Art. 4
Sistemas de TIC y disposiciones de seguridad conexas
En vigor desde 31 oct 2024
Artículo 4
Sistemas de TIC y disposiciones de seguridad conexas
A efectos del artículo 60, apartado 7, letra c), del Reglamento (UE) 2023/1114, la entidad notificante facilitará a la autoridad competente la siguiente información:
a)
documentación técnica de los sistemas de TIC, la infraestructura basada en la TRD, cuando proceda, y las disposiciones de seguridad, incluida una descripción de las disposiciones y los recursos humanos y TIC desplegados establecidos para cumplir el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (8), que incluya lo siguiente:
i)
una descripción de cómo la entidad notificante garantiza un marco de gestión del riesgo relacionado con las TIC sólido, exhaustivo y bien documentado como parte de su sistema general de gestión de riesgos, incluida una descripción detallada de los sistemas, protocolos y herramientas de TIC, y de cómo los procedimientos, políticas y sistemas de la entidad notificante salvaguardarán la seguridad, integridad, disponibilidad, autenticidad y confidencialidad de los datos de conformidad con el Reglamento (UE) 2022/2554 y el Reglamento (UE) 2016/679;
ii)
una identificación de los servicios de TIC que sustentan funciones esenciales o importantes, desarrollados o mantenidos por la entidad notificante, así como los prestados por proveedores terceros de servicios, una descripción de dichos acuerdos contractuales y de la manera en que dichos acuerdos cumplen lo dispuesto en el artículo 73 del Reglamento (UE) 2023/1114 y en el capítulo V del Reglamento (UE) 2022/2554;
iii)
una descripción de los procedimientos, políticas, disposiciones y sistemas de la entidad notificante para la gestión de la seguridad y los incidentes;
b)
si se dispone de ella, una descripción de una auditoría de ciberseguridad realizada por un auditor de ciberseguridad tercero con experiencia suficiente de conformidad con el Reglamento Delegado de la Comisión por el que se establecen normas técnicas en virtud del artículo 26, apartado 11, párrafo cuarto, del Reglamento (UE) 2022/2554, que abarque, idealmente, las siguientes auditorías o pruebas realizadas por partes independientes externas:
i)
la ciberseguridad organizativa, la seguridad física y las disposiciones de desarrollo seguro del ciclo de vida de los programas informáticos;
ii)
evaluaciones de la vulnerabilidad y de la seguridad de las redes;
iii)
revisiones de la configuración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 22, del Reglamento (UE) 2022/2554;
iv)
pruebas de penetración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 17, del Reglamento (UE) 2022/2554, de conformidad con todos los siguientes enfoques de prueba de auditoría:
1)
fase de caja negra: el auditor no dispone de más información que las direcciones IP y las URL asociadas al objetivo auditado. Esta fase suele ir precedida por el descubrimiento de información y la identificación del objetivo mediante la consulta de los servicios del sistema de nombres de dominio (DNS), el escaneado de los puertos abiertos, la detección de la presencia de equipos de filtrado;
2)
fase de caja gris: los auditores tienen el conocimiento de un usuario estándar del sistema de información (autenticación legítima, estación de trabajo «estándar»). Los identificadores pueden pertenecer a diferentes perfiles de usuario con el fin de probar diferentes niveles de privilegios;
3)
fase de caja blanca: los auditores disponen de la mayor cantidad posible de información técnica (arquitectura, código fuente, contactos telefónicos, identificadores, etc.) antes de iniciar el análisis y también tienen acceso a los contactos técnicos relacionados con el objetivo;
v)
cuando la entidad notificante utilice o desarrolle contratos inteligentes, un examen del código fuente de ciberseguridad de dichos contratos;
c)
una descripción de las auditorías realizadas de los sistemas de TIC, en su caso, incluida la infraestructura de TRD utilizada y las disposiciones de seguridad;
d)
una descripción de la información pertinente a que se refieren las letras a) y b) en un lenguaje no técnico.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:303:oj#art-4