Articulo 9 Resiliencia operativa digital del sector financiero

1. Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades financieras realizarán un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y herramientas de TIC y minimizarán las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC.

2. Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC, en particular aquellos que sustentan funciones esenciales o importantes, así como mantener elevados niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, con independencia de que estén en reposo, en uso o en tránsito.

3. A fin de alcanzar los objetivos mencionados en el apartado 2, las entidades financieras utilizarán soluciones y procesos de TIC que sean adecuados de conformidad con el artículo 4. Dichas soluciones y procesos de TIC deberán:

a) garantizar la seguridad de los medios de transmisión de datos;

b) minimizar el riesgo de corrupción o pérdida de datos, acceso no autorizado y defectos técnicos que puedan obstaculizar la actividad empresarial;

c) evitar la falta de disponibilidad, el menoscabo de la autenticidad e integridad, la vulneración de la confidencialidad y la pérdida de datos;

d) garantizar que los datos estén protegidos de riesgos derivados de su gestión, incluidos los debidos a una mala administración, los relacionados con el tratamiento y los errores humanos.

4. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las entidades financieras deberán:

a) elaborar y documentar una política de seguridad de la información que defina normas para proteger la confidencialidad, disponibilidad, integridad o autenticidad de los datos, activos de información y activos de TIC, incluidos los de sus clientes, en su caso;

b) siguiendo un enfoque basado en el riesgo, establecer una estructura de gestión sólida de redes e infraestructuras utilizando técnicas, métodos y protocolos adecuados que puedan incluir la aplicación de mecanismos automatizados para aislar los activos de información afectados en caso de ciberataques;

c) aplicar políticas que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario únicamente para funciones y actividades legítimas y aprobadas, y establecer a tal fin un conjunto de políticas, procedimientos y controles que se centren en los derechos de acceso y garanticen una buena administración de estos;

d) aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC;

e) aplicar políticas, procedimientos y controles documentados para la gestión de los cambios en las TIC, incluidos los cambios en el software, el hardware, los componentes de firmware, los sistemas o los parámetros de seguridad, que se basen en un enfoque de evaluación de riesgos y formen parte integrante del proceso general de gestión de cambios de la entidad financiera, a fin de garantizar que todos los cambios en los sistemas de TIC se registren, sometan a prueba, evalúen, aprueben, apliquen y verifiquen de forma controlada;

f) contar con políticas documentadas adecuadas y globales para los parches y actualizaciones.

A efectos del párrafo primero, letra b), las entidades financieras diseñarán la infraestructura de conexión a la red de manera que permita su ruptura o segmentación instantánea con el fin de minimizar y prevenir el contagio, especialmente en los procesos financieros interconectados.

A efectos del párrafo primero, letra e), el proceso de gestión de cambios en las TIC será aprobado por los niveles directivos adecuados y dispondrá de protocolos específicos.