Art. 2
Contenido, estructura y formato de la información que deben presentar, divulgar o notificar los proveedores terceros esenciales de servicios de TIC
En vigor desde 24 oct 2024
Artículo 2
Contenido, estructura y formato de la información que deben presentar, divulgar o notificar los proveedores terceros esenciales de servicios de TIC
1. Los proveedores terceros esenciales de servicios de TIC facilitarán al supervisor principal, a petición de este, cualquier información que necesite el supervisor principal para cumplir sus responsabilidades de supervisión de conformidad con los requisitos establecidos en el Reglamento (UE) 2022/2554.
2. La información a que se refiere el apartado 1 incluye, entre otros elementos, los siguientes:
a)
información sobre los acuerdos —y copias de los documentos contractuales— entre:
i)
el proveedor tercero esencial de servicios de TIC y las entidades financieras a que se refiere el artículo 2, apartado 1, del Reglamento (UE) 2022/2554,
ii)
el proveedor tercero esencial de servicios de TIC y sus subcontratistas, con vistas a conocer la cadena de valor tecnológica de los servicios de TIC prestados a las entidades financieras de la Unión;
b)
información sobre la estructura organizativa y de grupo del proveedor tercero esencial de servicios de TIC, incluida la identificación de todas las entidades pertenecientes al mismo grupo que presten servicios de TIC de forma directa o indirecta a entidades financieras de la Unión;
c)
información sobre los principales accionistas, incluida su estructura y su distribución geográfica, de cualquiera de las entidades siguientes:
i)
entidades que posean, de manera exclusiva o conjuntamente con sus entidades vinculadas, el 25 % o más del capital o los derechos de voto del proveedor tercero esencial de servicios de TIC,
ii)
entidades que tengan derecho a designar o destituir a la mayoría de los miembros del órgano de administración, dirección o supervisión del proveedor tercero esencial de servicios de TIC,
iii)
entidades que controlen, en virtud de un acuerdo, la mayoría de los derechos de voto de los accionistas o miembros del proveedor tercero esencial de servicios de TIC;
d)
información sobre la cuota de mercado del proveedor tercero esencial de servicios de TIC, por tipo de servicios, en los mercados pertinentes en los que opera;
e)
información sobre los mecanismos de gobernanza internos del proveedor tercero esencial de servicios de TIC, incluida la estructura con líneas de responsabilidad en materia de gobernanza y normas de rendición de cuentas;
f)
las actas de las reuniones del órgano de dirección del proveedor tercero esencial de servicios de TIC y de cualquier otro comité interno pertinente que se refieran de algún modo a actividades y riesgos relacionados con servicios de TIC prestados por terceros que apoyen funciones de entidades financieras dentro de la Unión;
g)
información sobre la seguridad de las TIC del proveedor tercero esencial de servicios de TIC, incluidas las estrategias, los objetivos, las políticas, los procedimientos, los protocolos, los procesos y las medidas de control pertinentes para proteger los datos confidenciales, los controles de acceso, las prácticas de cifrado, los planes de respuesta a incidentes e información sobre el cumplimiento de todas las regulaciones y normas nacionales e internacionales pertinentes, cuando proceda;
h)
información sobre medidas técnicas y organizativas para garantizar la protección y la confidencialidad de los datos, incluidos los datos personales y no personales, las medidas de control aplicadas para proteger los datos confidenciales, los controles de acceso, las prácticas de cifrado y el plan de respuesta a las violaciones de la seguridad de los datos; cuando, en lo que respecta al tratamiento de los datos personales, el proveedor tercero de servicios de TIC esté sujeto a la legislación de terceros países, incluida la solicitud de acceso por parte de Gobiernos de terceros países, la lista de los países y la legislación aplicable;
i)
información sobre los mecanismos que ofrece el proveedor tercero esencial de servicios de TIC a las entidades financieras de la Unión para la portabilidad de los datos y la portabilidad e interoperabilidad de las aplicaciones;
j)
información sobre la ubicación de los centros de datos y los centros de producción de TIC utilizados para prestar servicios a las entidades financieras, incluida una lista de todos los locales e instalaciones pertinentes del proveedor tercero esencial de servicios de TIC, también los situados fuera de la Unión;
k)
información sobre la prestación de servicios por parte del proveedor tercero esencial de servicios de TIC desde terceros países, incluyendo información sobre las disposiciones jurídicas pertinentes aplicables a los datos personales y no personales tratados por el proveedor tercero de servicios de TIC;
l)
información sobre las medidas adoptadas para hacer frente a los riesgos derivados de la prestación de servicios de TIC por parte del proveedor tercero esencial de servicios de TIC y sus subcontratistas desde terceros países;
m)
información sobre el marco de gestión de riesgos y el marco de gestión de incidentes, incluidas las políticas, los procedimientos, las herramientas, los mecanismos y los mecanismos de gobernanza del proveedor tercero esencial de servicios de TIC y de sus subcontratistas, en particular la lista y la descripción de los incidentes graves con repercusión directa o indirecta en las entidades financieras de la Unión, así como los detalles pertinentes para determinar la importancia del incidente para las entidades financieras y evaluar las posibles consecuencias transfronterizas;
n)
información sobre el marco de gestión de los cambios, incluidas las políticas, los procedimientos y los controles del proveedor tercero esencial de servicios de TIC y sus subcontratistas;
o)
información sobre el marco general de respuesta y recuperación del proveedor tercero esencial de servicios de TIC, incluidos los planes de continuidad de la actividad y los mecanismos y procedimientos conexos, la política de desarrollo de software, los planes de respuesta y recuperación y los mecanismos y procedimientos conexos, así como los mecanismos y procedimientos de las políticas de respaldo;
p)
información sobre el seguimiento del rendimiento, la supervisión de la seguridad y el seguimiento de incidentes, así como información sobre los mecanismos de notificación relacionados con el rendimiento de los servicios, los incidentes y el cumplimiento de los acuerdos de nivel de servicio consensuados y de los objetivos de nivel de servicio o acuerdos similares entre proveedores terceros esenciales de servicios de TIC y entidades financieras de la Unión;
q)
información sobre el marco de gestión de proveedores terceros de servicios de TIC del proveedor tercero esencial de servicios de TIC, incluidas las estrategias, las políticas, los procedimientos, los procesos y los controles, con detalles sobre la diligencia debida con la que haya actuado el proveedor tercero esencial de servicios de TIC con respecto a sus subcontratistas y sobre la evaluación de riesgos a la que los haya sometido antes de celebrar un acuerdo con ellos, y para llevar a cabo un seguimiento de la relación contemplando todos los riesgos de TIC y de contraparte pertinentes;
r)
extracciones de los sistemas de seguimiento y detección del proveedor tercero esencial de servicios de TIC y de sus subcontratistas, que abarquen, entre otras cosas, el seguimiento de la red, de los servidores, de las aplicaciones y de la seguridad, la exploración de vulnerabilidades, la gestión de registros, el seguimiento del rendimiento, la gestión de incidentes y las mediciones relacionadas con los objetivos de fiabilidad, como los de nivel de servicio;
s)
extracciones de cualquier sistema o aplicación de producción, preproducción y prueba utilizado por el proveedor tercero esencial de servicios de TIC y sus subcontratistas para prestar servicios a entidades financieras de la Unión de manera directa o indirecta;
t)
informes de conformidad y de auditoría disponibles, junto con cualquier conclusión de auditoría pertinente, también de las auditorías realizadas por autoridades nacionales de la Unión y fuera de la Unión cuando los acuerdos de cooperación con las autoridades competentes prevean dicho intercambio de información, o las certificaciones obtenidas por el proveedor tercero esencial de servicios de TIC o sus subcontratistas, incluidos los informes de auditores internos y externos, las certificaciones o las evaluaciones de la conformidad con las normas específicas del sector; esto incluye información sobre cualquier tipo de prueba independiente disponible de la resiliencia de los sistemas de TIC del proveedor tercero esencial de servicios de TIC, en particular cualquier tipo de prueba de penetración basada en amenazas realizada por el proveedor tercero de servicios de TIC;
u)
información sobre cualquier evaluación realizada por el proveedor tercero esencial de servicios de TIC a petición de este o en su nombre en la que se evalúe la idoneidad e integridad de las personas que ocupen puestos clave en el proveedor tercero esencial de servicios de TIC;
v)
información sobre cualquier plan corrector para abordar las recomendaciones formuladas con arreglo al artículo 3, así como información pertinente para confirmar que se han aplicado las medidas correctoras;
w)
información sobre los programas de formación y de sensibilización en materia de seguridad disponibles para los empleados, incluida, cuando proceda, información sobre las inversiones, los recursos y los métodos del proveedor tercero esencial de servicios de TIC en la formación de su personal para tratar datos financieros sensibles y mantener unos altos niveles de seguridad;
x)
información sobre las actividades y los estados financieros del proveedor tercero esencial de servicios de TIC, en particular información sobre el presupuesto y los recursos relacionados con las TIC y la seguridad.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:295:oj#art-2