Art. 13
Gestión de la seguridad de las redes
En vigor desde 13 mar 2024
Artículo 13
Gestión de la seguridad de las redes
Dentro de las salvaguardias que garanticen la seguridad de las redes contra las intrusiones y el uso indebido de los datos, las entidades financieras elaborarán, documentarán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de gestión de la seguridad de las redes que incluirán todos los aspectos siguientes:
a)
la separación y segmentación de los sistemas y redes de TIC teniendo en cuenta:
i)
el carácter esencial o la importancia de la función sustentada por dichos sistemas y redes de TIC,
ii)
la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554,
iii)
el perfil de riesgo general de los activos de TIC que utilicen dichos sistemas y redes de TIC;
b)
la documentación de todas las conexiones de red y flujos de datos de la entidad financiera;
c)
el uso de una red separada y específica para la administración de los activos de TIC;
d)
la determinación y aplicación de controles de acceso a las redes para prevenir y detectar las conexiones a la red de la entidad financiera mediante cualquier dispositivo o sistema no autorizado o cualquier nodo final que no cumpla los requisitos de seguridad de la entidad financiera;
e)
el cifrado de las conexiones de red que pasen por redes corporativas, redes públicas, redes domésticas, redes de terceros y redes inalámbricas, en lo referente a los protocolos de comunicación utilizados, teniendo en cuenta los resultados de la clasificación de datos aprobada, los resultados de la evaluación del riesgo relacionado con las TIC y el cifrado de las conexiones de red a que se refiere el artículo 6, apartado 2;
f)
el diseño de las redes en consonancia con los requisitos de seguridad de las TIC establecidos por la entidad financiera, teniendo en cuenta las prácticas punteras para garantizar la confidencialidad, integridad y disponibilidad de las redes;
g)
la protección del tráfico de red entre las redes internas e internet y otras conexiones externas;
h)
la determinación de las funciones y responsabilidades y de las etapas para la especificación, aplicación, aprobación, modificación y revisión de las reglas cortafuegos y los filtros de conexión;
i)
la revisión de la arquitectura de las redes y del diseño de la seguridad de las redes una vez al año, y periódicamente en el caso de las microempresas, con el fin de detectar posibles vulnerabilidades;
j)
las medidas para aislar temporalmente, en caso necesario, las subredes y los componentes y dispositivos de red;
k)
la aplicación de una configuración segura de referencia de todos los componentes de las redes y el endurecimiento de las redes y de los dispositivos de red en consonancia con las instrucciones de los proveedores, las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012, en su caso, y las prácticas punteras;
l)
los procedimientos para limitar, bloquear y cerrar las sesiones de sistema y a distancia tras un período de inactividad especificado;
m)
respecto de los acuerdos de servicios de red:
i)
la determinación y especificación de las medidas de seguridad de las TIC y de la información, los niveles de servicio y los requisitos de gestión de todos los servicios de red,
ii)
la especificación de si dichos servicios son prestados por un proveedor intragrupo o por proveedores terceros de servicios de TIC.
A efectos de la letra h), las entidades financieras revisarán periódicamente las reglas cortafuegos y los filtros de conexión teniendo en cuenta la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y el perfil de riesgo general de los sistemas de TIC que intervengan. En el caso de los sistemas de TIC que sustenten funciones esenciales o importantes, las entidades financieras verificarán la adecuación de las reglas cortafuegos y los filtros de conexión vigentes al menos cada seis meses.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-13