Art. 10
Gestión de vulnerabilidades y parches
En vigor desde 13 mar 2024
Artículo 10
Gestión de vulnerabilidades y parches
1. Dentro de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554, las entidades financieras elaborarán, documentarán y aplicarán procedimientos de gestión de vulnerabilidades.
2. Los procedimientos de gestión de vulnerabilidades a que se refiere el apartado 1 deberán:
a)
determinar los recursos de información que sean pertinentes y fiables para desarrollar y mantener la sensibilización sobre las vulnerabilidades, y actualizarlos;
b)
garantizar la realización de exploraciones y evaluaciones automatizadas de vulnerabilidad de los activos de TIC cuya frecuencia y alcance serán acordes con la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y con el perfil de riesgo general del activo de TIC;
c)
verificar:
i)
si los proveedores terceros de servicios de TIC gestionan las vulnerabilidades relacionadas con los servicios de TIC prestados a la entidad financiera,
ii)
si dichos proveedores de servicios informan a la entidad financiera al menos de las vulnerabilidades graves y de las estadísticas y tendencias de manera oportuna;
d)
hacer un seguimiento del uso de:
i)
las bibliotecas de terceros, incluidas las bibliotecas de código abierto, a las que recurran los servicios de TIC que sustentan funciones esenciales o importantes,
ii)
los servicios de TIC desarrollados por la propia entidad financiera o personalizados o desarrollados específicamente para la entidad financiera por un proveedor tercero de servicios de TIC;
e)
establecer procedimientos para la divulgación responsable de las vulnerabilidades a los clientes, las contrapartes y el público;
f)
dar prioridad a la implementación de parches y otras medidas de mitigación para hacer frente a las vulnerabilidades detectadas;
g)
hacer un seguimiento de la subsanación de las vulnerabilidades y verificar esa subsanación;
h)
exigir el registro de toda vulnerabilidad detectada que afecte a los sistemas de TIC y el seguimiento de su resolución.
A efectos de la letra b), las entidades financieras llevarán a cabo las exploraciones y evaluaciones automatizadas de vulnerabilidad al menos semanalmente en el caso de los activos de TIC que sustenten funciones esenciales o importantes.
A efectos de la letra c), las entidades financieras solicitarán a los proveedores terceros de servicios de TIC que investiguen las vulnerabilidades pertinentes, determinen las causas subyacentes y apliquen las medidas de mitigación adecuadas.
A efectos de la letra d), las entidades financieras, en su caso en colaboración con el proveedor tercero de servicios de TIC, harán un seguimiento de la versión y las posibles actualizaciones de las bibliotecas de terceros. En el caso de los activos de TIC o componentes de activos de TIC listos para usar (off-the-shelf) que se adquieran y utilicen en la explotación de servicios de TIC que no sustenten funciones esenciales o importantes, las entidades financieras harán, en la medida de lo posible, un seguimiento del uso de bibliotecas de terceros, incluidas las bibliotecas de código abierto.
A efectos de la letra f), las entidades financieras tendrán en cuenta la gravedad de la vulnerabilidad, la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y el perfil de riesgo de los activos de TIC afectados por las vulnerabilidades detectadas.
3. Dentro de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554, las entidades financieras elaborarán, documentarán y aplicarán procedimientos de gestión de parches.
4. Los procedimientos de gestión de parches a que se refiere el apartado 3 deberán:
a)
en la medida de lo posible, determinar y evaluar los parches de software y hardware y las actualizaciones disponibles utilizando herramientas automatizadas;
b)
determinar los procedimientos de emergencia para el parcheo y la actualización de los activos de TIC;
c)
probar e implementar los parches de software y hardware y las actualizaciones con arreglo al artículo 8, apartado 2, letra b), incisos v), vi) y vii);
d)
fijar plazos para la instalación de parches de software y hardware y actualizaciones y establecer procedimientos de traslado a la instancia jerárquica superior en caso de que dichos plazos no puedan cumplirse.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-10