Art. 26
Planes de respuesta y recuperación en materia de TIC
En vigor desde 13 mar 2024
Artículo 26
Planes de respuesta y recuperación en materia de TIC
1. Al elaborar los planes de respuesta y recuperación en materia de TIC a que se refiere el artículo 11, apartado 3, del Reglamento (UE) 2022/2554, las entidades financieras tendrán en cuenta los resultados de su análisis de impacto en el negocio. Dichos planes de respuesta y recuperación en materia de TIC:
a)
especificarán las condiciones que motivarán su activación o desactivación, así como toda excepción a dicha activación o desactivación;
b)
describirán las medidas que deben adoptarse para garantizar la disponibilidad, integridad, continuidad y recuperación de, al menos, los sistemas y servicios de TIC que sustenten funciones esenciales o importantes de la entidad financiera;
c)
estarán concebidos para cumplir los objetivos de recuperación de las operaciones de las entidades financieras;
d)
se documentarán y pondrán a disposición del personal que participe en su ejecución y serán fácilmente accesibles en caso de emergencia;
e)
contemplarán opciones de recuperación tanto a corto como a largo plazo, incluida la recuperación parcial de los sistemas;
f)
establecerán los objetivos que persiguen y las condiciones para considerar que se han ejecutado correctamente.
A efectos de la letra d), las entidades financieras especificarán claramente las funciones y responsabilidades.
2. Los planes de respuesta y recuperación en materia de TIC a que se refiere el apartado 1 determinarán los escenarios pertinentes, entre ellos escenarios de perturbaciones graves en la actividad y de incremento de la probabilidad de que se produzcan perturbaciones. Los escenarios de los planes se elaborarán sobre la base de la información actual en materia de amenazas y las conclusiones extraídas de anteriores perturbaciones de la actividad. Las entidades financieras tendrán debidamente en cuenta todos los escenarios siguientes:
a)
ciberataques y conmutaciones entre la infraestructura primaria de TIC y la capacidad redundante, las copias de seguridad y las instalaciones redundantes;
b)
escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle, así como escenarios en los que se contemplen debidamente las posibles repercusiones de la insolvencia u otros fallos de cualquier proveedor tercero de servicios de TIC pertinente;
c)
fallo parcial o total de los locales, incluidas las oficinas y los locales de uso profesional, y de los centros de datos;
d)
fallo importante de los activos de TIC o de la infraestructura de comunicación;
e)
indisponibilidad de un número crucial de miembros del personal o de los miembros del personal a cargo de garantizar la continuidad de las operaciones;
f)
repercusiones de sucesos relacionados con el cambio climático y la degradación del medio ambiente, catástrofes naturales, pandemias y ataques físicos, como intrusiones y atentados terroristas;
g)
ataques internos;
h)
inestabilidad política y social, en particular, cuando proceda, en el territorio o país del proveedor tercero de servicios de TIC y en la ubicación en la que se almacenen y traten los datos;
i)
cortes de energía generalizados.
3. Los planes de respuesta y recuperación en materia de TIC a que se refiere el apartado 1 contemplarán opciones alternativas ante la eventualidad de que las medidas primarias de recuperación no sean viables a corto plazo debido a los costes, los riesgos, la logística o circunstancias imprevistas.
4. Dentro de los planes de respuesta y recuperación en materia de TIC a que se refiere el apartado 1, las entidades financieras contemplarán y aplicarán medidas de continuidad para mitigar los fallos de los proveedores terceros de servicios de TIC que sustenten funciones esenciales o importantes de dichas entidades.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1774:oj#art-26