Art. 17
Gestión de cambios en las TIC
En vigor desde 13 mar 2024
Artículo 17
Gestión de cambios en las TIC
1. Como parte de las salvaguardias para preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos, las entidades financieras incluirán en los procedimientos de gestión de cambios en las TIC a que se refiere el artículo 9, apartado 4, letra e), del Reglamento (UE) 2022/2554, en relación con todos los cambios en el software, el hardware, los componentes de firmware, los sistemas o los parámetros de seguridad, todos los elementos siguientes:
a)
la verificación del cumplimiento de los requisitos de seguridad de las TIC;
b)
mecanismos para garantizar la independencia de las funciones que aprueban los cambios y las funciones responsables de solicitar y aplicar dichos cambios;
c)
una descripción clara de las funciones y responsabilidades a fin de garantizar:
i)
la especificación y planificación de los cambios,
ii)
el diseño de una transición adecuada,
iii)
el sometimiento a prueba y la ultimación de los cambios de manera controlada,
iv)
la existencia de un aseguramiento eficaz de la calidad;
d)
la documentación y comunicación de los detalles de los cambios, en particular:
i)
el objeto y alcance de los cambios,
ii)
el calendario para la aplicación de los cambios,
iii)
los resultados esperados;
e)
la determinación de responsabilidades y procedimientos alternativos, en particular responsabilidades y procedimientos para abortar un cambio o recuperarse de un cambio que no se ha ejecutado correctamente;
f)
procedimientos, protocolos y herramientas para gestionar los cambios de emergencia que ofrezcan las salvaguardias adecuadas;
g)
procedimientos para documentar, reexaminar, evaluar y aprobar los cambios de emergencia tras su aplicación, incluidas las soluciones alternativas y los parches;
h)
la determinación de las posibles repercusiones de un cambio sobre las medidas de seguridad de las TIC vigentes, y la evaluación de si dicho cambio requiere la adopción de medidas de seguridad de las TIC adicionales.
2. Tras la introducción de cambios significativos en sus sistemas de TIC, las entidades de contrapartida central y los depositarios centrales de valores someterán tales sistemas a pruebas estrictas mediante la simulación de condiciones de tensión.
Las entidades de contrapartida central asociarán al diseño y la realización de las pruebas a que se refiere el párrafo primero, según proceda, a:
a)
los miembros compensadores y clientes;
b)
las entidades de contrapartida central interoperables;
c)
otras partes interesadas.
Los depositarios centrales de valores asociarán al diseño y la realización de las pruebas a que se refiere el párrafo primero, según proceda, a:
a)
los usuarios;
b)
los prestadores de servicios esenciales;
c)
otros depositarios centrales de valores;
d)
otras infraestructuras del mercado;
e)
otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad en materia de TIC.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-17