Regl. · n.º 1774
Reglamento (UE) 2024/1774
 Abrir lector completo

Art. 11

Seguridad de los datos y sistemas

En vigor desde 13 mar 2024
Artículo 11 Seguridad de los datos y sistemas 1.   Dentro de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554, las entidades financieras elaborarán, documentarán y aplicarán un procedimiento de seguridad de los datos y sistemas. 2.   El procedimiento de seguridad de los datos y sistemas a que se refiere el apartado 1 contendrá todos los elementos relacionados con la seguridad de los datos y los sistemas de TIC que se indican a continuación, teniendo en cuenta la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554: a) las restricciones de acceso a que se refiere el artículo 21 del presente Reglamento, que respaldarán los requisitos de protección de cada nivel de clasificación; b) la determinación de una configuración segura de referencia para los activos de TIC que minimice su exposición a ciberamenazas y medidas para verificar periódicamente que dicha configuración se aplique de manera efectiva; c) la determinación de medidas de seguridad para garantizar que únicamente se instale software autorizado en los sistemas de TIC y los dispositivos de nodo final; d) la determinación de medidas de seguridad contra códigos maliciosos; e) la determinación de medidas de seguridad para garantizar que únicamente se utilicen soportes de almacenamiento de datos, sistemas y dispositivos de nodo final autorizados a la hora de transferir y almacenar datos de la entidad financiera; f) los siguientes requisitos para garantizar el uso seguro de los dispositivos de nodo final portátiles y los dispositivos de nodo final no portátiles privados: i) el requisito de utilizar una solución de gestión para gestionar a distancia los dispositivos de nodo final y borrar a distancia los datos de la entidad financiera, ii) el requisito de utilizar mecanismos de seguridad que no puedan ser modificados, retirados o eludidos sin autorización por los miembros del personal o los proveedores terceros de servicios de TIC, iii) el requisito de utilizar dispositivos de almacenamiento de datos extraíbles únicamente cuando el riesgo residual relacionado con las TIC permanezca dentro del nivel de tolerancia al riesgo de la entidad financiera a que se refiere el artículo 3, apartado 1, letra a); g) el proceso para la supresión segura de los datos que se encuentren en los locales de la entidad financiera o estén almacenados externamente y que la entidad financiera ya no necesite recopilar o almacenar; h) el proceso para desechar o desactivar de forma segura los dispositivos de almacenamiento de datos que se encuentren en los locales de la entidad financiera o estén almacenados externamente y que contengan información confidencial; i) la determinación y aplicación de medidas de seguridad para prevenir la pérdida y fuga de datos en relación con los sistemas y dispositivos de nodo final; j) la aplicación de medidas de seguridad para garantizar que el teletrabajo y el uso de dispositivos de nodo final privados no incidan negativamente en la seguridad de las TIC de la entidad financiera; k) en el caso de los activos o servicios de TIC explotados por un proveedor tercero de servicios de TIC, la determinación y aplicación de requisitos para mantener la resiliencia operativa digital, de conformidad con los resultados de la clasificación de datos y la evaluación del riesgo relacionado con las TIC. A efectos de la letra b), la configuración segura de referencia contemplada en dicha letra tendrá en cuenta las prácticas punteras y las técnicas adecuadas establecidas en las normas que se definen en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012. A efectos de la letra k), las entidades financieras tendrán en cuenta lo siguiente: a) la aplicación de los parámetros recomendados por los proveedores en los elementos explotados por la entidad financiera; b) una distribución clara de funciones y responsabilidades en materia de seguridad de la información entre la entidad financiera y el proveedor tercero de servicios de TIC, de conformidad con el principio de plena responsabilidad de la entidad financiera respecto de su proveedor tercero de servicios de TIC a que se refiere el artículo 28, apartado 1, letra a), del Reglamento (UE) 2022/2554, y, en el caso de las entidades financieras a que se refiere el artículo 28, apartado 2, del mismo Reglamento, de conformidad con la política de la entidad financiera sobre el uso de servicios de TIC que sustentan funciones esenciales o importantes; c) la necesidad de garantizar y mantener las competencias adecuadas dentro de la entidad financiera en lo referente a la gestión y seguridad del servicio utilizado; d) medidas técnicas y organizativas destinadas a minimizar los riesgos relacionados con la infraestructura utilizada por el proveedor tercero para prestar sus servicios de TIC, teniendo en cuenta las prácticas punteras y las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1774:oj#art-11

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil