Art. 17 · Continuidad de la actividad y medios de respaldo

Art. 17

Continuidad de la actividad y medios de respaldo

En vigor desde 30 ene 2026
Artículo 17 Continuidad de la actividad y medios de respaldo 1.   Las IIP y los RRM se asegurarán de disponer de personal, infraestructura, capital y recursos financieros suficientes para garantizar la continuidad y regularidad en la prestación de sus respectivos servicios, así como la protección adecuada de la IIP o el RRM frente a riesgos operativos, legales y comerciales. 2.   Cuando las IIP registren clientes nuevos, les facilitarán instrucciones sobre el uso de los medios de respaldo y, posteriormente, les enviarán recordatorios periódicos a lo largo de toda la duración de los servicios prestados por la IIP. 3.   Las IIP y los RRM contarán con controles de riesgos operativos y procedimientos robustos establecidos para garantizar la disponibilidad de recursos y de medios de respaldo adecuados. Dichos controles y procedimientos se documentarán dentro de una política o un marco de riesgos operativos que garantice que se minimicen las perturbaciones en los servicios prestados. Dicha política o marco incluirá lo siguiente: a) un sistema de control de versiones para rastrear y archivar cualquier cambio introducido en los programas informáticos de las IIP y los RRM; b) una política de aseguramiento de la calidad que garantice el seguimiento de todos los cambios en la arquitectura de hardware y software de las IIP y los RRM; c) sistemas automatizados de control y alerta para hacer un seguimiento de la disponibilidad de todos los componentes y servicios del sistema, proporcionando notificaciones inmediatas a los clientes de la IIP y a los clientes del RRM en relación con cualquier perturbación del servicio; d) redundancia de los componentes de hardware y de la infraestructura de red, permitiendo la conmutación de los sistemas de respaldo, en particular: i) en el caso de las IIP, procedimientos para garantizar que cualquier mantenimiento planificado de los servicios de la IIP se lleve a cabo con una perturbación mínima o nula del servicio, haciendo uso de la duplicación y redundancia de los componentes de hardware y software, ii) en el caso de los RRM, procedimientos para minimizar las perturbaciones durante el mantenimiento planificado, con períodos de mantenimiento programados durante períodos de baja actividad; e) la realización de revisiones periódicas, al menos una vez al año, en las que se evalúen las infraestructuras técnicas de las IIP y los RRM y las políticas y procedimientos asociados, incluidos los mecanismos de continuidad de la actividad y, en el caso de las IIP, los protocolos en materia de seguridad de la información; f) medidas exhaustivas relativas a copias de seguridad de datos que garanticen que no se produzcan pérdidas de datos y que contemplen la conservación de los datos comunicados a la Agencia en los últimos cinco años tras la finalización del acontecimiento correspondiente en el caso de las IIP, y de cinco años en el caso de los RRM; g) mecanismos efectivos que garanticen la continuidad de la actividad para hacer frente a acontecimientos imprevistos, en particular los siguientes: i) mecanismos para la continuidad de los procesos que son fundamentales para garantizar la eficacia de los servicios de comunicación de datos, en particular los procedimientos de escalamiento, las actividades externalizadas pertinentes o las dependencias de proveedores externos, que, en lo que respecta a la infraestructura de respaldo de una IIP, pueden incluir acuerdos contractuales con otra IIP autorizada por la Agencia, a la que se redirigirá a los clientes de la IIP para la divulgación de su información en caso de incidente, sin coste adicional para el cliente de la IIP, ii) mecanismos específicos que garanticen la continuidad de la actividad, que abarquen una gama adecuada de posibles escenarios, a corto y medio plazo, como deficiencias del sistema, desastres naturales, perturbaciones de las comunicaciones, pérdida de personal esencial e imposibilidad de utilizar los locales utilizados habitualmente, iii) el establecimiento de procedimientos de conmutación y de emergencia que especifiquen la redirección de los clientes de la IIP para la divulgación de su información a los medios de respaldo de la IIP, iv) el establecimiento de un objetivo de tiempo máximo de recuperación para las funciones esenciales, v) la impartición de cursos obligatorios de formación al personal sobre el funcionamiento de la continuidad de la actividad, vi) la identificación del personal clave responsable de la continuidad de la actividad, y en particular la identificación del personal responsable de la reacción inmediata a una interrupción de los servicios. 4.   Los solicitantes podrán demostrar el cumplimiento de cualquiera de los requisitos mencionados en el apartado 3 mediante la presentación a la Agencia de un certificado válido según normas de la serie ISO/IEC 27000 sobre sistemas de gestión de la seguridad de la información o certificaciones equivalentes. La Agencia podrá pedir a los solicitantes aclaraciones adicionales sobre la certificación facilitada, cualquier información omitida necesaria para demostrar el cumplimiento de los requisitos a que se refiere el apartado 3 y una actualización de dicha certificación después de su fecha de expiración. 5.   Las IIP y los RRM velarán por que se subsane cualquier deficiencia detectada durante la revisión a que se refiere el apartado 3, letra e). 6.   Las IIP pondrán a disposición del público toda la información relacionada con los medios alternativos de divulgación que los clientes de las IIP puedan utilizar en caso de interrupción del servicio de la plataforma. Cuando el mantenimiento planificado pueda dar lugar a perturbaciones, se planificará para períodos en los que se prevea una actividad mínima. 7.   Los servicios de IIP relacionados con la divulgación y publicación de información y la presentación de informes de información privilegiada estarán disponibles al menos el 99,5 % del tiempo. Lo mismo es aplicable cuando los servicios de la IIP o parte de ellos se subcontratan a proveedores externos. 8.   En caso de que la IIP haya notificado a sus clientes el mantenimiento planificado o la interrupción no planificada u otra perturbación de conformidad con el artículo 18, o los propios clientes de la IIP adviertan que, de manera excepcional, ni la IIP ni sus medios de respaldo están en funcionamiento, los clientes de la IIP podrán decidir si publican en su sitio web la información que habrían divulgado en la IIP, o si recurren a otra IIP para su rápida divulgación, hasta que se restablezcan la IIP o sus medios de respaldo. 9.   Las IIP publicarán en su plataforma la información divulgada por sus clientes de conformidad con el apartado 8 tan pronto como sea técnicamente posible tras el restablecimiento de los servicios.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2026:255:oj#art-17