Art. 28
Gobernanza y organización
En vigor desde 13 mar 2024
Artículo 28
Gobernanza y organización
1. Las entidades financieras a que se refiere el artículo 16, apartado 1, del Reglamento (UE) 2022/2554 dispondrán de un marco interno de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC para lograr un nivel elevado de resiliencia operativa digital.
2. Dentro de su marco simplificado de gestión del riesgo relacionado con las TIC, las entidades financieras a que se refiere el apartado 1 velarán por que su órgano de dirección:
a)
asuma la responsabilidad general de garantizar que el marco simplificado de gestión del riesgo relacionado con las TIC permita realizar la estrategia empresarial de la entidad financiera de conformidad con su apetito de riesgo y que, en ese contexto, se tenga en cuenta el riesgo relacionado con las TIC;
b)
defina claramente las funciones y responsabilidades para todas las tareas relacionadas con las TIC;
c)
defina los objetivos de seguridad de la información y requisitos en materia de TIC;
d)
apruebe, supervise y revise periódicamente:
i)
la clasificación de los activos de información de la entidad financiera a que se refiere el artículo 30, apartado 1, del presente Reglamento, la lista de los principales riesgos detectados y el análisis de impacto en el negocio y las políticas conexas,
ii)
los planes de continuidad de la actividad de la entidad financiera y las medidas de respuesta y recuperación a que se refiere el artículo 16, apartado 1, letra f), del Reglamento (UE) 2022/2554;
e)
asigne y revise, al menos una vez al año, el presupuesto necesario para satisfacer las necesidades de resiliencia operativa digital de la entidad financiera con respecto a todos los tipos de recursos, incluidos los pertinentes programas de sensibilización en materia de seguridad de las TIC y las pertinentes actividades de formación sobre resiliencia operativa digital y capacidades en materia de TIC para todo el personal;
f)
especifique y aplique las políticas y medidas contempladas en los capítulos I, II y III del presente título para determinar, evaluar y gestionar el riesgo relacionado con las TIC al que está expuesta la entidad financiera;
g)
determine y aplique los procedimientos, protocolos y herramientas de TIC necesarios para proteger todos los activos de información y activos de TIC;
h)
garantice que el personal de la entidad financiera se mantiene al día con conocimientos y capacidades suficientes para comprender y evaluar el riesgo relacionado con las TIC y sus repercusiones en las operaciones de la entidad financiera, de manera acorde con el riesgo relacionado con las TIC que se esté gestionando;
i)
establezca disposiciones sobre presentación de información, en particular la frecuencia, forma y contenido de los informes que se le deban presentar sobre la seguridad de la información y la resiliencia operativa digital.
3. Las entidades financieras a que se refiere el apartado 1 podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, a proveedores intragrupo o terceros de servicios de TIC las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo relacionado con las TIC. En los casos en que se produzca tal externalización, las entidades financieras seguirán siendo plenamente responsables de la verificación del cumplimiento de los requisitos en materia de gestión del riesgo relacionado con las TIC.
4. Las entidades financieras a que se refiere el apartado 1 garantizarán una separación adecuada, así como la independencia, de las funciones de control y las funciones de auditoría interna.
5. Las entidades financieras a que se refiere el apartado 1 garantizarán que su marco simplificado de gestión del riesgo relacionado con las TIC sea objeto de auditoría interna llevada a cabo por auditores, en consonancia con su plan de auditoría. Los auditores poseerán conocimientos, capacidades y pericia suficientes en materia de riesgo relacionado con las TIC y serán independientes. La frecuencia y el enfoque de las auditorías de TIC serán acordes con el riesgo relacionado con las TIC de la entidad financiera.
6. A la luz del resultado de la auditoría contemplada en el apartado 5, las entidades financieras a que se refiere el apartado 1 velarán por la oportuna verificación y corrección de los resultados problemáticos de la auditoría de TIC.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-28