Art. 41 · Formato y contenido del informe sobre la revisión del marco simplificado de gestión del riesgo relacionado con las TIC

Art. 41

Formato y contenido del informe sobre la revisión del marco simplificado de gestión del riesgo relacionado con las TIC

En vigor desde 13 mar 2024
Artículo 41 Formato y contenido del informe sobre la revisión del marco simplificado de gestión del riesgo relacionado con las TIC 1.   Las entidades financieras a que se refiere el artículo 16, apartado 1, del Reglamento (UE) 2022/2554 presentarán el informe sobre la revisión del marco de gestión del riesgo relacionado con las TIC a que se refiere el apartado 2 de dicho artículo en un formato electrónico que permita realizar búsquedas. 2.   El informe a que se refiere el apartado 1 incluirá toda la información siguiente: a) una parte introductoria que contenga: i) una descripción del contexto del informe atendiendo a la naturaleza, escala y complejidad de los servicios, actividades y operaciones de la entidad financiera, su organización, sus funciones esenciales identificadas, su estrategia, sus principales proyectos o actividades en curso, sus relaciones y su dependencia de servicios y sistemas de TIC internos y externalizados, o las implicaciones que tendría una pérdida total o una degradación grave de dichos sistemas para las funciones esenciales o importantes y la eficiencia del mercado, ii) un resumen del riesgo relacionado con las TIC actual y a corto plazo identificado, el panorama de amenazas, la evaluación de la eficacia de los controles y la postura de ciberseguridad de la entidad financiera, iii) información sobre el ámbito objeto del informe, iv) un resumen de los principales cambios en el marco de gestión del riesgo relacionado con las TIC desde el informe anterior, v) un resumen y una descripción de las repercusiones de los principales cambios en el marco simplificado de gestión del riesgo relacionado con las TIC desde el informe anterior; b) en su caso, la fecha de aprobación del informe por parte del órgano de dirección de la entidad financiera; c) una descripción de los motivos de la revisión, incluidos los aspectos siguientes: i) cuando la revisión se haya iniciado siguiendo instrucciones de las autoridades de supervisión, las pruebas de dichas instrucciones, ii) cuando la revisión se haya iniciado a raíz del acontecimiento de incidentes relacionados con las TIC, la lista de todos esos incidentes con el correspondiente análisis de las causas subyacentes; d) las fechas de inicio y finalización del período de revisión; e) la persona responsable de la revisión; f) un resumen de las constataciones y una autoevaluación de la gravedad de las debilidades, deficiencias y carencias detectadas en el marco de gestión del riesgo relacionado con las TIC durante el período de revisión, junto con un análisis detallado de esas debilidades, deficiencias y carencias; g) medidas correctoras determinadas para hacer frente a las debilidades, deficiencias y carencias en el marco simplificado de gestión del riesgo relacionado con las TIC y fecha prevista para la aplicación de dichas medidas, incluidas las medidas de respuesta a debilidades, deficiencias y carencias señaladas en informes anteriores, cuando aún no se hayan subsanado; h) conclusiones generales de la revisión del marco simplificado de gestión del riesgo relacionado con las TIC, incluida la posible evolución prevista de dicho marco.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1774:oj#art-41