Art. 16
Adquisición, desarrollo y mantenimiento de los sistemas de TIC
En vigor desde 13 mar 2024
Artículo 16
Adquisición, desarrollo y mantenimiento de los sistemas de TIC
1. Dentro de las salvaguardias para preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos, las entidades financieras elaborarán, documentarán y aplicarán una política que regule la adquisición, el desarrollo y el mantenimiento de sistemas de TIC. Dicha política:
a)
determinará las prácticas de seguridad y las metodologías relacionadas con la adquisición, el desarrollo y el mantenimiento de sistemas de TIC;
b)
exigirá la determinación de:
i)
especificaciones técnicas y especificaciones técnicas de las TIC en el sentido del artículo 2, puntos 4 y 5, del Reglamento (UE) n.o 1025/2012,
ii)
requisitos relativos a la adquisición, desarrollo y mantenimiento de sistemas de TIC, prestando especial atención a los requisitos de seguridad de las TIC y a su aprobación por la función empresarial pertinente y el propietario de los activos de TIC de conformidad con los mecanismos de gobernanza interna de la entidad financiera;
c)
especificará medidas para mitigar el riesgo de alteración no intencionada o de manipulación intencionada de los sistemas de TIC durante su desarrollo, mantenimiento e implementación en el entorno de producción.
2. Las entidades financieras elaborarán, documentarán y aplicarán un procedimiento de adquisición, desarrollo y mantenimiento de sistemas de TIC a efectos de la prueba y aprobación de todos los sistemas de TIC antes de su uso y después del mantenimiento, de conformidad con el artículo 8, apartado 2, letra b), incisos v), vi) y vii). El nivel de las pruebas será acorde con el carácter esencial de los procedimientos empresariales y los activos de TIC afectados. Las pruebas estarán diseñadas con el objetivo de verificar la idoneidad de los nuevos sistemas de TIC para funcionar según lo previsto, así como la calidad del software desarrollado internamente.
Además de los requisitos establecidos en el párrafo primero, las entidades de contrapartida central asociarán al diseño y la realización de las pruebas a que se refiere dicho párrafo, según proceda, a:
a)
los miembros compensadores y clientes;
b)
las entidades de contrapartida central interoperables;
c)
otras partes interesadas.
Además de los requisitos establecidos en el párrafo primero, los depositarios centrales de valores asociarán al diseño y la realización de las pruebas a que se refiere dicho párrafo, según proceda, a:
a)
los usuarios;
b)
los prestadores de servicios esenciales;
c)
otros depositarios centrales de valores;
d)
otras infraestructuras del mercado;
e)
otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.
3. El procedimiento a que se refiere el apartado 2 incluirá la realización de revisiones de códigos fuente que abarquen pruebas tanto estáticas como dinámicas. Dichas pruebas incluirán pruebas de seguridad de los sistemas y aplicaciones expuestos a internet de conformidad con el artículo 8, apartado 2, letra b), incisos v), vi) y vii). Las entidades financieras deberán:
a)
identificar y analizar las vulnerabilidades y anomalías en el código fuente;
b)
adoptar un plan de acción para hacer frente a esas vulnerabilidades y anomalías;
c)
hacer un seguimiento de la aplicación de dicho plan de acción.
4. El procedimiento a que se refiere el apartado 2 incluirá pruebas de seguridad de los paquetes de software a más tardar en la fase de integración, de conformidad con el artículo 8, apartado 2, letra b), incisos v), vi) y vii).
5. El procedimiento a que se refiere el apartado 2 dispondrá que:
a)
los entornos distintos del de producción únicamente almacenarán datos de producción anonimizados, seudonimizados o aleatorizados;
b)
las entidades financieras deberán proteger la integridad y la confidencialidad de los datos en los entornos distintos del de producción.
6. No obstante lo dispuesto en el apartado 5, el procedimiento a que se refiere el apartado 2 podrá disponer que los datos de producción se almacenen únicamente para la realización de pruebas específicas, durante un tiempo limitado y previa aprobación de la función pertinente, y que dichas pruebas se notifiquen a la función de gestión del riesgo relacionado con las TIC.
7. El procedimiento a que se refiere el apartado 2 incluirá la aplicación de controles para proteger la integridad del código fuente de los sistemas de TIC desarrollados internamente o desarrollados y entregados a la entidad financiera por un proveedor tercero de servicios de TIC.
8. El procedimiento a que se refiere el apartado 2 dispondrá que el software propietario y, cuando sea factible, el código fuente proporcionado por proveedores terceros de servicios de TIC o procedente de proyectos de código abierto se analizarán y someterán a prueba de conformidad con el apartado 3 antes de su implementación en el entorno de producción.
9. Los apartados 1 a 8 del presente artículo se aplicarán también a los sistemas de TIC desarrollados o gestionados por usuarios ajenos a la función de TIC, utilizando un enfoque basado en el riesgo.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-16