Regl. · n.º 1774
Reglamento (UE) 2024/1774
 Abrir lector completo

Art. 39

Componentes del plan de continuidad de la actividad en materia de TIC

En vigor desde 13 mar 2024
Artículo 39 Componentes del plan de continuidad de la actividad en materia de TIC 1.   Las entidades financieras a que se refiere el artículo 16, apartado 1, del Reglamento (UE) 2022/2554 elaborarán sus planes de continuidad de la actividad en materia de TIC teniendo en cuenta los resultados del análisis de sus exposiciones a perturbaciones graves de la actividad, así como de las posibles repercusiones de esas perturbaciones, y los escenarios a los que puedan estar expuestos sus activos de TIC que sustenten funciones esenciales o importantes, en particular un escenario de ciberataque. 2.   Los planes de continuidad de la actividad en materia de TIC a que se refiere el apartado 1: a) serán aprobados por el órgano de dirección de la entidad financiera; b) estarán documentados y serán fácilmente accesibles en caso de emergencia o crisis; c) asignarán recursos suficientes para su ejecución; d) establecerán los niveles de recuperación previstos y los plazos para la recuperación y reanudación de las funciones y las dependencias internas y externas clave, en particular con respecto a los proveedores terceros de servicios de TIC; e) determinarán las condiciones que pueden motivar su activación y las medidas que deben adoptarse para garantizar la disponibilidad, continuidad y recuperación de los activos de TIC de las entidades financieras que sustenten funciones esenciales o importantes; f) determinarán las medidas de restauración y recuperación en relación con las funciones empresariales esenciales o importantes, los procesos de apoyo y los activos de información, así como sus interdependencias, con el fin de evitar efectos adversos en el funcionamiento de las entidades financieras; g) determinarán procedimientos y medidas de copia de seguridad que especifiquen el alcance de los datos objeto de dicha copia y la frecuencia mínima de su realización, de acuerdo con el carácter esencial de la función que utilice los datos de que se trate; h) contemplarán opciones alternativas ante la eventualidad de que la recuperación no sea viable a corto plazo debido a los costes, los riesgos, la logística o circunstancias imprevistas; i) especificarán los mecanismos de comunicación interna y externa, incluidos los planes para el traslado a la instancia jerárquica superior; j) se actualizarán en consonancia con las conclusiones extraídas de incidentes, las pruebas, los nuevos riesgos y amenazas detectados, los cambios en los objetivos de recuperación y los cambios importantes en la organización de la entidad financiera y en los activos de TIC que sustenten funciones esenciales o empresariales. A efectos de la letra f), las medidas a que se refiere dicha letra contemplarán la mitigación de los fallos de los proveedores terceros esenciales.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1774:oj#art-39

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil