Art. 25
Pruebas de los planes de continuidad de la actividad en materia de TIC
En vigor desde 13 mar 2024
Artículo 25
Pruebas de los planes de continuidad de la actividad en materia de TIC
1. Al someter a prueba los planes de continuidad de la actividad en materia de TIC de conformidad con el artículo 11, apartado 6, del Reglamento (UE) 2022/2554, las entidades financieras tendrán en cuenta su análisis de impacto en el negocio y la evaluación del riesgo relacionado con las TIC a que se refiere el artículo 3, apartado 1, letra b), del presente Reglamento.
2. Las entidades financieras, mediante las pruebas de los planes de continuidad de la actividad en materia de TIC a que se refiere el apartado 1, evaluarán si dichos planes son capaces de garantizar la continuidad de sus funciones esenciales o importantes. Dichas pruebas:
a)
se llevarán a cabo sobre la base de escenarios de prueba que simulen posibles perturbaciones, incluido un conjunto adecuado de escenarios graves pero verosímiles;
b)
comprenderán, en su caso, el sometimiento a prueba de los servicios de TIC prestados por proveedores terceros de servicios de TIC;
c)
en el caso de las entidades financieras que no sean microempresas, tal como se contempla en el artículo 11, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2554, comprenderán escenarios de conmutación entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes;
d)
estarán diseñadas para poner en cuestión las hipótesis en las que se basen los planes de continuidad de la actividad, incluidos los mecanismos de gobernanza y los planes de comunicación de crisis;
e)
incluirán procedimientos para verificar la capacidad del personal de las entidades financieras, los proveedores terceros de servicios de TIC, los sistemas de TIC y los servicios de TIC para responder de forma adecuada ante los escenarios que han de tenerse debidamente en cuenta de conformidad con el artículo 26, apartado 2.
A efectos de la letra a), las entidades financieras incluirán siempre en las pruebas los escenarios que se hayan tomado en consideración a la hora de elaborar los planes de continuidad de la actividad.
A efectos de la letra b), las entidades financieras tomarán debidamente en consideración los escenarios vinculados a la insolvencia u otros fallos de los proveedores terceros de servicios de TIC o vinculados a riesgos políticos en los países o territorios de tales proveedores, en su caso.
A efectos de la letra c), las pruebas verificarán si al menos las funciones esenciales o importantes pueden desempeñarse adecuadamente durante un período de tiempo suficiente y si es posible restablecer el funcionamiento normal.
3. Además de los requisitos a que se refiere el apartado 2, las entidades de contrapartida central asociarán a las pruebas de los planes de continuidad de la actividad en materia de TIC a que se refiere el apartado 1 a:
a)
los miembros compensadores;
b)
los proveedores externos;
c)
las entidades pertinentes de la infraestructura financiera con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.
4. Además de los requisitos a que se refiere el apartado 2, los depositarios centrales de valores asociarán a las pruebas de los planes de continuidad de la actividad en materia de TIC a que se refiere el apartado 1, según proceda, a:
a)
sus usuarios;
b)
los prestadores de servicios esenciales;
c)
otros depositarios centrales de valores;
d)
otras infraestructuras del mercado;
e)
otras entidades con respecto a las cuales hayan determinado la existencia de interdependencias en el marco de su política de continuidad de la actividad.
5. Las entidades financieras documentarán los resultados de las pruebas a que se refiere el apartado 1. Toda deficiencia detectada en las pruebas será objeto de análisis, tratamiento y comunicación al órgano de dirección.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-25