Art. 3
Mecanismos de gobernanza
En vigor desde 13 mar 2024
Artículo 3
Mecanismos de gobernanza
1. El órgano de dirección revisará la política al menos una vez al año y la actualizará cuando sea necesario. Los cambios introducidos en la política se aplicarán oportunamente y tan pronto como sea posible en el marco de los acuerdos contractuales pertinentes. La entidad financiera documentará el calendario previsto para la aplicación.
2. La política establecerá una metodología para determinar qué servicios de TIC sustentan funciones esenciales o importantes, o hará referencia a ella. La política también especificará cuándo debe llevarse a cabo y revisarse esta evaluación.
3. La política asignará claramente las responsabilidades internas relativas a la aprobación, la gestión, el control y la documentación de los acuerdos contractuales pertinentes y garantizará que se mantengan en la entidad financiera las capacidades, la experiencia y los conocimientos adecuados para supervisar de forma efectiva los acuerdos contractuales pertinentes, incluidos los servicios de TIC prestados en virtud de dichos acuerdos.
4. Sin perjuicio de la responsabilidad final de la entidad financiera de supervisar de forma efectiva los acuerdos contractuales pertinentes, la política exigirá que se evalúe si el proveedor tercero de servicios de TIC dispone de recursos suficientes para garantizar que la entidad financiera cumpla todos sus requisitos legales y reglamentarios en relación con los servicios de TIC que sustenten funciones esenciales o importantes que se prestan.
5. La política determinará claramente el cargo o el miembro de la alta dirección responsable de supervisar los acuerdos contractuales pertinentes. La política especificará el modo en que dicho cargo o miembro de la alta dirección cooperará con las funciones de control, a menos que forme parte de estas, y establecerá los canales para informar al órgano de dirección, así como la naturaleza de la información que debe comunicarse y los documentos que deben facilitarse. También establecerá la frecuencia de dicha información.
6. La política garantizará que los acuerdos contractuales sean compatibles con lo siguiente:
a)
el marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6 del Reglamento (UE) 2022/2554;
b)
la política de seguridad de la información a que se refiere el artículo 9, apartado 4, del Reglamento (UE) 2022/2554;
c)
la política de continuidad de la actividad en materia de TIC a que se refiere el artículo 11 del Reglamento (UE) 2022/2554;
d)
los requisitos en materia de notificación de incidentes establecidos en el artículo 19 del Reglamento (UE) 2022/2554.
7. La política exigirá que los servicios de TIC que sustenten funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC sean objeto de una revisión independiente y se incluyan en el plan de auditoría.
8. La política especificará explícitamente que los acuerdos contractuales:
a)
no eximen a la entidad financiera ni a su órgano de dirección de sus obligaciones reglamentarias ni de sus responsabilidades frente a sus clientes;
b)
no deben impedir la supervisión efectiva de una entidad financiera y no deben contravenir ninguna restricción sobre servicios y actividades impuesta por el supervisor;
c)
deben exigir que los proveedores terceros de servicios de TIC cooperen con las autoridades competentes;
d)
deben exigir que la entidad financiera, sus auditores y las autoridades competentes tengan acceso efectivo a los datos y locales relacionados con el uso de servicios de TIC que sustenten funciones esenciales o importantes.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1773:oj#art-3