Art. 3
Gestión del riesgo relacionado con las TIC
En vigor desde 13 mar 2024
Artículo 3
Gestión del riesgo relacionado con las TIC
Las entidades financieras elaborarán, documentarán y aplicarán políticas y procedimientos para la gestión del riesgo relacionado con las TIC que contengan todos los elementos siguientes:
a)
la indicación de la aprobación del nivel de tolerancia al riesgo relacionado con las TIC que se haya establecido de conformidad con el artículo 6, apartado 8, letra b), del Reglamento (UE) 2022/2554;
b)
un procedimiento y una metodología para llevar a cabo la evaluación del riesgo relacionado con las TIC que determinen:
i)
las vulnerabilidades y amenazas que afecten o puedan afectar a las funciones empresariales sustentadas y a los sistemas de TIC y activos de TIC que sustenten dichas funciones,
ii)
los indicadores cuantitativos o cualitativos para medir las repercusiones y la probabilidad de las vulnerabilidades y amenazas a que se refiere el inciso i);
c)
el procedimiento para determinar, aplicar y documentar las medidas de tratamiento de los riesgos relacionados con las TIC que hayan sido detectados y evaluados, incluidas las medidas de tratamiento necesarias para situar el riesgo relacionado con las TIC dentro del nivel de tolerancia al riesgo a que se refiere la letra a);
d)
respecto de los riesgos residuales relacionados con las TIC que persistan tras aplicar las medidas de tratamiento a que se refiere la letra c):
i)
disposiciones sobre la determinación de dichos riesgos residuales relacionados con las TIC,
ii)
la asignación de funciones y responsabilidades en relación con:
1)
la aceptación de los riesgos residuales relacionados con las TIC que superen el nivel de tolerancia al riesgo de la entidad financiera a que se refiere la letra a);
2)
el proceso de revisión a que se refiere el inciso iv) de la presente letra d),
iii)
la elaboración de un inventario de los riesgos residuales relacionados con las TIC aceptados, que incluya la justificación para tal aceptación,
iv)
disposiciones sobre la revisión, al menos una vez al año, de los riesgos residuales relacionados con las TIC aceptados, incluido lo siguiente:
1)
determinación de posibles cambios en los riesgos residuales relacionados con las TIC;
2)
evaluación de las medidas de mitigación disponibles;
3)
evaluación de la validez y aplicabilidad, en la fecha de la revisión, de las razones que hayan justificado la aceptación de los riesgos residuales relacionados con las TIC;
e)
disposiciones sobre el seguimiento de:
i)
los cambios en el panorama de los riesgos relacionados con las TIC y las ciberamenazas,
ii)
las vulnerabilidades y amenazas internas y externas,
iii)
los riesgos relacionados con las TIC de la entidad financiera, de manera que se detecte rápidamente todo cambio que pueda afectar a su perfil de riesgo relacionado con las TIC;
f)
disposiciones sobre un proceso para garantizar que se tenga en cuenta todo cambio en la estrategia empresarial y la estrategia de resiliencia operativa digital de la entidad financiera.
A efectos del párrafo primero, letra c), el procedimiento a que se refiere dicha letra garantizará que:
a)
se haga un seguimiento de la eficacia de las medidas aplicadas para el tratamiento del riesgo relacionado con las TIC;
b)
se evalúe si se han alcanzado los niveles de tolerancia al riesgo establecidos por la entidad financiera;
c)
se evalúe si la entidad financiera ha emprendido acciones para corregir o mejorar dichas medidas en caso necesario.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-3