Art. 24 · Componentes de la política de continuidad de la actividad en materia de TIC

Art. 24

Componentes de la política de continuidad de la actividad en materia de TIC

En vigor desde 13 mar 2024
Artículo 24 Componentes de la política de continuidad de la actividad en materia de TIC 1.   Las entidades financieras incluirán en su política de continuidad de la actividad en materia de TIC a que se refiere el artículo 11, apartado 1, del Reglamento (UE) 2022/2554 todos los elementos siguientes: a) una descripción de: i) los objetivos de la política de continuidad de la actividad en materia de TIC, incluida la interrelación entre la continuidad de la actividad en sentido global y la continuidad de la actividad en materia de TIC, y teniendo en cuenta los resultados del análisis de impacto en el negocio a que se refiere el artículo 11, apartado 5, del Reglamento (UE) 2022/2554, ii) el alcance de las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC, incluidas las limitaciones y exclusiones, iii) el período que deben cubrir las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC, iv) los criterios para activar y desactivar los planes de continuidad de la actividad en materia de TIC, los planes de respuesta y recuperación en materia de TIC y los planes de comunicación de crisis; b) disposiciones sobre: i) la gobernanza y organización para aplicar la política de continuidad de la actividad en materia de TIC, en particular las funciones y responsabilidades y los procedimientos de traslado a la instancia jerárquica superior que garanticen la disponibilidad de recursos suficientes, ii) la armonización entre los planes de continuidad de la actividad en materia de TIC y los planes globales de continuidad de la actividad, en relación, como mínimo, con todos los aspectos siguientes: 1) posibles escenarios de fallo, en particular los escenarios a que se refiere el artículo 26, apartado 2, del presente Reglamento; 2) objetivos de recuperación, con la especificación de que, tras sufrir perturbaciones, la entidad financiera debe ser capaz de recuperar las operaciones de sus funciones esenciales o importantes dentro de un objetivo de tiempo de recuperación y un objetivo de punto de recuperación, iii) la elaboración, dentro de dichos planes, de planes de continuidad de la actividad en materia de TIC para el caso de perturbaciones graves de la actividad, y la priorización de las acciones de continuidad de la actividad en materia de TIC utilizando un enfoque basado en el riesgo, iv) la elaboración, sometimiento a prueba y revisión de planes de respuesta y recuperación en materia de TIC, de conformidad con los artículos 25 y 26 del presente Reglamento, v) la revisión de la eficacia de las disposiciones, planes, procedimientos y mecanismos para la continuidad de la actividad en materia de TIC aplicados, de conformidad con el artículo 26 del presente Reglamento, vi) la armonización de la política de continuidad de la actividad en materia de TIC con: 1) la política de comunicación a que se refiere el artículo 14, apartado 2, del Reglamento (UE) 2022/2554; 2) las acciones de comunicación y comunicación de crisis a que se refiere el artículo 11, apartado 2, letra e), del Reglamento (UE) 2022/2554. 2.   Además de los requisitos a que se refiere el apartado 1, las entidades de contrapartida central velarán por que su política de continuidad de la actividad en materia de TIC: a) establezca un tiempo máximo de recuperación de sus funciones esenciales no superior a dos horas; b) tenga en cuenta los vínculos externos y las interdependencias existentes dentro de la infraestructura financiera, incluidos los centros de negociación de cuya compensación se encargue la entidad de contrapartida central, los sistemas de pago y de liquidación de valores y las entidades de crédito utilizadas por la entidad de contrapartida central o una entidad de contrapartida central vinculada; c) exija que se establezcan mecanismos para: i) garantizar la continuidad de las funciones esenciales o importantes de la entidad de contrapartida central sobre la base de escenarios de catástrofe, ii) mantener un centro de tratamiento secundario capaz de garantizar la continuidad de las funciones esenciales o importantes de la entidad de contrapartida central del mismo modo que el centro principal, iii) mantener un centro secundario de actividad, o tener acceso inmediato a él, para permitir al personal garantizar la continuidad del servicio en caso de que no pueda disponerse del emplazamiento principal de la actividad, iv) estudiar la necesidad de contar con centros de tratamiento adicionales, en particular si la diversidad de los perfiles de riesgo de los centros principal y secundario no ofrece suficiente seguridad en cuanto al cumplimiento de los objetivos de continuidad de la actividad de la entidad de contrapartida central en todos los escenarios. A efectos de la letra a), las entidades de contrapartida central realizarán los pagos y procedimientos de cierre de jornada en cualquier circunstancia en el día y la hora previstos. A efectos de la letra c), inciso i), los mecanismos a que se refiere dicho inciso contemplarán la disponibilidad de recursos humanos adecuados, el tiempo máximo de paralización de las funciones esenciales y el traspaso para recuperación a un centro secundario. A efectos de la letra c), inciso ii), el centro de tratamiento secundario a que se refiere dicha letra tendrá un perfil de riesgo geográfico distinto al del centro principal. 3.   Además de los requisitos a que se refiere el apartado 1, los depositarios centrales de valores velarán por que su política de continuidad de la actividad en materia de TIC: a) tenga en cuenta los vínculos e interdependencias con los usuarios, los prestadores de servicios esenciales, otros depositarios centrales de valores y otras infraestructuras del mercado; b) exija que sus mecanismos de continuidad de la actividad en materia de TIC garanticen que el objetivo de tiempo de recuperación de sus funciones esenciales o importantes no sea superior a dos horas. 4.   Además de los requisitos a que se refiere el apartado 1, los centros de negociación velarán por que su política de continuidad de la actividad en materia de TIC garantice: a) que la negociación puede reanudarse antes de que transcurran dos horas desde que se produzca un incidente perturbador, o en un plazo cercano; b) que la cantidad máxima de datos que puedan perderse en cualquier servicio informático del centro de negociación después de un incidente perturbador sea próxima a cero.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1774:oj#art-24