Art. 8
Cláusulas contractuales
En vigor desde 13 mar 2024
Artículo 8
Cláusulas contractuales
1. La política especificará que el acuerdo contractual pertinente debe presentarse por escrito e incluir todos los elementos mencionados en el artículo 30, apartados 2 y 3, del Reglamento (UE) 2022/2554. La política también incluirá elementos relativos a los requisitos a que se refiere el artículo 1, apartado 1, letra a), del Reglamento (UE) 2022/2554, así como otras normas de carácter legislativo pertinentes del Derecho de la Unión y nacional, según proceda.
2. La política especificará que los acuerdos contractuales pertinentes deben incluir el derecho de la entidad financiera a acceder a la información, a llevar a cabo inspecciones y auditorías y a realizar pruebas de TIC. A tal efecto, la política exigirá que la entidad financiera utilice los siguientes métodos, sin perjuicio de su responsabilidad final:
a)
su propia auditoría interna o una auditoría realizada por un tercero designado;
b)
cuando proceda, auditorías conjuntas y pruebas conjuntas de TIC, incluidas pruebas de penetración guiadas por amenazas, organizadas conjuntamente con otras entidades financieras o empresas adjudicadoras que utilicen servicios de TIC del mismo proveedor tercero de servicios de TIC y que sean realizadas por dichas entidades financieras o empresas adjudicadoras o por un tercero designado por ellas;
c)
cuando proceda, certificaciones de terceros;
d)
cuando proceda, informes de auditoría interna o externa facilitados por el proveedor tercero de servicios de TIC.
3. La entidad financiera no se basará de manera indefinida únicamente en las certificaciones a que se refiere el apartado 2, letra c), ni en los informes de auditoría a que se refiere la letra d) de dicho apartado. La política solo permitirá el uso de los métodos a que se refiere el apartado 2, letras c) y d), cuando la entidad financiera:
a)
considere satisfactorio el plan de auditoría del proveedor tercero de servicios de TIC para los acuerdos contractuales pertinentes;
b)
garantice que las certificaciones o los informes de auditoría cubran los sistemas y controles clave determinados por la entidad financiera y garantice el cumplimiento de los requisitos reglamentarios pertinentes;
c)
evalúe exhaustivamente el contenido de las certificaciones o de los informes de auditoría de forma continua y verifica que los informes o certificaciones no estén obsoletos;
d)
garantice que las futuras versiones de la certificación o del informe de auditoría abarquen los sistemas y controles clave;
e)
esté convencida de la aptitud de la parte certificadora o auditora;
f)
tenga la convicción de que las certificaciones se han expedido y de que las auditorías se llevan a cabo con arreglo a normas profesionales pertinentes ampliamente reconocidas e incluyen una prueba de la eficacia operativa de los controles clave establecidos;
g)
tenga el derecho contractual a solicitar, con una frecuencia razonable y legítima desde el punto de vista de la gestión del riesgo, modificaciones del alcance de las certificaciones o informes de auditoría ampliándolo a otros sistemas y controles pertinentes;
h)
tenga el derecho contractual a realizar auditorías individuales y conjuntas discrecionales en relación con los acuerdos contractuales y a ejecutar dichos derechos de acuerdo con la frecuencia acordada.
4. La política garantizará que los cambios significativos en el acuerdo contractual se formalicen en un documento escrito fechado y firmado por todas las partes y especificará el proceso de reconducción de los acuerdos contractuales.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1773:oj#art-8