Art. 8
Políticas y procedimientos relacionados con las operaciones de TIC
En vigor desde 13 mar 2024
Artículo 8
Políticas y procedimientos relacionados con las operaciones de TIC
1. Dentro de las políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC a que se refiere el artículo 9, apartado 2, del Reglamento (UE) 2022/2554, las entidades financieras elaborarán, documentarán y aplicarán políticas y procedimientos de gestión de las operaciones de TIC. Dichas políticas y procedimientos especificarán el modo en que las entidades financieras llevarán a cabo la explotación, el seguimiento, el control y la restauración de sus activos de TIC, así como la documentación de las operaciones de TIC.
2. Las políticas y procedimientos relacionados con las operaciones de TIC a que se refiere el apartado 1 contendrán todos los elementos siguientes:
a)
una descripción de los activos de TIC, incluidos todos los requisitos siguientes:
i)
requisitos relativos a la instalación, el mantenimiento, la configuración y la desinstalación con seguridad de un sistema de TIC,
ii)
requisitos relativos a la gestión de los activos de información utilizados por los activos de TIC, en particular su tratamiento y manejo, tanto automatizado como manual,
iii)
requisitos relativos a la identificación de los sistemas de TIC heredados y su control;
b)
controles y seguimiento de los sistemas de TIC, incluidos todos los aspectos siguientes:
i)
requisitos relativos a la copia de seguridad y restauración de los sistemas de TIC,
ii)
requisitos de planificación, teniendo en cuenta las interdependencias entre los sistemas de TIC,
iii)
protocolos para la pista de auditoría y la información de registro del sistema,
iv)
requisitos para garantizar que la realización de auditorías internas y otras pruebas cause las mínimas perturbaciones de las operaciones comerciales,
v)
requisitos relativos a la separación entre los entornos de producción de TIC y los de desarrollo y de pruebas y otros entornos distintos del de producción,
vi)
requisitos para llevar a cabo el desarrollo y las pruebas en entornos separados del entorno de producción,
vii)
requisitos para llevar a cabo el desarrollo y las pruebas en entornos de producción;
c)
gestión de errores en relación con los sistemas de TIC, incluidos todos los aspectos siguientes:
i)
procedimientos y protocolos para la gestión de errores,
ii)
contactos para asistencia y traslado a una instancia jerárquica superior, incluidos los contactos externos para asistencia en caso de problemas operativos o técnicos imprevistos,
iii)
procedimientos de reinicio, reversión y recuperación de los sistemas de TIC en caso de interrupción de dichos sistemas.
A efectos de la separación a que se refiere la letra b), inciso v), se tendrán en cuenta todos los componentes del entorno, incluidas las cuentas, los datos o las conexiones, tal como se exige en el artículo 13, apartado 1, letra a).
A efectos de la letra b), inciso vii), las políticas y procedimientos a que se refiere el apartado 1 dispondrán que los casos en que se realicen pruebas en un entorno de producción estén claramente definidos y motivados, sean de duración limitada y cuenten con la aprobación de la función pertinente, de conformidad con el artículo 16, apartado 6. Las entidades financieras garantizarán la disponibilidad, confidencialidad, integridad y autenticidad de los sistemas de TIC y los datos de producción durante las actividades de desarrollo y prueba en el entorno de producción.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-8