Art. 6
Cifrado y controles criptográficos
En vigor desde 13 mar 2024
Artículo 6
Cifrado y controles criptográficos
1. Dentro de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554, las entidades financieras elaborarán, documentarán y aplicarán una política de cifrado y controles criptográficos.
2. Las entidades financieras diseñarán la política de cifrado y controles criptográficos a que se refiere el apartado 1 basándose en los resultados de una clasificación de datos aprobada y una evaluación del riesgo relacionado con las TIC. Dicha política contendrá normas sobre todos los aspectos siguientes:
a)
el cifrado de los datos en reposo y en tránsito;
b)
el cifrado de los datos en uso, cuando proceda;
c)
el cifrado de las conexiones de red internas y del tráfico con partes externas;
d)
la gestión de claves criptográficas a que se refiere el artículo 7, con normas sobre el uso correcto, la protección y el ciclo de vida de esas claves.
A efectos de la letra b), cuando el cifrado de los datos en uso no sea posible, las entidades financieras tratarán tales datos en un entorno separado y protegido, o adoptarán medidas equivalentes para garantizar la confidencialidad, integridad, autenticidad y disponibilidad de los datos.
3. Las entidades financieras incluirán en la política de cifrado y controles criptográficos a que se refiere el apartado 1 criterios para la selección de técnicas y prácticas de uso en materia de criptografía, tomando en consideración las prácticas punteras y las normas definidas en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012, así como la clasificación de los activos de TIC pertinentes establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554. Las entidades financieras que no puedan adherirse a dichas prácticas punteras o normas, o utilizar las técnicas más fiables, adoptarán medidas de mitigación y de seguimiento que garanticen la resiliencia frente a las ciberamenazas.
4. Las entidades financieras incluirán en la política de cifrado y controles criptográficos a que se refiere el apartado 1 disposiciones para actualizar o modificar, en caso necesario, la tecnología criptográfica, a la luz de la evolución del criptoanálisis. Dichas actualizaciones o modificaciones garantizarán que se preserve la resiliencia de la tecnología criptográfica frente a las ciberamenazas, tal como se exige en el artículo 10, apartado 2, letra a). Las entidades financieras que no puedan actualizar o modificar la tecnología criptográfica adoptarán medidas de mitigación y de seguimiento que garanticen la resiliencia frente a las ciberamenazas.
5. Las entidades financieras incluirán en la política de cifrado y controles criptográficos a que se refiere el apartado 1 la obligación de registrar la adopción de medidas de mitigación y de seguimiento con arreglo a los apartados 3 y 4 y de proporcionar una explicación motivada al respecto.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-6