Acerca de operadores lógicos
Articulo 8 Resiliencia operativa digital del sector financiero
Artículo 8. Identificación
1. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras identificarán, clasificarán y documentarán adecuadamente todas las funciones, cometidos y responsabilidades empresariales sustentados por las TIC, los activos de información y activos de TIC que sustenten dichas funciones, y sus cometidos y dependencias en relación con el riesgo relacionado con las TIC. Las entidades financieras revisarán en caso necesario, y al menos una vez al año, la idoneidad de esta clasificación y de cualquier documentación pertinente.
2. Las entidades financieras identificarán de forma continua todas las fuentes de riesgo relacionado con las TIC, en particular la exposición al riesgo para con otras entidades financieras y derivada de otras entidades financieras, y evaluarán las ciberamenazas y vulnerabilidades en materia de TIC pertinentes para sus funciones empresariales sustentadas por TIC, activos de información y activos de TIC. Las entidades financieras revisarán periódicamente, y al menos una vez al año, los escenarios de riesgo que les afecten.
3. Las entidades financieras que no sean microempresas llevarán a cabo una evaluación del riesgo cada vez que se produzca un cambio importante en la infraestructura de las redes y los sistemas de información, en los procesos o procedimientos que afecten a sus funciones empresariales sustentadas por TIC, activos de información o activos de TIC.
4. Las entidades financieras identificarán todos los activos de información y activos de TIC, incluidos los que se encuentren en emplazamientos remotos, recursos de red y equipos de hardware, y cartografiarán aquellos considerados esenciales. Cartografiarán la configuración de los activos de información y activos de TIC y los vínculos e interdependencias entre los distintos activos de información y activos de TIC.
5. Las entidades financieras identificarán y documentarán todos los procesos que dependan de proveedores terceros de servicios de TIC, e identificarán las interconexiones con proveedores terceros de servicios de TIC que presten servicios que sustenten funciones esenciales o importantes.
6. A los efectos de los apartados 1, 4 y 5, las entidades financieras mantendrán los inventarios pertinentes y los actualizarán periódicamente y cada vez que se produzcan los cambios importantes a que se refiere el apartado 3.
7. Las entidades financieras que no sean microempresas llevarán a cabo periódicamente, y al menos una vez al año, una evaluación específica del riesgo relacionado con las TIC en todos los sistemas de TIC heredados y, en cualquier caso, antes y después de conectar tecnologías, aplicaciones o sistemas.