Art. 2
Elementos generales de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC
En vigor desde 13 mar 2024
Artículo 2
Elementos generales de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC
1. Las entidades financieras velarán por que sus políticas en materia de seguridad de las TIC, la seguridad de la información y los procedimientos, protocolos y herramientas conexos a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554 estén integrados en su marco de gestión del riesgo relacionado con las TIC. Las entidades financieras establecerán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC, conforme a lo dispuesto en el presente capítulo, que:
a)
garanticen la seguridad de las redes;
b)
contengan salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos;
c)
preserven la disponibilidad, autenticidad, integridad y confidencialidad de los datos, en particular mediante el uso de técnicas criptográficas;
d)
garanticen una transmisión exacta y rápida de los datos sin perturbaciones importantes ni demoras indebidas.
2. Las entidades financieras velarán por que las políticas en materia de seguridad de las TIC a que se refiere el apartado 1:
a)
estén en consonancia con los objetivos de seguridad de la información contenidos en la estrategia de resiliencia operativa digital a que se refiere el artículo 6, apartado 8, del Reglamento (UE) 2022/2554;
b)
indiquen la fecha de su aprobación formal por el órgano de dirección;
c)
contengan indicadores y parámetros de medición para:
i)
realizar el seguimiento de la aplicación de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC,
ii)
registrar las excepciones a dicha aplicación,
iii)
garantizar que se mantenga la resiliencia operativa digital de la entidad financiera cuando se produzcan las excepciones a que se refiere el inciso ii);
d)
especifiquen las responsabilidades del personal a todos los niveles para garantizar la seguridad de las TIC en la entidad financiera;
e)
especifiquen las consecuencias de su incumplimiento por parte del personal de la entidad financiera, cuando las disposiciones a tal efecto no estén establecidas en otras políticas de la entidad financiera;
f)
enumeren la documentación que debe conservarse;
g)
especifiquen las disposiciones sobre separación de funciones en el contexto del modelo de las tres líneas de defensa u otro modelo interno de gestión y control de riesgos, según proceda, con el fin de evitar los conflictos de intereses;
h)
tengan en cuenta las prácticas punteras y, en su caso, las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012;
i)
determinen las funciones y responsabilidades a efectos de su propia elaboración, aplicación y mantenimiento, así como de la elaboración, aplicación y mantenimiento de los procedimientos, protocolos y herramientas conexos;
j)
se revisen de conformidad con el artículo 6, apartado 5, del Reglamento (UE) 2022/2554;
k)
tomen en consideración los cambios importantes que afecten a la entidad financiera, en particular los cambios importantes en sus actividades o procesos, en el panorama de ciberamenazas o en las obligaciones jurídicas aplicables.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-2