entidad financiera mantendrán al día de manera activa conocimientos y capacidades suficientes para comprender y evaluar el riesgo relacionado con las TIC y sus repercusiones en las operaciones de la entidad financiera, también siguiendo periódicamente una formación específica que sea acorde al riesgo relacionado con las TIC que se esté gestionando.