Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011 (Texto pertinente a efectos del EEE) - Diario Oficial de la Unión Europea de 27-12-2022
Índice
Texto
Ambito: DOUE
Estado: VIGENTE. Validez desde 16 de Enero de 2023
F. entrada en vigor: 16/01/2023
Órgano emisor: PARLAMENTO EUROPEO Y CONSEJO
Boletín: Diario Oficial de la Unión Europea Número 333
F. Publicación: 27/12/2022
Documento oficial en PDF: Enlace
Esta norma NO ha sido modificada legislativamente
CAPÍTULO I. Disposiciones generales
Artículo 1. Objeto
Artículo 2. Ámbito de aplicación
Artículo 3. Definiciones
Artículo 4. Principio de proporcionalidad
CAPÍTULO II. Gestión del riesgo relacionado con las TIC
SECCIÓN I
Artículo 5. Gobernanza y organización
SECCIÓN II
Artículo 6. Marco de gestión del riesgo relacionado con las TIC
Artículo 7. Sistemas, protocolos y herramientas de TIC
Artículo 8. Identificación
Artículo 9. Protección y prevención
Artículo 10. Detección
Artículo 11. Respuesta y recuperación
Artículo 12. Políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación
Artículo 13. Aprendizaje y evolución
Artículo 14. Comunicación
Artículo 15. Mayor armonización de las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las TIC
Artículo 16. Marco simplificado de gestión del riesgo relacionado con las TIC
CAPÍTULO III. Gestión, clasificación y notificación de incidentes relacionados con las TIC
Artículo 17. Proceso de gestión de incidentes relacionados con las TIC
Artículo 18. Clasificación de los incidentes relacionados con las TIC y las ciberamenazas
Artículo 19. Notificación de los incidentes graves relacionados con las TIC y notificación voluntaria de las ciberamenazas importantes
Artículo 20. Armonización del contenido de la información y las plantillas para presentarla
Artículo 21. Centralización de la información sobre los incidentes graves relacionados con las TIC
Artículo 22. Observaciones de las autoridades de supervisión
Artículo 23. Incidentes operativos o de seguridad relacionados con los pagos que atañen a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico
CAPÍTULO IV. Pruebas de resiliencia operativa digital
Artículo 24. Requisitos generales para la realización de pruebas de resiliencia operativa digital
Artículo 25. Pruebas de las herramientas y los sistemas de TIC
Artículo 26. Pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración basadas en amenazas
Artículo 27. Requisitos aplicables a los probadores para la realización de pruebas de penetración basadas en amenazas
CAPÍTULO V. Gestión del riesgo relacionado con las TIC derivado de terceros
SECCIÓN I. Principios fundamentales de una buena gestión del riesgo relacionado con las TIC derivado de terceros
Artículo 28. Principios generales
Artículo 29. Evaluación preliminar del riesgo de concentración de TIC a nivel de la entidad
Artículo 30. Cláusulas contractuales fundamentales
SECCIÓN II. Marco de supervisión de los proveedores terceros esenciales de servicios de TIC
Artículo 31. Designación de proveedores terceros esenciales de servicios de TIC
Artículo 32. Estructura del marco de supervisión
Artículo 33. Tareas del supervisor principal
Artículo 34. Coordinación operativa entre supervisores principales
Artículo 35. Facultades del supervisor principal
Artículo 36. Ejercicio de las facultades del supervisor principal fuera de la Unión
Artículo 37. Solicitud de información
Artículo 38. Investigaciones generales
Artículo 39. Inspecciones
Artículo 40. Supervisión permanente
Artículo 41. Armonización de las condiciones que permiten llevar a cabo las actividades de supervisión
Artículo 42. Seguimiento por las autoridades competentes
Artículo 43. Tasas de supervisión
Artículo 44. Cooperación internacional
CAPÍTULO VI. Acuerdos de intercambio de información
Artículo 45. Acuerdos de intercambio de información en relación con información e inteligencia sobre ciberamenazas
CAPÍTULO VII. Autoridades competentes
Artículo 46. Autoridades competentes
Artículo 47. Cooperación con las estructuras y autoridades establecidas por la Directiva (UE) 2022/2555
Artículo 48. Cooperación entre autoridades
Artículo 49. Ejercicios, comunicación y cooperación intersectoriales en el ámbito financiero
Artículo 50. Sanciones administrativas y medidas correctoras
Artículo 51. Ejercicio de la facultad de imponer sanciones administrativas y medidas correctoras
Artículo 52. Sanciones penales
Artículo 53. Obligaciones de notificación
Artículo 54. Publicación de las sanciones administrativas
Artículo 55. Secreto profesional
Artículo 56. Protección de datos
CAPÍTULO VIII. Actos delegados
Artículo 57. Ejercicio de la delegación
CAPÍTULO IX. Disposiciones transitorias y finales
SECCIÓN I
Artículo 58. Cláusula de revisión
SECCIÓN II. Modificaciones
Artículo 59. Modificaciones del Reglamento (CE) n.º 1060/2009
Artículo 60. Modificaciones del Reglamento (UE) n.º 648/2012
Artículo 61. Modificaciones del Reglamento (UE) n.º 909/2014
Artículo 62. Modificaciones del Reglamento (UE) n.º 600/2014
Artículo 63. Modificaciones del Reglamento (UE) 2016/1011
Artículo 64. Entrada en vigor y aplicación