Art. 21
Ciberriesgo
En vigor desde 2 jul 2025
Artículo 21
Ciberriesgo
1. El operador del SIPS establecerá un marco integral de ciberresiliencia con medidas de gobierno apropiadas que le permitan gestionar de manera efectiva y eficiente los ciberriesgos, y una estrategia de ciberresiliencia que tenga en cuenta la tolerancia al riesgo y el apetito de riesgo del operador del SIPS.
2. El marco de ciberresiliencia al que se refiere el apartado 1 garantizará, como mínimo:
a)
la identificación y clasificación de las funciones clave, incluyendo la rendición de cuentas en la toma de decisiones dentro de la organización, los procesos, las operaciones, los servicios y los activos de información que apoyan las operaciones y servicios críticos del SIPS, a fin de garantizar que se adopten las medidas adecuadas para su protección y recuperación oportuna en caso de que se produzca un ciberataque;
b)
la protección adecuada del SIPS frente a los ciberriesgos, en particular mediante la aplicación de controles de seguridad eficaces y la realización de actividades de control sobre el funcionamiento y la seguridad de los principales sistemas de TIC, el tratamiento o el almacenamiento de información sensible;
c)
la detección oportuna y adecuada de cualquier ciberincidente o indicio del mismo, en particular a través del seguimiento de actividades anómalas;
d)
la respuesta y la recuperación respecto de cualquier ciberincidente o acontecimiento adverso de manera oportuna y adecuada, que permita al SIPS reanudar las operaciones críticas rápidamente y de manera que se limiten los daños al SIPS.
3. El operador del SIPS establecerá un programa de pruebas para comprobar periódicamente la eficacia operativa de todos los procesos, procedimientos y controles del marco de ciberresiliencia al que se refieren los apartados 1 y 2. Como parte del programa de pruebas, el operador del SIPS llevará a cabo pruebas de penetración guiadas por amenazas dirigidas conforme al marco TIBER-UE que impliquen el uso de técnicas para simular un ataque a las funciones críticas y los sistemas subyacentes del SIPS, tal como se establece en el marco TIBER-UE.
Si se ha identificado una sucursal como operador del SIPS, la autoridad competente podrá tener en cuenta los resultados de las pruebas de penetración que, efectuadas por la entidad jurídica de la cual la sucursal sea jurídicamente dependiente, puedan considerarse un ejercicio comparable a las pruebas TIBER-UE y reflejen igualmente la eficacia de los controles y sistemas pertinentes de la sucursal.
4. El operador del SIPS garantizará que su consejo y su órgano rector y, en su caso, la dirección de la sucursal, así como el personal del operador del SIPS, tengan un sólido nivel de comprensión de la ciberresiliencia y de conocimiento del entorno de ciberamenazas en el que operen, mediante un proceso eficaz de inteligencia sobre amenazas y el intercambio de información dentro de su organización y con otras entidades interconectadas en todo el sistema financiero.
5. El operador del SIPS dispondrá de sistemas, políticas, procedimientos y controles adecuados que le permitan evaluar y comprender mejor la eficacia de la aplicación de su estrategia y marco de ciberresiliencia.
6. El operador del SIPS dispondrá de procedimientos para garantizar que al menos todo ciberincidente grave que afecte negativamente al SIPS, incluidos los incidentes originados en los participantes del SIPS y terceros proveedores de servicios, se comuniquen: a) al consejo, al órgano rector y, en su caso, a la dirección de la sucursal, y b) a la autoridad competente. El operador del SIPS dispondrá de procesos de aprendizaje y mejora continuos relacionados con la ciberseguridad. Estos procesos incluirán, por ejemplo, garantizar que el marco de ciberresiliencia tenga en cuenta la evolución de las amenazas y las revisiones de ciberincidentes, incluidas las lecciones aprendidas.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg:2025:1355:oj#art-21