Articulo 6 Resiliencia operativa digital del sector financiero

1. Las entidades financieras contarán con un marco de gestión del riesgo relacionado con las TIC sólido, completo y bien documentado como parte de su sistema global de gestión de riesgos, que les permita hacer frente al riesgo relacionado con las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital.

2. El marco de gestión del riesgo relacionado con las TIC incluirá al menos las estrategias, las políticas, los procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos los activos de información y activos de TIC, incluidos el software, el hardware y los servidores, así como para proteger todos los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas, a fin de garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos los daños y el acceso o uso no autorizados.

3. De conformidad con el marco de gestión del riesgo relacionado con las TIC, las entidades financieras minimizarán las consecuencias de dicho riesgo mediante el despliegue de estrategias, políticas, procedimientos, protocolos y herramientas de TIC adecuados. Proporcionarán a las autoridades competentes que lo soliciten información completa y actualizada sobre el riesgo relacionado con las TIC y sobre su marco de gestión de dicho riesgo.

4. Las entidades financieras que no sean microempresas encomendarán a una función de control la gestión y la supervisión del riesgo relacionado con las TIC y garantizarán un nivel adecuado de independencia de dicha función para evitar conflictos de intereses. Las entidades financieras garantizarán una separación e independencia adecuadas de las funciones de gestión del riesgo relacionado con las TIC, las funciones de control y las funciones de auditoría interna, con arreglo al modelo de tres líneas de defensa o a un modelo interno de gestión y control de riesgos.

5. El marco de gestión del riesgo relacionado con las TIC se documentará y revisará al menos una vez al año, o periódicamente en el caso de las microempresas, así como cuando se produzcan incidentes graves relacionados con las TIC, y siguiendo las instrucciones de supervisión o conclusiones derivadas de los procesos pertinentes de prueba o auditoría de la resiliencia operativa digital. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la aplicación y el seguimiento. Se presentará a la autoridad competente que lo solicite un informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC.

6. El marco de gestión del riesgo relacionado con las TIC de las entidades financieras que no sean microempresas será objeto de auditoría interna llevada a cabo por auditores con carácter periódico en consonancia con el plan de auditoría de las entidades financieras. Dichos auditores poseerán conocimientos, capacidades y pericia suficientes en materia de riesgo relacionado con las TIC, y gozarán de la independencia adecuada. La frecuencia y el enfoque de las auditorías de TIC serán acordes con el riesgo relacionado con las TIC de la entidad financiera.

7. A partir de las conclusiones de la auditoría interna, las entidades financieras establecerán un proceso formal de seguimiento que incluirá normas para la oportuna verificación y corrección de los resultados problemáticos de la auditoría de TIC.

8. El marco de gestión del riesgo relacionado con las TIC incluirá una estrategia de resiliencia operativa digital que establezca cómo se aplicará el marco. A tal fin, la estrategia de resiliencia operativa digital incluirá métodos para hacer frente al riesgo relacionado con las TIC y alcanzar los objetivos específicos en materia de TIC, para lo cual:

a) explicará cómo apoya el marco de gestión del riesgo relacionado con las TIC la estrategia y los objetivos empresariales de la entidad financiera;

b) establecerá el nivel de tolerancia al riesgo relacionado con las TIC, de acuerdo con la propensión al riesgo de la entidad financiera, y analizará la tolerancia al impacto de las perturbaciones de las TIC;

c) establecerá objetivos claros en materia de seguridad de la información, incluidos indicadores clave de rendimiento y parámetros clave de medición del riesgo;

d) explicará la arquitectura de referencia de TIC y cualquier cambio necesario para alcanzar objetivos empresariales específicos;

e) esbozará los diferentes mecanismos establecidos para detectar incidentes relacionados con las TIC, prevenir su impacto y protegerse de sus efectos;

f) hará constar la situación actual de la resiliencia operativa digital sobre la base del número de incidentes graves relacionados con las TIC notificados y la eficacia de las medidas preventivas;

g) efectuará pruebas de resiliencia operativa digital, de conformidad con el capítulo IV del presente Reglamento;

h) esbozará una estrategia de comunicación en caso de aquellos incidentes relacionados con las TIC que sea obligatorio divulgar conformidad con el artículo 14.

9. Las entidades financieras podrán, en el contexto de la estrategia de resiliencia operativa digital a que se refiere el apartado 8, definir una estrategia global multiproveedor en materia de TIC a nivel de grupo o entidad, que muestre las dependencias clave de los proveedores terceros de servicios de TIC y explique los motivos subyacentes a la contratación de una combinación de proveedores terceros de servicios de TIC.

10. Las entidades financieras podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, a empresas externas o de su mismo grupo las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo relacionado con las TIC. En los casos en que se produzca tal externalización, la entidad financiera seguirá siendo plenamente responsable de la verificación del cumplimiento de los requisitos en materia de gestión del riesgo relacionado con las TIC.