Art. 27
Formato y contenido del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC
En vigor desde 13 mar 2024
Artículo 27
Formato y contenido del informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC
1. Las entidades financieras presentarán el informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 5, del Reglamento (UE) 2022/2554 en un formato electrónico que permita realizar búsquedas.
2. Las entidades financieras incluirán en el informe a que se refiere el apartado 1 toda la información siguiente:
a)
una parte introductoria en la que:
i)
se identificará claramente la entidad financiera objeto del informe y, en su caso, se describirá su estructura de grupo,
ii)
se describirá el contexto del informe atendiendo a la naturaleza, escala y complejidad de los servicios, actividades y operaciones de la entidad financiera, su organización, sus funciones esenciales identificadas, su estrategia, sus principales proyectos o actividades en curso, sus relaciones y su dependencia de servicios y sistemas de TIC internos y contratados, o las implicaciones que tendría una pérdida total o una degradación grave de dichos sistemas para las funciones esenciales o importantes y la eficiencia del mercado,
iii)
se resumirán los principales cambios en el marco de gestión del riesgo relacionado con las TIC desde el anterior informe presentado,
iv)
se ofrecerá un resumen del perfil de riesgo de TIC actual y a corto plazo, el panorama de amenazas, la evaluación de la eficacia de los controles y la postura de ciberseguridad de la entidad financiera,
b)
la fecha de aprobación del informe por parte del órgano de dirección de la entidad financiera;
c)
una descripción de los motivos para revisar el marco de gestión del riesgo relacionado con las TIC de conformidad con el artículo 6, apartado 5, del Reglamento (UE) 2022/2554;
d)
las fechas de inicio y finalización del período de revisión;
e)
la indicación de la función responsable de la revisión;
f)
una descripción de los principales cambios y mejoras en el marco de gestión del riesgo relacionado con las TIC desde el informe anterior;
g)
un resumen de las constataciones de la revisión y un análisis y evaluación detallados de la gravedad de las debilidades, deficiencias y carencias en el marco de gestión del riesgo relacionado con las TIC durante el período de revisión;
h)
una descripción de las medidas para tratar las debilidades, deficiencias y carencias detectadas, incluidos todos los aspectos siguientes:
i)
un resumen de las medidas adoptadas para subsanar las debilidades, deficiencias y carencias detectadas,
ii)
la fecha prevista para la aplicación de las medidas y las fechas relativas al control interno de la aplicación, junto con información sobre el estado de la aplicación en la fecha de elaboración del informe, que explique, en su caso, si existe el riesgo de que no se respeten los plazos,
iii)
las herramientas que se vayan a utilizar y la determinación de la función responsable de llevar a cabo las medidas, con indicación de si las herramientas y funciones son internas o externas,
iv)
una descripción de las repercusiones de los cambios previstos en las medidas sobre los recursos presupuestarios, humanos y materiales de la entidad financiera, incluidos los recursos dedicados a la aplicación de cualquier medida correctora,
v)
información sobre el proceso de información a la autoridad competente, en su caso,
vi)
cuando las debilidades, deficiencias o carencias detectadas no sean objeto de medidas correctoras, una explicación detallada de los criterios utilizados para analizar las repercusiones de dichas debilidades, deficiencias o carencias, para evaluar el correspondiente riesgo residual relacionado con las TIC y para aceptar ese riesgo;
i)
información sobre la evolución prevista del marco de gestión del riesgo relacionado con las TIC;
j)
conclusiones extraídas de la revisión del marco de gestión del riesgo relacionado con las TIC;
k)
información sobre revisiones anteriores, en particular:
i)
una lista de las revisiones realizadas hasta la fecha presente,
ii)
en su caso, el estado de aplicación de las medidas correctoras señaladas en el último informe,
iii)
cuando las medidas correctoras previstas en revisiones anteriores hayan demostrado ser ineficaces o hayan dado lugar a problemas inesperados, una descripción del modo en que podrían mejorarse esas medidas correctoras o de esos problemas inesperados;
l)
fuentes de información empleadas para elaborar el informe, en particular todas las siguientes:
i)
en el caso de las entidades financieras que no sean microempresas a que se refiere el artículo 6, apartado 6, del Reglamento (UE) 2022/2554, los resultados de las auditorías internas,
ii)
los resultados de las evaluaciones de cumplimiento,
iii)
los resultados de las pruebas de resiliencia operativa digital y, en su caso, los resultados de las pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC sustentadas en pruebas de penetración basadas en amenazas,
iv)
las fuentes externas.
A efectos de la letra c), cuando la revisión se haya iniciado siguiendo instrucciones de las autoridades de supervisión o conclusiones derivadas de las pruebas de la resiliencia operativa digital o los procesos de auditoría pertinentes, el informe incluirá referencias explícitas a dichas instrucciones o conclusiones que permitan conocer el motivo para iniciar la revisión. Cuando la revisión se haya iniciado a raíz de incidentes relacionados con las TIC, el informe incluirá la lista de todos los incidentes relacionados con las TIC junto con el análisis de sus causas subyacentes.
A efectos de la letra f), la descripción incluirá un análisis de las repercusiones de los cambios sobre la estrategia de resiliencia operativa digital, el marco de control interno de las TIC y la gobernanza de la gestión del riesgo relacionado con las TIC de la entidad financiera.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-27