Reglamentos: (Texto Pertinente A Efectos Del EEE)

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 79

27.12.

2022 ES Diario Oficial de la Unión Europea L 333/1

I
(Actos legislativos)

REGLAMENTOS

REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO


de 14 de diciembre de 2022
sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos
(CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Banco Central Europeo (1),

Visto el dictamen del Comité Económico y Social Europeo (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos
utilizados en actividades cotidianas. Mantienen nuestras economías en marcha en sectores clave como el sector
financiero, y mejoran el funcionamiento del mercado interior. El aumento de la digitalización y la interconexión
también amplifica el riesgo relacionado con las TIC, y hace que la sociedad en su conjunto, y el sistema financiero
en particular, sea más vulnerable a las ciberamenazas o a las perturbaciones de las TIC. Si bien el uso generalizado
de los sistemas de TIC y la alta digitalización y conectividad son hoy en día características fundamentales de las
actividades de las entidades financieras de la Unión, sigue siendo necesario abordar e integrar mejor su resiliencia
digital en sus marcos operativos más amplios.

(2) El uso de las TIC ha adquirido en las últimas décadas un papel fundamental en la prestación de servicios financieros,
hasta el punto de que ahora tiene una importancia fundamental en la ejecución de las funciones cotidianas típicas de
todas las entidades financieras. La digitalización abarca ahora, por ejemplo, los pagos, para los que se utilizan, cada
vez más, soluciones digitales, en vez de métodos basados en efectivo y papel, así como la compensación y
liquidación de valores, la negociación electrónica y algorítmica, las operaciones de préstamo y financiación, la
financiación entre particulares, la calificación crediticia, la gestión de siniestros y las operaciones administrativas. El

(1) DO C 343 de 26.8.2021, p. 1.


(2) DO C 155 de 30.4.2021, p. 38.
(3) Posición del Parlamento Europeo de 10 de noviembre de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo
de 28 de noviembre de 2022.
L 333/2 ES Diario Oficial de la Unión Europea 27.12.2022

uso de las TIC también ha transformado el sector de los seguros, desde la aparición de intermediarios de seguros que
ofrecen sus servicios en línea y desarrollan su actividad con tecnología aplicada al sector de los seguros (InsurTech)
hasta la suscripción de seguros por medios digitales. No solo se ha digitalizado en gran medida todo el sector
financiero, sino que la digitalización también ha profundizado las interconexiones y las dependencias tanto dentro
del sector financiero como en relación con proveedores terceros de infraestructuras y servicios.

(3) La Junta Europea de Riesgo Sistémico (JERS) reafirmó en un informe de 2020 sobre el ciberriesgo sistémico que el
elevado nivel actual de interconexión entre entidades financieras, mercados financieros e infraestructuras de los
mercados financieros, y en particular las interdependencias de sus sistemas de TIC, podría constituir una
vulnerabilidad sistémica, ya que desde cualquiera de las aproximadamente 22 000 entidades financieras de la Unión
podrían propagarse rápidamente a todo el sistema financiero ciberincidentes localizados, sin que los límites
geográficos supongan un obstáculo. Las vulneraciones graves relacionadas con las TIC que tienen lugar en el sector
financiero no afectan únicamente a las entidades financieras de forma aislada. También allanan el camino para la
propagación de vulnerabilidades localizadas a través de los canales de transmisión financieros y pueden provocar
consecuencias negativas para la estabilidad del sistema financiero de la Unión, por ejemplo, fugas de liquidez y una
pérdida general de confianza en los mercados financieros.

(4) En los últimos años, los responsables políticos, los reguladores y los organismos de normalización internacionales,
de la Unión y nacionales han abordado el riesgo relacionado con las TIC, en un intento de aumentar la resiliencia
digital, establecer normas y coordinar el trabajo de regulación o supervisión. A escala internacional, el Comité de
Supervisión Bancaria de Basilea, el Comité de Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad
Financiera y el Instituto de Estabilidad Financiera, así como el G7 y el G20, procuran proporcionar a las autoridades
competentes y a los operadores del mercado de varias jurisdicciones herramientas para reforzar la resiliencia de sus
sistemas financieros. Esta labor también se ha visto impulsada por la necesidad de tener debidamente en cuenta el
riesgo relacionado con las TIC en el contexto de un sistema financiero mundial altamente interconectado y de tratar
de reforzar la coherencia de las mejores prácticas pertinentes.

(5) A pesar de las iniciativas estratégicas y legislativas específicas de la Unión y nacionales, el riesgo relacionado con las
TIC sigue representando un desafío para la resiliencia operativa, el rendimiento y la estabilidad del sistema financiero
de la Unión. Las reformas que siguieron a la crisis financiera de 2008 reforzaron fundamentalmente la resiliencia
financiera del sector financiero de la Unión y tuvieron por objeto salvaguardar la competitividad y la estabilidad de
la Unión desde los puntos de vista económico, prudencial y de conducta del mercado. Pese a que la resiliencia
digital y la seguridad de las TIC forman parte del riesgo operativo, han recibido menos atención en la agenda
normativa posterior a la crisis financiera y se han desarrollado únicamente en algunos ámbitos de la política y el
panorama normativo de la Unión en el ámbito de los servicios financieros, o solo en unos pocos Estados miembros.

(6) En su Comunicación de 8 de marzo de 2018 titulada «Plan de acción en materia de tecnología financiera: por un
sector financiero europeo más competitivo e innovador», la Comisión puso de relieve la importancia capital de
hacer que el sector financiero de la Unión sea más resiliente, también desde una perspectiva operativa, para
garantizar su seguridad tecnológica y su buen funcionamiento, así como su rápida recuperación de los incidentes y
vulneraciones relacionadas con las TIC, lo que permitirá en última instancia que los servicios financieros se presten
de manera eficaz y fluida en toda la Unión, también en situaciones de tensión, al tiempo que se preserva la
confianza de los consumidores y del mercado.

(7) En abril de 2019, la Autoridad Europea de Supervisión (Autoridad Bancaria Europea, ABE) creada mediante el
Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (4), la Autoridad Europea de Supervisión
(Autoridad Europea de Seguros y Pensiones de Jubilación, AESPJ) creada mediante el Reglamento (UE)
n.o 1094/2010 del Parlamento Europeo y del Consejo (5) y la Autoridad Europea de Supervisión (Autoridad Europea
de Valores y Mercados, AEVM) creada mediante el Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del

(4) Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad
Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/78/CE
de la Comisión (DO L 331 de 15.12.2010, p. 12).
(5) Reglamento (UE) n.o 1094/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad
Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), se modifica la Decisión n.o 716/2009/CE y se
deroga la Decisión 2009/79/CE de la Comisión (DO L 331 de 15.12.2010, p. 48).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/3

Consejo (6) (conocidas colectivamente como «Autoridades Europeas de Supervisión») emitieron conjuntamente
dictámenes técnicos en los que pedían un enfoque coherente del riesgo relacionado con las TIC en el ámbito
financiero y recomendaban reforzar, de manera proporcionada, la resiliencia operativa digital del sector de los
servicios financieros a través de una iniciativa sectorial de la Unión.

(8) El sector financiero de la Unión está regulado por un código normativo único y regido por un sistema europeo de
supervisión financiera. No obstante, las disposiciones que abordan la resiliencia operativa digital y la seguridad de
las TIC no están todavía plena o coherentemente armonizadas, pese a que la resiliencia operativa digital es vital para
garantizar la estabilidad financiera y la integridad del mercado en la era digital y no es menos importante que, por
ejemplo, las normas comunes prudenciales o de conducta de mercado. Por consiguiente, deben desarrollarse el
código normativo único y el sistema de supervisión para que abarquen también la resiliencia operativa digital,
reforzando los mandatos de las autoridades competentes para que puedan supervisar la gestión del riesgo
relacionado con las TIC en el sector financiero con el objetivo de proteger la integridad y la eficiencia del mercado
interior y facilitar su correcto funcionamiento.

(9) Las disparidades legislativas y unos enfoques de regulación o de supervisión nacionales desiguales por lo que
respecta al riesgo relacionado con las TIC generan obstáculos al funcionamiento del mercado interior de los
servicios financieros, lo que dificulta el correcto ejercicio de la libertad de establecimiento y la prestación de
servicios por parte de las entidades financieras que operan a escala transfronteriza. La competencia entre el mismo
tipo de entidades financieras que operan en diferentes Estados miembros también podría verse falseada. Esto sucede,
en particular, en ámbitos en los que la armonización a escala de la Unión ha sido muy limitada (como las pruebas de
resiliencia operativa digital) o inexistente (como el seguimiento del riesgo de relacionado con las TIC derivado de
terceros). Las disparidades derivadas de la evolución prevista a escala nacional podrían generar nuevos obstáculos al
funcionamiento del mercado interior en detrimento de los participantes en el mercado y la estabilidad financiera.

(10) Actualmente, dado que las disposiciones sobre el riesgo relacionado con las TIC se han abordado solo parcialmente a
escala de la Unión, existen lagunas o solapamientos en ámbitos importantes, como la notificación de incidentes
relacionados con las TIC y las pruebas de resiliencia operativa digital, e incoherencias provocadas por la aparición
de normas nacionales divergentes o la aplicación ineficaz a efecto de los costes de normas que se solapan. Esto es
especialmente perjudicial para quienes hacen un uso intensivo de las TIC, como es el caso del sector financiero, ya
que los riesgos tecnológicos no tienen fronteras y el sector financiero ofrece sus servicios a escala ampliamente
transfronteriza dentro y fuera de la Unión. Las entidades financieras que operan a escala transfronteriza o que
poseen varias autorizaciones (por ejemplo, una misma entidad financiera puede tener una licencia bancaria, una
licencia de empresa de servicios de inversión y una licencia de entidad de pago, cada una expedida por una
autoridad competente diferente en uno o varios Estados miembros) se enfrentan a retos operativos a la hora de
abordar el riesgo relacionado con las TIC y mitigar las repercusiones negativas de los incidentes relacionados con las
TIC de manera autónoma, coherente y eficaz en términos de costes.

(11) Dado que el código normativo único no ha ido acompañado de un marco global del riesgo operativo o relacionado
con las TIC, es necesaria una mayor armonización de los requisitos clave de resiliencia operativa digital para todas las
entidades financieras. El desarrollo de las capacidades en materia de TIC y la resiliencia general por las entidades
financieras, sobre la base de estos requisitos clave, con vistas a hacer frente a las interrupciones operativas,
contribuiría a preservar la estabilidad e integridad de los mercados financieros de la Unión y, de este modo, a
garantizar un elevado nivel de protección de los inversores y consumidores de la Unión. Puesto que el objetivo del
presente Reglamento es contribuir al buen funcionamiento del mercado interior, debe basarse en las disposiciones
del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE), interpretadas de conformidad con la
jurisprudencia reiterada del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»).

(12) El presente Reglamento tiene por objeto consolidar y actualizar los requisitos relativos al riesgo relacionado con las
TIC como parte de los requisitos en materia de riesgo operativo que se han abordado hasta la fecha por separado en
distintos actos jurídicos de la Unión. Si bien esos actos abarcaron las principales categorías de riesgo financiero (por
ejemplo, riesgo de crédito, riesgo de mercado, riesgo de crédito de contraparte y riesgo de liquidez, riesgo de
conducta de mercado), no abordaron de manera global, en el momento de su adopción, todos los componentes de
la resiliencia operativa. Las normas en materia de riesgo operativo, cuando se desarrollaron más en estos actos
jurídicos de la Unión, a menudo se decantaron por un enfoque cuantitativo tradicional para abordar el riesgo (a
saber, establecer un requisito de capital para cubrir el riesgo relacionado con las TIC) en vez de por normas

(6) Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad
Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión
2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84).
L 333/4 ES Diario Oficial de la Unión Europea 27.12.2022

cualitativas específicas con respecto a las capacidades de protección, detección, contención, recuperación y
reparación frente a incidentes relacionados con las TIC o en lo relativo a las capacidades de notificación y relativas a
las pruebas digitales. El objetivo principal de dichos actos era recoger y actualizar normas esenciales sobre
supervisión prudencial, integridad del mercado o conducta. La consolidación y la actualización de las distintas
normas sobre el riesgo relacionado con las TIC deben permitir reunir por primera vez de manera coherente en un
único acto legislativo todas las disposiciones que abordan el riesgo digital en el sector financiero. Así pues, el
presente Reglamento colma las lagunas o subsana las incoherencias de algunos de los actos jurídicos anteriores,
también en relación con la terminología utilizada en ellos, y hace referencia explícita al riesgo relacionado con las
TIC a través de normas específicas sobre las capacidades de gestión de este riesgo, la notificación de incidentes, las
pruebas de resiliencia operativa y el seguimiento del riesgo relacionado con las TIC derivado de terceros. Por
consiguiente, el presente Reglamento debe también sensibilizar respecto al riesgo relacionado con las TIC y
reconocer que los incidentes relacionados con las TIC y la falta de resiliencia operativa pueden poner en peligro la
solidez de las entidades financieras.

(13) Las entidades financieras deben seguir el mismo enfoque y las mismas normas basadas en principios a la hora de
abordar el riesgo relacionado con las TIC teniendo en cuenta su tamaño y su perfil de riesgo general, así como la
naturaleza, escala y complejidad de sus servicios, actividades y operaciones. La coherencia contribuye a aumentar la
confianza en el sistema financiero y a preservar su estabilidad, especialmente en tiempos de elevada dependencia de
los sistemas, plataformas e infraestructuras de TIC, que conlleva un mayor riesgo digital. El respeto de una
ciberhigiene básica también debe evitar la imposición de costes elevados a la economía a través de la minimización
de las repercusiones y los costes de las perturbaciones de las TIC.

(14) Un reglamento contribuye a reducir la complejidad normativa, fomenta la convergencia en materia de supervisión y
aumenta la seguridad jurídica y, además, contribuye a limitar los costes de cumplimiento, especialmente para las
entidades financieras que operan a escala transfronteriza, y a reducir los falseamientos de la competencia. Por lo
tanto, elegir un reglamento para el establecimiento de un marco común para la resiliencia operativa digital de las
entidades financieras es la manera más adecuada de garantizar una aplicación homogénea y coherente de todos los
componentes de la gestión del riesgo relacionado con las TIC por parte del sector financiero de la Unión.

(15) La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (7) fue el primer marco horizontal de
ciberseguridad establecido a escala de la Unión, y se aplica también a tres tipos de entidades financieras, a saber, las
entidades de crédito, los centros de negociación y las entidades de contrapartida central. Sin embargo, dado que la
Directiva (UE) 2016/1148 estableció un mecanismo de identificación a escala nacional de los operadores de
servicios esenciales, solo determinadas entidades de crédito, centros de negociación y entidades de contrapartida
central que han sido identificados por los Estados miembros, han entrado, en la práctica, en su ámbito de
aplicación, y se les ha exigido por lo tanto que cumplan los requisitos de notificación de incidentes y seguridad
relacionados con las TIC establecidos en dicha Directiva. La Directiva (UE) 2022/2555 del Parlamento Europeo y del
Consejo (8) establece un criterio uniforme para determinar qué entidades entran en su ámbito de aplicación (norma
sobre el tamaño máximo), al tiempo que mantiene los tres tipos de entidades financieras en su ámbito de aplicación.

(16) No obstante, dado que el presente Reglamento eleva el nivel de armonización de los distintos componentes de la
resiliencia digital mediante la introducción de requisitos en materia de gestión del riesgo relacionado con las TIC y
de notificación de incidentes relacionados con las TIC más estrictos que los establecidos en el Derecho vigente de la
Unión en materia de servicios financieros, este nivel más elevado constituye una mayor armonización también en
comparación con los requisitos establecidos en la Directiva (UE) 2022/2555. Por consiguiente, el presente
Reglamento constituye una lex specialis con respecto a la Directiva (UE) 2022/2555. Al mismo tiempo, es
fundamental mantener una estrecha relación entre el sector financiero y el marco horizontal de ciberseguridad de la
Unión tal como se establece actualmente en la Directiva (UE) 2022/2555 para garantizar la coherencia con las
estrategias de ciberseguridad adoptadas por los Estados miembros y para permitir que los supervisores financieros
tengan conocimiento de los ciberincidentes que afecten a otros sectores cubiertos por dicha Directiva.

(7) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar
un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(8) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a
garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la
Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (véase la página 80 del presente Diario Oficial).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/5

(17) De conformidad con el artículo 4, apartado 2, del Tratado de la Unión Europea, y sin perjuicio del control judicial
por parte del Tribunal de Justicia, el presente Reglamento no debe afectar a la responsabilidad de los Estados
miembros relativa a las funciones esenciales del Estado que afectan a la seguridad pública, la defensa y la
salvaguardia de la seguridad nacional, por ejemplo en casos en los que facilitar información sería contrario a la
salvaguardia de la seguridad nacional.

(18) Para permitir el aprendizaje intersectorial y aprovechar eficazmente las experiencias de otros sectores a la hora de
hacer frente a las ciberamenazas, las entidades financieras a que se refiere la Directiva (UE) 2022/2555 deben seguir
formando parte del «ecosistema» de dicha Directiva [por ejemplo, el Grupo de Cooperación y los equipos de
respuesta a incidentes de seguridad informática (CSIRT)]. Las Autoridades Europeas de Supervisión y las autoridades
nacionales competentes deben poder participar en los debates estratégicos y en los trabajos técnicos del Grupo de
Cooperación con arreglo a dicha Directiva e intercambiar información y seguir cooperando con los puntos de
contacto únicos designados o establecidos de conformidad con dicha Directiva. Las autoridades competentes con
arreglo al presente Reglamento también deben consultar a los CSIRT y cooperar con ellos. Las autoridades
competentes también deben poder solicitar dictámenes técnicos a las autoridades competentes designadas o
establecidas de conformidad con la Directiva (UE) 2022/2555 y establecer acuerdos de cooperación encaminados a
garantizar unos mecanismos de coordinación eficaces y rápidos.

(19) Habida cuenta de las fuertes interrelaciones entre la resiliencia digital y la resiliencia física de las entidades
financieras, el presente Reglamento y la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (9) deben
adoptar un enfoque coherente por lo que respecta a la resiliencia de las entidades críticas. Dado que las obligaciones
de gestión del riesgo relacionado con las TIC y de notificación contempladas en el presente Reglamento abordan de
manera global la resiliencia física de las entidades financieras, las obligaciones establecidas en los capítulos III y IV
de la Directiva (UE) 2022/2557 no deben aplicarse a las entidades financieras que entran en el ámbito de aplicación
de dicha Directiva.

(20) Los proveedores de servicios de computación en nube son una categoría de infraestructura digital cubierta por la
Directiva (UE) 2022/2555. El marco de supervisión de la Unión (en lo sucesivo, «marco de supervisión») establecido
por el presente Reglamento se aplica a todos los proveedores terceros esenciales de servicios de TIC, incluidos los
proveedores de servicios de computación en nube que prestan servicios de TIC a entidades financieras, y debe
considerarse complementario de la supervisión en virtud de la Directiva (UE) 2022/2555. Además, en ausencia de
un marco horizontal de la Unión que establezca una autoridad de supervisión digital, el marco de supervisión
establecido por el presente Reglamento debe abarcar a los proveedores de servicios de computación en nube.

(21) Para mantener el pleno control del riesgo relacionado con las TIC, las entidades financieras necesitan disponer de
capacidades globales para permitir una gestión del riesgo relacionado con las TIC sólida y eficaz, así como de
mecanismos y políticas específicos para gestionar todos los incidentes relacionados con las TIC y notificar los
incidentes graves relacionados con estas. Del mismo modo, las entidades financieras deben contar con políticas para
la realización de pruebas de sistemas, controles y procesos relacionados con las TIC, así como para gestionar el
riesgo relacionado con las TIC derivado de terceros. Debe elevarse el nivel de referencia en cuanto a la resiliencia
operativa digital para las entidades financieras, al tiempo que se permite una aplicación proporcionada de los
requisitos para determinadas entidades financieras, en particular las microempresas, así como las entidades
financieras sujetas a un marco simplificado de gestión del riesgo relacionado con las TIC. Para facilitar un control
eficaz de los fondos de pensiones de empleo que sea proporcionado y responda a la necesidad de reducir las cargas
administrativas de las autoridades competentes, las disposiciones nacionales pertinentes en materia de control
aplicables a dichas entidades financieras deben tener en cuenta el tamaño y el perfil de riesgo general de estas, así
como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones, también cuando se superen los
umbrales pertinentes establecidos en el artículo 5 de la Directiva (UE) 2016/2341 del Parlamento Europeo y del
Consejo (10). En particular, las actividades de control deben centrarse principalmente en la necesidad de abordar los
riesgos graves asociados a la gestión del riesgo relacionado con las TIC de una entidad concreta.

(9) Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades
críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (véase la página 164 del presente Diario Oficial).
(10) Directiva (UE) 2016/2341 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2016, relativa a las actividades y la
supervisión de los fondos de pensiones de empleo (FPE) (DO L 354 de 23.12.2016, p. 37).
L 333/6 ES Diario Oficial de la Unión Europea 27.12.2022

Asimismo, las autoridades competentes deben llevar a cabo de manera atenta pero proporcionada la supervisión de
los fondos de pensiones de empleo que, de conformidad con el artículo 31 de la Directiva (UE) 2016/2341,
externalizan a proveedores de servicios una parte considerable de su actividad principal, como la gestión de activos,
los cálculos actuariales, la contabilidad y la gestión de datos.

(22) Los umbrales de notificación y las taxonomías de incidentes relacionados con las TIC varían considerablemente a
escala nacional. Si bien es cierto que se puede alcanzar una base común mediante la labor pertinente emprendida
por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) establecida por el Reglamento (UE) 2019/881
del Parlamento Europeo y del Consejo (11) y el Grupo de Cooperación a las que se aplica la Directiva (UE) 2022/
2555, para las demás entidades financieras todavía existen, o pueden surgir, enfoques divergentes sobre el
establecimiento de los umbrales y el uso de taxonomías. Debido a dichas divergencias, existen múltiples requisitos
que deben cumplir las entidades financieras, especialmente cuando operan en varios Estados miembros y cuando
forman parte de un grupo financiero. Además, tales divergencias pueden obstaculizar la creación de nuevos
mecanismos uniformes o centralizados de la Unión que aceleren el proceso de notificación y apoyen un
intercambio rápido y fluido de información entre las autoridades competentes, lo cual es crucial para hacer frente al
riesgo relacionado con las TIC en caso de ataques a gran escala con posibles consecuencias sistémicas.

(23) A fin de reducir la carga administrativa y las obligaciones de notificación que podrían constituir una duplicación para
determinadas entidades financieras, la obligación de notificar incidentes en virtud de la Directiva (UE) 2015/2366 del
Parlamento Europeo y del Consejo (12) debe dejar de aplicarse a los proveedores de servicios de pago que entran en el
ámbito de aplicación del presente Reglamento. Por consiguiente, las entidades de crédito, las entidades de dinero
electrónico, las entidades de pago y los proveedores de servicios de información sobre cuentas a que se refiere el
artículo 33, apartado 1, de dicha Directiva deben notificar a partir de la fecha de aplicación del presente
Reglamento, en virtud del presente Reglamento, todos los incidentes operativos o de seguridad relacionados con los
pagos que se hayan notificado previamente en virtud de dicha Directiva, con independencia de que dichos incidentes
estén o no relacionados con las TIC.

(24) Para que las autoridades competentes puedan desempeñar funciones de control obteniendo una perspectiva
completa de la naturaleza, frecuencia, importancia y repercusiones de los incidentes relacionados con las TIC y a fin
de mejorar el intercambio de información entre las autoridades públicas pertinentes, incluidas las autoridades
policiales y las autoridades de resolución, el presente Reglamento debe establecer un régimen de notificación de
incidentes relacionados con las TIC que sea sólido y cuyos requisitos pertinentes colmen las lagunas que
actualmente existen en el Derecho en materia de servicios financieros y eliminen los solapamientos y duplicaciones
existentes para reducir los costes. Es esencial armonizar el régimen de notificación de incidentes relacionados con
las TIC exigiendo a todas las entidades financieras que informen a sus autoridades competentes a través del marco
simplificado único que se establece en el presente Reglamento. Además, las Autoridades Europeas de Supervisión
deben estar facultadas para especificar en mayor medida los elementos pertinentes para el marco de notificación de
incidentes relacionados con las TIC, como la taxonomía, los plazos, los conjuntos de datos, las plantillas y los
umbrales aplicables. Para garantizar la plena coherencia con la Directiva (UE) 2022/2555, las entidades financieras
deben poder notificar, de manera voluntaria, ciberamenazas importantes a la autoridad competente pertinente
cuando consideren que la ciberamenaza es relevante para el sistema financiero, los usuarios del servicio o los
clientes.

(25) Los requisitos de las pruebas de resiliencia operativa digital se han desarrollado en determinados subsectores
financieros y establecen marcos que no siempre están plenamente armonizados. Esto da lugar a una posible
duplicación de costes para las entidades financieras transfronterizas y hace que el reconocimiento mutuo de los
resultados de las pruebas de resiliencia operativa digital sea complejo, lo que, a su vez, puede fragmentar el mercado
interior.

(11) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión
Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por
el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(12) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado
interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se
deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/7

(26) Además, cuando no se requieren pruebas de TIC, las vulnerabilidades no se detectan y acaban exponiendo a la
entidad financiera al riesgo relacionado con las TIC y, en última instancia, engendran un riesgo mayor para la
estabilidad y la integridad del sector financiero. Sin la intervención de la Unión, las pruebas de resiliencia operativa
digital seguirían siendo incoherentes y carecerían de un sistema de reconocimiento mutuo de los resultados de las
pruebas de TIC en diferentes países y territorios. Asimismo, dado que es poco probable que otros subsectores
financieros adopten sistemas de pruebas a una escala significativa, desaprovecharían las ventajas potenciales de un
marco de pruebas en cuanto a la revelación de vulnerabilidades y riesgos relacionados con las TIC y la prueba de las
capacidades de defensa y la continuidad de la actividad, el cual contribuye a aumentar la confianza de los clientes, los
proveedores y los socios comerciales. Para poner remedio a esos solapamientos, divergencias y lagunas, es necesario
establecer normas con el fin de coordinar el régimen de pruebas y facilitar así el reconocimiento mutuo de pruebas
avanzadas para las entidades financieras que cumplen los criterios establecidos en el presente Reglamento.

(27) La dependencia del uso de servicios de TIC por parte de las entidades financieras se debe en parte a su necesidad de
adaptarse a una economía mundial digital competitiva emergente, de aumentar su eficiencia empresarial y de
satisfacer la demanda de los consumidores. La naturaleza y el alcance de dicha dependencia han estado en constante
evolución en los últimos años, haciendo bajar los costes de la intermediación financiera, permitiendo expandirse a
las empresas y ampliar las actividades financieras, y ofreciendo al mismo tiempo una amplia gama de herramientas
de TIC para gestionar procesos internos complejos.

(28) Ese amplio uso de los servicios de TIC se pone de manifiesto en acuerdos contractuales complejos, reflejo de las
dificultades que a menudo encuentran las entidades financieras a la hora de negociar condiciones contractuales
adaptadas a las normas prudenciales u otros requisitos reglamentarios a los que están sujetas, o a la hora de hacer
valer derechos específicos, como los derechos de acceso o auditoría, aun cuando estos últimos estén consagrados en
sus acuerdos contractuales. Además, muchos de dichos acuerdos contractuales no ofrecen suficientes salvaguardias
que permitan el seguimiento completo de los procesos de subcontratación, privando así a la entidad financiera de
su capacidad para evaluar los riesgos asociados. Por otra parte, dado que los proveedores terceros de servicios de
TIC a menudo prestan servicios estándar a distintos tipos de clientes, tales acuerdos contractuales no siempre
satisfacen adecuadamente las necesidades particulares o específicas de los agentes del sector financiero.

(29) Aunque el Derecho de la Unión en materia de servicios financieros contiene determinadas normas generales sobre
externalización, el seguimiento de la dimensión contractual no está plenamente establecido en el Derecho de la
Unión. A falta de normas claras y específicas de la Unión aplicables a los acuerdos contractuales celebrados con los
proveedores terceros de servicios de TIC, no se aborda de manera global la fuente externa de riesgo relacionado con
las TIC. Por consiguiente, es necesario establecer determinados principios clave para orientar la gestión por parte de
las entidades financieras del riesgo relacionado con las TIC derivado de terceros, que son de especial importancia
cuando las entidades financieras recurren a proveedores terceros de servicios de TIC para sustentar funciones
esenciales o importantes. Dichos principios deben ir acompañados de un conjunto de derechos contractuales
básicos en relación con varios elementos de la ejecución y terminación de acuerdos contractuales, con vistas a
ofrecer determinadas salvaguardias mínimas con el fin de reforzar la capacidad de las entidades financieras de hacer
efectivamente un seguimiento de todos los riesgos relacionados con las TIC que surjan en el nivel de los proveedores
terceros de servicios. Dichos principios son complementarios al Derecho sectorial aplicable a la externalización.

(30) En la actualidad es evidente cierta falta de homogeneidad y convergencia en lo relativo al seguimiento del riesgo
relacionado con las TIC derivado de terceros y a las dependencias de terceros en el ámbito de las TIC. A pesar de los
esfuerzos para abordar la externalización, como las Directrices sobre externalización de la ABE de 2019 y las
Directrices sobre la externalización de servicios a proveedores de servicios en nube de la AEVM de 2021, el Derecho
de la Unión no aborda de forma suficiente la cuestión más amplia de contrarrestar el riesgo sistémico que puede
desencadenar la exposición del sector financiero a un número limitado de proveedores terceros esenciales de
servicios de TIC. La falta de normas a escala de la Unión se ve agravada por la ausencia de normas nacionales sobre
mandatos e instrumentos que permitan a los supervisores financieros adquirir una buena comprensión de las
dependencias de terceros en el ámbito de las TIC y hacer un seguimiento adecuado de los riesgos derivados de la
concentración de las dependencias de terceros en el ámbito de las TIC.
L 333/8 ES Diario Oficial de la Unión Europea 27.12.2022

(31) Teniendo en cuenta el posible riesgo sistémico que suponen el aumento de las prácticas de externalización y la
concentración de terceros en el sector de las TIC, así como la insuficiencia de los mecanismos nacionales a la hora
de ofrecer a los supervisores financieros instrumentos adecuados para cuantificar, calificar y corregir las
consecuencias de los riesgos relacionados con las TIC derivados de proveedores terceros esenciales de servicios de
TIC, es necesario establecer un marco de supervisión adecuado que permita hacer un seguimiento continuo de las
actividades de los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras,
garantizando al mismo tiempo la confidencialidad y seguridad de los clientes que no sean entidades financieras. Si
bien la prestación intragrupo de servicios de TIC conlleva riesgos y beneficios específicos, no debe considerarse
automáticamente menos arriesgada que la prestación de servicios de TIC por parte de proveedores ajenos a un
grupo financiero y debe por lo tanto estar sujeta al mismo marco normativo. Sin embargo, cuando los servicios de
TIC se prestan dentro del mismo grupo financiero, las entidades financieras podrían tener un mayor nivel de
control sobre los proveedores intragrupo, lo que debería tenerse en cuenta en la evaluación global de riesgos.

(32) Dado que el riesgo relacionado con las TIC es cada vez más y más complejo y sofisticado, la eficacia de las medidas
de detección y prevención de dicho riesgo depende en gran medida del intercambio periódico de información sobre
amenazas y vulnerabilidades entre las entidades financieras. El intercambio de información contribuye a una mayor
concienciación sobre las ciberamenazas. Esto mejora, a su vez, la capacidad de las entidades financieras para evitar
que las ciberamenazas se conviertan en incidentes reales relacionados con las TIC y les permite contener de forma
más eficaz las repercusiones de tales incidentes y recuperarse con más rapidez. A falta de orientaciones a escala de la
Unión, varios factores parecen haber impedido ese intercambio de información, en particular la incertidumbre sobre
su compatibilidad con las normas de protección de datos, de defensa de la competencia y de responsabilidad.

(33) Además, las dudas sobre el tipo de información que puede compartirse con otros participantes en el mercado o con
autoridades que no son responsables de controlar (como la ENISA, en el caso de la información analítica, o Europol,
con fines policiales) hacen que no se comparta información útil. Así pues, en la actualidad, el intercambio de
información sigue estando limitado y fragmentado en términos cualitativos y cuantitativos, ya que los intercambios
en la materia son principalmente locales (a través de iniciativas nacionales) y no existen acuerdos sistemáticos de
intercambio de información a escala de la Unión adaptados a las necesidades de un sistema financiero integrado. Por
lo tanto, es importante reforzar esos canales de comunicación.

(34) Debe alentarse a las entidades financieras a intercambiar entre ellas información e inteligencia sobre ciberamenazas y
a aprovechar colectivamente sus conocimientos particulares y su experiencia práctica a nivel estratégico, táctico y
operativo, con el fin de mejorar sus capacidades para evaluar y hacer un seguimiento de las ciberamenazas,
defenderse de ellas y responder a las mismas, todo ello de forma adecuada, participando en acuerdos de intercambio
de información. Por lo tanto, es necesario permitir la aparición a escala de la Unión de mecanismos para los acuerdos
voluntarios de intercambio de información que, cuando se apliquen en entornos de confianza, ayuden a la
comunidad del sector financiero a prevenir las ciberamenazas y responder colectivamente a las mismas limitando
rápidamente la propagación del riesgo relacionado con las TIC e impidiendo el posible contagio a través de los
canales financieros. Esos mecanismos deben respetar las normas aplicables del Derecho de la competencia de la
Unión que se establecen en la Comunicación de la Comisión de 14 de enero de 2011 «Directrices sobre la
aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación
horizontal», así como las normas de la Unión en materia de protección de datos, en particular el Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo (13). Deben funcionar partiendo del uso de una o varias de las
bases jurídicas que se establecen en el artículo 6 de dicho Reglamento, como en el contexto del tratamiento de datos
personales que es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento
o por un tercero, tal como se contempla en su artículo 6, apartado 1, letra f), así como en el contexto del tratamiento
de datos personales que es necesario para el cumplimiento de una obligación legal aplicable al responsable del
tratamiento o que es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento, tal como se contempla en el artículo 6, apartado 1,
letras c) y e), respectivamente, de dicho Reglamento.

(13) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/9

(35) A fin de mantener un elevado nivel de resiliencia operativa digital para todo el sector financiero y, al mismo tiempo,
seguir el ritmo de los avances tecnológicos, el presente Reglamento debe abordar los riesgos derivados de todos los
tipos de servicios de TIC. A tal fin, la definición de servicios de TIC en el contexto del presente Reglamento debe
entenderse de una manera amplia, que abarque los servicios digitales y de datos prestados a través de sistemas de
TIC a uno o varios usuarios internos o externos de forma continua. Esa definición debe incluir, por ejemplo, los
denominados servicios de transmisión libre, que entran dentro de la categoría de servicios de comunicaciones
electrónicas. Debe excluir únicamente la categoría limitada de servicios telefónicos analógicos tradicionales que se
clasifican como servicios de red telefónica pública conmutada (RTPC), servicios de línea terrestre, servicios de
telefonía convencional (POTS) o servicios de telefonía fija.

(36) No obstante la amplia cobertura prevista en el presente Reglamento, en la aplicación de las normas de resiliencia
operativa digital se deben tener en cuenta las importantes diferencias que existen entre entidades financieras por
cuanto se refiere a su tamaño y perfil de riesgo general. Como principio general, al distribuir recursos y capacidades
para la aplicación del marco de gestión de riesgos relacionados con las TIC, las entidades financieras deben buscar un
equilibrio adecuado entre sus necesidades en materia de TIC y su tamaño y perfil de riesgo general, así como la
naturaleza, escala y complejidad de sus servicios, actividades y operaciones, mientras que las autoridades
competentes deben seguir evaluando y revisando el enfoque de dicha distribución.

(37) Los proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva
(UE) 2015/2366 están explícitamente incluidos en el ámbito de aplicación del presente Reglamento, teniendo en
cuenta la naturaleza específica de sus actividades y los riesgos derivados de ellas. Además, las entidades de dinero
electrónico y las entidades de pago exentas en virtud del artículo 9, apartado 1, de la Directiva 2009/110/CE del
Parlamento Europeo y del Consejo (14) y del artículo 32, apartado 1, de la Directiva (UE) 2015/2366 están incluidas
en el ámbito de aplicación del presente Reglamento, aunque no hayan recibido autorización de conformidad con la
Directiva 2009/110/CE para emitir dinero electrónico, o si no han recibido autorización de conformidad con la
Directiva (UE) 2015/2366 para prestar y ejecutar servicios de pago. Sin embargo, las instituciones de giro postal a
que se refiere el artículo 2, apartado 5, punto 3, de la Directiva 2013/36/UE del Parlamento Europeo y del
Consejo (15) quedan excluidas del ámbito de aplicación del presente Reglamento. La autoridad competente de las
entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, las entidades de dinero electrónico exentas en
virtud de la Directiva 2009/110/CE y los proveedores de servicios de información sobre cuentas a que se refiere el
artículo 33, apartado 1, de la Directiva (UE) 2015/2366 debe ser la autoridad competente designada de
conformidad con el artículo 22 de la Directiva (UE) 2015/2366.

(38) Dado que las entidades financieras de mayor tamaño podrían disponer de recursos más amplios y movilizar
rápidamente fondos para desarrollar estructuras de gobernanza y establecer diversas estrategias empresariales, solo
las entidades financieras que no sean microempresas en el sentido del presente Reglamento deben estar obligadas a
establecer mecanismos de gobernanza más complejos. Dichas entidades están mejor preparadas, en particular, para
establecer funciones de gestión específicas encaminadas a supervisar los acuerdos con proveedores terceros de
servicios de TIC o a abordar la gestión de crisis, para organizar su gestión de riesgos relacionados con las TIC con
arreglo al modelo de tres líneas de defensa o para establecer un modelo interno de control y gestión de riesgos, y
para someter a auditorías internas su marco de gestión de riesgos relacionados con las TIC.

(39) Algunas entidades financieras se benefician de exenciones o están sujetas a un marco regulador poco estricto con
arreglo al Derecho sectorial pertinente de la Unión. Entre esas entidades financieras se encuentran los gestores de
fondos de inversión alternativos a que se refiere el artículo 3, apartado 2, de la Directiva 2011/61/UE del
Parlamento Europeo y del Consejo (16), las empresas de seguros y reaseguros a que se refiere el artículo 4 de la
Directiva 2009/138/CE del Parlamento Europeo y del Consejo (17), y los fondos de pensiones de empleo que

(14) Directiva 2009/110/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre el acceso a la actividad de las
entidades de dinero electrónico y su ejercicio, así como sobre la supervisión prudencial de dichas entidades, por la que se modifican
las Directivas 2005/60/CE y 2006/48/CE y se deroga la Directiva 2000/46/CE (DO L 267 de 10.10.2009, p. 7).
(15) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades
de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva
2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).
(16) Directiva 2011/61/UE del Parlamento Europeo y del Consejo, de 8 de junio de 2011, relativa a los gestores de fondos de inversión
alternativos y por la que se modifican las Directivas 2003/41/CE y 2009/65/CE y los Reglamentos (CE) n.o 1060/2009 y (UE)
n.o 1095/2010 (DO L 174 de 1.7.2011, p. 1).
(17) Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y
de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).
L 333/10 ES Diario Oficial de la Unión Europea 27.12.2022

gestionen planes de pensiones que, en conjunto, no tengan más de quince partícipes en total. A la luz de esas
exenciones, sería desproporcionado incluir a dichas entidades financieras en el ámbito de aplicación del presente
Reglamento. Además, el presente Reglamento reconoce las especificidades de la estructura del mercado de la
intermediación de seguros, con la consecuencia de que los intermediarios de seguros, los intermediarios de
reaseguros y los intermediarios de seguros complementarios considerados microempresas o pequeñas o medianas
empresas no deben estar sujetos al presente Reglamento.

(40) Dado que las entidades a que se refiere el artículo 2, apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE están
excluidas del ámbito de aplicación de dicha Directiva, los Estados miembros deben poder optar por eximir de la
aplicación del presente Reglamento a dichas entidades situadas en sus respectivos territorios.

(41) Del mismo modo, a fin de adaptar el presente Reglamento al ámbito de aplicación de la Directiva 2014/65/UE del
Parlamento Europeo y del Consejo (18), también conviene excluir del ámbito de aplicación del presente Reglamento
a las personas físicas y jurídicas a que se refieren los artículos 2 y 3 de dicha Directiva que estén autorizadas a
prestar servicios de inversión sin tener que obtener una autorización con arreglo a la Directiva 2014/65/UE. No
obstante, el artículo 2 de la Directiva 2014/65/UE también excluye del ámbito de aplicación de dicha Directiva a las
entidades que puedan considerarse entidades financieras a efectos del presente Reglamento, como los depositarios
centrales de valores, las instituciones de inversión colectiva o las empresas de seguros y de reaseguros. La exclusión
del ámbito de aplicación del presente Reglamento de las personas y entidades a que se refieren los artículos 2 y 3 de
dicha Directiva no debe abarcar a esos depositarios centrales de valores, instituciones de inversión colectiva o
empresas de seguros y de reaseguros.

(42) Con arreglo al Derecho sectorial de la Unión, algunas entidades financieras están sujetas a requisitos o exenciones
menos estrictos por motivos relacionados con su tamaño o con los servicios que prestan. Entre esta categoría de
entidades financieras se encuentran las empresas de servicios de inversión pequeñas y no interconectadas, los
fondos de pensiones de empleo pequeños que pueden quedar excluidos con arreglo a la Directiva (UE) 2016/2341
en las condiciones establecidas en el artículo 5 de dicha Directiva por el Estado miembro de que se trate y que
gestionan planes de pensiones que, en conjunto, no tengan más de cien partícipes, así como las entidades exentas en
virtud de la Directiva 2013/36/UE. Por consiguiente, de conformidad con el principio de proporcionalidad y con el
fin de preservar el espíritu del Derecho sectorial de la Unión, también conviene someter a dichas entidades
financieras a un marco simplificado de gestión del riesgo relacionado con las TIC con arreglo al presente
Reglamento. El carácter proporcionado del marco de gestión del riesgo relacionado con las TIC que abarca a esas
entidades financieras no debe verse alterado por las normas técnicas de regulación que deben desarrollar las
Autoridades Europeas de Supervisión. Además, de conformidad con el principio de proporcionalidad, conviene
someter también a las entidades de pago a que se refiere el artículo 32, apartado 1, de la Directiva (UE) 2015/2366
y a las entidades de dinero electrónico a que se refiere el artículo 9 de la Directiva 2009/110/CE, exentas de
conformidad con el Derecho nacional por el que se transpongan estos actos jurídicos de la Unión a un marco
simplificado de gestión del riesgo relacionado con las TIC con arreglo al presente Reglamento, mientras que las
entidades de pago y las entidades de dinero electrónico que no hayan sido eximidas de conformidad con su
respectivo Derecho nacional por el que se transponga el Derecho sectorial de la Unión deben cumplir el marco
general establecido en el presente Reglamento.

(43) De modo similar, las entidades financieras que se consideran microempresas o que están sujetas al marco
simplificado de gestión del riesgo relacionado con las TIC con arreglo al presente Reglamento no deben estar
obligadas a crear un cargo para el seguimiento de los acuerdos celebrados con proveedores terceros de servicios de
TIC sobre el uso de servicios de TIC; a designar a un miembro de la alta dirección para que sea responsable de
supervisar la exposición al riesgo correspondiente y la documentación pertinente; a asignar la responsabilidad de la
gestión y supervisión del riesgo relacionado con las TIC a una función de control y garantizar un nivel adecuado de
independencia de dicha función de control para evitar conflictos de intereses; a documentar y revisar al menos una
vez al año el marco de gestión del riesgo relacionado con las TIC; a someter a auditoría interna periódicamente el
marco de gestión del riesgo relacionado con las TIC; a llevar a cabo evaluaciones exhaustivas tras cambios
importantes en los procesos y las infraestructuras de su red y sistemas de información; a realizar periódicamente
análisis de riesgos sobre los sistemas de TIC heredados; a someter a auditorías internas independientes la ejecución
de los planes de respuesta y recuperación en materia de TIC; a disponer de una función de gestión de crisis; a
ampliar las pruebas sobre los planes de continuidad de la actividad y de respuesta y recuperación para reflejar los
escenarios de conmutación entre la infraestructura primaria de TIC y las instalaciones redundantes; a comunicar a

(18) Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos
financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/11

las autoridades competentes que lo soliciten una estimación de los costes y pérdidas anuales agregados provocados
por incidentes graves relacionados con las TIC, a mantener capacidades de TIC redundantes; a comunicar a las
autoridades nacionales competentes los cambios ejecutados a raíz de revisiones realizadas tras incidentes
relacionados con las TIC; a hacer un seguimiento continuo de los avances tecnológicos pertinentes; a establecer un
programa completo de pruebas de resiliencia operativa digital como parte integrante del marco de gestión del riesgo
relacionado con las TIC establecido en el presente Reglamento, o a adoptar y revisar periódicamente una estrategia
relativa al riesgo relacionado con las TIC derivado de terceros. Además, se debe obligar a las microempresas a que
evalúen la necesidad de mantener estas capacidades de TIC redundantes únicamente sobre la base de su perfil de
riesgo. Las microempresas deben beneficiarse de un régimen más flexible en lo que respecta a los programas de
pruebas de resiliencia operativa digital. A la hora de considerar el tipo y la frecuencia de las pruebas que han de
realizarse, deben buscar un equilibrio adecuado entre el objetivo de mantener una elevada resiliencia operativa
digital, los recursos disponibles y su perfil de riesgo general. Las microempresas y las entidades financieras sujetas al
marco simplificado de gestión del riesgo relacionado con las TIC con arreglo al presente Reglamento deben quedar
exentas del requisito de realizar pruebas avanzadas de herramientas, sistemas y procesos de TIC sobre la base de
pruebas de penetración basadas en amenazas, ya que solo las entidades financieras que cumplen los criterios
establecidos en el presente Reglamento deben estar obligadas a llevar a cabo dichas pruebas. Habida cuenta de sus
limitadas capacidades, las microempresas deben poder acordar con el proveedor tercero de servicios de TIC la
delegación de los derechos de acceso, inspección y auditoría de la entidad financiera en un tercero independiente,
que nombrará el proveedor tercero de servicios de TIC, siempre que la entidad financiera pueda solicitar, en
cualquier momento, toda la información y garantías pertinentes sobre el rendimiento del proveedor tercero de
servicios de TIC al tercero independiente respectivo.

(44) Dado que solo las entidades financieras identificadas a efectos de las pruebas avanzadas de resiliencia digital deben
estar obligadas a llevar a cabo pruebas de penetración basadas en amenazas, los procesos administrativos y los
costes financieros derivados de la realización de dichas pruebas deben recaer en un pequeño porcentaje de entidades
financieras.

(45) Para garantizar la plena armonización y la coherencia general entre las estrategias empresariales de las entidades
financieras, por una parte, y la gestión del riesgo relacionado con las TIC, por otra, debe exigirse a los órganos de
dirección de las entidades financieras que desempeñen un papel central y activo en la dirección y adaptación del
marco de gestión del riesgo relacionado con las TIC y de la estrategia de resiliencia digital general. El enfoque que
adopten los órganos de dirección no solo debe centrarse en los medios para garantizar la resiliencia de los sistemas
de TIC, sino que también debe abarcar a las personas y los procesos a través de un conjunto de políticas que
promuevan, en cada nivel corporativo y para todo el personal, una fuerte concienciación sobre los riesgos de
ciberseguridad y el compromiso de respetar una estricta ciberhigiene a todos los niveles. La responsabilidad última
del órgano de dirección en la gestión del riesgo relacionado con las TIC de una entidad financiera debe ser un
principio fundamental de ese enfoque global, que se traducirá además en la implicación continua del órgano de
dirección en el control del seguimiento de la gestión del riesgo relacionado con las TIC.

(46) Además, el principio de la responsabilidad plena y última del órgano de dirección sobre la gestión del riesgo
relacionado con las TIC de la entidad financiera va acompañado de la necesidad de garantizar un nivel de
inversiones relacionadas con las TIC y un presupuesto global para la entidad financiera que permita que esta alcance
un elevado nivel de resiliencia operativa digital.

(47) Inspirándose en las pertinentes buenas prácticas, directrices, recomendaciones y enfoques internacionales,
nacionales y sectoriales en relación con la gestión del riesgo cibernético, el presente Reglamento promueve una
serie de principios que facilitan la estructura general de la gestión del riesgo relacionado con las TIC. Por
consiguiente, mientras las principales capacidades que las entidades financieras ponen en práctica aborden las
distintas funciones de la gestión del riesgo relacionado con las TIC (identificación, protección y prevención,
detección, respuesta y recuperación, aprendizaje y evolución y comunicación) establecidas en el presente
Reglamento, las entidades financieras deben seguir teniendo libertad para utilizar modelos de gestión del riesgo
relacionado con las TIC que se enmarquen o categoricen de manera diferente.

(48) Para seguir el ritmo de la evolución del panorama de las ciberamenazas, las entidades financieras deben mantener
sistemas de TIC actualizados que sean fiables y capaces, no solo de garantizar el tratamiento de datos necesario para
sus servicios, sino también de asegurar una resiliencia tecnológica suficiente que les permita ocuparse
adecuadamente de las necesidades de tratamiento adicionales debidas al tensionamiento del mercado o a otras
situaciones adversas.
L 333/12 ES Diario Oficial de la Unión Europea 27.12.2022

(49) Son necesarios planes eficientes de continuidad de la actividad y de recuperación para que las entidades financieras
puedan resolver pronta y rápidamente los incidentes relacionados con las TIC, en particular los ciberataques,
limitando los daños y dando prioridad a la reanudación de las actividades y a las acciones de recuperación de
conformidad con sus políticas de respaldo. No obstante, dicha reanudación no debe en modo alguno poner en
peligro la integridad y la seguridad de las redes y los sistemas de información ni la disponibilidad, autenticidad,
integridad o confidencialidad de los datos.

(50) Si bien el presente Reglamento permite a las entidades financieras determinar de manera flexible sus objetivos de
tiempo de recuperación y punto de recuperación y, por tanto, fijar tales objetivos teniendo plenamente en cuenta la
naturaleza y el carácter esencial de las funciones pertinentes y cualesquiera necesidades empresariales específicas, al
determinar dichos objetivos les debe exigir, no obstante, la realización de una evaluación del posible impacto global
en la eficiencia del mercado.

(51) Los propagadores de ciberataques tienden a perseguir la obtención de beneficios financieros directamente en la
fuente, exponiendo así a las entidades financieras a consecuencias importantes. Para impedir que los sistemas de TIC
pierdan integridad o dejen de estar disponibles y evitar así que se vulneren datos y que sufran daños las
infraestructuras físicas de TIC, debe mejorarse y racionalizarse significativamente la notificación de incidentes graves
relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC
debe armonizarse mediante la introducción del requisito de que todas las entidades financieras informen
directamente a sus autoridades competentes pertinentes. Cuando una entidad financiera esté sujeta a la supervisión
de más de una autoridad nacional competente, los Estados miembros deben designar a una única autoridad
competente como destinataria de dicha información. Las entidades de crédito clasificadas como significativas de
conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.o 1024/2013 del Consejo (19) deben presentar
dicha información a las autoridades nacionales competentes, que deben transmitir posteriormente el informe al
Banco Central Europeo (BCE).

(52) La notificación directa debe posibilitar que los supervisores financieros tengan acceso inmediato a información sobre
incidentes graves relacionados con las TIC. Los supervisores financieros deben a su vez transmitir los detalles de
incidentes graves relacionados con las TIC a las autoridades no financieras públicas (como las autoridades
competentes y los puntos de contacto únicos con arreglo a la Directiva (UE) 2022/2555, las autoridades nacionales
de protección de datos y las autoridades policiales en caso de incidentes graves relacionados con las TIC que tengan
carácter delictivo) a fin de mejorar el conocimiento que dichas autoridades tienen de tales incidentes y, en el caso de
los equipos de respuesta a incidentes de seguridad informática, facilitar la asistencia rápida que pueda prestarse a las
entidades financieras, según proceda. Además, los Estados miembros deben poder determinar que las propias
entidades financieras faciliten dicha información a las autoridades públicas fuera del ámbito de los servicios
financieros. Dichos flujos de información deben permitir a las entidades financieras beneficiarse rápidamente de
cualquier aportación técnica pertinente, asesoramiento sobre medidas correctoras y seguimiento posterior por parte
de dichas autoridades. La información sobre incidentes graves relacionados con las TIC debe comunicarse
recíprocamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u
orientaciones necesarias, mientras que las Autoridades Europeas de Supervisión deben compartir datos
anonimizados sobre ciberamenazas y vulnerabilidades relacionadas con un determinado incidente, con el fin de
contribuir a una defensa colectiva más amplia.

(53) Aunque debe exigirse a todas las entidades financieras que notifiquen los incidentes, no se espera que todas ellas se
vean afectadas de la misma manera por este requisito. En efecto, los umbrales de importancia relativa, así como los
plazos de notificación, deben ajustarse debidamente en el contexto de los actos delegados basados en las normas
técnicas de regulación que deben desarrollar las Autoridades Europeas de Supervisión, con el fin de cubrir
únicamente los incidentes graves relacionados con las TIC. Además, deben tenerse en cuenta las particularidades de
las entidades financieras a la hora de establecer plazos para las obligaciones de notificación.

(54) El presente Reglamento debe exigir a las entidades de crédito, a las entidades de pago, a los proveedores de servicios
de información sobre cuentas y a las entidades de dinero electrónico que notifiquen todos los incidentes operativos o
de seguridad relacionados con los pagos —previamente notificados con arreglo a la Directiva (UE) 2015/2366— con
independencia de si la naturaleza del incidente está relacionada con las TIC.

(19) Reglamento (UE) n.o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas
respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/13

(55) Debe encargarse a las Autoridades Europeas de Supervisión que evalúen la viabilidad y las condiciones para una
posible centralización de los informes de incidentes relacionados con las TIC a escala de la Unión. Dicha
centralización puede consistir en un centro único de la UE para la notificación de incidentes graves relacionados
con las TIC que reciba directamente los informes pertinentes y los notifique automáticamente a las autoridades
nacionales competentes, o que simplemente centralice los informes pertinentes transmitidos por las autoridades
nacionales competentes y desempeñe de este modo una función de coordinación. Debe encargarse a las Autoridades
Europeas de Supervisión que elaboren, en consulta con el BCE y la ENISA, un informe conjunto en el que se estudie
la viabilidad de crear un centro único de la UE.

(56) Con el fin de lograr un nivel elevado de resiliencia operativa digital, y en consonancia tanto con las normas
internacionales pertinentes (por ejemplo, los Elementos Fundamentales del G7 para las pruebas de penetración
basadas en amenazas) como con los marcos aplicados en la Unión, como el TIBER-EU, las entidades financieras
deben someter a pruebas periódicas a sus sistemas de TIC y a su personal con responsabilidades relacionadas con las
TIC en lo que respecta a la efectividad de sus capacidades de prevención, detección, respuesta y recuperación, a fin de
descubrir y abordar posibles vulnerabilidades de las TIC. Para reflejar las diferencias que existen entre los distintos
subsectores financieros y dentro de ellos en relación con el nivel de preparación de las entidades financieras en
materia de ciberseguridad, las pruebas deben incluir una amplia variedad de herramientas y acciones, que van desde
la evaluación de los requisitos básicos (por ejemplo, evaluaciones y exploraciones de vulnerabilidad, análisis del
código abierto, evaluaciones de la seguridad de la red, análisis de carencias, revisiones de seguridad física,
cuestionarios y soluciones de software de exploración, revisiones del código fuente cuando sea posible, pruebas
basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento o pruebas de extremo a extremo) hasta
pruebas más avanzadas a través de pruebas de penetración basadas en amenazas. Estas pruebas avanzadas solo
deben exigirse a las entidades financieras que sean suficientemente maduras desde la perspectiva de las TIC para
llevarlas a cabo razonablemente. Las pruebas de resiliencia operativa digital exigidas por el presente Reglamento
deben, por tanto, ser más exigentes para las entidades financieras significativas (como grandes entidades de crédito,
bolsas de valores, depositarios centrales de valores, entidades de contrapartida central, etc.) que para otras entidades
financieras. Al mismo tiempo, las pruebas de resiliencia operativa digital por medio de pruebas de penetración
basadas en amenazas deben ser más pertinentes para las entidades financieras que operen en subsectores esenciales
de los servicios financieros y que desempeñen un papel sistémico (por ejemplo, pagos, banca, compensación y
liquidación) y menos pertinentes para otros subsectores (por ejemplo, gestores de activos, agencias de calificación
crediticia, etc.).

(57) Las entidades financieras que participen en actividades transfronterizas y que ejerzan la libertad de establecimiento o
prestación de servicios en la Unión deben cumplir un único conjunto de requisitos de pruebas avanzadas (por
ejemplo, pruebas de penetración basadas en amenazas) en su Estado miembro de origen, el cual debe incluir las
infraestructuras de TIC en todos los países o territorios en los que el grupo financiero transfronterizo opere dentro
de la Unión, permitiendo así que los grupos financieros transfronterizos solo soporten los costes de las pruebas
relacionadas con las TIC en un país o territorio.

(58) A fin de aprovechar los conocimientos especializados ya adquiridos por determinadas autoridades competentes, en
particular en lo que se refiere a la aplicación del marco TIBER-EU, el presente Reglamento debe permitir que los
Estados miembros designen a una única autoridad pública como responsable en el sector financiero, a escala
nacional, para todas las cuestiones relacionadas con las pruebas de penetración basadas en amenazas, o que las
autoridades competentes deleguen, a falta de dicha designación, el ejercicio de las tareas relacionadas con las
pruebas de penetración basadas en amenazas en otra autoridad financiera nacional competente.

(59) Dado que el presente Reglamento no exige que las entidades financieras abarquen todas las funciones esenciales o
importantes en una única prueba de penetración basada en amenazas, las entidades financieras deben tener libertad
para determinar las funciones esenciales o importantes que deben incluirse en el ámbito de aplicación de tal prueba y
cuántas de dichas funciones.

(60) Se autorizan las pruebas conjuntas en el sentido del presente Reglamento —en las que varias entidades financieras
participan en una prueba de penetración basada en amenazas y para las cuales un proveedor tercero de servicios de
TIC puede celebrar directamente acuerdos contractuales con un probador externo— solo en aquellos casos en los
que cabe esperar razonablemente que se vean afectadas negativamente la calidad o la seguridad de los servicios
prestados por el proveedor tercero de servicios de TIC a clientes que son entidades excluidas del ámbito de
aplicación del presente Reglamento, o la confidencialidad de los datos relacionados con tales servicios. Las pruebas
conjuntas también deben estar sujetas a salvaguardias (dirección a cargo de una entidad financiera designada,
determinación del número de entidades financieras participantes) a fin de garantizar el rigor de la prueba para que
las entidades financieras implicadas cumplan los objetivos de la prueba de penetración basada en amenazas en
virtud del presente Reglamento.
L 333/14 ES Diario Oficial de la Unión Europea 27.12.2022

(61) Con el fin de aprovechar los recursos internos disponibles a escala corporativa, el presente Reglamento debe permitir
el recurso a probadores internos para llevar a cabo pruebas de penetración basadas en amenazas, siempre que se
cuente con la aprobación de las autoridades de control, no existan conflictos de interés y se alterne periódicamente
el recurso a probadores internos y externos (cada tres pruebas), al tiempo que se exige que el proveedor de
inteligencia sobre amenazas en dichas pruebas de penetración sea siempre externo a la entidad financiera. La
responsabilidad de llevar a cabo las pruebas de penetración basadas en amenazas debe seguir recayendo plenamente
en la entidad financiera. Las validaciones proporcionadas por las autoridades deben tener como única finalidad el
reconocimiento mutuo y no deben impedir ninguna acción de seguimiento necesaria para abordar el riesgo en
materia de TIC al que esté expuesta la entidad financiera, ni deben considerarse como una confirmación por parte
de las autoridades de control de las capacidades de gestión y mitigación del riesgo de TIC de una entidad financiera.

(62) Para garantizar un seguimiento sólido del riesgo relacionado con las TIC derivado de terceros en el sector financiero,
es necesario establecer un conjunto de normas basadas en principios para orientar a las entidades financieras a la
hora de hacer un seguimiento de los riesgos que surgen en el contexto de las funciones externalizadas a proveedores
terceros de servicios de TIC, en particular para servicios de TIC que den apoyo a funciones esenciales o importantes,
así como, de manera más general, en el contexto de todas las dependencias de terceros relacionadas con las TIC.

(63) Para abordar la complejidad de las diversas fuentes de riesgo relacionado con las TIC, teniendo en cuenta al mismo
tiempo la multitud y diversidad de proveedores de soluciones tecnológicas que hacen posible una prestación fluida
de los servicios financieros, el presente Reglamento debe abarcar una amplia variedad de proveedores terceros de
servicios de TIC, incluidos los proveedores de servicios de computación en nube, software, servicios de análisis de
datos y los proveedores de servicios de centros de datos. Del mismo modo, dado que las entidades financieras deben
determinar y gestionar de manera efectiva y coherente todos los tipos de riesgo, también en el contexto de los
servicios de TIC adquiridos dentro de un grupo financiero, debe aclararse que las empresas que forman parte de un
grupo financiero y prestan servicios de TIC principalmente a su sociedad matriz, o a filiales o sucursales de su
empresa matriz, así como las entidades financieras que prestan servicios de TIC a otras entidades financieras,
también deben considerarse proveedores terceros de servicios de TIC de conformidad con el presente Reglamento.
Por último, a la luz de la evolución del mercado de servicios de pago, cada vez más dependiente de soluciones
técnicas complejas, y en vista de los nuevos tipos de servicios de pago y soluciones relacionadas con los pagos, los
participantes en el ecosistema de servicios de pago que presten actividades de procesamiento de pagos o gestionen
infraestructuras también deben considerarse proveedores terceros de servicios de TIC con arreglo al presente
Reglamento, a excepción de los bancos centrales cuando gestionen sistemas de pago o de liquidación de valores y
las autoridades públicas cuando presten servicios relacionados con las TIC en el contexto del desempeño de
funciones estatales.

(64) Una entidad financiera debe seguir siendo en todo momento plenamente responsable del cumplimiento de las
obligaciones que respecto de ella se establecen en el presente Reglamento. Las entidades financieras deben aplicar un
enfoque proporcionado al seguimiento de los riesgos que surjan a nivel de los proveedores terceros de servicios de
TIC teniendo debidamente en cuenta la naturaleza, la escala, la complejidad y la importancia de sus dependencias
relacionadas con las TIC, el carácter esencial o la importancia de los servicios, procesos o funciones sujetos a los
acuerdos contractuales y, en última instancia, sobre la base de una evaluación cuidadosa de cualquier posible
consecuencia para la continuidad y calidad de los servicios financieros a escala particular y de grupo, según proceda.

(65) La realización de dicho seguimiento debe seguir un enfoque estratégico para el riesgo relacionado con las TIC
derivado de terceros formalizado mediante la adopción por parte del órgano de dirección de la entidad financiera de
una estrategia de riesgos relacionados con las TIC derivados de terceros específica, basada en un examen continuo de
todas las dependencias de terceros relacionadas con las TIC. Para aumentar la sensibilización entre las autoridades de
control sobre las dependencias de terceros en el sector de las TIC, y con vistas a apoyar en mayor medida el trabajo
desarrollado en el contexto del marco de supervisión establecido por el presente Reglamento, debe exigirse a todas
las entidades financieras que mantengan un registro de información con todos los acuerdos contractuales relativos
al uso de servicios de TIC prestados por proveedores terceros de servicios de TIC. Los supervisores financieros
deben poder solicitar el registro completo o solicitar secciones específicas de este, y así obtener información esencial
para adquirir una mayor comprensión de las dependencias relacionadas con las TIC de las entidades financieras.

(66) La celebración formal de acuerdos contractuales debe fundarse e ir precedida de un análisis exhaustivo previo a la
contratación, centrado en particular en elementos como el carácter esencial o la importancia de los servicios
cubiertos por el contrato de TIC previsto, las aprobaciones de las autoridades de control necesarias u otras
condiciones, el posible riesgo de concentración que conlleva, aplicando asimismo la diligencia debida en el proceso
de selección y evaluación de los proveedores terceros de servicios de TIC y evaluando los posibles conflictos de
intereses. En lo que respecta a los acuerdos contractuales relativos a funciones esenciales o importantes, las
entidades financieras deben tener en cuenta el uso por parte de los proveedores terceros de servicios de TIC de los
estándares más actualizados y más estrictos en materia de seguridad de la información. La terminación de los
27.12.2022 ES Diario Oficial de la Unión Europea L 333/15

contratos puede estar motivada como mínimo, por una serie de circunstancias que pongan de manifiesto
deficiencias a nivel del proveedor tercero de servicios de TIC, en particular incumplimientos importantes de leyes o
de cláusulas contractuales, circunstancias que revelen una posible alteración en el desempeño de las funciones
contempladas en el contrato, pruebas de deficiencias del proveedor tercero de servicios de TIC en su gestión global
de riesgos de TIC, o circunstancias que indiquen la incapacidad de la autoridad competente pertinente para
supervisar eficazmente la entidad financiera.

(67) Para abordar las repercusiones sistémicas del riesgo de concentración de terceros en el ámbito de las TIC, el presente
Reglamento promueve una solución equilibrada mediante la adopción de un enfoque flexible y gradual en lo que
respecta a dicho riesgo de concentración, ya que la imposición de unos techos rígidos o unas limitaciones estrictas
podría obstaculizar la actividad empresarial y restringir la libertad contractual. Las entidades financieras deben
evaluar exhaustivamente los acuerdos contractuales que tienen previstos para determinar la probabilidad de que
aparezca dicho riesgo, también mediante análisis en profundidad de los acuerdos de subcontratación, en particular
cuando se celebren con proveedores terceros de servicios de TIC establecidos en un tercer país. En esta fase, y con el
fin de lograr un equilibrio justo entre el imperativo de preservar la libertad contractual y el de garantizar la
estabilidad financiera, no se considera apropiado establecer normas sobre techos y límites estrictos a las
exposiciones frente a terceros en el ámbito de las TIC. En el contexto del marco de supervisión, un supervisor
principal nombrado en virtud del presente Reglamento debe, en relación con los proveedores terceros esenciales de
servicios de TIC, prestar especial atención a comprender plenamente la magnitud de las interdependencias,
descubrir los casos específicos en los que un alto grado de concentración de proveedores terceros esenciales de
servicios de TIC en la Unión pueda poner bajo presión la estabilidad e integridad del sistema financiero de la Unión
y mantener un diálogo con los proveedores terceros esenciales de servicios de TIC cuando se detecte ese riesgo
específico.

(68) Para evaluar y controlar periódicamente la capacidad del proveedor tercero de servicios de TIC para prestar servicios
de forma segura a la entidad financiera sin que ello produzca efectos adversos para la capacidad de resiliencia
operativa digital de esta, deben armonizarse varios elementos contractuales fundamentales con los proveedores
terceros de servicios de TIC. Dicha armonización debe cubrir ámbitos mínimos que son cruciales para que la
entidad financiera pueda hacer un seguimiento completo de los riesgos que podrían derivarse del proveedor tercero
de servicios de TIC desde la perspectiva de la necesidad de una entidad financiera de garantizar su resiliencia digital
por depender en gran medida de la estabilidad, la funcionalidad, la disponibilidad y la seguridad de los servicios de
TIC recibidos.

(69) Al renegociar los acuerdos contractuales para conformarlos con los requisitos establecidos en el presente
Reglamento, las entidades financieras y los proveedores terceros de servicios de TIC deben garantizar que quedan
cubiertas las cláusulas contractuales fundamentales contempladas en el presente Reglamento.

(70) La definición de «función esencial o importante» establecida en el presente Reglamento engloba la definición de
«funciones esenciales» del artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE del Parlamento Europeo y
del Consejo (20). De este modo, las funciones que se consideran esenciales en virtud de la citada Directiva se incluyen
en la definición de funciones esenciales o importantes en el sentido del presente Reglamento.

(71) Independientemente del carácter esencial o de la importancia de la función sustentada por los servicios de TIC, los
acuerdos contractuales deben especificar, en particular, las descripciones completas de las funciones y servicios, de
los lugares en los que se presten tales funciones y en los que se procesarán los datos, así como una indicación de las
descripciones de los niveles de servicio. Otros elementos esenciales para permitir el seguimiento por parte de la
entidad financiera del riesgo relacionado con las TIC derivado de terceros son las disposiciones contractuales que
especifiquen el modo en que el proveedor tercero de servicios de TIC garantiza la accesibilidad, la disponibilidad, la
integridad, la seguridad y la protección de los datos personales; las disposiciones que establecen las garantías
pertinentes para permitir el acceso, la recuperación y la restitución de los datos en caso de insolvencia, resolución o
interrupción de las operaciones comerciales del proveedor tercero de servicios de TIC, así como las disposiciones que
obligan al proveedor tercero de servicios de TIC a prestar asistencia en caso de incidentes relacionados con las TIC

(20) Directiva 2014/59/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, por la que se establece un marco para la
recuperación y la resolución de entidades de crédito y empresas de servicios de inversión, y por la que se modifican la Directiva
82/891/CEE del Consejo, y las Directivas 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE,
2012/30/UE y 2013/36/UE, y los Reglamentos (UE) n.o 1093/2010 y (UE) n.o 648/2012 del Parlamento Europeo y del Consejo
(DO L 173 de 12.6.2014, p. 190).
L 333/16 ES Diario Oficial de la Unión Europea 27.12.2022

vinculados a los servicios prestados, sin coste adicional o con un coste determinado con anterioridad; las
disposiciones relativas a la obligación del proveedor tercero de servicios de TIC de cooperar plenamente con las
autoridades competentes y las autoridades de resolución de la entidad financiera; y las disposiciones relativas a los
derechos de terminación y los correspondientes plazos mínimos de notificación para la terminación de los acuerdos
contractuales, con arreglo a las expectativas de las autoridades competentes y de las autoridades de resolución.

(72) Además de estas disposiciones contractuales, y con vistas a garantizar que las entidades financieras mantengan el
pleno control de todos los acontecimientos que se produzcan a nivel de terceros que puedan perjudicar su
seguridad en materia de TIC, los contratos para la prestación de servicios de TIC que sustenten funciones esenciales
o importantes también deben establecer lo siguiente: la especificación de las descripciones completas del nivel de
servicio, con objetivos de rendimiento cuantitativos y cualitativos precisos, para permitir, sin demora indebida, la
adopción de medidas correctoras adecuadas cuando no se alcancen los niveles de servicio acordados; los plazos de
notificación y las obligaciones de información pertinentes de los proveedores terceros de servicios de TIC en caso de
cambios que puedan tener consecuencias importantes para la capacidad del proveedor tercero de servicios de TIC de
prestar efectivamente sus servicios de TIC respectivos; la obligación para el proveedor tercero de servicios de TIC de
aplicar y someter a prueba los planes de contingencia empresariales y disponer de medidas, herramientas y políticas
de seguridad de las TIC que permitan la prestación segura de servicios, y de participar y cooperar plenamente en la
prueba de penetración basada en amenazas llevada a cabo por la entidad financiera.

(73) Los contratos para la prestación de servicios de TIC que sustenten funciones esenciales o importantes deben contener
también disposiciones que estipulen derechos de acceso, inspección y auditoría por parte de la entidad financiera o
de un tercero designado, y el derecho de hacer copias, como instrumentos cruciales para las entidades financieras a
la hora de hacer un seguimiento permanente del rendimiento del proveedor tercero de servicios de TIC, junto con la
plena cooperación de este último durante las inspecciones. Del mismo modo, la autoridad competente de la entidad
financiera debe tener el derecho de inspeccionar y auditar, previa notificación, al proveedor tercero de servicios de
TIC, a reserva de la protección de la información confidencial.

(74) Dichos acuerdos contractuales deben estipular también estrategias específicas de salida que permitan establecer, en
particular períodos transitorios obligatorios durante los cuales los proveedores terceros de servicios de TIC deben
seguir proporcionando los servicios pertinentes con vistas a reducir el riesgo de perturbaciones a nivel de la entidad
financiera, o para permitir que esta última cambie de modo efectivo de proveedores terceros de servicios de TIC o,
alternativamente, opte por soluciones internas, en consonancia con la complejidad del servicio de TIC prestado.
Además, las entidades financieras incluidas en el ámbito de aplicación de la Directiva 2014/59/UE deben garantizar
que los contratos de servicios de TIC pertinentes sean sólidos y plenamente aplicables en caso de resolución de
dichas entidades financieras. Por consiguiente, en consonancia con las expectativas de las autoridades de resolución,
estas entidades financieras deben garantizar que los contratos de servicios de TIC correspondientes sean resilientes a
las resoluciones. Mientras sigan cumpliendo sus obligaciones de pago, estas entidades financieras deben garantizar,
entre otros requisitos, que los contratos pertinentes de servicios de TIC contengan cláusulas de no terminación, no
suspensión y no modificación por motivos de reestructuración o resolución.

(75) Además, la inclusión voluntaria de cláusulas contractuales tipo desarrolladas por autoridades públicas o instituciones
de la Unión, en particular la inclusión de cláusulas contractuales desarrolladas por la Comisión para los servicios de
computación en nube, puede ofrecer mayor confianza a las entidades financieras y a los proveedores terceros de
servicios de TIC al aumentar su nivel de seguridad jurídica en lo concerniente al uso de servicios de computación en
nube en el sector financiero, respetando plenamente los requisitos y expectativas establecidos en el Derecho de la
Unión en materia de servicios financieros. El desarrollo de cláusulas contractuales tipo se basa en las medidas ya
previstas en el Plan de Acción en materia de Tecnología Financiera de 2018, que anunciaba la intención de la
Comisión de fomentar y facilitar el desarrollo de cláusulas contractuales tipo para la externalización de servicios de
computación en nube por parte de las entidades financieras, basándose en los esfuerzos intersectoriales de las partes
interesadas del ámbito de los servicios de computación en nube, que la Comisión ha facilitado con la ayuda de la
participación del sector financiero.

(76) Los proveedores terceros esenciales de servicios de TIC deben estar sujetos a un marco de supervisión con vistas a
promover la convergencia y la eficiencia en relación con los enfoques de supervisión a la hora de afrontar el riesgo
relacionado con las TIC derivado de terceros en el sector financiero, así como para reforzar la resiliencia operativa
digital de las entidades financieras que dependen de proveedores terceros esenciales de servicios de TIC para la
prestación de servicios de TIC que sustentan la prestación de servicios financieros, y contribuir así a preservar la
estabilidad del sistema financiero de la Unión y la integridad del mercado único de servicios financieros. Si bien el
establecimiento del marco de supervisión se justifica por el valor añadido de la adopción de medidas a escala de la
27.12.2022 ES Diario Oficial de la Unión Europea L 333/17

Unión y por el papel inherente y las especificidades del uso de los servicios de TIC en la prestación de servicios
financieros, debe recordarse, al mismo tiempo, que esta solución parece adecuada únicamente en el contexto del
presente Reglamento, que aborda específicamente la resiliencia operativa digital en el sector financiero. No obstante,
este marco de supervisión no debe considerarse como un nuevo modelo para la supervisión por la Unión en otros
ámbitos de los servicios y actividades financieros.

(77) El marco de supervisión debe aplicarse únicamente a los proveedores terceros esenciales de servicios de TIC. Por
consiguiente, debe existir un mecanismo de designación que tenga en cuenta la dimensión y la naturaleza de la
dependencia del sector financiero de dichos proveedores terceros de servicios de TIC. Dicho mecanismo debe
comportar un conjunto de criterios cuantitativos y cualitativos para establecer los parámetros para determinar el
carácter esencial como base para la inclusión en el marco de supervisión. A fin de garantizar la exactitud de dicha
evaluación, y con independencia de la estructura corporativa del proveedor tercero de servicios de TIC, tales
criterios, en el caso de un proveedor tercero de servicios de TIC que forme parte de un grupo más amplio, deben
tener en cuenta toda la estructura del grupo del proveedor tercero de servicios de TIC. Por una parte, los
proveedores terceros esenciales de servicios de TIC que no sean designados automáticamente en virtud de la
aplicación de estos criterios deben tener la posibilidad de participar voluntariamente en el marco de supervisión,
mientras que, por otra parte, los proveedores terceros de servicios de TIC que ya estén sujetos a marcos del
mecanismo de supervisión que apoyan el desempeño de las tareas del Sistema Europeo de Bancos Centrales a que se
refiere el artículo 127, apartado 2, del TFUE, deben quedar exentos.

(78) Del mismo modo, las entidades financieras que prestan servicios de TIC a otras entidades financieras, aunque
pertenezcan a la categoría de proveedores terceros de servicios de TIC con arreglo al presente Reglamento, también
deben quedar exentas del marco de supervisión, puesto que ya están sujetas a mecanismos de control establecidos
por el Derecho de la Unión aplicable en materia de servicios financieros. Cuando proceda, las autoridades
competentes deben tener en cuenta, en el contexto de sus actividades de control, el riesgo relacionado con las TIC
que plantean para las entidades financieras las entidades financieras que prestan servicios de TIC. Del mismo modo,
debido a los mecanismos de seguimiento de riesgos existentes a escala de grupo, debe introducirse la misma
exención para los proveedores terceros de servicios de TIC que presten servicios predominantemente a las entidades
de su propio grupo. Los proveedores terceros de servicios de TIC que presten servicios de TIC únicamente en un
Estado miembro a entidades financieras que solo operen en ese Estado también deben quedar exentos del
mecanismo de designación debido al carácter limitado de sus actividades y a la ausencia de consecuencias
transfronterizas.

(79) La transformación digital experimentada en los servicios financieros ha dado lugar a un nivel de uso y dependencia
de los servicios de TIC que no tiene precedentes. Dado que hoy en día resulta inconcebible prestar servicios
financieros sin el uso de servicios de computación en nube, soluciones de software y servicios relacionados con
datos, el ecosistema financiero de la Unión ha pasado a ser intrínsecamente codependiente de determinados
servicios de TIC prestados por proveedores de servicios de TIC. Algunos de estos proveedores, innovadores en el
desarrollo y la aplicación de tecnologías basadas en las TIC, desempeñan un papel importante en la prestación de
servicios financieros o se han integrado en la cadena de valor de los servicios financieros. Por lo tanto, se han
convertido en fundamentales para la estabilidad y la integridad del sistema financiero de la Unión. Esta dependencia
generalizada de los servicios prestados por proveedores terceros esenciales de servicios de TIC, combinada con la
interdependencia de los sistemas de información de diversos operadores del mercado, crea un riesgo directo y
potencialmente grave para el sistema de servicios financieros de la Unión y para la continuidad de la prestación de
servicios financieros en caso de que los proveedores terceros esenciales de servicios de TIC se vean afectados por
perturbaciones operativas o por ciberincidentes graves. Los ciberincidentes tienen una capacidad particular para
multiplicarse y propagarse por todo el sistema financiero a un ritmo considerablemente más rápido que otros tipos
de riesgos sujetos a seguimiento en el sector financiero y pueden extenderse a otros sectores y más allá de las
fronteras geográficas. Tienen el potencial de dar lugar a una crisis sistémica, en la que la confianza en el sistema
financiero se vea erosionada debido a la perturbación de las funciones que dan apoyo a la economía real, o a
pérdidas financieras sustanciosas, alcanzando un nivel que el sistema financiero no pueda soportar o que requiera el
despliegue de medidas importantes de amortiguación de choques. Para evitar que se produzcan estos escenarios, que
ponen en peligro la estabilidad financiera y la integridad de la Unión, es fundamental lograr la convergencia de las
prácticas de supervisión sobre los riesgos relacionados con las TIC derivados de terceros en el sector financiero, en
particular mediante nuevas normas que permitan la supervisión por parte de la Unión de los proveedores terceros
esenciales de servicios de TIC.
L 333/18 ES Diario Oficial de la Unión Europea 27.12.2022

(80) El marco de supervisión depende en gran medida del grado de colaboración entre el supervisor principal y el
proveedor tercero esencial de servicios de TIC que presta a entidades financieras servicios que afectan a la prestación
de servicios financieros. El éxito de la supervisión depende, entre otras cosas, de la capacidad del supervisor principal
para llevar a cabo efectivamente misiones e inspecciones de seguimiento a fin de evaluar las normas, los controles y
los procesos utilizados por los proveedores terceros esenciales de servicios de TIC, así como para evaluar el posible
efecto acumulado de sus actividades en la estabilidad financiera y la integridad del sistema financiero. Al mismo
tiempo, es fundamental que los proveedores terceros esenciales de servicios de TIC sigan las recomendaciones del
supervisor principal y atiendan sus preocupaciones. Dado que una falta de cooperación por parte de un proveedor
tercero esencial de servicios de TIC que preste servicios que afecten a la prestación de servicios financieros, como la
negativa a conceder acceso a sus locales o a facilitar información, privaría en definitiva al supervisor principal de
sus herramientas esenciales para evaluar el riesgo relacionado con las TIC derivado de terceros y podría afectar
negativamente a la estabilidad financiera y a la integridad del sistema financiero, es necesario también establecer un
régimen sancionador acorde.

(81) En este contexto, la necesidad de que el supervisor principal imponga multas coercitivas para obligar a los
proveedores terceros esenciales de servicios de TIC a cumplir las obligaciones en materia de transparencia y acceso
establecidas en el presente Reglamento no debe verse comprometida por las dificultades planteadas por la ejecución
de dichas multas coercitivas en relación con los proveedores terceros esenciales de servicios de TIC establecidos en
terceros países. A fin de garantizar que puedan ejecutarse dichas multas y que se implanten rápidamente
procedimientos que respeten los derechos de defensa de los proveedores terceros esenciales de servicios de TIC en el
contexto del mecanismo de designación y la formulación de recomendaciones, debe exigirse a dichos proveedores
terceros esenciales de servicios de TIC que prestan servicios a entidades financieras que afectan a la prestación de
servicios financieros que mantengan una presencia empresarial adecuada en la Unión. Debido a la naturaleza de la
supervisión y a la ausencia de mecanismos comparables en otros países o territorios, no existe ningún otro
mecanismo adecuado que garantice este objetivo mediante una cooperación eficaz con los supervisores financieros
de terceros países en lo relativo al seguimiento de la repercusión de los riesgos operativos digitales planteados por
proveedores terceros sistémicos de servicios de TIC considerados proveedores terceros esenciales de servicios de TIC
establecidos en terceros países. Por tanto, para continuar prestando servicios de TIC a las entidades financieras en la
Unión, un proveedor tercero de servicios de TIC establecido en un tercer país designado como esencial con arreglo al
presente Reglamento debe tomar, en un plazo de 12 meses a partir de dicha designación, todas las medidas
necesarias para garantizar su constitución como sociedad en la Unión mediante el establecimiento de una empresa
filial, tal como se define en todo el acervo de la Unión, en concreto en la Directiva 2013/34/UE del Parlamento
Europeo y del Consejo (21).

(82) El requisito de establecer una empresa filial en la Unión no debe impedir que el proveedor tercero esencial de
servicios de TIC preste servicios de TIC y asistencia técnica relacionada con estos desde instalaciones e
infraestructuras situadas fuera de la Unión. El presente Reglamento no impone una obligación en materia de
localización de datos, ya que no exige que el almacenamiento o el tratamiento de los datos se realice en la Unión.

(83) Los proveedores terceros esenciales de servicios de TIC deben poder prestar servicios de TIC desde cualquier lugar del
mundo, no deben necesariamente estar ubicados en la Unión ni prestar servicios únicamente desde locales situados
en la Unión. Las actividades de supervisión deben llevarse a cabo en primer lugar en locales situados en la Unión e
interactuando con entidades situadas en la Unión, incluidas las empresas filiales establecidas por proveedores
terceros esenciales de servicios de TIC con arreglo al presente Reglamento. Sin embargo, estas acciones en la Unión
podrían ser insuficientes para que el supervisor principal pueda desempeñar plena y eficazmente sus funciones con
arreglo al presente Reglamento. El supervisor principal debe, por lo tanto, poder ejercer sus competencias de
supervisión pertinentes en terceros países. El ejercicio de dichas competencias en terceros países debe permitir al
supervisor principal examinar las instalaciones desde las que el proveedor tercero esencial de servicios de TIC presta
o gestiona realmente servicios de TIC o servicios de asistencia técnica, y debe brindarle un conocimiento completo y
operativo de la gestión del riesgo relacionado con las TIC del proveedor tercero esencial de servicios de TIC. La
posibilidad de que el supervisor principal, como agencia de la Unión, ejerza sus competencias fuera del territorio de
la Unión debe estar debidamente enmarcada con las condiciones pertinentes, en particular el consentimiento del
proveedor tercero esencial de servicios de TIC de que se trate. Del mismo modo, las autoridades pertinentes del

(21) Directiva 2013/34/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los estados financieros anuales, los
estados financieros consolidados y otros informes afines de ciertos tipos de empresas, por la que se modifica la Directiva 2006/43/CE
del Parlamento Europeo y del Consejo y se derogan las Directivas 78/660/CEE y 83/349/CEE del Consejo (DO L 182 de 29.6.2013,
p. 19).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/19

tercer país deben ser informadas del ejercicio en su propio territorio de las actividades del supervisor principal y no
deben haberse opuesto a ello. No obstante, para garantizar una aplicación eficaz, y sin perjuicio de las potestades
respectivas de las instituciones de la Unión y de los Estados miembros, dichas competencias también deben estar
firmemente establecidas mediante la celebración de acuerdos de cooperación administrativa con las autoridades
pertinentes del tercer país de que se trate. Por tanto, el presente Reglamento debe permitir a las Autoridades
Europeas de Supervisión celebrar acuerdos de cooperación administrativa con las autoridades pertinentes de
terceros países que no deben crear de ningún otro modo obligaciones jurídicas con respecto a la Unión y sus
Estados miembros.

(84) A fin de facilitar la comunicación con el supervisor principal y garantizar una representación adecuada, los
proveedores terceros esenciales de servicios de TIC que formen parte de un grupo deben designar a una persona
jurídica como su punto de coordinación.

(85) El marco de supervisión debe entenderse sin perjuicio de la potestad de los Estados miembros para llevar a cabo sus
propias misiones de supervisión o seguimiento con respecto a los proveedores terceros de servicios de TIC no
designados como esenciales con arreglo al presente Reglamento, pero considerados importantes a escala nacional.

(86) Para aprovechar la arquitectura institucional de múltiples niveles en el ámbito de los servicios financieros, el Comité
Mixto de las Autoridades Europeas de Supervisión debe seguir garantizando la coordinación intersectorial general en
relación con todos los asuntos relativos al riesgo relacionado con las TIC, de conformidad con sus funciones en
materia de ciberseguridad. Debe contar con el apoyo de un nuevo subcomité (Foro de Supervisión) que lleve a cabo
trabajos preparatorios tanto para decisiones particulares dirigidas a proveedores terceros esenciales de servicios de
TIC como para la formulación de recomendaciones colectivas, en particular en relación con la evaluación
comparativa de los programas de supervisión de proveedores terceros esenciales de servicios de TIC, y que
determine las buenas prácticas para abordar las cuestiones relativas al riesgo de concentración de TIC.

(87) A fin de garantizar que los proveedores terceros esenciales de servicios de TIC sean objeto de una supervisión
apropiada y efectiva a escala de la Unión el presente Reglamento establece que cualquiera de las tres Autoridades
Europeas de Supervisión podría ser designada como supervisor principal. La asignación particular de un proveedor
tercero esencial de servicios de TIC a una de las tres Autoridades Europeas de Supervisión debe ser el resultado de
una evaluación de la preponderancia de las entidades financieras que operan en los sectores financieros sobre los
que dicha Autoridad Europea de Supervisión tiene responsabilidades. Este enfoque debe conducir a una distribución
equilibrada de tareas y responsabilidades entre las tres Autoridades Europeas de Supervisión en el contexto del
ejercicio de las funciones de supervisión y debe hacer el mejor uso posible de los recursos humanos y los
conocimientos técnicos especializados disponibles en cada una de ellas.

(88) Deben otorgarse a los supervisores principales las competencias necesarias para llevar a cabo investigaciones, para
realizar inspecciones in situ y fuera de locales y ubicaciones de proveedores terceros esenciales de servicios de TIC, y
para obtener información completa y actualizada. Dichas competencias deben permitir al supervisor principal
hacerse una idea precisa del tipo, la dimensión y la repercusión del riesgo relacionado con las TIC derivado de
terceros al que se enfrentan las entidades financieras y, en última instancia, el sistema financiero de la Unión.
Encomendar a las Autoridades Europeas de Supervisión la función de supervisión principal es un requisito
indispensable para comprender y abordar la dimensión sistémica del riesgo relacionado con las TIC en el ámbito
financiero. La repercusión de los proveedores terceros esenciales de servicios de TIC en el sector financiero y los
problemas que puede ocasionar el consiguiente riesgo de concentración de TIC exigen un enfoque colectivo
aplicado a escala de la Unión. El ejercicio simultáneo de varios derechos de acceso y auditorías, desarrollado por
separado por numerosas autoridades competentes con una coordinación escasa o nula, impediría a los supervisores
financieros obtener una visión general completa y exhaustiva del riesgo relacionado con las TIC derivado de terceros
en la Unión, al tiempo que también crearía redundancias, cargas y complejidad para los proveedores terceros
esenciales de servicios de TIC en caso de ser objeto de numerosas solicitudes de seguimiento e inspección.

(89) Debido a la importante repercusión que tiene la designación como esencial, el presente Reglamento debe garantizar
que los derechos de los proveedores terceros esenciales de servicios de TIC se respeten en toda la aplicación del
marco de supervisión. Antes de ser designados como esenciales, dichos proveedores deben, por ejemplo, tener
derecho a presentar al supervisor principal una declaración motivada que contenga cualquier información
pertinente a efectos de la evaluación relacionada con esa designación. Dado que el supervisor principal debe estar
facultado para presentar recomendaciones sobre cuestiones relativas al riesgo relacionado con las TIC y medidas
correctoras adecuadas, entre ellas la potestad de oponerse a determinados acuerdos contractuales que afecten en
última instancia a la estabilidad de la entidad financiera o del sistema financiero, debe darse asimismo a los
proveedores terceros esenciales de servicios de TIC la oportunidad de presentar, antes de ultimar dichas
L 333/20 ES Diario Oficial de la Unión Europea 27.12.2022

recomendaciones, explicaciones sobre el efecto esperado de las soluciones previstas en las recomendaciones para los
clientes que sean entidades excluidas en el ámbito de aplicación del presente Reglamento, así como de plantear
soluciones para mitigar los riesgos. Los proveedores terceros esenciales de servicios de TIC que no estén de acuerdo
con las recomendaciones también deben presentar una explicación razonada de su intención de no refrendar la
recomendación. Si dicha explicación razonada no se presenta o se considera insuficiente, el supervisor principal
debe publicar un aviso en el que se describa brevemente el incumplimiento.

(90) Las autoridades competentes deben incluir debidamente la tarea de verificar el cumplimiento material de las
recomendaciones formuladas por el supervisor principal entre sus funciones en relación con la supervisión
prudencial de las entidades financieras. Las autoridades competentes deben poder exigir a las entidades financieras
que adopten medidas adicionales para hacer frente a los riesgos señalados en las recomendaciones del supervisor
principal y, a su debido tiempo, deben emitir notificaciones a tal efecto. Cuando el supervisor principal dirija
recomendaciones a proveedores terceros esenciales de servicios de TIC supervisados con arreglo a la Directiva (UE)
2022/2555, las autoridades competentes deben poder consultar, de forma voluntaria y antes de adoptar medidas
adicionales, a las autoridades competentes con arreglo a dicha Directiva a fin de propiciar un enfoque coordinado
con respecto al tratamiento de los proveedores terceros esenciales de servicios de TIC en cuestión.

(91) El ejercicio de la supervisión debe guiarse por tres principios operativos que buscan garantizar: a) una estrecha
coordinación entre las Autoridades Europeas de Supervisión en sus funciones de supervisor principal, mediante una
Red de Supervisión Conjunta; b) la coherencia con el marco establecido por la Directiva (UE) 2022/2555 (mediante
una consulta voluntaria de los organismos con arreglo a dicha Directiva para evitar la duplicación de las medidas
dirigidas a proveedores terceros esenciales de servicios de TIC), y c) la aplicación de medidas de diligencia para
reducir al mínimo el posible riesgo de perturbación de los servicios prestados por los proveedores terceros
esenciales de servicios de TIC a clientes que sean entidades excluidas del ámbito de aplicación del presente
Reglamento.

(92) El marco de supervisión no debe sustituir, en modo alguno ni en ninguna parte, al requisito de que las entidades
financieras gestionen ellas mismas los riesgos que entraña el recurso a proveedores terceros de servicios de TIC,
incluida la obligación de mantener un seguimiento permanente de los acuerdos contractuales celebrados con
proveedores terceros esenciales de servicios de TIC. Asimismo, el marco de supervisión no debe afectar a la plena
responsabilidad de las entidades financieras en el cumplimiento y la liberación de todas las obligaciones establecidas
en el presente Reglamento y en el Derecho aplicable en materia de servicios financieros.

(93) Para evitar duplicaciones y solapamientos, las autoridades competentes deben abstenerse de adoptar a título
particular cualquier medida destinada a hacer un seguimiento de los riesgos de los proveedores terceros esenciales
de servicios de TIC y, a ese respecto, deben basarse en la evaluación del supervisor principal correspondiente. Toda
medida debe, en cualquier caso, coordinarse y acordarse previamente con el supervisor principal en el contexto de
la ejecución de las tareas en el marco de supervisión.

(94) A fin de promover la convergencia a nivel internacional por cuanto se refiere al recurso a las buenas prácticas en la
revisión y el seguimiento de la gestión de riesgos digitales por parte de proveedores terceros de servicios de TIC,
debe alentarse a las Autoridades Europeas de Supervisión a que celebren acuerdos de cooperación con las
autoridades pertinentes de terceros países en materia de supervisión y regulación.

(95) Para aprovechar las competencias, capacidades técnicas y conocimientos específicos del personal especializado en
riesgos operativos y relacionados con las TIC de las autoridades competentes, las tres Autoridades Europeas de
Supervisión y, a título voluntario, las autoridades competentes con arreglo a la Directiva (UE) 2022/2555, el
supervisor principal debe servirse de las capacidades y conocimientos nacionales en materia de supervisión y crear
equipos de examinadores para cada proveedor tercero esencial de servicios de TIC, agrupando equipos multidisci­
plinares para apoyar tanto la preparación como la ejecución de las actividades de supervisión, incluidas las
investigaciones generales y las inspecciones de proveedores terceros esenciales de servicios de TIC, así como para
cualquier seguimiento que sea necesario.

(96) Mientras que los costes derivados de las tareas de supervisión se financiarían íntegramente con las tasas cobradas a
los proveedores terceros esenciales de servicios de TIC, es probable, sin embargo, que las Autoridades Europeas de
Supervisión incurran, antes del inicio del marco de supervisión, en gastos para la implantación de sistemas de TIC
específicos en apoyo a la próxima supervisión, ya que sería necesario desarrollar y poner en marcha de antemano
sistemas de TIC específicos. Por lo tanto, el presente Reglamento establece un modelo de financiación híbrido, en
virtud del cual el marco de supervisión como tal se financiaría íntegramente con las tasas, mientras que el desarrollo
de los sistemas de TIC de las Autoridades Europeas de Supervisión se financiaría con las contribuciones de la Unión y
de las autoridades nacionales competentes.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/21

(97) Las autoridades competentes deben disponer de todas las competencias en materia de supervisión, investigación y
sanción requeridas para garantizar el correcto ejercicio de sus obligaciones con arreglo al presente Reglamento. En
principio, deben publicar los anuncios de las sanciones administrativas que impongan. Dado que las entidades
financieras y los proveedores terceros de servicios de TIC pueden estar establecidos en diferentes Estados miembros
y ser controlados por diferentes autoridades competentes, la aplicación del presente Reglamento debe facilitarse, por
una parte, mediante una estrecha cooperación entre las autoridades competentes pertinentes, incluido el BCE en
relación con las tareas específicas que le encomienda el Reglamento (UE) n.o 1024/2013, y, por otra parte, mediante
la consulta con las Autoridades Europeas de Supervisión a través del intercambio recíproco de información y la
prestación de asistencia en el contexto de las actividades de control pertinentes.

(98) A fin de cuantificar y calificar en mayor medida los criterios de designación a proveedores terceros de servicios de
TIC como esenciales y de armonizar las tasas de supervisión, deben delegarse en la Comisión los poderes para
adoptar actos con arreglo al artículo 290 del TFUE para completar el presente Reglamento mediante una mayor
especificación de la repercusión sistémica que un fallo o una interrupción operativa de un proveedor tercero de
servicios de TIC podría tener en las entidades financieras a las que presta servicios de TIC, el número de entidades de
importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS) que dependen del
proveedor tercero de servicios de TIC correspondiente, el número de proveedores terceros de servicios de TIC
activos en un mercado dado, los costes de migración de datos y cargas de trabajo de TIC a otros proveedores
terceros de servicios de TIC, así como la cuantía de las tasas de supervisión y las modalidades de pago. Reviste
especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, también a
nivel de expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo
interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (22). En particular, a fin de garantizar una
participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo deben recibir
toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos deben tener
acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación
de actos delegados.

(99) Debe garantizarse una armonización coherente de los requisitos establecidos en el presente Reglamento mediante
normas técnicas de regulación. Como parte de su función como organismos dotados de conocimientos altamente
especializados, las Autoridades Europeas de Supervisión deben elaborar proyectos de normas técnicas de regulación
que no conlleven opciones estratégicas, para su presentación a la Comisión. Deben elaborarse normas técnicas de
regulación en los ámbitos de la gestión del riesgo relacionado con las TIC, la notificación de incidentes graves
relacionados con las TIC, la realización de pruebas, así como en lo relativo a los requisitos clave para un
seguimiento adecuado del riesgo relacionado con las TIC derivado de terceros. La Comisión y las Autoridades
Europeas de Supervisión deben garantizar que todas las entidades financieras puedan aplicar esas normas y esos
requisitos de manera proporcionada a su tamaño y perfil de riesgo general, así como a la naturaleza, escala y
complejidad de sus servicios, actividades y operaciones. Se deben otorgar a la Comisión poderes para adoptar dichas
normas técnicas de regulación mediante actos delegados con arreglo al artículo 290 del TFUE y de conformidad con
los artículos 10 a 14 del Reglamento (UE) n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y
los artículos 10 a 14 del Reglamento (UE) n.o 1095/2010.

(100) A fin de facilitar la comparabilidad de las notificaciones sobre incidentes graves relacionados con las TIC e incidentes
operativos o de seguridad graves relacionados con los pagos, así como de garantizar la transparencia de los acuerdos
contractuales para el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC, las Autoridades
Europeas de Supervisión deben elaborar proyectos de normas técnicas de ejecución que establezcan plantillas,
formularios y procedimientos normalizados para la notificación por las entidades financieras de incidentes graves
relacionados con las TIC y de incidentes graves operativos o de seguridad relacionados con los pagos, así como
plantillas normalizadas para el registro de información. A la hora de elaborar dichas normas, las Autoridades
Europeas de Supervisión deben tener en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así
como la naturaleza, escala y complejidad de sus servicios, actividades y operaciones. Deben conferirse a la Comisión
competencias para adoptar dichas normas técnicas de ejecución mediante actos de ejecución con arreglo al
artículo 291 del TFUE y de conformidad con el artículo 15 del Reglamento (UE) n.o 1093/2010, el artículo 15 del
Reglamento (UE) n.o 1094/2010 y el artículo 15 del Reglamento (UE) n.o 1095/2010.

(22) DO L 123 de 12.5.2016, p. 1.


L 333/22 ES Diario Oficial de la Unión Europea 27.12.2022

(101) Dado que ya se han especificado requisitos adicionales mediante actos delegados y de ejecución basados en normas
técnicas de regulación y de ejecución en virtud de los Reglamentos (CE) n.o 1060/2009 (23), (UE) n.o 648/2012 (24),
(UE) n.o 600/2014 (25) y (UE) n.o 909/2014 (26) del Parlamento Europeo y del Consejo, procede encomendar a las
Autoridades Europeas de Supervisión que presenten a la Comisión, ya sea a título particular o conjuntamente a
través del Comité Mixto, normas técnicas de regulación y de ejecución para la adopción de actos delegados y de
ejecución que incorporen y actualicen las actuales normas de gestión del riesgo relacionado con las TIC.

(102) Dado que el presente Reglamento, junto con la Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo (27),
implica una consolidación de las disposiciones en materia de gestión del riesgo relacionado con las TIC de varios
reglamentos y directivas del acervo de la Unión sobre servicios financieros, incluidos los Reglamentos (CE)
n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 y el Reglamento (UE) 2016/1011 del
Parlamento Europeo y del Consejo (28), con el fin de garantizar la plena coherencia se deben modificar dichos
Reglamentos para aclarar que el presente Reglamento establece las disposiciones aplicables en materia de riesgo
relacionado con las TIC.

(103) Por consiguiente, debe delimitarse el ámbito de aplicación de los artículos pertinentes relacionados con el riesgo
operativo en virtud de los cuales se encomendaban la adopción de actos delegados y de ejecución en las
habilitaciones establecidas en los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE)
n.o 909/2014 y (UE) 2016/1011, con el fin de incorporar al presente Reglamento todas las disposiciones relativas a
los aspectos de la resiliencia operativa digital que forman actualmente parte de dichos Reglamentos.

(104) El posible riesgo de ciberseguridad sistémico asociado al uso de infraestructuras de TIC que permiten el
funcionamiento de los sistemas de pago y la realización de actividades de procesamiento de pagos debe abordarse
debidamente a escala de la Unión mediante normas armonizadas en materia de resiliencia digital. A tal efecto, la
Comisión debe evaluar rápidamente la necesidad de revisar el ámbito de aplicación del presente Reglamento,
ajustando al mismo tiempo dicha revisión al resultado de la evaluación completa que se contempla con arreglo a la
Directiva (UE) 2015/2366. Numerosos ataques a gran escala durante el último decenio demuestran hasta qué punto
los sistemas de pago han quedado expuestos a ciberamenazas. Situados en el centro de la cadena de servicios de pago
e interconectados firmemente con el sistema financiero general, los sistemas de pago y las actividades de
procesamiento de pagos han adquirido una importancia crucial para el funcionamiento de los mercados financieros
de la Unión. Los ciberataques a estos sistemas pueden provocar perturbaciones graves de la actividad con
repercusiones directas en funciones económicas clave, como la facilitación de los pagos, y efectos indirectos en los
procesos económicos conexos. Hasta que se establezcan a escala de la Unión un régimen armonizado y la
supervisión de los operadores de sistemas de pago y entidades de procesamiento, los Estados miembros, con vistas a
aplicar prácticas de mercado similares, podrán inspirarse en los requisitos de resiliencia operativa digital establecidos
en el presente Reglamento al aplicar normas a los operadores de sistemas de pago y a las entidades de procesamiento
controlados en sus propias jurisdicciones.

(23) Reglamento (CE) n.o 1060/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, sobre las agencias de
calificación crediticia (DO L 302 de 17.11.2009, p. 1).
(24) Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles,
las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).
(25) Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de
instrumentos financieros y por el que se modifica el Reglamento (UE) n.o 648/2012 (DO L 173 de 12.6.2014, p. 84).
(26) Reglamento (UE) n.o 909/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre la mejora de la liquidación de
valores en la Unión Europea y los depositarios centrales de valores y por el que se modifican las Directivas 98/26/CE y 2014/65/UE y
el Reglamento (UE) n.o 236/2012 (DO L 257 de 28.8.2014, p. 1).
(27) Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se modifican las Directivas
2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341 en lo relativo
a la resiliencia operativa digital del sector financiero (véase la página 153 del presente Diario Oficial).
(28) Reglamento (UE) 2016/1011 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, sobre los índices utilizados como
referencia en los instrumentos financieros y en los contratos financieros o para medir la rentabilidad de los fondos de inversión, y por
el que se modifican las Directivas 2008/48/CE y 2014/17/UE y el Reglamento (UE) n.o 596/2014 (DO L 171 de 29.6.2016, p. 1).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/23

(105) Dado que el objetivo del presente Reglamento, a saber, conseguir un alto nivel de resiliencia operativa digital para las
entidades financieras reguladas, no puede ser alcanzado de manera suficiente por los Estados miembros, pues
requiere la armonización de algunas normas diferentes del Derecho de la Unión y nacional, sino que, debido a su
dimensión y efectos, puede alcanzarse mejor a escala de la Unión, esta última puede adoptar medidas de acuerdo
con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con
el principio de proporcionalidad establecido en ese mismo artículo, el presente Reglamento no excede de lo
necesario para alcanzar dicho objetivo.

(106) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del
Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (29), emitió su dictamen el 10 de mayo de
2021 (30).

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

Disposiciones generales

Artículo 1

Objeto

1. A fin de lograr un elevado nivel común de resiliencia operativa digital, el presente Reglamento establece requisitos
uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de
las entidades financieras como sigue:
a) requisitos aplicables a las entidades financieras en relación con:
i) la gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC),
ii) la notificación a las autoridades competentes de incidentes graves relacionados con las TIC y, con carácter
voluntario, de ciberamenazas importantes,
iii) la notificación a las autoridades competentes de incidentes operativos o de seguridad graves relacionados con los
pagos por parte de las entidades financieras a las que se hace referencia en el artículo 2, apartado 1, letras a) a d),
iv) las pruebas de resiliencia operativa digital,
v) el intercambio de información e inteligencia en relación con las ciberamenazas y las vulnerabilidades cibernéticas,
vi) las medidas para la buena gestión del riesgo relacionado con las TIC derivado de terceros;
b) requisitos en relación con los acuerdos contractuales celebrados entre proveedores terceros de servicios de TIC y
entidades financieras;
c) normas para el establecimiento y aplicación del marco de supervisión de los proveedores terceros esenciales de servicios
de TIC cuando presten servicios a entidades financieras;
d) normas sobre cooperación entre autoridades competentes y normas sobre control y ejecución por parte de las
autoridades competentes en relación con todos los asuntos cubiertos por el presente Reglamento.

2. En relación con las entidades financieras identificadas como entidades esenciales o importantes en virtud de las
normas nacionales de transposición del artículo 3 de la Directiva (UE) 2022/2555, el presente Reglamento se considerará
un acto jurídico sectorial de la Unión a efectos del artículo 4 de dicha Directiva.

3. El presente Reglamento se entenderá sin perjuicio de la responsabilidad de los Estados miembros en lo concerniente a
las funciones esenciales del Estado que afectan a la seguridad pública, la defensa y la seguridad nacional de conformidad con
el Derecho de la Unión.

(29) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre
circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de
21.11.2018, p. 39).
(30) DO C 229 de 15.6.2021, p. 16.
L 333/24 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 2

Ámbito de aplicación

1. Sin perjuicio de lo dispuesto en los apartados 3 y 4, el presente Reglamento se aplicará a las siguientes entidades:
a) entidades de crédito;
b) entidades de pago, incluidas las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366;
c) proveedores de servicios de información sobre cuentas;
d) entidades de dinero electrónico, incluidas las entidades de dinero electrónico exentas en virtud de la Directiva
2009/110/CE;
e) empresas de servicios de inversión;
f) proveedores de servicios de criptoactivos autorizados en virtud de un Reglamento del Parlamento Europeo y del
Consejo relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.o 1093/2010 y (UE)
n.o 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (en lo sucesivo, «Reglamento relativo a los mercados de
criptoactivos»), y emisores de fichas referenciadas a activos;
g) depositarios centrales de valores;
h) entidades de contrapartida central;
i) centros de negociación;
j) registros de operaciones;
k) gestores de fondos de inversión alternativos;
l) sociedades de gestión;
m) proveedores de servicios de suministro de datos;
n) empresas de seguros y de reaseguros;
o) intermediarios de seguros, intermediarios de reaseguros e intermediarios de seguros complementarios;
p) fondos de pensiones de empleo;
q) agencias de calificación crediticia;
r) administradores de índices de referencia cruciales;
s) proveedores de servicios de financiación participativa;
t) registros de titulizaciones;
u) proveedores terceros de servicios de TIC.

2. A efectos del presente Reglamento, las entidades a que se refiere el apartado 1, letras a) a t), se denominarán
colectivamente «entidades financieras».

3. El presente Reglamento no se aplicará a:


a) los gestores de fondos de inversión alternativos tal como se contemplan en el artículo 3, apartado 2, de la Directiva
2011/61/UE;
b) las empresas de seguros y de reaseguros tal como se contemplan en el artículo 4 de la Directiva 2009/138/CE;
c) los fondos de pensiones de empleo que gestionen planes de pensiones que, en conjunto, no tengan más de quince
partícipes en total;
d) las personas físicas o jurídicas exentas en virtud de los artículos 2 y 3 de la Directiva 2014/65/UE;
e) los intermediarios de seguros, los intermediarios de reaseguros y los intermediarios de seguros complementarios que
sean microempresas o pequeñas o medianas empresas;
f) las oficinas de cheques postales tal como se contemplan en el artículo 2, apartado 5, punto 3, de la Directiva
2013/36/UE.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/25

4. Los Estados miembros podrán excluir del ámbito de aplicación del presente Reglamento a las entidades a que se
refiere el artículo 2, apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE que estén situadas en sus respectivos
territorios. Cuando un Estado miembro haga uso de esta posibilidad, informará de ello a la Comisión, así como de
cualquier modificación posterior al respecto. La Comisión hará pública esta información en su sitio web o por otros
medios fácilmente accesibles.

Artículo 3

Definiciones

A efectos del presente Reglamento, se entenderá por:

1) «resiliencia operativa digital»: la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y
fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores
terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la
seguridad de las redes y los sistemas de información que utiliza una entidad financiera y que sustentan la prestación
continuada de servicios financieros y su calidad, incluso en caso de perturbaciones;

2) «red y sistema de información»: una red y un sistema de información según se definen en el artículo 6, punto 1, de la
Directiva (UE) 2022/2555;

3) «sistema de TIC heredado»: un sistema de TIC que ha alcanzado el final de su ciclo de vida (final de vida útil) y que por
razones tecnológicas o comerciales no admite actualizaciones o correcciones, o para el que su proveedor o un
proveedor tercero de servicios de TIC ya no presta asistencia técnica, pero que sigue utilizándose y sustenta las
funciones de la entidad financiera;

4) «seguridad de las redes y sistemas de información»: la seguridad de las redes y sistemas de información según se define
en el artículo 6, punto 2, de la Directiva (UE) 2022/2555;

5) «riesgo relacionado con las TIC»: cualquier circunstancia razonablemente identificable en relación con el uso de redes y
sistemas de información que, si se materializa, puede comprometer la seguridad de las redes y sistemas de información,
de cualquier herramienta o proceso dependiente de la tecnología, de las operaciones y los procesos o de la prestación
de servicios, al provocar efectos adversos en el entorno digital o físico;

6) «activo de información»: un compendio de información, tangible o intangible, que conviene proteger;

7) «activo de TIC»: un activo de software o hardware en las redes y sistemas de información utilizados por la entidad
financiera;

8) «incidente relacionado con las TIC»: un único suceso o una serie de sucesos interrelacionados no previstos por la
entidad financiera que pone en peligro la seguridad de las redes y sistemas de información y tiene repercusiones
negativas en la disponibilidad, autenticidad, integridad o confidencialidad de los datos o en los servicios prestados por
la entidad financiera;

9) «incidente operativo o de seguridad relacionado con los pagos»: un único suceso o una serie de sucesos interrela­
cionados no previstos por las entidades financieras a que se refiere el artículo 2, apartado 1, letras a) a d), estén o no
relacionados con las TIC, que tiene repercusiones negativas en la confidencialidad, disponibilidad, integridad o
autenticidad de los datos relacionados con los pagos o en los servicios relacionados con los pagos prestados por la
entidad financiera;

10) «incidente grave relacionado con las TIC»: un incidente relacionado con las TIC con graves repercusiones negativas en
las redes y sistemas de información que sustentan funciones esenciales o importantes de la entidad financiera;

11) «incidente operativo o de seguridad grave relacionado con los pagos»: un incidente operativo o de seguridad
relacionado con los pagos con graves repercusiones negativas en los servicios relacionados con los pagos prestados;

12) «ciberamenaza»: una ciberamenaza tal como se define en el artículo 2, punto 8, del Reglamento (UE) 2019/881;

13) «ciberamenaza importante»: una ciberamenaza cuyas características técnicas indican que podría dar lugar a un
incidente grave relacionado con las TIC o a un incidente operativo o de seguridad grave relacionado con los pagos;

14) «ciberataque»: un incidente malintencionado relacionado con las TIC provocado mediante una tentativa, perpetrada
por cualquier agente de riesgo, de destruir, revelar, alterar, desactivar o robar un activo, de obtener acceso no
autorizado a ese activo o de hacer uso no autorizado de él;
L 333/26 ES Diario Oficial de la Unión Europea 27.12.2022

15) «inteligencia sobre amenazas»: información que se ha agregado, transformado, analizado, interpretado o enriquecido
para proporcionar el contexto necesario para la toma de decisiones y permitir una comprensión pertinente y
suficiente para mitigar las repercusiones de un incidente relacionado con las TIC o de una ciberamenaza, incluidos los
detalles técnicos de un ciberataque, los responsables del ataque, su modus operandi y sus motivaciones;

16) «vulnerabilidad»: una debilidad, susceptibilidad o defecto de un activo, sistema, proceso o control que puede ser
explotado;

17) «pruebas de penetración basadas en amenazas»: un marco que imita las tácticas, técnicas y procedimientos de agentes
de amenazas reales que se considera presentan una auténtica ciberamenaza, que permite someter a prueba (equipo
rojo) de forma controlada, a medida y en función de la inteligencia los sistemas de producción activos esenciales de la
entidad financiera;

18) «riesgo relacionado con las TIC derivado de terceros»: el riesgo relacionado con las TIC al que puede verse expuesta una
entidad financiera en razón de su uso de servicios de TIC prestados por proveedores terceros de servicios de TIC o por
subcontratistas de estos últimos, a través, entre otros, de acuerdos de externalización;

19) «proveedor tercero de servicios de TIC»: una empresa que presta servicios de TIC;

20) «proveedor intragrupo de servicios de TIC»: una empresa que forma parte de un grupo financiero y presta
principalmente servicios de TIC a entidades financieras del mismo grupo o a entidades financieras que pertenecen al
mismo sistema institucional de protección, también a sus sociedades matrices, filiales o sucursales o a otras entidades
que compartan propiedad o control;

21) «servicios de TIC»: los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios
internos o externos de forma continua, incluidos el hardware como servicio y los servicios de hardware que incluyen la
prestación de asistencia técnica a través de actualizaciones de software o firmware por parte del proveedor de hardware y
excluidos los servicios telefónicos analógicos tradicionales;

22) «función esencial o importante»: una función cuya perturbación afectaría significativamente al rendimiento financiero
de una entidad financiera o a la solidez o continuidad de sus servicios y actividades o cuya interrupción o ejecución
defectuosa o fallida afectaría significativamente al cumplimiento continuado de una entidad financiera con las
condiciones y obligaciones de su autorización, o con sus demás obligaciones con arreglo al Derecho aplicable en
materia de servicios financieros;

23) «proveedor tercero esencial de servicios de TIC»: un proveedor tercero de servicios de TIC designado como esencial de
conformidad con el artículo 31;

24) «proveedor tercero de servicios de TIC establecido en un tercer país»: un proveedor tercero de servicios de TIC que sea
una persona jurídica establecida en un tercer país que haya celebrado un acuerdo contractual con una entidad
financiera para la prestación de servicios de TIC;

25) «filial»: una empresa filial en el sentido del artículo 2, punto 10, y del artículo 22 de la Directiva 2013/34/UE;

26) «grupo»: un grupo tal como se define en el artículo 2, punto 11, de la Directiva 2013/34/UE;

27) «sociedad matriz»: una sociedad matriz en el sentido del artículo 2, punto 9, y del artículo 22 de la Directiva
2013/34/UE;

28) «subcontratista de TIC establecido en un tercer país»: un subcontratista de TIC que sea una persona jurídica establecida
en un tercer país y que haya celebrado un acuerdo contractual con un proveedor tercero de servicios de TIC o con un
proveedor tercero de servicios de TIC establecido en un tercer país;

29) «riesgo de concentración de TIC»: una exposición a uno o múltiples proveedores terceros esenciales de servicios de TIC
relacionados que cree tal grado de dependencia de dichos proveedores que la indisponibilidad, fallo u otro tipo de
deficiencia de estos últimos pueda poner en peligro la capacidad de una entidad financiera para desempeñar funciones
esenciales o importantes o causarle otro tipo de efectos adversos, incluidas grandes pérdidas, o poner en peligro la
estabilidad financiera de la Unión en su conjunto;
27.12.2022 ES Diario Oficial de la Unión Europea L 333/27

30) «órgano de dirección»: un órgano de dirección tal como se define en el artículo 4, apartado 1, punto 36, de la Directiva
2014/65/UE, el artículo 3, apartado 1, punto 7, de la Directiva 2013/36/UE, el artículo 2, apartado 1, letra s), de la
Directiva 2009/65/CE del Parlamento Europeo y del Consejo (31), el artículo 2, apartado 1, punto 45, del Reglamento
(UE) n.o 909/2014, el artículo 3, apartado 1, punto 20, del Reglamento (UE) 2016/1011 y las disposiciones
pertinentes del Reglamento relativo a los mercados de criptoactivos, o las personas equivalentes que dirijan
efectivamente la entidad o desempeñen funciones clave de conformidad con el Derecho de la Unión o nacional
pertinente;

31) «entidad de crédito»: una entidad de crédito tal como se define en el artículo 4, apartado 1, punto 1, del Reglamento
(UE) n.o 575/2013 del Parlamento Europeo y del Consejo (32);

32) «entidad exenta en virtud de la Directiva 2013/36/UE»: una entidad a que se refiere el artículo 2, apartado 5, puntos 4
a 23, de la Directiva 2013/36/UE;

33) «empresa de servicios de inversión»: una empresa de servicios de inversión tal como se define en el artículo 4, apartado
1, punto 1, de la Directiva 2014/65/UE;

34) «empresa de servicios de inversión pequeña y no interconectada»: una empresa de servicios de inversión que cumple las
condiciones establecidas en el artículo 12, apartado 1, del Reglamento (UE) 2019/2033 del Parlamento Europeo y del
Consejo (33);

35) «entidad de pago»: una entidad de pago tal como se define en el artículo 4, punto 4, de la Directiva (UE) 2015/2366;

36) «entidad de pago exenta en virtud de la Directiva (UE) 2015/2366»: una entidad de pago exenta en virtud del
artículo 32, apartado 1, de la Directiva (UE) 2015/2366;

37) «proveedor de servicios de información sobre cuentas»: un proveedor de servicios de información sobre cuentas a que
se refiere el artículo 33, apartado 1, de la Directiva (UE) 2015/2366;

38) «entidad de dinero electrónico»: una entidad de dinero electrónico tal como se define en el artículo 2, punto 1, de la
Directiva 2009/110/CE;

39) «entidad de dinero electrónico exenta en virtud de la Directiva 2009/110/CE»: una entidad de dinero electrónico que se
beneficia de una exención a tenor del artículo 9, apartado 1, de la Directiva 2009/110/CE;

40) «entidad de contrapartida central»: una entidad de contrapartida central tal como se define en el artículo 2, punto 1, del
Reglamento (UE) n.o 648/2012;

41) «registro de operaciones»: un registro de operaciones tal como se define en el artículo 2, punto 2, del Reglamento (UE)
n.o 648/2012;

42) «depositario central de valores»: un depositario central de valores tal como se define en el artículo 2, apartado 1, punto
1, del Reglamento (UE) n.o 909/2014;

43) «centro de negociación»: un centro de negociación tal como se define en el artículo 4, apartado 1, punto 24, de la
Directiva 2014/65/UE;

44) «gestor de fondos de inversión alternativos»: un gestor de fondos de inversión alternativos tal como se define en el
artículo 4, apartado 1, letra b), de la Directiva 2011/61/UE;

45) «sociedad de gestión»: una sociedad de gestión tal como se define en el artículo 2, apartado 1, letra b), de la Directiva
2009/65/CE;

46) «proveedor de servicios de suministro de datos»: un proveedor de servicios de suministro de datos en el sentido del
Reglamento (UE) n.o 600/2014, a que se refiere su artículo 2, apartado 1, puntos 34 a 36;

47) «empresa de seguros»: una empresa de seguros tal como se define en el artículo 13, punto 1, de la Directiva
2009/138/CE;

48) «empresa de reaseguros»: una empresa de reaseguros tal como se define en el artículo 13, punto 4, de la Directiva
2009/138/CE;

(31) Directiva 2009/65/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por la que se coordinan las disposiciones legales,
reglamentarias y administrativas sobre determinados organismos de inversión colectiva en valores mobiliarios (OICVM) (DO L 302 de
17.11.2009, p. 32).
(32) Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las
entidades de crédito, y por el que se modifica el Reglamento (UE) n.o 648/2012 (DO L 176 de 27.6.2013, p. 1).
(33) Reglamento (UE) 2019/2033 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos
prudenciales de las empresas de servicios de inversión, y por el que se modifican los Reglamentos (UE) n.o 1093/2010, (UE)
n.o 575/2013, (UE) n.o 600/2014 y (UE) n.o 806/2014 (DO L 314 de 5.12.2019, p. 1).
L 333/28 ES Diario Oficial de la Unión Europea 27.12.2022

49) «intermediario de seguros»: un intermediario de seguros tal como se define en el artículo 2, apartado 1, punto 3, de la
Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo (34);

50) «intermediario de seguros complementarios»: un intermediario de seguros complementarios tal como se define en el
artículo 2, apartado 1, punto 4, de la Directiva (UE) 2016/97;

51) «intermediario de reaseguros»: un intermediario de reaseguros tal como se define en el artículo 2, apartado 1, punto 5,
de la Directiva (UE) 2016/97;

52) «fondo de pensiones de empleo»: un fondo de pensiones de empleo tal como se define en el artículo 6, punto 1, de la
Directiva (UE) 2016/2341;

53) «fondo de pensiones de empleo pequeño»: un fondo de pensiones de empleo que gestiona planes de pensiones que
cuentan con menos de 100 partícipes en total;

54) «agencia de calificación crediticia»: una agencia de calificación crediticia tal como se define en el artículo 3, apartado 1,
letra b), del Reglamento (CE) n.o 1060/2009;

55) «proveedor de servicios de criptoactivos»: un proveedor de servicios de criptoactivos tal como se define en las
disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos;

56) «emisor de fichas referenciadas a activos»: un emisor de fichas referenciadas a activos tal como se definen en las
disposiciones pertinentes del Reglamento relativo a los mercados de criptoactivos;

57) «administrador de índices de referencia cruciales»: un administrador de «índices de referencia cruciales» tal como se
definen en el artículo 3, apartado 1, punto 25, del Reglamento (UE) 2016/1011;

58) «proveedor de servicios de financiación participativa»: un proveedor de servicios de financiación participativa tal como
se define en el artículo 2, apartado 1, letra e), del Reglamento (UE) 2020/1503 del Parlamento Europeo y del
Consejo (35);

59) «registro de titulizaciones»: un registro de titulizaciones tal como se define en el artículo 2, punto 23, del Reglamento
(UE) 2017/2402 del Parlamento Europeo y del Consejo (36);

60) «microempresa»: una entidad financiera distinta de un centro de negociación, una entidad de contrapartida central, un
registro de operaciones o un depositario central de valores, que emplea a menos de diez personas y cuyo volumen de
negocios anual o balance anual total es igual o inferior a 2 millones EUR;

61) «supervisor principal»: la Autoridad Europea de Supervisión nombrada de conformidad con el artículo 31, apartado 1,
letra b), del presente Reglamento;

62) «Comité Mixto»: el comité a que se refiere el artículo 54 del Reglamento (UE) n.o 1093/2010, el artículo 54 del
Reglamento (UE) n.o 1094/2010 y el artículo 54 del Reglamento (UE) n.o 1095/2010;

63) «pequeña empresa»: una entidad financiera que emplea a 10 o más personas pero menos de 50 y cuyo volumen de
negocios anual o balance anual total es superior a 2 millones EUR pero igual o inferior a 10 millones EUR;

64) «mediana empresa»: una entidad financiera distinta de una pequeña empresa, que emplea a menos de 250 personas y
cuyo volumen de negocios anual es igual o inferior a 50 millones EUR o cuyo balance anual es igual o inferior a 43
millones EUR;

65) «autoridad pública»: cualquier gobierno u otra entidad de la administración pública, incluidos los bancos centrales
nacionales.

(34) Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (DO L 26 de
2.2.2016, p. 19).
(35) Reglamento (UE) 2020/1503 del Parlamento Europeo y del Consejo, de 7 de octubre de 2020, relativo a los proveedores europeos de
servicios de financiación participativa para empresas, y por el que se modifican el Reglamento (UE) 2017/1129 y la Directiva (UE)
2019/1937 (DO L 347 de 20.10.2020, p. 1).
(36) Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, por el que se establece un marco
general para la titulización y se crea un marco específico para la titulización simple, transparente y normalizada, y por el que se
modifican las Directivas 2009/65/CE, 2009/138/CE y 2011/61/UE y los Reglamentos (CE) n.o 1060/2009 y (UE) n.o 648/2012
(DO L 347 de 28.12.2017, p. 35).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/29

Artículo 4

Principio de proporcionalidad

1. Las entidades financieras aplicarán las normas establecidas en el capítulo II de conformidad con el principio de
proporcionalidad, teniendo en cuenta su tamaño y perfil de riesgo general, así como la naturaleza, escala y complejidad de
sus servicios, actividades y operaciones.

2. Además, la aplicación por parte de las entidades financieras de los capítulos III y IV y el capítulo V, sección I, será
proporcional a su tamaño y perfil de riesgo general, así como a la naturaleza, escala y complejidad de sus servicios,
actividades y operaciones, tal como se establece específicamente en las normas pertinentes de dichos capítulos.

3. Las autoridades competentes tendrán en cuenta la aplicación del principio de proporcionalidad por parte de las
entidades financieras al revisar la coherencia del marco de gestión del riesgo relacionado con las TIC a partir de los
informes presentados a petición de las autoridades competentes en virtud del artículo 6, apartado 5, y al artículo 16,
apartado 2.

CAPÍTULO II

Gestión del riesgo relacionado con las TIC

Se cc i ón I

Artículo 5

Gobernanza y organización

1. A fin lograr un nivel elevado de resiliencia operativa digital, las entidades financieras dispondrán de un marco interno
de gobernanza y control que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC, de conformidad
con el artículo 6, apartado 4.

2. El órgano de dirección de la entidad financiera definirá, aprobará y supervisará todas las disposiciones relacionadas
con el marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y será responsable de
su aplicación.

A efectos del párrafo primero, el órgano de dirección:


a) asumirá la responsabilidad última de gestionar el riesgo relacionado con las TIC de la entidad financiera;
b) adoptará políticas encaminadas a garantizar el mantenimiento de unos niveles elevados de disponibilidad, autenticidad,
integridad y confidencialidad de los datos;
c) definirá claramente los cometidos y responsabilidades por lo que respecta a todas las funciones relacionadas con las TIC
y establecerá mecanismos de gobernanza adecuados para garantizar una comunicación, cooperación y coordinación
efectivas y oportunas entre dichas funciones;
d) asumirá la responsabilidad general de establecer y aprobar la estrategia de resiliencia operativa digital a que se refiere el
artículo 6, apartado 8, lo que incluye determinar el nivel adecuado de tolerancia al riesgo relacionado con las TIC de la
entidad financiera a que se refiere el artículo 6, apartado 8, letra b);
e) aprobará, supervisará y revisará periódicamente la aplicación de la política de continuidad de la actividad en materia de
TIC y de los planes de respuesta y recuperación en materia de TIC de la entidad financiera a que se refiere,
respectivamente, el artículo 11 apartados 1 y 3, que podrán ser adoptados como una política específica que forme
parte integrante de la política global de continuidad de la actividad y del plan de respuesta y recuperación de la entidad
financiera;
f) aprobará y revisará periódicamente los planes de auditoría internos de TIC y las auditorías de TIC de la entidad
financiera, así como sus modificaciones significativas;
g) asignará y revisará periódicamente el presupuesto adecuado para satisfacer las necesidades de resiliencia operativa digital
de la entidad financiera con respecto a todos los tipos de recursos, incluidos los programas de sensibilización en materia
de seguridad de las TIC y las actividades de formación sobre resiliencia operativa digital pertinentes a que se refiere el
artículo 13, apartado 6, y las capacidades en materia de TIC para todo el personal;
L 333/30 ES Diario Oficial de la Unión Europea 27.12.2022

h) aprobará y revisará periódicamente la política de la entidad financiera sobre los acuerdos relativos al uso de servicios de
TIC prestados por proveedores terceros de servicios de TIC;

i) establecerá, a escala corporativa, canales de comunicación que le permitan estar debidamente informado de lo siguiente:

i) de los acuerdos celebrados con proveedores terceros de servicios de TIC sobre el uso de servicios de TIC,

ii) de cualquier cambio sustancial pertinente previsto en relación con los proveedores terceros de servicios de TIC,

iii) de las posibles repercusiones de tales cambios en las funciones esenciales o importantes reguladas por dichos
acuerdos, incluido un resumen del análisis de riesgos para evaluar las repercusiones de dichos cambios, y al menos
de los incidentes graves relacionados con las TIC y sus repercusiones, así como de las medidas de respuesta,
recuperación y corrección.

3. Las entidades financieras que no sean microempresas crearán un cargo para el seguimiento de los acuerdos celebrados
con proveedores terceros de servicios de TIC sobre el uso de servicios de TIC o designarán a un miembro de la alta dirección
como responsable de supervisar la exposición al riesgo correspondiente y la documentación pertinente.

4. Los miembros del órgano de dirección de la entidad financiera mantendrán al día de manera activa conocimientos y
capacidades suficientes para comprender y evaluar el riesgo relacionado con las TIC y sus repercusiones en las operaciones
de la entidad financiera, también siguiendo periódicamente una formación específica que sea acorde al riesgo relacionado
con las TIC que se esté gestionando.

S ecc ión II

Artículo 6

Marco de gestión del riesgo relacionado con las TIC

1. Las entidades financieras contarán con un marco de gestión del riesgo relacionado con las TIC sólido, completo y bien
documentado como parte de su sistema global de gestión de riesgos, que les permita hacer frente al riesgo relacionado con
las TIC de forma rápida, eficiente y exhaustiva y asegurar un alto nivel de resiliencia operativa digital.

2. El marco de gestión del riesgo relacionado con las TIC incluirá al menos las estrategias, las políticas, los
procedimientos, y los protocolos y herramientas de TIC que sean necesarios para proteger debida y adecuadamente todos
los activos de información y activos de TIC, incluidos el software, el hardware y los servidores, así como para proteger todos
los componentes e infraestructuras físicos pertinentes, como locales, centros de datos y zonas sensibles designadas, a fin de
garantizar que todos los activos de información y activos de TIC estén adecuadamente protegidos de los riesgos, incluidos
los daños y el acceso o uso no autorizados.

3. De conformidad con el marco de gestión del riesgo relacionado con las TIC, las entidades financieras minimizarán las
consecuencias de dicho riesgo mediante el despliegue de estrategias, políticas, procedimientos, protocolos y herramientas
de TIC adecuados. Proporcionarán a las autoridades competentes que lo soliciten información completa y actualizada
sobre el riesgo relacionado con las TIC y sobre su marco de gestión de dicho riesgo.

4. Las entidades financieras que no sean microempresas encomendarán a una función de control la gestión y la
supervisión del riesgo relacionado con las TIC y garantizarán un nivel adecuado de independencia de dicha función para
evitar conflictos de intereses. Las entidades financieras garantizarán una separación e independencia adecuadas de las
funciones de gestión del riesgo relacionado con las TIC, las funciones de control y las funciones de auditoría interna, con
arreglo al modelo de tres líneas de defensa o a un modelo interno de gestión y control de riesgos.

5. El marco de gestión del riesgo relacionado con las TIC se documentará y revisará al menos una vez al año, o
periódicamente en el caso de las microempresas, así como cuando se produzcan incidentes graves relacionados con las
TIC, y siguiendo las instrucciones de supervisión o conclusiones derivadas de los procesos pertinentes de prueba o
auditoría de la resiliencia operativa digital. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la
aplicación y el seguimiento. Se presentará a la autoridad competente que lo solicite un informe sobre la revisión del marco
de gestión del riesgo relacionado con las TIC.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/31

6. El marco de gestión del riesgo relacionado con las TIC de las entidades financieras que no sean microempresas será
objeto de auditoría interna llevada a cabo por auditores con carácter periódico en consonancia con el plan de auditoría de
las entidades financieras. Dichos auditores poseerán conocimientos, capacidades y pericia suficientes en materia de riesgo
relacionado con las TIC, y gozarán de la independencia adecuada. La frecuencia y el enfoque de las auditorías de TIC serán
acordes con el riesgo relacionado con las TIC de la entidad financiera.

7. A partir de las conclusiones de la auditoría interna, las entidades financieras establecerán un proceso formal de
seguimiento que incluirá normas para la oportuna verificación y corrección de los resultados problemáticos de la auditoría
de TIC.

8. El marco de gestión del riesgo relacionado con las TIC incluirá una estrategia de resiliencia operativa digital que
establezca cómo se aplicará el marco. A tal fin, la estrategia de resiliencia operativa digital incluirá métodos para hacer
frente al riesgo relacionado con las TIC y alcanzar los objetivos específicos en materia de TIC, para lo cual:
a) explicará cómo apoya el marco de gestión del riesgo relacionado con las TIC la estrategia y los objetivos empresariales
de la entidad financiera;
b) establecerá el nivel de tolerancia al riesgo relacionado con las TIC, de acuerdo con la propensión al riesgo de la entidad
financiera, y analizará la tolerancia al impacto de las perturbaciones de las TIC;
c) establecerá objetivos claros en materia de seguridad de la información, incluidos indicadores clave de rendimiento y
parámetros clave de medición del riesgo;
d) explicará la arquitectura de referencia de TIC y cualquier cambio necesario para alcanzar objetivos empresariales
específicos;
e) esbozará los diferentes mecanismos establecidos para detectar incidentes relacionados con las TIC, prevenir su impacto
y protegerse de sus efectos;
f) hará constar la situación actual de la resiliencia operativa digital sobre la base del número de incidentes graves
relacionados con las TIC notificados y la eficacia de las medidas preventivas;
g) efectuará pruebas de resiliencia operativa digital, de conformidad con el capítulo IV del presente Reglamento;
h) esbozará una estrategia de comunicación en caso de aquellos incidentes relacionados con las TIC que sea obligatorio
divulgar conformidad con el artículo 14.

9. Las entidades financieras podrán, en el contexto de la estrategia de resiliencia operativa digital a que se refiere el
apartado 8, definir una estrategia global multiproveedor en materia de TIC a nivel de grupo o entidad, que muestre las
dependencias clave de los proveedores terceros de servicios de TIC y explique los motivos subyacentes a la contratación de
una combinación de proveedores terceros de servicios de TIC.

10. Las entidades financieras podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, a
empresas externas o de su mismo grupo las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo
relacionado con las TIC. En los casos en que se produzca tal externalización, la entidad financiera seguirá siendo
plenamente responsable de la verificación del cumplimiento de los requisitos en materia de gestión del riesgo relacionado
con las TIC.

Artículo 7

Sistemas, protocolos y herramientas de TIC

Con el fin de abordar y gestionar los riesgos relacionados con las TIC, las entidades financieras utilizarán y mantendrán
actualizados sistemas, protocolos y herramientas de TIC que:
a) sean adecuados a la magnitud de las operaciones que sustentan la realización de sus actividades, de conformidad con el
principio de proporcionalidad a que se refiere el artículo 4;
b) sean fiables;
c) dispongan de capacidad suficiente para tratar con exactitud los datos necesarios para llevar a cabo las actividades y
prestar los servicios a tiempo, y para hacer frente a los volúmenes máximos de pedidos, mensajes u operaciones, según
sea necesario, también en caso de introducción de nuevas tecnologías;
d) sean tecnológicamente resilientes a fin de hacer frente adecuadamente a las necesidades adicionales de tratamiento de la
información que surjan en condiciones de tensión del mercado u otras situaciones adversas.
L 333/32 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 8

Identificación

1. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las
entidades financieras identificarán, clasificarán y documentarán adecuadamente todas las funciones, cometidos y
responsabilidades empresariales sustentados por las TIC, los activos de información y activos de TIC que sustenten dichas
funciones, y sus cometidos y dependencias en relación con el riesgo relacionado con las TIC. Las entidades financieras
revisarán en caso necesario, y al menos una vez al año, la idoneidad de esta clasificación y de cualquier documentación
pertinente.

2. Las entidades financieras identificarán de forma continua todas las fuentes de riesgo relacionado con las TIC, en
particular la exposición al riesgo para con otras entidades financieras y derivada de otras entidades financieras, y evaluarán
las ciberamenazas y vulnerabilidades en materia de TIC pertinentes para sus funciones empresariales sustentadas por TIC,
activos de información y activos de TIC. Las entidades financieras revisarán periódicamente, y al menos una vez al año, los
escenarios de riesgo que les afecten.

3. Las entidades financieras que no sean microempresas llevarán a cabo una evaluación del riesgo cada vez que se
produzca un cambio importante en la infraestructura de las redes y los sistemas de información, en los procesos o
procedimientos que afecten a sus funciones empresariales sustentadas por TIC, activos de información o activos de TIC.

4. Las entidades financieras identificarán todos los activos de información y activos de TIC, incluidos los que se
encuentren en emplazamientos remotos, recursos de red y equipos de hardware, y cartografiarán aquellos considerados
esenciales. Cartografiarán la configuración de los activos de información y activos de TIC y los vínculos e interdependencias
entre los distintos activos de información y activos de TIC.

5. Las entidades financieras identificarán y documentarán todos los procesos que dependan de proveedores terceros de
servicios de TIC, e identificarán las interconexiones con proveedores terceros de servicios de TIC que presten servicios que
sustenten funciones esenciales o importantes.

6. A los efectos de los apartados 1, 4 y 5, las entidades financieras mantendrán los inventarios pertinentes y los
actualizarán periódicamente y cada vez que se produzcan los cambios importantes a que se refiere el apartado 3.

7. Las entidades financieras que no sean microempresas llevarán a cabo periódicamente, y al menos una vez al año, una
evaluación específica del riesgo relacionado con las TIC en todos los sistemas de TIC heredados y, en cualquier caso, antes y
después de conectar tecnologías, aplicaciones o sistemas.

Artículo 9

Protección y prevención

1. Con el fin de proteger adecuadamente los sistemas de TIC y con vistas a organizar medidas de respuesta, las entidades
financieras realizarán un seguimiento y un control permanentes de la seguridad y el funcionamiento de los sistemas y
herramientas de TIC y minimizarán las repercusiones en dichos sistemas del riesgo relacionado con las TIC mediante el
despliegue de herramientas, políticas y procedimientos adecuados en materia de seguridad de las TIC.

2. Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en
materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los
sistemas de TIC, en particular aquellos que sustentan funciones esenciales o importantes, así como mantener elevados
niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, con independencia de que estén en
reposo, en uso o en tránsito.

3. A fin de alcanzar los objetivos mencionados en el apartado 2, las entidades financieras utilizarán soluciones y
procesos de TIC que sean adecuados de conformidad con el artículo 4. Dichas soluciones y procesos de TIC deberán:
a) garantizar la seguridad de los medios de transmisión de datos;
b) minimizar el riesgo de corrupción o pérdida de datos, acceso no autorizado y defectos técnicos que puedan obstaculizar
la actividad empresarial;
c) evitar la falta de disponibilidad, el menoscabo de la autenticidad e integridad, la vulneración de la confidencialidad y la
pérdida de datos;
27.12.2022 ES Diario Oficial de la Unión Europea L 333/33

d) garantizar que los datos estén protegidos de riesgos derivados de su gestión, incluidos los debidos a una mala
administración, los relacionados con el tratamiento y los errores humanos.

4. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las
entidades financieras deberán:

a) elaborar y documentar una política de seguridad de la información que defina normas para proteger la confidencialidad,
disponibilidad, integridad o autenticidad de los datos, activos de información y activos de TIC, incluidos los de sus
clientes, en su caso;

b) siguiendo un enfoque basado en el riesgo, establecer una estructura de gestión sólida de redes e infraestructuras
utilizando técnicas, métodos y protocolos adecuados que puedan incluir la aplicación de mecanismos automatizados
para aislar los activos de información afectados en caso de ciberataques;

c) aplicar políticas que limiten el acceso físico o lógico a los activos de información y activos de TIC a lo que sea necesario
únicamente para funciones y actividades legítimas y aprobadas, y establecer a tal fin un conjunto de políticas,
procedimientos y controles que se centren en los derechos de acceso y garanticen una buena administración de estos;

d) aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de
control específicos, y medidas de protección de las claves criptográficas mediante las que se cifran los datos en función
de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC;

e) aplicar políticas, procedimientos y controles documentados para la gestión de los cambios en las TIC, incluidos los
cambios en el software, el hardware, los componentes de firmware, los sistemas o los parámetros de seguridad, que se
basen en un enfoque de evaluación de riesgos y formen parte integrante del proceso general de gestión de cambios de
la entidad financiera, a fin de garantizar que todos los cambios en los sistemas de TIC se registren, sometan a prueba,
evalúen, aprueben, apliquen y verifiquen de forma controlada;

f) contar con políticas documentadas adecuadas y globales para los parches y actualizaciones.

A efectos del párrafo primero, letra b), las entidades financieras diseñarán la infraestructura de conexión a la red de manera
que permita su ruptura o segmentación instantánea con el fin de minimizar y prevenir el contagio, especialmente en los
procesos financieros interconectados.

A efectos del párrafo primero, letra e), el proceso de gestión de cambios en las TIC será aprobado por los niveles directivos
adecuados y dispondrá de protocolos específicos.

Artículo 10

Detección

1. Las entidades financieras dispondrán de mecanismos para detectar rápidamente las actividades anómalas, de
conformidad con el artículo 17, incluidos los problemas de rendimiento de las redes de TIC y los incidentes relacionados
con las TIC, y para identificar los posibles puntos únicos de fallo significativos.

Todos los mecanismos de detección mencionados en el párrafo primero se someterán a pruebas periódicas de conformidad
con el artículo 25.

2. Los mecanismos de detección a que se refiere el apartado 1 permitirán múltiples niveles de control, definirán criterios
y umbrales de alerta para activar e iniciar procesos de respuesta a incidentes relacionados con las TIC, incluidos
mecanismos automáticos de alerta para el personal responsable de la respuesta a incidentes relacionados con las TIC.

3. Las entidades financieras dedicarán recursos y capacidades suficientes al seguimiento de la actividad de los usuarios y
la aparición de anomalías en las TIC y de incidentes relacionados con las TIC, en particular de ciberataques.

4. Los proveedores de servicios de suministro de datos dispondrán además de sistemas que permitan controlar de
manera efectiva la exhaustividad de los informes de operaciones, detectar omisiones y errores manifiestos y solicitar la
retransmisión de tales informes.
L 333/34 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 11

Respuesta y recuperación

1. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, y sobre
la base de los requisitos de identificación establecidos en el artículo 8, las entidades financieras pondrán en práctica una
política global de continuidad de la actividad en materia de TIC, que podrá ser adoptada como una política específica
propia que forme parte integrante de la política global de continuidad de la actividad de la entidad financiera.

2. Las entidades financieras aplicarán la política de continuidad de la actividad en materia de TIC mediante
disposiciones, planes, procedimientos y mecanismos específicos, adecuados y documentados destinados a:

a) garantizar la continuidad de las funciones esenciales o importantes de la entidad financiera;

b) responder a todos los incidentes relacionados con las TIC y resolverlos rápida, adecuada y eficazmente de manera que se
limiten los daños y se dé prioridad a la reanudación de las actividades y a las acciones de recuperación;

c) activar, sin demora, planes específicos que permitan recurrir a medidas de contención, procesos y tecnologías adaptados
a cada tipo de incidente relacionado con las TIC y que eviten nuevos daños, así como a procedimientos de respuesta y
recuperación adaptados establecidos de conformidad con el artículo 12;

d) estimar con carácter preliminar las repercusiones, daños y pérdidas;

e) definir acciones de comunicación y gestión de crisis que garanticen la transmisión de información actualizada a todo el
personal interno y las partes interesadas externas pertinentes de conformidad con el artículo 14, y su notificación a las
autoridades competentes de conformidad con el artículo 19.

3. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las
entidades financieras aplicarán planes conexos de respuesta y recuperación en materia de TIC que, en el caso de entidades
financieras que no sean microempresas, estarán sujetos a auditorías internas independientes.

4. Las entidades financieras establecerán, mantendrán y someterán a prueba periódicamente planes adecuados de
continuidad de las actividades de TIC, en particular en lo que se refiere a las funciones esenciales o importantes
externalizadas o contratadas mediante acuerdos con proveedores terceros de servicios de TIC.

5. Como parte de la política global de continuidad de la actividad, las entidades financieras llevarán a cabo un análisis de
impacto en el negocio de sus exposiciones a perturbaciones graves de la actividad. En el marco de dicho análisis, las
entidades financieras evaluarán el impacto potencial de las perturbaciones graves de la actividad mediante criterios
cuantitativos y cualitativos, utilizando datos internos y externos y análisis de escenarios, según proceda. El análisis de
impacto en el negocio tendrá en cuenta el carácter esencial de las funciones empresariales identificadas y cartografiadas, los
procesos de apoyo, las dependencias de terceros y los activos de información, así como sus interdependencias. Las entidades
financieras garantizarán que los activos de TIC y los servicios de TIC se diseñen y utilicen en plena consonancia con el
análisis de impacto en el negocio, en particular en lo que se refiere a garantizar adecuadamente la redundancia de todos los
componentes esenciales.

6. Como parte de su gestión global del riesgo relacionado con las TIC, las entidades financieras:

a) someterán a prueba los planes de continuidad de la actividad y los planes de respuesta y recuperación en materia de TIC
en relación con los sistemas de TIC que sustenten todas las funciones al menos una vez al año, así como en caso de que
se produzca cualquier cambio sustancial en los sistemas de TIC que sustenten funciones esenciales o importantes;

b) someterán a prueba los planes de comunicación en caso de crisis establecidos de conformidad con el artículo 14.

A efectos del párrafo primero, letra a), las entidades financieras que no sean microempresas incluirán, en los planes de
pruebas, escenarios de ciberataques y de conmutación entre la infraestructura primaria de TIC y la capacidad redundante,
las copias de seguridad y las instalaciones redundantes necesarias para cumplir con las obligaciones establecidas en el
artículo 12.

Las entidades financieras revisarán periódicamente su política de continuidad de la actividad en materia de TIC y sus planes
de respuesta y recuperación en materia de TIC teniendo en cuenta los resultados de las pruebas realizadas de conformidad
con el párrafo primero y las recomendaciones derivadas de los controles de auditoría o las revisiones supervisoras.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/35

7. Las entidades financieras que no sean microempresas dispondrán de una función de gestión de crisis que, en caso de
activación de sus planes de continuidad de la actividad en materia de TIC o de sus planes de respuesta y recuperación en
materia de TIC, establecerá, entre otros, procedimientos claros para gestionar las comunicaciones de crisis internas y
externas de conformidad con el artículo 14.

8. Las entidades financieras mantendrán registros fácilmente accesibles de las actividades antes de las perturbaciones y
durante estas cuando se activen sus planes de continuidad de la actividad en materia de TIC y sus planes de respuesta y
recuperación en materia de TIC.

9. Los depositarios centrales de valores facilitarán a las autoridades competentes copias de los resultados de las pruebas
de continuidad de la actividad en materia de TIC, o de ejercicios similares.

10. Las entidades financieras que no sean microempresas informarán a las autoridades competentes, si estas lo solicitan,
una estimación de los costes y pérdidas anuales agregados causados por incidentes graves relacionados con las TIC.

11. De conformidad con el artículo 16 del Reglamento (UE) n.o 1093/2010, el artículo 16 del Reglamento (UE)
n.o 1094/2010 y el artículo 16 del Reglamento (UE) n.o 1095/2010, las Autoridades Europeas de Supervisión, a través del
Comité Mixto, elaborarán, a más tardar el 17 de julio de 2024, directrices comunes sobre la estimación de los costes y
pérdidas anuales agregados a que se refiere el apartado 10.

Artículo 12

Políticas y procedimientos de respaldo y procedimientos y métodos de restablecimiento y recuperación

1. Con el fin de garantizar el restablecimiento de los sistemas de TIC y los datos con un tiempo mínimo de inactividad y
una perturbación y pérdida limitadas, como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades
financieras desarrollarán y documentarán:

a) políticas y procedimientos de respaldo que especifiquen el alcance de los datos objeto de respaldo y la frecuencia
mínima de este, en función del carácter esencial de la información o del nivel de confidencialidad de los datos;

b) procedimientos y métodos de restablecimiento y recuperación.

2. Las entidades financieras establecerán sistemas de respaldo que puedan activarse de conformidad con las políticas y
procedimientos de respaldo, así como procedimientos y métodos de restablecimiento y recuperación. La activación de
sistemas de respaldo no pondrá en peligro la seguridad de las redes y los sistemas de información ni la disponibilidad,
autenticidad, integridad o confidencialidad de los datos. Las pruebas de los procedimientos de respaldo y restablecimiento
y los procedimientos y métodos de recuperación se llevarán a cabo periódicamente.

3. Al restablecer los datos de seguridad mediante sus propios sistemas, las entidades financieras utilizarán sistemas de
TIC que estén separados, física y lógicamente, del sistema de TIC de origen. Los sistemas de TIC estarán protegidos de
forma segura contra cualquier acceso no autorizado o corrupción de las TIC y permitirán el rápido restablecimiento de los
servicios utilizando los respaldos de los sistemas y los datos que sean necesarios.

En el caso de las entidades de contrapartida central, los planes de recuperación permitirán la recuperación de todas las
operaciones en el momento de la perturbación, para que la entidad de contrapartida central pueda seguir operando de
manera segura y finalizar la liquidación en la fecha programada.

Los proveedores de servicios de suministro de datos mantendrán además recursos suficientes y dispondrán de instalaciones
de respaldo y restablecimiento para ofrecer y mantener sus servicios en todo momento.

4. Las entidades financieras que no sean microempresas mantendrán capacidades de TIC redundantes provistas de
recursos, medios y funciones adecuados para satisfacer las necesidades empresariales. Las microempresas evaluarán la
necesidad de mantener estas capacidades de TIC redundantes sobre la base de su perfil de riesgo.

5. Los depositarios centrales de valores mantendrán al menos un centro de tratamiento secundario dotado de recursos,
capacidades, funciones y personal adecuados para satisfacer las necesidades empresariales.
L 333/36 ES Diario Oficial de la Unión Europea 27.12.2022

El centro de proceso secundario deberá:

a) estar situado a una determinada distancia geográfica del centro de proceso primario para garantizar que presente un
perfil de riesgo distinto y evitar que se vea afectado por el suceso que haya afectado al centro primario;

b) ser capaz de garantizar la continuidad de las funciones esenciales o importantes del mismo modo que el centro
primario, o de prestar el nivel de servicios necesario para garantizar que la entidad financiera realice sus operaciones
esenciales dentro de los objetivos de recuperación;

c) estar inmediatamente accesible para el personal de la entidad financiera a fin de garantizar la continuidad de las
funciones esenciales o importantes en caso de que el centro de proceso primario no esté disponible.

6. Al determinar los objetivos de tiempo y punto de recuperación para cada función, las entidades financieras tendrán en
cuenta si se trata de una función esencial o importante y las posibles repercusiones globales en la eficiencia del mercado.
Estos objetivos garantizarán que, en situaciones extremas, se alcancen los niveles de servicio acordados.

7. Al recuperarse de un incidente relacionado con las TIC, las entidades financieras realizarán las comprobaciones
necesarias, incluidas múltiples comprobaciones y conciliaciones, a fin de garantizar que se mantenga el máximo nivel de
integridad de los datos. Estas comprobaciones también se llevarán a cabo cuando se reconstruyan datos de partes
interesadas externas, a fin de garantizar que todos los datos sean coherentes entre los sistemas.

Artículo 13

Aprendizaje y evolución

1. Las entidades financieras dispondrán de capacidades y de personal para recopilar información sobre vulnerabilidades,
ciberamenazas e incidentes relacionados con las TIC, en particular ciberataques, y para analizar las repercusiones que es
probable que tengan en su resiliencia operativa digital.

2. Las entidades financieras llevarán a cabo revisiones tras incidentes relacionados con las TIC después de que un
incidente grave relacionado con las TIC perturbe sus actividades principales, analizando sus causas e identificando las
mejoras necesarias para las operaciones de TIC o en la política de continuidad de la actividad en materia de TIC a que se
refiere el artículo 11.

Las entidades financieras que no sean microempresas comunicarán, previa petición, a las autoridades competentes los
cambios que se hayan introducido después de las revisiones tras incidentes relacionados con las TIC a que se refiere el
párrafo primero.

Las revisiones tras incidentes relacionados con las TIC a que se refiere el párrafo primero determinarán si se han seguido los
procedimientos establecidos y si las medidas adoptadas han sido eficaces, inclusive en relación con lo siguiente:

a) la rapidez a la hora de responder a las alertas de seguridad y determinar las repercusiones de los incidentes relacionados
con las TIC y su gravedad;

b) la calidad y rapidez en la realización de un análisis forense, cuando se considere oportuno;

c) la eficacia de la activación de los niveles sucesivos de intervención en caso de incidente dentro de la entidad financiera;

d) la eficacia de la comunicación interna y externa.

3. Las enseñanzas derivadas de las pruebas de resiliencia operativa digital llevadas a cabo de conformidad con los
artículos 26 y 27 y de los incidentes reales relacionados con las TIC, en particular los ciberataques, junto con los
problemas que se hayan planteado al activar los planes de continuidad de la actividad en materia de TIC y los planes de
respuesta y recuperación en materia de TIC, además de la información pertinente intercambiada con las contrapartes y
evaluada durante las revisiones supervisoras, se incorporarán debidamente de forma continua al proceso de evaluación del
riesgo relacionado con las TIC. Tales hallazgos conformarán la base para las revisiones adecuadas de los componentes
pertinentes del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/37

4. Las entidades financieras harán un seguimiento de la efectividad de la aplicación de su estrategia de resiliencia


operativa digital establecida en el artículo 6, apartado 8. Cartografiarán la evolución del riesgo relacionado con las TIC a lo
largo del tiempo, analizarán la frecuencia, los tipos, la magnitud y la evolución de los incidentes relacionados con las TIC, en
particular los ciberataques y sus patrones, con el fin de comprender el nivel de exposición al riesgo relacionado con las TIC,
en particular por cuanto atañe a funciones esenciales o importantes, y mejorar la madurez y preparación cibernéticas de la
entidad financiera.

5. El personal directivo responsable de las TIC informará al menos una vez al año al órgano de dirección de los hallazgos
a que se refiere el apartado 3 y formulará recomendaciones.

6. Las entidades financieras desarrollarán programas de sensibilización en materia de seguridad de las TIC y formación
sobre resiliencia operativa digital, que constituirán módulos obligatorios en sus programas de formación del personal. Esos
programas y acciones formativas serán aplicables a todos los empleados y al personal de alta dirección y tendrán un nivel de
complejidad acorde con las atribuciones de sus funciones. Cuando proceda, las entidades financieras también incluirán a
proveedores terceros de servicios de TIC en sus planes de formación pertinentes de conformidad con el artículo 30,
apartado 2, letra i).

7. Las entidades financieras que no sean microempresas supervisarán continuamente los avances tecnológicos
pertinentes, también con vistas a comprender las posibles repercusiones del despliegue de esas nuevas tecnologías en los
requisitos de seguridad de las TIC y la resiliencia operativa digital. Se mantendrán al día de los últimos procesos de gestión
del riesgo relacionado con las TIC, para luchar efectivamente contra las formas existentes o nuevas de ciberataques.

Artículo 14

Comunicación

1. Como parte del marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6, apartado 1, las
entidades financieras dispondrán de planes de comunicación de crisis que permitan la divulgación responsable de, al
menos, los incidentes graves relacionados con las TIC o las vulnerabilidades importantes a clientes y contrapartes, así
como al público, según proceda.

2. Como parte del marco de gestión del riesgo relacionado con las TIC, las entidades financieras aplicarán políticas de
comunicación destinadas al personal interno y a las partes interesadas externas. Las políticas de comunicación destinadas
al personal tendrán en cuenta la necesidad de diferenciar entre el personal que participa en la gestión del riesgo relacionado
con las TIC, en particular el personal responsable de la respuesta y la recuperación, y el personal al que es necesario
informar.

3. Al menos una persona de la entidad financiera se encargará de aplicar la estrategia de comunicación sobre incidentes
relacionados con las TIC y desempeñará a tal efecto la función de portavoz ante el público y los medios de comunicación.

Artículo 15

Mayor armonización de las herramientas, métodos, procesos y políticas de gestión del riesgo relacionado con las
TIC

Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con la Agencia de la Unión Europea para
la Ciberseguridad (ENISA), desarrollará normas técnicas de regulación comunes a fin de:
a) especificar otros elementos que deban incluirse en las políticas, procedimientos, protocolos y herramientas en materia
de seguridad de las TIC a que se refiere el artículo 9, apartado 2, con vistas a garantizar la seguridad de las redes, activar
salvaguardias adecuadas contra las intrusiones y el uso indebido de los datos, preservar la disponibilidad, autenticidad,
integridad y confidencialidad de los datos, incluidas las técnicas criptográficas, y garantizar una transmisión exacta y
rápida de los datos sin perturbaciones importantes ni demoras indebidas;
b) desarrollar nuevos componentes de los controles de los derechos de gestión de accesos a que se refiere el artículo 9,
apartado 4, letra c), y la correspondiente política de recursos humanos, especificando los derechos de acceso, los
procedimientos de concesión y revocación de derechos, el seguimiento de comportamientos anómalos en relación con
los riesgos relacionados con las TIC a través de indicadores adecuados, también para los patrones de uso de la red, las
horas, la actividad informática y los dispositivos desconocidos;
c) desarrollar más detalladamente los mecanismos especificados en el artículo 10, apartado 1, que permitan la rápida
detección de actividades anómalas y los criterios establecidos en el artículo 10, apartado 2, que activen los procesos de
detección de incidentes relacionados con las TIC y de respuesta a los mismos;
L 333/38 ES Diario Oficial de la Unión Europea 27.12.2022

d) especificar más detalladamente los componentes de la política de continuidad de la actividad en materia de TIC a que se
refiere el artículo 11, apartado 1;

e) especificar más detalladamente las pruebas de los planes de continuidad de la actividad en materia de TIC a que se refiere
el artículo 11, apartado 6, a fin de garantizar que dichas pruebas tengan debidamente en cuenta los escenarios en los que
la calidad de la ejecución de una función esencial o importante se deteriore hasta un nivel inaceptable o falle, así como el
impacto potencial de la insolvencia u otros fallos de cualquier proveedor tercero de servicios de TIC pertinente y,
cuando proceda, los riesgos políticos en los países o territorios de los proveedores de que se trate;

f) especificar más detalladamente los componentes de los planes de respuesta y recuperación en materia de TIC a que se
refiere el artículo 11, apartado 3;

g) especificar en mayor medida el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo
relacionado con las TIC a que se refiere el artículo 6, apartado 5.

Al desarrollar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión deberán tener
en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, la escala y la complejidad
de sus servicios, actividades y operaciones, y tener al mismo tiempo debidamente presente cualquier característica
específica derivada de la distinta naturaleza de las actividades en los distintos sectores de los servicios financieros.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a
más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE)
n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE)
n.o 1095/2010.

Artículo 16

Marco simplificado de gestión del riesgo relacionado con las TIC

1. Los artículos 5 a 15 del presente Reglamento no se aplicarán a las empresas de servicios de inversión pequeñas y no
interconectadas ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366; ni a las entidades exentas en
virtud de la Directiva 2013/36/UE respecto de las cuales los Estados miembros hayan decidido no aplicar la opción a que
se refiere el artículo 2, apartado 4, del presente Reglamento, ni a las entidades de dinero electrónico exentas en virtud de la
Directiva 2009/110/CE; ni a los fondos de pensiones de empleo pequeños.

Sin perjuicio de lo dispuesto en el párrafo primero, las entidades enumeradas en el párrafo primero deberán:

a) crear y mantener un marco de gestión sólido y documentado de riesgos relacionados con las TIC en el que se detallen los
mecanismos y las medidas encaminados a procurar una gestión rápida, efectiva y global del riesgo relacionado con las
TIC, incluida la protección de las infraestructuras y los componentes físicos pertinentes;

b) supervisar de manera permanente la seguridad y el funcionamiento de todos los sistemas de TIC;

c) minimizar las consecuencias del riesgo relacionado con las TIC mediante el uso de sistemas, protocolos y herramientas
de TIC sólidos, resilientes y actualizados que sean apropiados para sustentar el desempeño de sus actividades y la
prestación de servicios y para proteger adecuadamente la disponibilidad, autenticidad, integridad y confidencialidad de
los datos en las redes y sistemas de información;

d) permitir que las fuentes de riesgo relacionado con las TIC y las anomalías en las redes y sistemas de información se
identifiquen y detecten de inmediato y que los incidentes relacionados con las TIC se gestionen con rapidez;

e) identificar dependencias clave de proveedores terceros de servicios de TIC;

f) garantizar la continuidad de las funciones esenciales o importantes mediante planes de continuidad de la actividad y
medidas de respuesta y recuperación que incluyan, al menos, medidas de respaldo y restablecimiento de datos;

g) someter a pruebas periódicas los planes y medidas a que se refiere la letra f), así como la eficacia de los controles llevados
a cabo de conformidad con las letras a) y c);
27.12.2022 ES Diario Oficial de la Unión Europea L 333/39

h) aplicar, según proceda, las conclusiones operativas pertinentes resultantes de las pruebas a que se refiere la letra g) y de
los análisis tras incidentes al proceso de evaluación del riesgo relacionado con las TIC y desarrollar, de acuerdo con las
necesidades y el perfil de riesgo de TIC, programas de sensibilización en materia de seguridad de las TIC y formación en
materia de resiliencia operativa digital para el personal y la dirección.

2. El marco de gestión del riesgo relacionado con las TIC a que se refiere el apartado 1, párrafo segundo, letra a), se
documentará y revisará periódicamente y cuando se produzcan incidentes graves relacionados con las TIC, de conformidad
con las instrucciones de supervisión. Se mejorará continuamente sobre la base de las enseñanzas derivadas de la aplicación
y el seguimiento. Se presentará a la autoridad competente cuando esta lo solicite un informe sobre la revisión del marco de
gestión del riesgo relacionado con las TIC.

3. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con la ENISA, desarrollarán
proyectos de normas técnicas de regulación comunes a fin de:
a) especificar más detalladamente los elementos que deben incluirse en el marco de gestión del riesgo relacionado con las
TIC a que se refiere el apartado 1, párrafo segundo, letra a);
b) especificar más detalladamente los elementos en relación con los sistemas, protocolos y herramientas para minimizar
las consecuencias del riesgo relacionado con las TIC a que se refiere el apartado 1, párrafo segundo, letra c), con el fin
de garantizar la seguridad de las redes, permitir el establecimiento de salvaguardias adecuadas contra las intrusiones y el
uso indebido de los datos y preservar la disponibilidad, autenticidad, integridad y confidencialidad de los datos;
c) especificar más detalladamente los componentes de los planes de continuidad de la actividad en materia de TIC a que se
refiere el apartado 1, párrafo segundo, letra f);
d) especificar más detalladamente las normas sobre las pruebas de los planes de continuidad de la actividad y garantizar la
efectividad de los controles a que se refiere el apartado 1, párrafo segundo, letra g), y asegurar que estas pruebas tengan
debidamente en cuenta escenarios en los que la calidad de la ejecución de una función esencial o importante se deteriore
hasta un nivel inaceptable o falle;
e) especificar más detalladamente el contenido y el formato del informe sobre la revisión del marco de gestión del riesgo
relacionado con las TIC a que se refiere el apartado 2.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán
en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus
servicios, actividades y operaciones.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a
más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE)
n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE)
n.o 1095/2010.

CAPÍTULO III

Gestión, clasificación y notificación de incidentes relacionados con las TIC

Artículo 17

Proceso de gestión de incidentes relacionados con las TIC

1. Las entidades financieras definirán, establecerán y aplicarán un proceso de gestión de incidentes relacionados con las
TIC para detectar, gestionar y notificar dichos incidentes.

2. Las entidades financieras registrarán todos los incidentes relacionados con las TIC y las ciberamenazas importantes.
Las entidades financieras establecerán los procedimientos y procesos adecuados para que los incidentes relacionados con
las TIC sean objeto de un seguimiento, un tratamiento y una respuesta coherentes e integrados, a fin de asegurarse de que
se identifiquen, se documenten y se aborden las causas subyacentes para evitar que se produzcan.
L 333/40 ES Diario Oficial de la Unión Europea 27.12.2022

3. El proceso de gestión de incidentes relacionados con las TIC mencionado en el apartado 1:


a) establecerá indicadores de alerta temprana;
b) establecerá procedimientos para identificar, rastrear, registrar, categorizar y clasificar los incidentes relacionados con las
TIC en función de su prioridad y gravedad y en función del carácter esencial de los servicios perjudicados, conforme a
los criterios establecidos en el artículo 18, apartado 1;
c) asignará funciones y responsabilidades que deban activarse para los diferentes tipos y escenarios de incidentes
relacionados con las TIC;
d) expondrá planes para la comunicación con el personal, las partes interesadas externas y los medios de comunicación de
conformidad con el artículo 14, para la notificación a los clientes, para los procedimientos internos de traslado a la
instancia jerárquica superior, que abarquen también las reclamaciones de los clientes relacionadas con las TIC, así como
para el suministro de información a las entidades financieras que actúen como contraparte, según proceda;
e) garantizará que al menos los incidentes graves relacionados con las TIC se pongan en conocimiento de los altos
directivos pertinentes y que se informe de ellos al órgano de dirección, explicando sus repercusiones, las medidas
adoptadas como respuesta y los controles adicionales que se prevé implantar como resultado de estos incidentes graves
relacionados con las TIC;
f) establecerá procedimientos de respuesta a los incidentes relacionados con las TIC para mitigar sus repercusiones y
garantizar que los servicios sean nuevamente operativos y seguros de manera oportuna.

Artículo 18

Clasificación de los incidentes relacionados con las TIC y las ciberamenazas

1. Las entidades financieras clasificarán los incidentes relacionados con las TIC y determinarán su repercusión con
arreglo a los siguientes criterios:
a) número y/o pertinencia de los clientes o las contrapartes financieras afectados y, cuando proceda, la cantidad o el
número de transacciones afectadas por el incidente relacionado con las TIC, y si dicho incidente ha repercutido en la
reputación;
b) duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio;
c) extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos
Estados miembros;
d) pérdidas de datos que el incidente relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la
integridad o la confidencialidad de los datos;
e) carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera;
f) las consecuencias económicas, en particular los costes y las pérdidas directos e indirectos, del incidente relacionado con
las TIC, tanto en términos absolutos como relativos.

2. Las entidades financieras clasificarán las ciberamenazas como importantes en función del carácter esencial de los
servicios en situación de riesgo, incluidas las transacciones y operaciones de la entidad financiera, el número y/o la
pertinencia de los clientes o de las contrapartes financieras a las que se dirigen las amenazas y la extensión geográfica de
las zonas de riesgo.

3. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con el BCE y la ENISA, elaborarán
proyectos de normas técnicas de regulación comunes en las que se especificará más detalladamente lo siguiente:
a) los criterios expuestos en el apartado 1, y en concreto los umbrales de importancia relativa para determinar los
incidentes graves relacionados con las TIC o, según corresponda, los incidentes operativos o de seguridad graves
relacionados con los pagos que son de obligada notificación con arreglo al artículo 19, apartado 1;
b) los criterios que deberán aplicar las autoridades competentes para evaluar la relevancia de los incidentes graves
relacionados con las TIC o, según corresponda, los incidentes operativos o de seguridad graves relacionados con los
pagos, para las autoridades competentes pertinentes de otros Estados miembros, y los detalles de las notificaciones de
incidentes graves relacionados con las TIC o, según corresponda, incidentes operativos o de seguridad graves
relacionados con los pagos, que deberán compartirse con otras autoridades competentes en virtud del artículo 19,
apartados 6 y 7;
c) los criterios establecidos en el apartado 2 del presente artículo, incluidos umbrales de importancia relativa elevados para
determinar las ciberamenazas importantes.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/41

4. Cuando elaboren los proyectos de normas técnicas de regulación comunes a que se refiere el apartado 3 del presente
artículo, las Autoridades Europeas de Supervisión tendrán en cuenta los criterios establecidos en el artículo 4, apartado 2,
así como las normas internacionales, las orientaciones y las especificaciones elaboradas y publicadas por la ENISA,
incluidas, cuando proceda, las especificaciones para otros sectores económicos. A efectos de la aplicación de los criterios
establecidos en el artículo 4, apartado 2, las Autoridades Europeas de Supervisión tendrán debidamente en cuenta la
necesidad de que las microempresas y las pequeñas y medianas empresas movilicen recursos y capacidades suficientes para
garantizar una gestión rápida de los incidentes relacionado con las TIC.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación
comunes a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el apartado 3 de conformidad con los artículos 10 a 14 del Reglamento (UE) n.o 1093/2010,
los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.o 1095/2010.

Artículo 19

Notificación de los incidentes graves relacionados con las TIC y notificación voluntaria de las ciberamenazas
importantes

1. Las entidades financieras notificarán los incidentes graves relacionados con las TIC a la autoridad competente
pertinente a que se refiere el artículo 46, de conformidad con el apartado 4 del presente artículo.

Cuando una entidad financiera sea supervisada por más de una autoridad nacional competente contemplada en el
artículo 46, los Estados miembros designarán a una única autoridad competente autoridad competente pertinente
responsable del desempeño de las funciones y tareas establecidas en el presente artículo.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE)
n.o 1024/2013 notificarán los incidentes graves relacionados con las TIC a la autoridad nacional competente pertinente
designada con arreglo al artículo 4 de la Directiva 2013/36/UE, que transmitirá dicho informe de forma inmediata al BCE.

A los efectos del párrafo primero, tras recopilar y analizar toda la información pertinente, las entidades financieras
elaborarán la notificación inicial y los informes a que se refiere el apartado 4 del presente artículo mediante la plantilla a
que se refiere el artículo 20 y los presentarán a la autoridad competente. En caso de que un impedimento técnico haga
imposible la presentación de la notificación inicial mediante la plantilla, las entidades financieras presentarán la
notificación a la autoridad competente por medios alternativos.

La notificación inicial y los informes a que hace referencia el apartado 4 incluirán toda la información necesaria para que la
autoridad competente pueda determinar la importancia del incidente grave relacionado con las TIC y evaluar sus posibles
efectos transfronterizos.

Sin perjuicio de la notificación en virtud del párrafo primero por parte de la entidad financiera a la autoridad competente
pertinente, los Estados miembros podrán determinar de manera adicional que algunas entidades financieras, o todas ellas,
presenten también la notificación inicial y cada uno de los informes a que se refiere el apartado 4 del presente artículo,
utilizando las plantillas mencionadas en el artículo 20, a las autoridades competentes o a los equipos de respuesta a
incidentes de seguridad informática (CSIRT), designados o establecidos de conformidad con la Directiva (UE) 2022/2555.

2. Las entidades financieras podrán notificar, de manera voluntaria, ciberamenazas importantes a la autoridad
competente pertinente cuando consideren que la amenaza es pertinente para el sistema financiero, los usuarios del servicio
o los clientes. La autoridad competente pertinente podrá transmitir esta información a otras autoridades pertinentes
mencionadas en el apartado 6.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE)
n.o 1024/2013 podrán, de manera voluntaria, notificar las ciberamenazas importantes a la autoridad nacional competente
pertinente designada con arreglo al artículo 4 de la Directiva 2013/36/UE, que transmitirá dicho informe de forma
inmediata al BCE.

Los Estados miembros podrán determinar que las entidades financieras que notifiquen voluntariamente de conformidad
con el párrafo primero puedan también transmitir dicha notificación a los CSIRT designados o establecidos de
conformidad con la Directiva (UE) 2022/2555.
L 333/42 ES Diario Oficial de la Unión Europea 27.12.2022

3. Cuando se produzca un incidente grave relacionado con las TIC y tenga consecuencias para los intereses financieros
de los clientes, las entidades financieras informarán sin demora indebida de dicho incidente tan pronto como tengan
conocimiento del mismo, a sus clientes y les comunicarán todas las medidas que se hayan adoptado para mitigar sus
efectos adversos.

En caso de ciberamenaza importante, las entidades financieras informarán, cuando proceda, a aquellos de sus clientes que
pudieran verse afectados de cualquier medida de protección adecuada que estos consideren oportuno adoptar.

4. Las entidades financieras presentarán a la autoridad competente pertinente, dentro de los plazos que se establezcan de
conformidad con el artículo 20, párrafo primero, letra a), inciso ii), la siguiente información:

a) una notificación inicial;

b) un informe intermedio posterior a la notificación inicial a que se refiere la letra a), tan pronto como la situación del
incidente original haya cambiado considerablemente o la gestión del incidente grave relacionado con las TIC haya
cambiado en función de las últimas informaciones disponibles, seguido, cuando sea necesario, de notificaciones
actualizadas cada vez que se disponga de una actualización pertinente de la situación, y siempre que lo solicite
expresamente la autoridad competente;

c) un informe final, cuando haya concluido el análisis de la causa subyacente, con independencia de que ya se hayan
aplicado medidas paliativas, y cuando se disponga de las cifras reales de incidencia para sustituir a las estimaciones.

5. Las entidades financieras podrán externalizar, de conformidad con el Derecho sectorial de la Unión y nacional, las
obligaciones de información establecidas en el presente artículo a un proveedor tercero de servicios. En el caso de tal
externalización, la entidad financiera seguirá siendo plenamente responsable del cumplimiento de los requisitos en materia
de notificación de incidentes.

6. Una vez reciba la notificación inicial y de cada uno de los informes a que se refiere el apartado 4, la autoridad
competente facilitará oportunamente información detallada sobre el incidente grave relacionado con las TIC a los
siguientes destinatarios en función, según proceda, de sus competencias respectivas:

a) la ABE, la AEVM o la AESPJ;

b) el BCE en el caso de las entidades financieras a que se refiere el artículo 2, apartado 1, letras a), b) y d);

c) las autoridades competentes, los puntos de contacto únicos o los CSIRT designados o establecidos de conformidad con
la Directiva (UE) 2022/2555;

d) las autoridades de resolución a que se refiere el artículo 3 de la Directiva 2014/59/UE, y la Junta Única de Resolución
con respecto a las entidades a que se refiere el artículo 7, apartado 2, del Reglamento (UE) n.o 806/2014 del Parlamento
Europeo y del Consejo (37) y con respecto a las entidades y grupos a que se refiere el artículo 7, apartado 4, letra b), y
apartado 5, del Reglamento (UE) n.o 806/2014 en caso de que dicha información detallada haga referencia a incidentes
que suponen un riesgo para garantizar funciones esenciales en el sentido del artículo 2, apartado 1, punto 35, de la
Directiva 2014/59/UE, y

e) otras autoridades públicas pertinentes con arreglo al Derecho nacional.

7. Una vez recibida la información de conformidad con el apartado 6, la ABE, la AEVM o la AESPJ y el BCE, en consulta
con la ENISA y en cooperación con la autoridad competente pertinente, evaluarán si el incidente grave relacionado con las
TIC es pertinente para las autoridades competentes de otros Estados miembros. Tras esta evaluación, la ABE, la AEVM o la
AESPJ notificarán en consecuencia lo antes posible a las autoridades competentes pertinentes de otros Estados miembros.
El BCE notificará las cuestiones pertinentes para el sistema de pagos a los miembros del Sistema Europeo de Bancos
Centrales. Basándose en dicha notificación, las autoridades competentes tomarán, en su caso, las medidas necesarias para
proteger la estabilidad inmediata del sistema financiero.

(37) Reglamento (UE) n.o 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas
uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de
inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE)
n.o 1093/2010 (DO L 225 de 30.7.2014, p. 1).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/43

8. La notificación que debe efectuar la AEVM en virtud del apartado 7 del presente artículo se entiende sin perjuicio de la
responsabilidad de la autoridad competente de transmitir urgentemente la información detallada sobre el incidente grave
relacionado con las TIC a la autoridad pertinente del Estado miembro de acogida cuando un depositario central de valores
tenga una actividad transfronteriza significativa en el Estado miembro de acogida, cuando el incidente grave relacionado
con las TIC pueda tener consecuencias graves para los mercados financieros del Estado miembro de acogida y cuando
existan acuerdos de cooperación entre las autoridades competentes en relación con la supervisión de las entidades
financieras.

Artículo 20

Armonización del contenido de la información y las plantillas para presentarla

Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con la ENISA y el BCE, elaborarán:
a) proyectos de normas técnicas de regulación comunes a fin de:
i) establecer el contenido de los informes respecto de incidentes graves relacionados con las TIC, a fin de reflejar los
criterios establecidos en el artículo 18, apartado 1, e incorporar elementos adicionales, como información
detallada para determinar la pertinencia de la información para otros Estados miembros y si constituye o no un
incidente operativo o de seguridad grave relacionado con los pagos,
ii) determinar los plazos para la notificación inicial y para cada uno de los informes a que se refiere el artículo 19,
apartado 4,
iii) establecer el contenido de la notificación en el caso de las ciberamenazas importantes.
Al elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán en
cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de
sus servicios, actividades y operaciones, en particular con el fin de garantizar que, a los efectos de la letra a), inciso ii),
del presente párrafo, se puedan reflejar con plazos diferentes, en su caso, las particularidades de los sectores
financieros, sin perjuicio del mantenimiento de un enfoque coherente de la notificación de incidentes relacionados con
las TIC en virtud del presente Reglamento y de la Directiva (UE) 2022/2555. Las Autoridades Europeas de Supervisión
justificarán, en su caso, las desviaciones de los enfoques adoptados en el contexto de dicha Directiva;
b) proyectos de normas técnicas de ejecución comunes para establecer los formularios, las plantillas y los procedimientos
normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC
y para notificar una ciberamenaza importante.

Las Autoridades Europeas de Supervisión presentarán a la Comisión los proyectos de normas técnicas de regulación
comunes a que se refiere el párrafo primero, letra a), y los proyectos de normas técnicas de ejecución comunes a que se
refiere el párrafo primero, letra b), a más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero, letra a), del presente artículo de conformidad con los artículos 10 a 14 del
Reglamento (UE) n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del
Reglamento (UE) n.o 1095/2010.

Se otorgan a la Comisión competencias para adoptar las normas técnicas de ejecución a que se refiere el párrafo primero,
letra b), del presente artículo de conformidad con el artículo 15 del Reglamento (UE) n.o 1093/2010, el artículo 15 del
Reglamento (UE) n.o 1094/2010 y el artículo 15 del Reglamento (UE) n.o 1095/2010.

Artículo 21

Centralización de la información sobre los incidentes graves relacionados con las TIC

1. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con el BCE y la ENISA, prepararán
un informe conjunto en el que se evaluará la viabilidad de centralizar más la información sobre incidentes mediante la
creación de un centro único de la UE para la presentación de información sobre incidentes graves relacionados con las TIC
por las entidades financieras. En el informe conjunto se estudiarán maneras de facilitar la circulación de la información
sobre incidentes graves relacionados con las TIC, reducir los costes asociados y sustentar análisis temáticos con el fin de
mejorar la convergencia de la supervisión.
L 333/44 ES Diario Oficial de la Unión Europea 27.12.2022

2. El informe conjunto al que se refiere el apartado 1 incluirá al menos los siguientes elementos:

a) requisitos indispensables para la creación de un centro único de la UE;

b) ventajas, limitaciones y riesgos, incluidos los riesgos asociados a la elevada concentración de información sensible;

c) la capacidad necesaria para garantizar la interoperabilidad con respecto a otros sistemas de notificación pertinentes;

d) elementos de gestión operativa;

e) condiciones de participación;

f) modalidades técnicas de acceso al centro único de la UE para las entidades financieras y las autoridades nacionales
competentes;

g) evaluación preliminar de los costes financieros que conllevaría la creación de la plataforma operativa que sustentaría el
centro único de la UE, incluidos los conocimientos especializados necesarios.

3. Las Autoridades Europeas de Supervisión presentarán el informe a que se refiere el apartado 1 al Parlamento Europeo,
al Consejo y a la Comisión a más tardar el 17 de enero de 2025.

Artículo 22

Observaciones de las autoridades de supervisión

1. Sin perjuicio de las aportaciones técnicas, el asesoramiento o las medidas correctoras y el seguimiento posterior que
puedan facilitar, cuando proceda y de conformidad con el Derecho nacional, los CSIRT con arreglo a la Directiva (UE)
2022/2555, la autoridad competente, tras recibirlos, deberá acusar recibo de la notificación inicial y de cada uno de los
informes a que se refiere el artículo 19, apartado 4, podrá, cuando sea posible, proporcionar de forma oportuna a la
entidad financiera observaciones pertinentes y proporcionadas u orientación de alto nivel, en particular poniendo a su
disposición cualquier información o inteligencia anonimizadas pertinentes relativas a amenazas similares, y podrá abordar
las medidas correctoras aplicadas a nivel de la entidad financiera y las formas de minimizar y mitigar las repercusiones
negativas en el sector financiero. Sin perjuicio de las observaciones de las autoridades de supervisión, las entidades
financieras seguirán siendo plenamente responsables de la gestión de los incidentes relacionados con las TIC notificados en
virtud del artículo 19, apartado 1, así como de sus consecuencias.

2. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, informarán anualmente, utilizando datos
anonimizados y agregados, sobre los incidentes graves relacionados con las TIC, a cuyo respecto las autoridades
competentes facilitarán información detallada de conformidad con el artículo 19, apartado 6, indicando al menos el
número de incidentes graves relacionados con las TIC, su naturaleza y su repercusión en las operaciones de las entidades
financieras o de los clientes, las medidas correctoras tomadas y los costes soportados.

Las Autoridades Europeas de Supervisión emitirán advertencias y elaborarán estadísticas de alto nivel para apoyar las
evaluaciones de las amenazas y las vulnerabilidades que afecten a las TIC.

Artículo 23

Incidentes operativos o de seguridad relacionados con los pagos que atañen a entidades de crédito, entidades de
pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico

Los requisitos establecidos en el presente capítulo se aplicarán también a los incidentes operativos o de seguridad, graves o
no, relacionados con los pagos cuando atañan a entidades de crédito, entidades de pago, proveedores de servicios de
información sobre cuentas y entidades de dinero electrónico.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/45

CAPÍTULO IV

Pruebas de resiliencia operativa digital

Artículo 24

Requisitos generales para la realización de pruebas de resiliencia operativa digital

1. A fin de evaluar el estado de preparación para gestionar incidentes relacionados con las TIC, o de detectar debilidades,
deficiencias y carencias en materia de resiliencia operativa digital y de aplicar sin demora medidas correctoras, las entidades
financieras que no sean microempresas establecerán, mantendrán y revisarán, teniendo en cuenta los criterios establecidos
en el artículo 4, apartado 2, un programa de pruebas de resiliencia operativa digital sólido y completo que forme parte del
marco de gestión del riesgo relacionado con las TIC a que se refiere el artículo 6.

2. El programa de pruebas de resiliencia operativa digital incluirá una serie de evaluaciones, pruebas, métodos, prácticas
y herramientas que se aplicarán de conformidad con los artículos 25 y 26.

3. Al llevar a cabo el programa de pruebas de resiliencia operativa digital a que se refiere el apartado 1 del presente
artículo, las entidades financieras que no sean microempresas seguirán un enfoque basado en el riesgo que tengan en
cuenta los criterios establecidos en el artículo 4, apartado 2, considerando debidamente el panorama cambiante del riesgo
relacionado con las TIC, todo riesgo específico al que la entidad financiera de que se trate esté o pueda estar expuesta, el
carácter esencial de los activos de información y de los servicios prestados, así como cualquier otro factor que la entidad
financiera considere apropiado.

4. Las entidades financieras que no sean microempresas garantizarán que las pruebas sean realizadas por partes
independientes, ya sean internas o externas. Cuando un probador interno se encargue de realizar las pruebas, las entidades
financieras dedicarán recursos suficientes y garantizarán que se evitan los conflictos de intereses durante todas las fases de
constitución y ejecución de las pruebas.

5. Las entidades financieras que no sean microempresas establecerán procedimientos y políticas para ordenar por
prioridades, clasificar y corregir todos los problemas descubiertos durante la realización de las pruebas y establecerán
métodos de validación internos para asegurarse de que todas las debilidades, deficiencias o carencias sean tratadas de
manera exhaustiva.

6. Las entidades financieras que no sean microempresas garantizarán, al menos una vez al año, que se efectúen las
pruebas apropiadas de todos los sistemas y aplicaciones de TIC que sustenten funciones esenciales o importantes.

Artículo 25

Pruebas de las herramientas y los sistemas de TIC

1. El programa de pruebas de resiliencia operativa digital a que se refiere el artículo 24 dispondrá, de conformidad con
los criterios establecidos en el artículo 4, apartado 2, la ejecución de las pruebas adecuadas, como evaluaciones y
exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de
carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente
cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de
extremo a extremo y pruebas de penetración.

2. Los depositarios centrales de valores y las entidades de contrapartida central realizarán evaluaciones de vulnerabilidad
antes de implantar o reimplantar aplicaciones y componentes de infraestructuras y servicios de TIC que sustenten funciones
esenciales o importantes de la entidad financiera nuevos o ya existentes.

3. Las microempresas realizarán las pruebas a que se refiere el apartado 1 mediante la combinación de un enfoque
basado en el riesgo con una planificación estratégica de las pruebas de TIC, teniendo debidamente en cuenta la necesidad
de mantener un planteamiento equilibrado entre la dimensión de los recursos y el tiempo que se asigne a las pruebas de
TIC previstas en el presente artículo, por una parte, y la urgencia, el tipo de riesgo, el carácter esencial de los activos de
información y de los servicios prestados, así como cualquier otro factor pertinente, incluida la capacidad de la entidad
financiera para asumir riesgos calculados, por otra.
L 333/46 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 26

Pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración
basadas en amenazas

1. Las entidades financieras distintas de las contempladas en el artículo 16, apartado 1, párrafo primero, y distintas de
microempresas, determinadas de conformidad con el apartado 8, párrafo tercero, del presente artículo, llevarán a cabo al
menos cada tres años pruebas avanzadas consistentes en pruebas de penetración basadas en amenazas. A partir del perfil
de riesgo de la entidad financiera y teniendo en cuenta las circunstancias operativas, la autoridad competente podrá, en
caso necesario, solicitar a la entidad financiera que reduzca o aumente esta frecuencia.

2. Cada una de las pruebas de penetración basadas en amenazas abarcará algunas o todas las funciones esenciales o
importantes de una entidad financiera y se realizarán sobre los sistemas de producción activos que sustenten esas funciones.

Las entidades financieras determinarán todos los sistemas, procesos y tecnologías de TIC pertinentes subyacentes que
sustenten funciones esenciales o importantes y servicios de TIC, incluidos aquellos que sustenten los servicios y funciones
esenciales o importantes externalizados o contratados a proveedores terceros de servicios de TIC.

Las entidades financieras evaluarán qué funciones esenciales o importantes es necesario incluir en las pruebas de
penetración basadas en amenazas. El resultado de esta evaluación determinará el alcance exacto de las pruebas de
penetración basadas en amenazas y será validado por las autoridades competentes.

3. Cuando haya proveedores terceros de servicios de TIC incluidos en el ámbito de cobertura de las pruebas de
penetración basadas en amenazas, la entidad financiera tomará las medidas y salvaguardias necesarias para asegurar la
participación de estos proveedores terceros de servicios de TIC en las pruebas de penetración basadas en amenazas y
mantendrá en todo momento la plena responsabilidad de garantizar el cumplimiento del presente Reglamento.

4. Sin perjuicio de lo dispuesto en el apartado 2, párrafos primero y segundo, cuando quepa esperar razonablemente
que la participación de un proveedor tercero de servicios de TIC en las pruebas de penetración basadas en amenazas a que
se refiere el apartado 3 tenga una repercusión negativa en la calidad o la seguridad de los servicios prestados por el
proveedor tercero de servicios de TIC a clientes que sean entidades excluidas del ámbito de aplicación del presente
Reglamento, o en la confidencialidad de los datos relacionados con dichos servicios, la entidad financiera y el proveedor
tercero de servicios de TIC podrán acordar por escrito que el proveedor tercero de servicios de TIC celebre directamente un
acuerdo contractual con un probador externo, a efectos de llevar a cabo, bajo la dirección de una entidad financiera
designada, una prueba de penetración basada en amenazas conjunta en la que participen varias entidades financieras
(prueba conjunta) a las que el proveedor tercero de servicios de TIC preste servicios de TIC.

Dicha prueba conjunta abarcará la gama pertinente de servicios de TIC que sustenten funciones esenciales o importantes
contratadas por las entidades financieras al proveedor tercero de servicios de TIC en cuestión. Se considerará que la prueba
conjunta es una prueba de penetración basada en amenazas realizada por las entidades financieras que participen en ella.

El número de entidades financieras que participen en la prueba conjunta se calibrará debidamente teniendo en cuenta la
complejidad y los tipos de servicios de que se trate.

5. Las entidades financieras, con la cooperación de los proveedores terceros de servicios de TIC y otras partes
involucradas, incluidos los probadores pero con exclusión de las autoridades competentes, aplicarán controles efectivos de
gestión del riesgo para mitigar los riesgos de cualquier posible repercusión en los datos, daño de los activos y perturbación
de funciones, servicios u operaciones esenciales o importantes en la propia entidad financiera, en sus contrapartes o en el
sector financiero.

6. Al finalizar la prueba, y una vez que se hayan aprobado los informes y los planes correctores, la entidad financiera y,
en su caso, los probadores externos facilitarán a la autoridad, designada de conformidad con los apartados 9 o 10, un
resumen de los hallazgos pertinentes, los planes correctores y la documentación que demuestre que la prueba de
penetración basada en amenazas se ha realizado conforme a los requisitos.

7. Las autoridades proporcionarán a las entidades financieras un informe de validación que confirme que la prueba se
efectuó de conformidad con los requisitos según constan en la documentación, con el fin de permitir el reconocimiento
mutuo de las pruebas de penetración basadas en amenazas entre las autoridades competentes. La entidad financiera
notificará a la autoridad competente pertinente la validación, el resumen de los hallazgos pertinentes y los planes
correctores.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/47

Sin perjuicio de dicha validación, las entidades financieras seguirán siendo plenamente responsables en todo momento de
las repercusiones de las pruebas a que se refiere el apartado 4.

8. Las entidades financieras contratarán, de conformidad con el artículo 27, a probadores a efectos de la realización de
pruebas de penetración basadas en amenazas. Cuando las entidades financieras recurran a probadores internos para
realizar pruebas de penetración basadas en amenazas, contratarán a probadores externos cada tres pruebas.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE)
n.o 1024/2013 solo recurrirán a probadores externos de conformidad con el artículo 27, apartado 1, letras a) a e), del
presente Reglamento.

Las autoridades competentes determinarán qué entidades financieras deberán realizar pruebas de penetración basadas en
amenazas teniendo en cuenta los criterios establecidos en el artículo 4, apartado 2, basándose en la evaluación de:
a) factores relacionados con la repercusión, en particular la medida en que los servicios prestados y las actividades
realizadas por la entidad financiera repercuten en el sector financiero;
b) posibles problemas de estabilidad financiera, incluido el carácter sistémico de la entidad financiera a escala de la Unión o
nacional, según proceda;
c) el perfil de riesgo relacionado con las TIC específico, el nivel de madurez de las TIC de la entidad financiera o las
características tecnológicas presentes.

9. Los Estados miembros podrán designar a una única autoridad pública en el sector financiero responsable de las
cuestiones relacionadas con las pruebas de penetración basadas en amenazas en el sector financiero a escala nacional y le
confiarán todas las competencias y tareas a tal efecto.

10. A falta de designación de conformidad con el apartado 9 del presente artículo, y sin perjuicio de la competencia para
determinar las entidades financieras que están obligadas a llevar a cabo pruebas de penetración basadas en amenazas, una
autoridad competente podrá delegar el ejercicio de todas o algunas de las tareas a que se refieren el presente artículo y el
artículo 27 en otra autoridad nacional del sector financiero.

11. Las Autoridades Europeas de Supervisión desarrollarán, de acuerdo con el BCE proyectos de normas técnicas de
regulación comunes de conformidad con el marco TIBER-EU para especificar más detalladamente:
a) los criterios utilizados a efectos de la aplicación del apartado 8, párrafo segundo;
b) los requisitos y normas que rigen el recurso a probadores internos;
c) los requisitos en relación con:
i) el alcance de las pruebas de penetración basadas en amenazas a que se refiere el apartado 2,
ii) la metodología y el enfoque de realización de pruebas que deberán seguirse en cada fase específica del proceso de
prueba,
iii) las fases de resultados, conclusión y adopción de medidas correctoras del proceso de prueba;
d) el tipo de cooperación en materia de supervisión y otros tipos de cooperación pertinente necesarios para llevar a cabo
pruebas de penetración basadas en amenazas, así como la facilitación del reconocimiento mutuo de dichas pruebas, en
el contexto de entidades financieras que operen en más de un Estado miembro, para permitir un nivel adecuado de
participación de los supervisores y una ejecución flexible que tenga en cuenta las características específicas de
subsectores financieros o mercados financieros locales.

Al elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán
debidamente en cuenta cualquier característica específica derivada de la distinta naturaleza de las actividades en los
distintos sectores de los servicios financieros.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a
más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE)
n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE)
n.o 1095/2010.
L 333/48 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 27

Requisitos aplicables a los probadores para la realización de pruebas de penetración basadas en amenazas

1. Para la realización de pruebas de penetración basadas en amenazas, las entidades financieras solo recurrirán a
probadores que:
a) tengan el más alto grado de idoneidad y prestigio;
b) posean capacidades técnicas y organizativas y demuestren conocimientos especializados en inteligencia sobre amenazas,
pruebas de penetración y pruebas de equipo rojo;
c) estén acreditados por un órgano de certificación de un Estado miembro o se adhieran a códigos de conducta o marcos
éticos oficiales;
d) proporcionen una garantía independiente o un informe de auditoría que acrediten la buena gestión de los riesgos
asociados con la realización de pruebas de penetración basadas en amenazas, incluidas la protección debida de la
información confidencial de la entidad financiera y medidas de reparación en caso de riesgos empresariales para ella;
e) estén debida y completamente cubiertos por los seguros pertinentes de responsabilidad civil profesional, también frente
a los riesgos de falta intencionada y negligencia.

2. En caso de recurrir a probadores internos, las entidades financieras garantizarán que se cumplan, además de todos los
requisitos establecidos en el apartado 1, todas las condiciones siguientes:
a) el recurso a los probadores ha sido autorizado por la autoridad competente correspondiente o por la autoridad pública
única designada de conformidad con el artículo 26, apartados 9 y 10;
b) la autoridad competente correspondiente ha verificado que la entidad financiera dispone de recursos específicos
suficientes y ha garantizado que se eviten los conflictos de intereses durante todas las fases de constitución y ejecución
de las pruebas, y
c) el proveedor de inteligencia sobre amenazas es externo con respecto a la entidad financiera.

3. Las entidades financieras se asegurarán de que los contratos con probadores externos exijan una buena gestión de los
resultados de las pruebas de penetración basadas en amenazas y de que ningún tratamiento de datos del que sean objeto,
incluido cualquier proceso de generación, almacenamiento, agregación, redacción, notificación, comunicación o
destrucción cree riesgos para la entidad financiera.

CAPÍTULO V

Gestión del riesgo relacionado con las TIC derivado de terceros

Se cci ón I

Pr i nc i pi o s f u nd a me n ta l es d e u na b ue na ge s tió n d el r ie s go r el a cio na d o co n l as T I C d e r i va d o
de te rc er o s

Artículo 28

Principios generales

1. Las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros como un elemento
integrante del riesgo relacionado con las TIC dentro de su marco de gestión del riesgo relacionado con las TIC a que se
refiere el artículo 6, apartado 1, y de conformidad con los principios siguientes:
a) las entidades financieras que tengan acuerdos contractuales en vigor para utilizar servicios de TIC en el funcionamiento
de sus operaciones comerciales serán, en todo momento, plenamente responsables del cumplimiento y observancia de
todas las obligaciones con arreglo al presente Reglamento y al Derecho aplicable en materia de servicios financieros;
27.12.2022 ES Diario Oficial de la Unión Europea L 333/49

b) las entidades financieras gestionarán el riesgo relacionado con las TIC derivado de terceros con arreglo al principio de
proporcionalidad, teniendo en cuenta:

i) la naturaleza, la escala, la complejidad y la importancia de las dependencias con respecto a las TIC,

ii) los riesgos derivados de los acuerdos contractuales sobre el uso de servicios de TIC celebrados con proveedores
terceros de servicios de TIC, teniendo en cuenta el carácter esencial o la importancia del servicio, el proceso o la
función de que se trate, y la repercusión potencial en la continuidad y la disponibilidad de las actividades y los
servicios financieros, a escala particular y de grupo.

2. Como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras distintas de las
entidades contempladas en el artículo 16, apartado 1, párrafo primero, y distintas de microempresas adoptarán una
estrategia, que revisarán periódicamente, sobre el riesgo relacionado con las TIC derivado de terceros, teniendo en cuenta
la estrategia de múltiples proveedores a que se refiere el artículo 6, apartado 9, cuando proceda. Esa estrategia relativa al
riesgo relacionado con las TIC derivado de terceros incluirá una política sobre el uso de servicios de TIC que sustenten
funciones esenciales o importantes prestados por proveedores terceros de servicios de TIC y se aplicará a título particular
y, cuando proceda, de forma subconsolidada y consolidada. El órgano de dirección, a partir de una evaluación del perfil de
riesgo general de la entidad financiera y la escala y la complejidad de los servicios empresariales, revisará periódicamente los
riesgos detectados por lo que respecta a los acuerdos contractuales relativos al uso de servicios de TIC que sustenten
funciones esenciales o importantes.

3. Como parte de su marco de gestión del riesgo relacionado con las TIC, las entidades financieras mantendrán y
actualizarán a nivel de la entidad, y a nivel subconsolidado y consolidado, un registro de información en relación con
todos los acuerdos contractuales sobre el uso de servicios de TIC prestados por proveedores terceros de servicios de TIC.

Los acuerdos contractuales a que se refiere el párrafo primero se documentarán adecuadamente, distinguiendo entre los que
comprendan servicios de TIC que sustentan funciones esenciales o importantes y los que no.

Las entidades financieras comunicarán al menos una vez al año a las autoridades competentes información sobre el número
de nuevos acuerdos relativos al uso de servicios de TIC, las categorías de proveedores terceros de servicios de TIC, el tipo de
acuerdos contractuales y los servicios y funciones prestados en materia de TIC.

Las entidades financieras pondrán a disposición de la autoridad competente que lo solicite el registro completo de
información o, cuando así se solicite, secciones específicas de este, junto con toda información que se considere necesaria
para permitir la supervisión efectiva de la entidad financiera.

Las entidades financieras informarán oportunamente a la autoridad competente cuando se propongan celebrar cualquier
acuerdo contractual para el uso de servicios de TIC que sustenten funciones esenciales o importantes y cuando una función
se haya convertido en esencial o importante.

4. Antes de celebrar un acuerdo contractual sobre el uso de servicios de TIC, las entidades financieras:

a) evaluarán si el acuerdo contractual se refiere al uso de servicios de TIC que sustenten una función esencial o importante;

b) evaluarán si se cumplen las condiciones de supervisión para la contratación;

c) determinarán y evaluarán todos los riesgos pertinentes en relación con el acuerdo contractual, incluida la posibilidad de
que dicho acuerdo pueda contribuir a reforzar el riesgo de concentración de TIC a que se refiere el artículo 29;

d) llevarán a cabo todas las comprobaciones debidas con respecto a los posibles proveedores terceros de servicios de TIC y
se asegurarán, a través de los procesos de selección y evaluación, de la idoneidad de dichos proveedores;

e) determinarán y evaluarán los conflictos de intereses que el acuerdo contractual pueda causar.

5. Las entidades financieras únicamente podrán celebrar acuerdos contractuales con proveedores terceros de servicios de
TIC que cumplan estándares adecuados en materia de seguridad de la información. Cuando tales acuerdos contractuales se
refieran a funciones esenciales o importantes, las entidades financieras, antes de celebrarlos, prestarán la debida
consideración a la aplicación, por parte de proveedores terceros de servicios de TIC, de los estándares en materia de
seguridad de la información más actualizados y más estrictos en términos de calidad.
L 333/50 ES Diario Oficial de la Unión Europea 27.12.2022

6. Al ejercer los derechos de acceso, inspección y auditoría sobre el proveedor tercero de servicios de TIC, las entidades
financieras determinarán previamente, con arreglo a un enfoque basado en el riesgo, la frecuencia de las auditorías e
inspecciones y los ámbitos que deben auditarse, según normas de auditoría comúnmente aceptadas en consonancia con las
instrucciones de supervisión sobre el uso y la incorporación de dichas normas de auditoría.

Cuando los acuerdos contractuales relativos al uso de servicios de TIC celebrados con proveedores terceros de servicios de
TIC impliquen una gran complejidad técnica, la entidad financiera verificará que los auditores, ya sean internos, externos o
un grupo de auditores, posean las capacidades y los conocimientos adecuados para llevar a cabo efectivamente las
auditorías y evaluaciones pertinentes.

7. Las entidades financieras garantizarán la posibilidad de terminar los acuerdos contractuales sobre el uso de servicios
de TIC en cualquiera de los siguientes casos:

a) incumplimiento importante por parte del proveedor tercero de servicios de TIC de las disposiciones legales o
reglamentarias o las cláusulas contractuales aplicables;

b) circunstancias observadas durante el seguimiento del riesgo relacionado con las TIC derivado de terceros que se
considere que pueden alterar el desempeño de las funciones prestadas en virtud del acuerdo contractual, incluidos
cambios importantes que afecten al acuerdo o a la situación del proveedor tercero de servicios de TIC;

c) debilidades manifiestas del proveedor tercero de servicios de TIC en cuanto a su gestión global del riesgo relacionado
con las TIC y, en particular, a la forma en que garantiza la disponibilidad, la autenticidad, la integridad y la
confidencialidad de los datos, ya sean personales o sensibles en cualquier otro sentido, o no personales;

d) cuando la autoridad competente haya dejado de poder supervisar efectivamente a la entidad financiera como resultado
de las condiciones del acuerdo contractual de que se trate o las circunstancias relacionadas con él.

8. En el caso de los servicios de TIC que sustenten funciones esenciales o importantes, las entidades financieras
establecerán estrategias de salida. Las estrategias de salida tendrán en cuenta los riesgos que puedan surgir en relación con
los proveedores terceros de servicios de TIC, en particular un posible fallo por su parte, un deterioro de la calidad de los
servicios de TIC prestados, cualquier perturbación de la actividad debida a una falta de prestación de servicios de TIC o a
una prestación inadecuada, o cualquier riesgo sustancial que pueda plantearse en relación con el ejercicio adecuado y
continuo del servicio de TIC correspondiente, o la terminación de los acuerdos contractuales con proveedores terceros de
servicios de TIC en cualquiera de las circunstancias enumeradas en el apartado 7.

Las entidades financieras se asegurarán de poder abandonar los acuerdos contractuales sin:

a) perturbación de sus operaciones comerciales;

b) limitación del cumplimiento de los requisitos reglamentarios;

c) perjuicio para la continuidad y la calidad de los servicios prestados a los clientes.

Los planes de salida serán globales, estarán documentados y, de conformidad con los criterios establecidos en el artículo 4,
apartado 2, se someterán a suficientes pruebas y se revisarán periódicamente.

Las entidades financieras hallarán soluciones alternativas y elaborarán planes de transición que les permitan recuperar los
servicios de TIC contratados y los datos pertinentes del proveedor tercero de servicios de TIC y transferirlos de forma
segura e íntegra a proveedores alternativos o reincorporarlos internamente.

Las entidades financieras dispondrán de medidas de contingencia adecuadas para mantener la continuidad de la actividad en
caso de que se den las circunstancias mencionadas en el párrafo primero.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de
ejecución a fin de establecer las plantillas normalizadas para el registro de información a que se refiere el apartado 3,
incluyendo la información común a todos los acuerdos contractuales relativa al uso de servicios de TIC. Las Autoridades
Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de ejecución a más tardar el
17 de enero de 2024.

Se otorgan a la Comisión competencias para adoptar las normas técnicas de ejecución a que se refiere el párrafo primero de
conformidad con el artículo 15 del Reglamento (UE) n.o 1093/2010, el artículo 15 del Reglamento (UE) n.o 1094/2010 y el
artículo 15 del Reglamento (UE) n.o 1095/2010.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/51

10. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de
regulación a fin de especificar en más profundidad el contenido detallado de la política a que se refiere el apartado 2 en
relación con los acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes
prestados por proveedores terceros de servicios de TIC.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán
en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus
servicios, actividades y operaciones. Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos
de normas técnicas de regulación a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE)
n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE)
n.o 1095/2010.

Artículo 29

Evaluación preliminar del riesgo de concentración de TIC a nivel de la entidad

1. Al llevar a cabo la determinación y evaluación de los riesgos a que se refiere el artículo 28, apartado 4, letra c), las
entidades financieras también tendrán en cuenta si la celebración prevista de un acuerdo contractual en relación con los
servicios de TIC que sustenten funciones esenciales o importantes podría dar lugar a alguna de las siguientes circunstancias:

a) la celebración de un contrato con un proveedor tercero de servicios de TIC que no sea fácilmente sustituible, o

b) la coexistencia de múltiples acuerdos contractuales en relación con la prestación de servicios de TIC que sustenten
funciones esenciales o importantes con el mismo proveedor tercero de servicios de TIC o con proveedores terceros de
servicios de TIC estrechamente relacionados.

Las entidades financieras ponderarán los beneficios y los costes de soluciones alternativas, como el recurso a distintos
proveedores terceros de servicios de TIC, considerando si las soluciones contempladas se ajustan a las necesidades y
objetivos empresariales establecidos en su estrategia de resiliencia digital y de qué manera.

2. Cuando el acuerdo contractual sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes
incluya la posibilidad de que un proveedor tercero de servicios de TIC subcontrate a su vez servicios de TIC que sustenten
una función esencial o importante a otros proveedores terceros de servicios de TIC, las entidades financieras ponderarán
los beneficios y los riesgos que puedan derivarse de esa posible subcontratación, en particular cuando se trate de un
subcontratista de TIC establecido en un tercer país.

Cuando el acuerdo contractual afecte a servicios de TIC que sustenten funciones esenciales o importantes, las entidades
financieras ponderarán debidamente las disposiciones legislativas en materia de insolvencia que se aplicarían en caso de
quiebra del proveedor tercero de servicios de TIC, así como cualquier restricción que pueda surgir y que afecte a la
recuperación urgente de los datos de la entidad financiera.

Cuando se celebren acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o
importantes con un proveedor tercero de servicios de TIC establecido en un tercer país, las entidades financieras tendrán
en consideración, además de lo mencionado el párrafo segundo, el cumplimiento de la normativa en materia de protección
de datos de la Unión y la aplicación efectiva del Derecho en ese tercer país.

Cuando el acuerdo contractual sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes contemple
la subcontratación, las entidades financieras evaluarán si las cadenas de subcontratación potencialmente largas o complejas
pueden afectar a su capacidad para efectuar un seguimiento completo de las funciones contratadas y a la capacidad de la
autoridad competente para supervisar efectivamente a la entidad financiera a este respecto, y de qué manera.
L 333/52 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 30

Cláusulas contractuales fundamentales

1. Los derechos y obligaciones de la entidad financiera y del proveedor tercero de servicios de TIC estarán claramente
asignados y establecidos por escrito. El contrato completo incluirá los acuerdos de nivel de servicio y se formalizará en un
documento escrito que estará a disposición de las partes en papel, o en un documento en otro formato descargable,
duradero y accesible.

2. Los acuerdos contractuales sobre el uso de servicios de TIC incluirán, como mínimo, los elementos siguientes:
a) una descripción clara y completa de todas las funciones y los servicios de TIC que deba prestar el proveedor tercero de
servicios de TIC en la que se indique si está permitida la subcontratación de un servicio de TIC que sustente una
función esencial o importante, o partes sustanciales de ellas, y, en caso afirmativo, las condiciones aplicables a dicha
subcontratación;
b) los lugares, en concreto, las regiones o países, en los que deberán proporcionarse las funciones y los servicios de TIC
contratados o subcontratados y en los que deberán tratarse los datos, incluido el lugar de almacenamiento, y el
requisito de que el proveedor tercero de servicios de TIC notifique por adelantado a la entidad financiera cualquier
cambio previsto de dichos lugares;
c) disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad en relación con la protección de los
datos, incluidos los datos personales;
d) disposiciones sobre las garantías de la entidad financiera de poder acceder a los datos personales y no personales
tratados y de poder recuperarlos y que le sean devueltos en un formato fácilmente accesible en caso de insolvencia,
resolución o interrupción de las operaciones comerciales del proveedor tercero de servicios de TIC o en caso de
terminación de los acuerdos contractuales;
e) descripciones del nivel de servicio, incluidas sus actualizaciones y revisiones;
f) la obligación del proveedor tercero de servicios de TIC de prestar asistencia a la entidad financiera sin coste adicional, o a
un coste determinado con anterioridad, cuando se produzca un incidente de TIC relacionado con el servicio de TIC
prestado a la entidad financiera;
g) la obligación del proveedor tercero de servicios de TIC de cooperar plenamente con las autoridades competentes y las
autoridades de resolución de la entidad financiera, incluidas las personas nombradas por ellas;
h) los derechos de terminación y los correspondientes plazos mínimos de notificación para la terminación de los acuerdos
contractuales, conforme a las expectativas de las autoridades competentes y las autoridades de resolución;
i) las condiciones para la participación de proveedores terceros de servicios de TIC en los programas de sensibilización en
materia de seguridad de las TIC y en las actividades de formación sobre resiliencia operativa digital de las entidades
financieras, de conformidad con el artículo 13, apartado 6.

3. Además de los elementos a que se refiere el apartado 2, los acuerdos contractuales sobre el uso de servicios de TIC que
sustenten funciones esenciales o importantes incluirán por lo menos lo siguiente:
a) descripciones completas del nivel de servicio, incluidas sus actualizaciones y revisiones, con objetivos precisos de
rendimiento cuantitativos y cualitativos dentro de los niveles de servicio acordados, de modo que la entidad financiera
pueda realizar un seguimiento efectivo de los servicios de TIC y que se puedan adoptar sin demora indebida las
medidas correctoras adecuadas cuando no se alcancen los niveles de servicio acordados;
b) plazos de notificación y obligaciones de información del proveedor tercero de servicios de TIC a la entidad financiera,
incluida la notificación de cualquier hecho que pueda afectar considerablemente a la capacidad del proveedor tercero
de servicios de TIC para prestar de forma efectiva los servicios de TIC que sustentan funciones esenciales o importantes
de conformidad con los niveles de servicio acordados;
c) requisitos para que el proveedor tercero de servicios de TIC aplique y someta apruebe los planes de contingencia
empresarial y disponga de medidas, herramientas y políticas de seguridad de las TIC que proporcionen un nivel
adecuado de seguridad para la prestación de servicios por parte de la entidad financiera en consonancia con su marco
regulador;
d) la obligación de que el proveedor tercero de servicios de TIC participe y coopere plenamente en las pruebas de
penetración basadas en amenazas de la entidad financiera a que se refieren los artículos 26 y 27;
e) el derecho a realizar un seguimiento continuo de la actuación del proveedor tercero de servicios de TIC, lo que implica
lo siguiente:
27.12.2022 ES Diario Oficial de la Unión Europea L 333/53

i) derechos ilimitados de acceso, inspección y auditoría por la entidad financiera o un tercero designado, y por la
autoridad competente, y el derecho a hacer copias de la documentación pertinente in situ si son esenciales para las
operaciones del proveedor tercero de servicios de TIC, cuyo ejercicio efectivo no se vea obstaculizado o limitado
por otros acuerdos contractuales o políticas de aplicación,
ii) el derecho a pactar niveles de garantía alternativos si se ven afectados los derechos de otros clientes,
iii) la obligación de que el proveedor tercero de servicios de TIC coopere plenamente durante las inspecciones y las
auditorías in situ realizadas por las autoridades competentes, el supervisor principal, la entidad financiera o un
tercero designado, y
iv) la obligación de proporcionar detalles sobre el alcance, los procedimientos que deben seguirse y la frecuencia de
tales inspecciones y auditorías;
f) estrategias de salida, en particular el establecimiento de un período transitorio suficiente obligatorio:
i) durante el cual el proveedor tercero de servicios de TIC seguirá proporcionando las funciones o los servicios de TIC
de que se trate con el fin de reducir el riesgo de perturbación en la entidad financiera o de garantizar su resolución y
reestructuración efectivas,
ii) que permita a la entidad financiera migrar a otro proveedor tercero de servicios de TIC o adoptar soluciones internas
coherentes con la complejidad del servicio prestado.

Como excepción a lo dispuesto en la letra e), el proveedor tercero de servicios de TIC y la entidad financiera que sea una
microempresa podrán acordar que se puedan delegar los derechos de acceso, inspección y auditoría de la entidad
financiera en un tercero independiente, designado por el proveedor tercero de servicios de TIC, y que la entidad financiera
pueda solicitar al tercero en cualquier momento información y garantías sobre la actuación del proveedor tercero de
servicios de TIC.

4. Al negociar acuerdos contractuales, las entidades financieras y los proveedores terceros de servicios de TIC
considerarán el uso de cláusulas contractuales tipo elaboradas por las autoridades públicas para servicios específicos.

5. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de
regulación para especificar más detalladamente los elementos a que se refiere el apartado 2, letra a), que una entidad
financiera debe determinar y evaluar a la hora de subcontratar servicios de TIC que sustenten funciones esenciales o
importantes.

A la hora de elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán
en cuenta el tamaño y el perfil de riesgo general de la entidad financiera, así como la naturaleza, escala y complejidad de sus
servicios, actividades y operaciones.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a
más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE)
n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los artículos 10 a 14 del Reglamento (UE)
n.o 1095/2010.

S ecc i ón II

Ma r co d e su pe r v is i ón d e lo s p r ovee do re s t er ce ro s ese ncia l e s d e se r vici o s d e TI C

Artículo 31

Designación de proveedores terceros esenciales de servicios de TIC

1. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y por recomendación del Foro de Supervisión
establecido en virtud del artículo 32, apartado 1, deberán:
a) designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, tras una
evaluación que tenga en cuenta los criterios especificados en el apartado 2;
L 333/54 ES Diario Oficial de la Unión Europea 27.12.2022

b) nombrar como supervisor principal para cada proveedor tercero esencial de servicios de TIC a la Autoridad Europea de
Supervisión que sea responsable, de conformidad con los Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 o (UE)
n.o 1095/2010, para las entidades financieras que tengan conjuntamente la parte más grande de activos totales del valor
de activos totales de todas las entidades financieras que utilizan los servicios del proveedor tercero esencial de servicios
de TIC pertinente, según conste en la suma de los balances particulares de dichas entidades financieras.

2. La designación a que se refiere el apartado 1, letra a), se basará en todos los criterios siguientes en relación con los
servicios de TIC prestados por el proveedor tercero de servicios de TIC:

a) el impacto sistémico en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros en caso de un


posible fallo operativo a gran escala del proveedor tercero de servicios de TIC de que se trate que afecte a la prestación de
sus servicios, teniendo en cuenta el número de entidades financieras y el valor total de los activos de las entidades
financieras a las que presta servicios el proveedor tercero de servicios de TIC de que se trate;

b) el carácter o la importancia sistémicos de las entidades financieras que dependen del proveedor tercero de servicios de
TIC de que se trate, evaluados con arreglo a los parámetros siguientes:

i) el número de entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS)
que dependen del proveedor tercero de servicios de TIC correspondiente,

ii) la interdependencia entre las EISM u OEIS a que se refiere el inciso i) y otras entidades financieras, incluidas las
situaciones en las que las EISM u OEIS prestan servicios de infraestructura financiera a otras entidades financieras;

c) la dependencia de las entidades financieras respecto de los servicios prestados por el proveedor tercero de servicios de
TIC pertinente en relación con funciones esenciales o importantes de entidades financieras que, en última instancia,
impliquen al mismo proveedor tercero de servicios de TIC, con independencia de que las entidades financieras recurran
a dichos servicios directa o indirectamente, a través de acuerdos de subcontratación;

d) el grado de sustituibilidad del proveedor tercero de servicios de TIC, teniendo en cuenta los parámetros siguientes:

i) la falta de alternativas reales, siquiera parciales, debido al número limitado de proveedores terceros de servicios de
TIC activos en un mercado específico, o a la cuota de mercado del proveedor tercero de servicios de TIC de que se
trate, o a la complejidad o dificultad técnica existente, entre otras cosas en relación con tecnologías protegidas por
derechos, o a las características específicas de la organización o la actividad del proveedor tercero de servicios de TIC,

ii) las dificultades relacionadas con la migración parcial o total de los datos y cargas de trabajo pertinentes del
proveedor tercero de servicios de TIC en cuestión a otro, al ser considerables los costes financieros, el tiempo u
otros recursos que el proceso de migración podría implicar, o debido al aumento del riesgo de TIC o de otros
riesgos operativos a los que podría verse expuesta la entidad financiera a través de dicha migración.

3. Cuando el proveedor tercero de servicios de TIC pertenezca a un grupo, los criterios a que se refiere el apartado 2 se
tendrán en cuenta en relación con los servicios de TIC prestados por el grupo en su conjunto.

4. Los proveedores terceros esenciales de servicios de TIC que formen parte de un grupo designarán a una persona
jurídica como punto de coordinación para garantizar una representación y una comunicación adecuadas con el supervisor
principal.

5. El supervisor principal notificará al proveedor tercero de servicios de TIC el resultado de la evaluación previa a la
designación a que se refiere el apartado 1, letra a). En el plazo de seis semanas a partir de la fecha de la notificación, el
proveedor tercero de servicios de TIC podrá presentar al supervisor principal una declaración motivada con cualquier
información pertinente a efectos de la evaluación. El supervisor principal considerará la declaración motivada y podrá
solicitar que se presente información adicional en un plazo de treinta días naturales a partir de la recepción de dicha
declaración.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/55

Tras designar a un proveedor tercero de servicios de TIC como esencial, las Autoridades Europeas de Supervisión, a través
del Comité Mixto, notificarán al proveedor tercero de servicios de TIC dicha designación y la fecha de inicio a partir de la
cual será efectivamente objeto de actividades de supervisión. Dicha fecha de inicio no será posterior en más de un mes a la
notificación. El proveedor tercero de servicios de TIC notificará a las entidades financieras a las que presta servicios su
designación como esencial.

6. Se otorgan a la Comisión los poderes para adoptar un acto delegado, de conformidad con el artículo 57, para
completar el presente Reglamento especificando con más detalle los criterios mencionados en el apartado 2 del presente
artículo, a más tardar el 17 de julio de 2024.

7. La designación a que se refiere el apartado 1, letra a), no se utilizará hasta que la Comisión haya adoptado un acto
delegado de conformidad con el apartado 6.

8. La designación a que se refiere el apartado 1, letra a), no se aplicará a:


i) las entidades financieras que presten servicios de TIC a otras entidades financieras,
ii) los proveedores terceros de servicios de TIC que estén sujetos a marcos de supervisión establecidos en apoyo de las
tareas a que se refiere el artículo 127, apartado 2, del TFUE,
iii) los proveedores intragrupo de servicios de TIC,
iv) los proveedores terceros de servicios de TIC que presten servicios de TIC únicamente en un Estado miembro a entidades
financieras que operan exclusivamente en ese Estado miembro.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, establecerán, publicarán y actualizarán
anualmente la lista de proveedores terceros esenciales de servicios de TIC a escala de la Unión.

10. A efectos de lo dispuesto en el apartado 1, letra a), las autoridades competentes transmitirán anualmente y de forma
agregada los informes a que se refiere el artículo 28, apartado 3, párrafo tercero, al Foro de Supervisión establecido en
virtud del artículo 32. El Foro de Supervisión evaluará las dependencias de terceros en el ámbito de las TIC de las entidades
financieras basándose en la información recibida de las autoridades competentes.

11. Los proveedores terceros de servicios de TIC que no estén incluidos en la lista a que se refiere el apartado 9 podrán
solicitar ser designados como esenciales de conformidad con el apartado 1, letra a).

A efectos de lo dispuesto en el párrafo primero, el proveedor tercero de servicios de TIC presentará una solicitud motivada a
la ABE, la AEVM o la AESPJ que, a través del Comité Mixto, decidirán si lo designan o no como esencial de conformidad con
el apartado 1, letra a).

La decisión a que se refiere el párrafo segundo se adoptará y notificará al proveedor tercero de servicios de TIC en un plazo
de seis meses a partir de la recepción de la solicitud.

12. Las entidades financieras solo recurrirán a los servicios de un proveedor tercero de servicios de TIC establecido en
un tercer país y que haya sido designado como esencial de conformidad con el apartado 1, letra a), si este último ha
establecido una filial en la Unión en los 12 meses siguientes a la designación.

13. El proveedor tercero esencial de servicios de TIC a que se refiere el apartado 12 notificará al supervisor principal
cualquier cambio en la estructura de la dirección de la filial establecida en la Unión.

Artículo 32

Estructura del marco de supervisión

1. El Comité Mixto, de conformidad con el artículo 57, apartado 1, del Reglamento (UE) n.o 1093/2010, el artículo 57,
apartado 1, del Reglamento (UE) n.o 1094/2010 y el artículo 57, apartado 1, del Reglamento (UE) n.o 1095/2010,
establecerá el Foro de Supervisión como subcomité encargado de apoyar el trabajo del Comité Mixto y del supervisor
principal a que se refiere el artículo 31, apartado 1, letra b), en materia de riesgo relacionado con las TIC derivado de
terceros en los distintos sectores financieros. El Foro de Supervisión elaborará los proyectos de posiciones conjuntas y de
actos comunes del Comité Mixto en este ámbito.
L 333/56 ES Diario Oficial de la Unión Europea 27.12.2022

El Foro de Supervisión debatirá periódicamente las novedades pertinentes en materia de riesgos y vulnerabilidades en
materia de TIC y promoverá un enfoque coherente de seguimiento de los riesgos relacionados con las TIC derivados de
terceros a escala de la Unión.

2. El Foro de Supervisión llevará a cabo anualmente una evaluación colectiva de los resultados y las conclusiones de las
actividades de supervisión realizadas para todos los proveedores terceros esenciales de servicios de TIC y promoverá
medidas de coordinación para incrementar la resiliencia operativa digital de las entidades financieras, fomentar buenas
prácticas para hacer frente al riesgo de concentración de TIC y estudiar medidas de mitigación de la transferencia de
riesgos entre sectores.

3. El Foro de Supervisión presentará índices de referencia exhaustivos para los proveedores terceros esenciales de
servicios de TIC, que el Comité Mixto adoptará como posiciones conjuntas de las Autoridades Europeas de Supervisión de
conformidad con el artículo 56, apartado 1, del Reglamento (UE) n.o 1093/2010, el artículo 56, apartado 1, del
Reglamento (UE) n.o 1094/2010 y el artículo 56, apartado 1, del Reglamento (UE) n.o 1095/2010.

4. El Foro de Supervisión estará integrado por:


a) los presidentes de las Autoridades Europeas de Supervisión;
b) un representante de alto nivel del personal en plantilla de la autoridad competente pertinente a que se refiere el
artículo 46 de cada Estado miembro;
c) los respectivos directores ejecutivos de cada Autoridad Europea de Supervisión y un representante de la Comisión, de la
JERS, del BCE y de la ENISA en calidad de observadores;
d) en su caso, un representante adicional de una autoridad competente a que se refiere el artículo 46 de cada Estado
miembro, en calidad de observador;
e) cuando proceda, un representante de las autoridades competentes designadas o establecidas de conformidad con la
Directiva (UE) 2022/2555 responsable, en calidad de observador, de la supervisión de una entidad esencial o
importante sujeta a dicha Directiva, que haya sido designada proveedor tercero esencial de servicios de TIC.

Cuando proceda, el Foro de Supervisión podrá solicitar el asesoramiento de expertos independientes nombrados de
conformidad con el apartado 6.

5. Cada Estado miembro designará a la autoridad competente pertinente a cuyo personal pertenecerá el representante de
alto nivel a que se refiere el apartado 4, párrafo primero, letra b), e informará de ello al supervisor principal.

Las Autoridades Europeas de Supervisión publicarán en su sitio web la lista de representantes de alto nivel del personal en
plantilla de la autoridad competente pertinente, designados por los Estados miembros.

6. Los expertos independientes a que se refiere el apartado 4, párrafo segundo, serán nombrados por el Foro de
Supervisión, que los elegirá de entre un grupo de expertos seleccionados tras un proceso de presentación de candidaturas
público y transparente.

Los expertos independientes serán nombrados en atención a sus conocimientos especializados en materia de estabilidad
financiera, resiliencia operativa digital y seguridad de las TIC. Actuarán con independencia y objetividad en interés
exclusivo del conjunto de la Unión y no pedirán ni aceptarán instrucción alguna de las instituciones u órganos de la Unión,
de ningún Gobierno de un Estado miembro ni de ninguna otra entidad pública o privada.

7. De conformidad con el artículo 16 del Reglamento (UE) n.o 1093/2010, el artículo 16 del Reglamento (UE)
n.o 1094/2010 y el artículo 16 del Reglamento (UE) n.o 1095/2010, las Autoridades Europeas de Supervisión emitirán, a
más tardar el 17 de julio de 2024, a efectos de lo dispuesto en la presente sección, directrices sobre la cooperación entre
ellas y las autoridades competentes que incluyan procedimientos y condiciones detallados de distribución y ejecución de
tareas entre las autoridades competentes y las Autoridades Europeas de Supervisión, así como los pormenores sobre los
intercambios de información necesarios para que las autoridades competentes garanticen el seguimiento de las
recomendaciones formuladas en virtud del artículo 35, apartado 1, letra d), dirigidas a los proveedores terceros esenciales
de servicios de TIC.

8. Los requisitos establecidos en la presente sección se entenderán sin perjuicio de la aplicación de la Directiva (UE)
2022/2555 y de otras normas de la Unión sobre supervisión aplicables a los proveedores de servicios de computación en
nube.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y basándose en los trabajos preparatorios
realizados por el Foro de Supervisión, presentarán anualmente al Parlamento Europeo, al Consejo y a la Comisión un
informe sobre la aplicación de la presente sección.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/57

Artículo 33

Tareas del supervisor principal

1. El supervisor principal, nombrado de conformidad con el artículo 31, apartado 1, letra b), llevará a cabo la
supervisión de los proveedores terceros esenciales de servicios de TIC asignados y será, a efectos de todos los asuntos
relacionados con la supervisión, el punto de contacto principal para dichos proveedores terceros esenciales de servicios de
TIC.

2. A efectos de lo dispuesto en el apartado 1, el supervisor principal evaluará si cada proveedor tercero esencial de
servicios de TIC ha establecido normas, procedimientos, mecanismos y disposiciones completos, sólidos y efectivos para
gestionar el riesgo relacionado con las TIC que pueda plantear a las entidades financieras.

La evaluación a que se refiere el párrafo primero se centrará principalmente en los servicios de TIC prestados por el
proveedor tercero esencial de servicios de TIC que sustenten funciones esenciales o importantes de las entidades
financieras. Cuando sea necesario para abordar todos los riesgos pertinentes, dicha evaluación abarcará además los
servicios de TIC que sustenten funciones distintas de aquellas que son esenciales o importantes.

3. La evaluación a la que se refiere el apartado 2 abarcará:


a) los requisitos en materia de TIC para garantizar, en particular, la seguridad, la disponibilidad, la continuidad, la
escalabilidad y la calidad de los servicios que el proveedor tercero esencial de servicios de TIC presta a las entidades
financieras, así como la capacidad para mantener en todo momento unos niveles elevados de disponibilidad,
autenticidad, integridad o confidencialidad de los datos;
b) la seguridad física que contribuye a garantizar la seguridad de las TIC, incluida la seguridad de los locales, instalaciones y
centros de datos;
c) los procesos de gestión de riesgos, incluidas las políticas de gestión del riesgo relacionado con las TIC, la política de
continuidad de la actividad en materia de TIC y los planes de respuesta y recuperación en materia de TIC;
d) los mecanismos de gobernanza, incluida una estructura organizativa con líneas de responsabilidad claras, transparentes
y coherentes y normas de rendición de cuentas que permitan la gestión eficaz del riesgo relacionado con las TIC;
e) la determinación, el seguimiento y la rápida notificación a las entidades financieras de los incidentes importantes
relacionados con las TIC, la gestión y la resolución de dichos incidentes, en particular de los ciberataques;
f) los mecanismos para la portabilidad de los datos y la portabilidad e interoperabilidad de las aplicaciones, que garanticen
el ejercicio efectivo de los derechos de terminación por las entidades financieras;
g) la prueba de los sistemas, las infraestructuras y los controles de TIC;
h) las auditorías de TIC;
i) la aplicación de las normas nacionales e internacionales pertinentes en materia de prestación de sus servicios de TIC a
las entidades financieras.

4. Sobre la base de la evaluación a que se refiere el apartado 2, y en coordinación con la Red de Supervisión Conjunta a
que se refiere el artículo 34, apartado 1, el supervisor principal adoptará un plan de supervisión particular claro, detallado y
motivado en el que se describan los objetivos anuales de supervisión y las principales acciones de supervisión previstas para
cada proveedor tercero esencial de servicios de TIC. Dicho plan se comunicará cada año al proveedor tercero esencial de
servicios de TIC.

Antes de la adopción del plan de supervisión, el supervisor principal comunicará el proyecto de plan de supervisión al
proveedor tercero esencial de servicios de TIC.

Cuando reciba el proyecto de plan de supervisión, el proveedor tercero esencial de servicios de TIC podrá presentar una
declaración motivada en un plazo de quince días naturales en la que se exponga el efecto esperado en los clientes que sean
entidades excluidas del ámbito de aplicación del presente Reglamento y en la que se planteen, en su caso, soluciones para
mitigar los riesgos.

5. Una vez que los planes de supervisión anuales a que se refiere el apartado 4 hayan sido adoptados y notificados a los
proveedores terceros esenciales de servicios de TIC, las autoridades competentes podrán adoptar medidas en relación con
dichos proveedores solo de acuerdo con el supervisor principal.
L 333/58 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 34

Coordinación operativa entre supervisores principales

1. A fin de garantizar un enfoque coherente de las actividades de supervisión y con vistas a posibilitar estrategias
generales de supervisión coordinadas y enfoques operativos y metodologías de trabajo coherentes, los tres supervisores
principales nombrados de conformidad con el artículo 31, apartado 1, letra b), crearán una Red de Supervisión Conjunta a
fin de coordinarse entre sí en las fases preparatorias y de coordinar la realización de las actividades de supervisión de sus
proveedores terceros esenciales de servicios de TIC respectivos, así como en el curso de cualquier línea de actuación que
pueda ser necesaria en virtud del artículo 42.

2. A efectos del apartado 1, los supervisores principales elaborarán un protocolo común de supervisión en el que se
especifiquen los procedimientos detallados que deberán seguirse para llevar a cabo la coordinación cotidiana y para
garantizar intercambios y reacciones rápidos. El protocolo se revisará periódicamente para reflejar las necesidades
operativas, en particular la evolución de las disposiciones prácticas de supervisión.

3. Los supervisores principales podrán, de forma ad hoc, pedir al BCE y a la ENISA que proporcionen asesoramiento
técnico, compartan experiencias prácticas o se sumen a determinadas reuniones de coordinación de la Red de Supervisión
Conjunta.

Artículo 35

Facultades del supervisor principal

1. A efectos del desempeño de las funciones establecidas en la presente sección, el supervisor principal dispondrá de las
siguientes facultades por lo que respecta a los proveedores terceros esenciales de servicios de TIC:

a) solicitar toda la información y la documentación pertinentes de conformidad con el artículo 37;

b) llevar a cabo investigaciones generales e inspecciones de conformidad con los artículos 38 y 39, respectivamente;

c) una vez finalizadas las actividades de supervisión, solicitar informes en los que se especifiquen las medidas adoptadas o
las medidas correctoras aplicadas por los proveedores terceros esenciales de servicios de TIC en relación con las
recomendaciones a que se refiere la letra d) del presente apartado;

d) formular recomendaciones sobre los ámbitos a los que se refiere el artículo 33, apartado 3, en particular en relación con
lo siguiente:

i) la aplicación de requisitos o procesos específicos de seguridad y calidad de las TIC, en particular en relación con la
instalación de parches, actualizaciones, cifrado y otras medidas de seguridad que el supervisor principal considere
pertinentes para garantizar la seguridad, desde el punto de vista de las TIC, de los servicios prestados a las entidades
financieras,

ii) la aplicación de condiciones, incluida su ejecución técnica, a las que deba ajustarse la prestación de servicios de TIC a
las entidades financieras por los proveedores terceros esenciales de servicios de TIC, y que el supervisor principal
considere pertinentes para impedir que se generen o se amplíen puntos únicos de fallo, o para minimizar el posible
impacto sistémico en el sector financiero de la Unión en caso de riesgo de concentración de TIC,

iii) cualquier subcontratación prevista, en caso de que el supervisor principal considere que toda ulterior
subcontratación, incluidos los acuerdos de subcontratación que los proveedores terceros esenciales de servicios de
TIC prevean celebrar con proveedores terceros de servicios de TIC o con subcontratistas de TIC establecidos en un
tercer país, puede ocasionar riesgos para la prestación de servicios por la entidad financiera, o riesgos para la
estabilidad financiera, basándose en el examen de la información recabada de conformidad con los artículos 37
y 38,

iv) abstenerse de celebrar un acuerdo adicional de subcontratación, cuando se cumplan todas las condiciones
siguientes:

— que el subcontratista previsto sea un proveedor tercero de servicios de TIC o un subcontratista de TIC
establecido en un tercer país,

— que la subcontratación se refiera a las funciones esenciales o importantes de la entidad financiera, y


27.12.2022 ES Diario Oficial de la Unión Europea L 333/59

— que el supervisor principal considere que el recurso a tal subcontratación plantea un riesgo claro y grave para la
estabilidad financiera de la Unión o para las entidades financieras, también para la capacidad de estas últimas de
cumplir los requisitos de supervisión.

A efectos del inciso iv) de la presente letra, los proveedores terceros de servicios de TIC, utilizando la plantilla a que se
refiere el artículo 41, apartado 1, letra b), transmitirán la información relativa a la subcontratación al supervisor
principal.

2. En el ejercicio de las facultades a que se refiere el presente artículo, el supervisor principal:

a) garantizará una coordinación periódica en el seno de la Red de Supervisión Conjunta y, en particular, perseguirá
enfoques coherentes, según proceda, por lo que respecta a la supervisión de los proveedores terceros esenciales de
servicios de TIC;

b) tendrá debidamente en cuenta el marco establecido por la Directiva (UE) 2022/2555 y, cuando sea necesario, consultará
a las autoridades competentes pertinentes designadas o establecidas de conformidad con dicha Directiva, con el fin de
evitar la duplicación de medidas técnicas y organizativas que podrían aplicarse a los proveedores terceros esenciales de
servicios de TIC en virtud de dicha Directiva;

c) tratará de minimizar, en la medida de lo posible, el riesgo de perturbación de los servicios prestados por proveedores
terceros esenciales de servicios de TIC a clientes que sean entidades excluidas del ámbito de aplicación del presente
Reglamento.

3. El supervisor principal consultará al Foro de Supervisión antes de ejercer las facultades a que se refiere el apartado 1.

Antes de formular recomendaciones de conformidad con el apartado 1, letra d), el supervisor principal brindará al
proveedor tercero de servicios de TIC la oportunidad de facilitar, en un plazo de treinta días naturales, información
pertinente que exponga el efecto previsto en los clientes que sean entidades excluidas del ámbito de aplicación del presente
Reglamento y, cuando proceda, que plantee soluciones para mitigar los riesgos.

4. El supervisor principal informará a la Red de Supervisión Conjunta del resultado del ejercicio de las facultades a que
se refiere el apartado 1, letras a) y b). El supervisor principal transmitirá, sin demora indebida, los informes a que se refiere
el apartado 1, letra c), a la Red de Supervisión Conjunta y a las autoridades competentes de las entidades financieras que
utilicen los servicios de TIC de dicho proveedor tercero esencial de servicios de TIC.

5. Los proveedores terceros esenciales de servicios de TIC cooperarán de buena fe con el supervisor principal y lo
asistirán en el desempeño de sus tareas.

6. En caso de incumplimiento total o parcial de las medidas cuya adopción se exigió en virtud del ejercicio de las
facultades con arreglo al apartado 1, letras a), b) y c), y tras la expiración de un plazo de al menos treinta días naturales a
partir de la fecha en que el proveedor tercero esencial de servicios de TIC haya recibido la notificación de las medidas de
que se trate, el supervisor principal adoptará una decisión por la que se imponga una multa coercitiva para empujar al
proveedor tercero esencial de servicios de TIC a cumplir dichas medidas.

7. La multa coercitiva a que se refiere el apartado 6 se impondrá diariamente hasta que se logre el cumplimiento y por
un período máximo de seis meses a partir de la notificación de la decisión de imponer una multa coercitiva al proveedor
tercero esencial de servicios de TIC.

8. El importe de la multa coercitiva, calculado a partir de la fecha establecida en la decisión por la que se imponga dicha
multa, será de hasta un 1 % del volumen de negocios diario medio a escala mundial del proveedor tercero esencial de
servicios de TIC en el ejercicio precedente. Al determinar el importe de la multa coercitiva, el supervisor principal tendrá
en cuenta los siguientes criterios en relación con el incumplimiento de las medidas a que se refiere el apartado 6:

a) la gravedad y la duración del incumplimiento;

b) si el incumplimiento ha sido cometido intencionadamente o por negligencia;

c) el nivel de cooperación del proveedor tercero de servicios de TIC con el supervisor principal.
L 333/60 ES Diario Oficial de la Unión Europea 27.12.2022

A efectos del párrafo primero el supervisor principal entablará consultas en el seno de la Red de Supervisión Conjunta a fin
de garantizar un enfoque coherente.

9. Las multas coercitivas serán de carácter administrativo y tendrán fuerza ejecutiva. La ejecución forzosa se regirá por
las normas de procedimiento civil vigentes en el Estado miembro en cuyo territorio se lleven a cabo las inspecciones y el
acceso. Los órganos jurisdiccionales del Estado miembro de que se trate serán competentes para conocer de las denuncias
relacionadas con irregularidades en la ejecución. Los importes de las multas coercitivas se asignarán al presupuesto general
de la Unión Europea.

10. El supervisor principal hará públicas todas las multas coercitivas que se impongan, a menos que dicha divulgación
ponga en grave riesgo los mercados financieros o cause un perjuicio desproporcionado a las partes implicadas.

11. Antes de imponer una multa coercitiva de conformidad con el apartado 6, el supervisor principal ofrecerá a los
representantes del proveedor tercero esencial de servicios de TIC objeto del procedimiento la oportunidad de ser oídos en
relación con las conclusiones y basará sus decisiones únicamente en las conclusiones acerca de las cuales el proveedor
tercero esencial de servicios de TIC objeto del procedimiento haya tenido la oportunidad de formular observaciones.

Los derechos de defensa de las personas objeto del procedimiento estarán garantizados plenamente en el curso del
procedimiento. El proveedor tercero esencial de servicios de TIC objeto del procedimiento tendrá derecho a acceder al
expediente, a reserva del interés legítimo de otras personas por lo que respecta a la protección de sus secretos comerciales.
El derecho de acceso al expediente no se extenderá a la información confidencial ni a los documentos preparatorios
internos del supervisor principal.

Artículo 36

Ejercicio de las facultades del supervisor principal fuera de la Unión

1. Cuando los objetivos de supervisión no puedan alcanzarse mediante una interacción con la filial establecida a efectos
del artículo 31, apartado 12, o mediante el ejercicio de actividades de supervisión en locales situados en la Unión, el
supervisor principal podrá ejercer las facultades a que se refieren las disposiciones siguientes en cualquier local situado en
un tercer país que sea propiedad de un proveedor tercero esencial de servicios de TIC o este utilice de cualquier modo para
prestar servicios a entidades financieras de la Unión, en relación con sus operaciones, funciones o servicios comerciales,
incluidos cualquier oficina, local, terreno, edificio u otra propiedad, de naturaleza administrativa comercial u operativa:

a) el artículo 35, apartado 1, letra a), y

b) el artículo 35, apartado 1, letra b), de conformidad con el artículo 38, apartado 2, letras a), b) y d), y el artículo 39,
apartado 1 y apartado 2, letra a).

Las facultades a que se refiere el párrafo primero podrán ejercerse siempre que se cumplan todas las condiciones siguientes:

i) el supervisor principal considera necesaria la realización de una inspección en un tercer país para poder desempeñar
plena y eficazmente sus funciones con arreglo al presente Reglamento,

ii) la inspección en un tercer país está directamente relacionada con la prestación de servicios de TIC a entidades
financieras de la Unión,

iii) el proveedor tercero esencial de servicios de TIC afectado consiente en que se lleve a cabo una inspección en un tercer
país, y

iv) la autoridad pertinente del tercer país de que se trate ha sido oficialmente informada por el supervisor principal y no ha
formulado objeciones al respecto.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/61

2. Sin perjuicio de las competencias respectivas de las instituciones de la Unión y de los Estados miembros, a efectos del
apartado 1, la ABE, la AEVM o la AESPJ, celebrarán acuerdos de cooperación administrativa con la autoridad pertinente del
tercer país a fin de que las inspecciones en el tercer país de que se trate por parte del supervisor principal y su equipo
designado para su misión en ese tercer país se puedan realizar de manera fluida. Dichos acuerdos de cooperación no
crearán obligaciones jurídicas para la Unión y sus Estados miembros ni impedirán a los Estados miembros y a sus
autoridades competentes celebrar acuerdos bilaterales o multilaterales con dichos terceros países y sus autoridades
pertinentes.

En dichos acuerdos de cooperación se especificarán, como mínimo, los siguientes elementos:


a) los procedimientos para la coordinación de las actividades de supervisión llevadas a cabo con arreglo al presente
Reglamento y de cualquier seguimiento análogo del riesgo de terceros relacionado con las TIC en el sector financiero
efectuado por la autoridad pertinente del tercer país de que se trate, incluidos los detalles para transmitir el acuerdo de
esta última que permita la realización, por parte del supervisor principal y su equipo designado, de las investigaciones
generales y las inspecciones in situ a que se refiere el apartado 1, párrafo primero, en el territorio bajo su jurisdicción;
b) el mecanismo para la transmisión de cualquier información pertinente entre la ABE, la AEVM o la AESPJ y la autoridad
pertinente del tercer país de que se trate, en particular en relación con la información que el supervisor principal puede
solicitar en virtud del artículo 37;
c) los mecanismos para la rápida notificación, por parte de la autoridad pertinente del tercer país de que se trate, a la ABE,
la AEVM o la AESPJ, de los casos en que se considere que un proveedor tercero de servicios de TIC establecido en un
tercer país y designado como esencial de conformidad con el artículo 31, apartado 1, letra a), ha incumplido los
requisitos que está obligado a cumplir en virtud del Derecho aplicable del tercer país de que se trate a la hora de prestar
servicios a entidades financieras de dicho tercer país, así como de las medidas correctoras y las sanciones aplicadas;
d) la transmisión periódica de información actualizada sobre la evolución en materia de regulación o supervisión en
relación con el seguimiento del riesgo de terceros relacionado con las TIC de las entidades financieras del tercer país de
que se trate;
e) los detalles para permitir, en caso necesario, la participación de un representante de la autoridad pertinente del tercer
país en las inspecciones realizadas por el supervisor principal y el equipo designado.

3. Cuando no pueda llevar a cabo fuera de la Unión las actividades de supervisión a que se refieren los apartados 1 y 2, el
supervisor principal deberá:
a) ejercer sus facultades con arreglo al artículo 35 basándose en todos los datos y documentos de que disponga;
b) documentar y explicar cualquier consecuencia de su incapacidad para llevar a cabo las actividades de supervisión
previstas a que se refiere el presente artículo.

En las recomendaciones del supervisor principal formuladas en virtud del artículo 35, apartado 1, letra d), se tendrán en
cuenta las posibles consecuencias a que se refiere la letra b) del presente apartado.

Artículo 37

Solicitud de información

1. El supervisor principal, mediante simple solicitud o mediante decisión, podrá exigir a los proveedores terceros
esenciales de servicios de TIC que faciliten cuanta información le sea necesaria para desempeñar sus funciones con arreglo
al presente Reglamento, incluidos todos los documentos comerciales u operativos, contratos, pólizas, documentación,
informes de auditorías de seguridad de las TIC e informes sobre incidentes relacionados con las TIC pertinentes, así como
cualquier información relativa a las partes a las que el proveedor tercero esencial de servicios de TIC haya externalizado
funciones o actividades operativas.

2. Cuando envíe una simple solicitud de información con arreglo al apartado 1, el supervisor principal:
a) hará referencia al presente artículo como base jurídica de la solicitud;
b) indicará el propósito de la solicitud;
c) especificará la información requerida;
d) fijará el plazo en el que habrá de serle facilitada la información;
L 333/62 ES Diario Oficial de la Unión Europea 27.12.2022

e) informará al representante del proveedor tercero esencial de servicios de TIC a quien se solicite la información de que, si
bien no está obligado a facilitar esa información, en caso de que responda voluntariamente a la solicitud, la información
que facilite no deberá ser incorrecta ni engañosa.

3. Cuando exija mediante decisión que se facilite información con arreglo al apartado 1, el supervisor principal:
a) hará referencia al presente artículo como base jurídica de la solicitud;
b) indicará el propósito de la solicitud;
c) especificará la información requerida;
d) fijará el plazo en el que habrá de serle facilitada la información;
e) indicará las multas coercitivas previstas en el artículo 35, apartado 6, en caso de que no se facilite toda la información
exigida o de que tal información no se facilite en el plazo a que se refiere la letra d) del presente apartado;
f) hará constar el derecho de recurrir la decisión ante la Sala de Recurso de la Autoridad Europea de Supervisión y ante el
Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»), de conformidad con los artículos 60
y 61 del Reglamento (UE) n.o 1093/2010, los artículos 60 y 61 del Reglamento (UE) n.o 1094/2010 y los artículos 60
y 61 del Reglamento (UE) n.o 1095/2010.

4. Los representantes de los proveedores terceros esenciales de servicios de TIC facilitarán la información solicitada. Los
abogados debidamente habilitados podrán facilitar la información en nombre de sus representados. El proveedor tercero
esencial de servicios de TIC seguirá siendo plenamente responsable si la información suministrada es incompleta,
incorrecta o engañosa.

5. El supervisor principal remitirá sin demora una copia de la decisión de facilitar información a las autoridades
competentes de las entidades financieras que utilicen los servicios de los proveedores terceros esenciales de servicios de TIC
pertinentes y a la Red de Supervisión Conjunta.

Artículo 38

Investigaciones generales

1. A fin de desempeñar sus funciones con arreglo al presente Reglamento, el supervisor principal, asistido por el equipo
conjunto de examinadores a que se refiere el artículo 40, apartado 1, podrá, cuando sea necesario, llevar a cabo
investigaciones de proveedores terceros esenciales de servicios de TIC.

2. El supervisor principal estará facultado para:


a) examinar los registros, datos, procedimientos y cualquier otra documentación pertinente para la realización de su
cometido, independientemente del medio utilizado para almacenarlos;
b) hacer u obtener copias certificadas o extractos de dichos registros, datos, procedimientos documentados y cualquier otra
documentación;
c) convocar a los representantes del proveedor tercero esencial de servicios de TIC para que den explicaciones orales o
escritas sobre los hechos o documentos que guarden relación con el objeto y el propósito de la investigación, y registrar
las respuestas;
d) entrevistar a cualquier otra persona física o jurídica que acepte ser entrevistada a fin de recabar información relacionada
con el objeto de una investigación;
e) requerir una relación de comunicaciones telefónicas y tráfico de datos.

3. Los agentes y demás personas acreditadas por el supervisor principal para realizar la investigación a que se refiere el
apartado 1 ejercerán sus facultades previa presentación de una autorización escrita que especifique el objeto y el propósito
de la investigación.

Dicha autorización indicará asimismo las multas coercitivas previstas en el artículo 35, apartado 6, cuando los registros,
datos, procedimientos documentados o cualquier otra documentación exigida, o las respuestas a las preguntas formuladas
a los representantes del proveedor tercero de servicios de TIC, no se faciliten o sean incompletos.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/63

4. Los representantes de los proveedores terceros esenciales de servicios de TIC estarán obligados a someterse a las
investigaciones sobre la base de una decisión del supervisor principal. La decisión precisará el objeto y el propósito de la
investigación, las multas coercitivas previstas en el artículo 35, apartado 6, las vías de recurso posibles con arreglo a los
Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 y (UE) n.o 1095/2010, así como el derecho a recurrir la decisión
ante el Tribunal de Justicia.

5. Con suficiente antelación antes del comienzo de la investigación, el supervisor principal informará de la investigación
prevista y de la identidad de las personas acreditadas a las autoridades competentes de las entidades financieras que utilicen
los servicios de TIC de dicho proveedor tercero esencial de servicios de TIC.

El supervisor principal comunicará a la Red de Supervisión Conjunta toda la información transmitida en virtud del párrafo
primero.

Artículo 39

Inspecciones

1. A efectos del desempeño de sus funciones de conformidad con el presente Reglamento, el supervisor principal,
asistido por los equipos conjuntos de examinadores a que se refiere el artículo 40, apartado 1, podrá acceder a
cualesquiera locales de uso profesional, terrenos o propiedades de los proveedores terceros de servicios de TIC, como sedes
centrales, centros de operaciones y locales secundarios, y realizar en ellos, como fuera de ellos, cuantas inspecciones sean
necesarias.

A efectos del ejercicio de las facultades a que se refiere el párrafo primero, el supervisor principal consultará a la Red de
Supervisión Conjunta.

2. Los agentes del supervisor principal y demás personas acreditadas por él para llevar a cabo una inspección in situ
estarán facultados para:
a) acceder a cualquiera de dichos locales, terrenos o propiedades de uso profesional, y
b) precintar cualesquiera de dichos locales de uso profesional, libros o registros durante el tiempo y en la medida
necesarios para la inspección.

Los agentes y demás personas acreditadas por el supervisor principal ejercerán sus facultades previa presentación de una
autorización escrita en la que se especifiquen el objeto y el propósito de la inspección, así como las multas coercitivas
establecidas en el artículo 35, apartado 6, en el supuesto de que los representantes de los proveedores terceros esenciales
de servicios de TIC de que se trate no se sometan a la inspección.

3. El supervisor principal informará con suficiente antelación antes del comienzo de la inspección a las autoridades
competentes de las entidades financieras que recurran a ese proveedor tercero de servicios de TIC.

4. Las inspecciones abarcarán todo el conjunto de sistemas, redes, dispositivos, información y datos de TIC pertinentes
utilizados para la prestación de servicios de TIC a las entidades financieras o que contribuyan a ella.

5. Antes de cualquier inspección in situ prevista, el supervisor principal avisará con antelación razonable a los
proveedores terceros esenciales de servicios de TIC, a menos que dicho aviso no sea posible debido a una situación de
emergencia o de crisis, o que conduzca a una situación en la que la inspección o la auditoría dejarían de ser eficaces.

6. El proveedor tercero esencial de servicios de TIC se someterá a las inspecciones in situ ordenadas mediante decisión
del supervisor principal. La decisión especificará el objeto y el propósito de la inspección, fijará la fecha de comienzo de la
inspección e indicará las multas coercitivas previstas en el artículo 35, apartado 6, las vías de recurso posibles con arreglo
a los Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 y (UE) n.o 1095/2010, así como el derecho a recurrir la
decisión ante el Tribunal de Justicia.

7. En caso de que los agentes y demás personas acreditadas por el supervisor principal constaten que un proveedor
tercero esencial de servicios de TIC se opone a una inspección ordenada en virtud del presente artículo, el supervisor
principal informará al proveedor tercero esencial de servicios de TIC de las consecuencias de dicha oposición, entre ellas la
posibilidad de que las autoridades competentes de las entidades financieras pertinentes obliguen a las entidades financieras a
poner fin a los acuerdos contractuales celebrados con dicho proveedor.
L 333/64 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 40

Supervisión permanente

1. Cuando lleve a cabo actividades de supervisión, en particular investigaciones generales o inspecciones, el supervisor
principal estará asistido por un equipo conjunto de examinadores establecido para cada proveedor tercero esencial de
servicios de TIC.

2. El equipo conjunto de examinadores a que se refiere el apartado 1 estará compuesto por miembros del personal de:
a) las Autoridades Europeas de Supervisión;
b) las autoridades competentes pertinentes que supervisen a las entidades financieras a las que preste servicios de TIC el
proveedor tercero esencial de servicios de TIC;
c) con carácter voluntario, la autoridad nacional competente a que se refiere el artículo 32, apartado 4, letra e);
d) con carácter voluntario, una autoridad nacional competente del Estado miembro en el que esté establecido el proveedor
tercero esencial de servicios de TIC.

Los miembros del equipo conjunto de examinadores deberán tener conocimientos especializados en cuestiones del ámbito
de las TIC y en materia de riesgo operativo. El equipo conjunto de examinadores trabajará bajo la coordinación de un
miembro designado del personal del supervisor principal («coordinador del supervisor principal»).

3. En los tres meses siguientes a la conclusión de una investigación o una inspección, el supervisor principal, previa
consulta al Foro de Supervisión, adoptará las recomendaciones que se remitirán al proveedor tercero esencial de servicios
de TIC en virtud de las facultades a que se refiere el artículo 35.

4. Las recomendaciones a las que se refiere el apartado 3 se comunicarán inmediatamente al proveedor tercero esencial
de servicios de TIC y a las autoridades competentes de las entidades financieras a las que preste servicios de TIC.

Para llevar a cabo las actividades de supervisión, el supervisor principal podrá tener en cuenta cualesquiera certificaciones
de terceros e informes de auditoría interna o externa de proveedores terceros de TIC pertinentes facilitados por el
proveedor tercero esencial de servicios de TIC.

Artículo 41

Armonización de las condiciones que permiten llevar a cabo las actividades de supervisión

1. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, elaborarán proyectos de normas técnicas de
regulación para especificar:
a) la información que debe facilitar un proveedor tercero de servicios de TIC en la solicitud de inclusión voluntaria para ser
designado como esencial con arreglo al artículo 31, apartado 11;
b) el contenido, la estructura y el formato de la información que los proveedores terceros de servicios de TIC deben
presentar, divulgar o notificar en virtud del artículo 35, apartado 1, incluida la plantilla para informar sobre los
acuerdos de subcontratación;
c) los criterios para determinar la composición del equipo conjunto de examinadores, garantizando una participación
equilibrada de los miembros del personal de las Autoridades Europeas de Supervisión y de las autoridades competentes
pertinentes, así como su designación, tareas y modalidades de trabajo;
d) los pormenores de la evaluación por las autoridades competentes de las medidas adoptadas por los proveedores terceros
esenciales de servicios de TIC en aplicación de las recomendaciones del supervisor principal en virtud del artículo 42,
apartado 3.

2. Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de
regulación a más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas
de regulación a que se refiere el apartado 1 del presente artículo de conformidad con el procedimiento establecido en los
artículos 10 a 14 del Reglamento (UE) n.o 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los
artículos 10 a 14 del Reglamento (UE) n.o 1095/2010.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/65

Artículo 42

Seguimiento por las autoridades competentes

1. En el plazo de sesenta días naturales a partir de la recepción de las recomendaciones emitidas por el supervisor
principal en virtud del artículo 35, apartado 1, letra d), los proveedores terceros esenciales de servicios de TIC notificarán
al supervisor principal si tienen intención de seguir dichas recomendaciones o facilitarán una explicación razonada de los
motivos por los que no lo van a hacer. El supervisor principal transmitirá inmediatamente esta información a las
autoridades competentes de las entidades financieras de que se trate.

2. Cuando un proveedor tercero esencial de servicios de TIC no presente su notificación al supervisor principal de
conformidad con el apartado 1 o cuando la explicación facilitada por el proveedor tercero esencial de servicios de TIC no
se considere suficiente, el supervisor principal lo divulgará públicamente. La información publicada revelará la identidad
del proveedor tercero esencial de servicios de TIC, así como información sobre el tipo y la naturaleza del incumplimiento.
Dicha información se limitará a lo que sea pertinente y proporcionado para garantizar la concienciación del público, a
menos que dicha divulgación causare un perjuicio desproporcionado a las partes implicadas o pueda comprometer
gravemente el correcto funcionamiento y la integridad de los mercados financieros o la estabilidad del conjunto o de una
parte del sistema financiero de la Unión.

El supervisor principal notificará dicha divulgación pública al proveedor tercero de servicios de TIC.

3. Las autoridades competentes informarán a las entidades financieras pertinentes acerca de los riesgos señalados en las
recomendaciones a los proveedores terceros esenciales de servicios de TIC de conformidad con el artículo 35, apartado 1,
letra d).

Al gestionar el riesgo de terceros relacionado con las TIC, las entidades financieras tendrán en cuenta los riesgos a que se
refiere el párrafo primero.

4. Cuando una autoridad competente considere que una entidad financiera no tiene en cuenta o no aborda
suficientemente en su gestión del riesgo de terceros relacionado con las TIC los riesgos específicos señalados en las
recomendaciones, notificará a la entidad financiera la posibilidad de adoptar una decisión, en el plazo de sesenta días
naturales a partir de la recepción de dicha notificación, en virtud del apartado 6, en ausencia de disposiciones
contractuales adecuadas destinadas a hacer frente a dichos riesgos.

5. Cuando se reciban los informes a que se refiere el artículo 35, apartado 1, letra c), y antes de tomar la decisión a que se
refiere el apartado 6 del presente artículo, las autoridades competentes podrán, de forma voluntaria, consultar a las
autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555, responsables de la
supervisión de una entidad esencial o importante sujeta a dicha Directiva, que haya sido designada como proveedor
tercero esencial de servicios de TIC.

6. Como último recurso, tras la notificación y, si procede, tras la consulta establecidas en los apartados 4 y 5 del presente
artículo, las autoridades competentes podrán, de conformidad con el artículo 50, tomar la decisión de exigir a las entidades
financieras que suspendan temporalmente, de manera parcial o total, el uso o la implantación de un servicio prestado por el
proveedor tercero esencial de servicios de TIC hasta que se hayan abordado los riesgos mencionados en las
recomendaciones dirigidas a los proveedores terceros esenciales de servicios de TIC. En caso necesario, podrán exigir a las
entidades financieras que pongan fin, en parte o en su totalidad, a los acuerdos contractuales pertinentes celebrados con
los proveedores terceros esenciales de servicios de TIC.

7. Cuando un proveedor tercero esencial de servicios de TIC se niegue a seguir las recomendaciones sobre la base de un
enfoque distinto del recomendado por el supervisor principal y dicho enfoque pueda repercutir negativamente en un gran
número de entidades financieras o en una parte considerable del sector financiero, y las advertencias individuales emitidas
por las autoridades competentes no hayan dado lugar a enfoques sistemáticos que mitiguen el posible riesgo para la
estabilidad financiera, el supervisor principal podrá, previa consulta al Foro de Supervisión, emitir dictámenes no
vinculantes y no públicos a las autoridades competentes, a fin de promover medidas de seguimiento en materia de
supervisión sistemáticas y convergentes, según proceda.

8. Cuando se reciban los informes a que se refiere el artículo 35, apartado 1, letra c), las autoridades competentes, al
tomar la decisión a que se refiere el apartado 6 del presente artículo, tendrán en cuenta el tipo y la magnitud del riesgo no
abordado por el proveedor tercero esencial de servicios de TIC, así como la gravedad del incumplimiento, considerando los
siguientes criterios:
L 333/66 ES Diario Oficial de la Unión Europea 27.12.2022

a) la gravedad y la duración del incumplimiento;

b) si el incumplimiento ha puesto de manifiesto deficiencias graves en los procedimientos, los sistemas de gestión, la
gestión de riesgos y los controles internos del proveedor tercero esencial de servicios de TIC;

c) si el incumplimiento ha facilitado o provocado la comisión de un delito financiero o este último le es imputable de


cualquier otro modo;

d) si el incumplimiento ha sido cometido intencionadamente o por negligencia;

e) si la suspensión o la terminación de los acuerdos contractuales supone un riesgo para la continuidad de las operaciones
comerciales de la entidad financiera, pese a los esfuerzos de esta por evitar perturbaciones en la prestación de sus
servicios;

f) cuando proceda, el dictamen, solicitado voluntariamente de conformidad con el apartado 5 del presente artículo, de las
autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555, responsables de la
supervisión de una entidad esencial o importante sujeta a dicha Directiva, que haya sido designada como proveedor
tercero esencial de servicios de TIC.

Las autoridades competentes concederán a las entidades financieras el tiempo necesario para que puedan adaptar los
acuerdos contractuales con proveedores terceros esenciales de servicios de TIC a fin de evitar efectos perjudiciales en su
resiliencia operativa digital y que puedan implantar las estrategias de salida y los planes de transición a que se refiere el
artículo 28.

9. La decisión a que se refiere el apartado 6 del presente artículo se notificará a los miembros del Foro de Supervisión a
que se refiere el artículo 32, apartado 4, letras a), b) y c), y a la Red de Supervisión Conjunta.

Los proveedores terceros esenciales de servicios de TIC afectados por las decisiones establecidas en el apartado 6
cooperarán plenamente con las entidades financieras perjudicadas, en particular en el contexto del proceso de suspensión
o terminación de sus acuerdos contractuales.

10. Las autoridades competentes informarán periódicamente al supervisor principal sobre los enfoques y las medidas
adoptados en el desempeño de sus tareas de supervisión en relación con las entidades financieras, así como sobre los
acuerdos contractuales celebrados por las entidades financieras cuando los proveedores terceros esenciales de servicios de
TIC no hayan refrendado en parte o en su totalidad las recomendaciones que les hayan sido formuladas por el supervisor
principal.

11. El supervisor principal podrá, previa solicitud, proporcionar aclaraciones adicionales acerca de las recomendaciones
formuladas para orientar a las autoridades competentes sobre las medidas de seguimiento.

Artículo 43

Tasas de supervisión

1. El supervisor principal, de conformidad con el acto delegado a que se refiere el apartado 2 del presente artículo,
cobrará a los proveedores terceros esenciales de servicios de TIC unas tasas que cubran por completo los gastos que deba
asumir el supervisor principal para la realización de las tareas de supervisión en virtud del presente Reglamento, incluido
el reembolso de cualquier coste que pueda derivarse del trabajo realizado por el equipo conjunto de examinadores a que se
refiere el artículo 40, así como los costes del asesoramiento facilitado por los expertos independientes a que se refiere el
artículo 32, apartado 4, párrafo segundo, en relación con los asuntos que forman parte del ámbito de competencia de las
actividades directas de supervisión.

El importe de las tasas cobradas a un proveedor tercero esencial de servicios de TIC cubrirá todos los costes derivados de la
ejecución de las obligaciones establecidas en la presente sección y será proporcional a su volumen de negocios.

2. Se otorgan a la Comisión los poderes para adoptar un acto delegado con arreglo al artículo 57 por el que se complete
el presente Reglamento mediante la determinación del importe de las tasas y las modalidades de pago, a más tardar el
17 de julio de 2024.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/67

Artículo 44

Cooperación internacional

1. Sin perjuicio de lo dispuesto en el artículo 36, la ABE, la AEVM y la AESPJ podrán, de conformidad con el artículo 33
del Reglamento (UE) n.o 1093/2010, el artículo 33 del Reglamento (UE) n.o 1095/2010 y el artículo 33 del Reglamento (UE)
n.o 1094/2010, celebrar acuerdos administrativos con las autoridades de regulación y supervisión de terceros países para
fomentar la cooperación internacional en materia de riesgo de terceros relacionado con las TIC en diferentes sectores
financieros, en particular mediante el desarrollo de buenas prácticas para la evaluación de los procedimientos y controles
en materia de gestión del riesgo relacionado con las TIC, las medidas paliativas y las respuestas a los incidentes.

2. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, presentarán cada cinco años al Parlamento
Europeo, al Consejo y a la Comisión un informe confidencial conjunto en el que se resuman las conclusiones de los
debates pertinentes mantenidos con las autoridades de terceros países a que se refiere el apartado 1, centrándose en la
evolución del riesgo de terceros relacionado con las TIC y sus implicaciones para la estabilidad financiera, la integridad del
mercado, la protección de los inversores y el funcionamiento del mercado interior.

CAPÍTULO VI

Acuerdos de intercambio de información

Artículo 45

Acuerdos de intercambio de información en relación con información e inteligencia sobre ciberamenazas

1. Las entidades financieras podrán intercambiar entre sí información e inteligencia sobre ciberamenazas, incluidos
indicadores de compromiso, tácticas, técnicas y procedimientos, alertas de ciberseguridad y herramientas de configuración,
en la medida en que dicho intercambio de información e inteligencia:

a) tenga por objeto mejorar la resiliencia operativa digital de las entidades financieras, en particular mediante la
concienciación en relación con las ciberamenazas, la limitación o la desactivación de la capacidad de propagación de
las ciberamenazas, el apoyo a las capacidades defensivas, las técnicas de detección de amenazas, las estrategias de
mitigación o las fases de respuesta y recuperación;

b) tenga lugar dentro de comunidades de entidades financieras de confianza;

c) se realice mediante acuerdos de intercambio de información que protejan el carácter potencialmente sensible de la
información compartida y se rijan por normas de conducta que respeten plenamente el secreto comercial, la protección
de los datos personales de conformidad con el Reglamento (UE) 2016/679 y las directrices sobre política de
competencia.

2. A efectos de lo dispuesto en el apartado 1, letra c), en los acuerdos de intercambio de información se definirán las
condiciones de participación y, en su caso, se establecerán los detalles relativos a la participación de las autoridades
públicas y a la calidad en la que estas podrán asociarse a dichos acuerdos, los detalles relativos a la participación de los
proveedores terceros de servicios de TIC y los relativos a los elementos operativos, incluido el uso de plataformas
informáticas especializadas.

3. Las entidades financieras notificarán a las autoridades competentes su participación en los acuerdos de intercambio
de información a que se refiere el apartado 1 en el momento en que se valide su incorporación a ellos o, en su caso, el cese
de su participación, una vez que se haga efectivo.
L 333/68 ES Diario Oficial de la Unión Europea 27.12.2022

CAPÍTULO VII

Autoridades competentes

Artículo 46

Autoridades competentes

Sin perjuicio de las disposiciones relativas al marco de supervisión de los proveedores terceros esenciales de servicios de TIC
a que se refiere el capítulo V, sección II, del presente Reglamento, el cumplimiento del presente Reglamento será garantizado
por las siguientes autoridades competentes de conformidad con las facultades otorgadas por los respectivos actos jurídicos:
a) en lo que respecta a las entidades de crédito y a las entidades exentas en virtud de la Directiva 2013/36/UE, la autoridad
competente designada de conformidad con el artículo 4 de dicha Directiva, y en lo que respecta a las entidades de
crédito consideradas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE)
n.o 1024/2013, el BCE de conformidad con las competencias y funciones conferidas por dicho Reglamento;
b) en lo que respecta a las entidades de pago, también las entidades de pago exentas en virtud de la Directiva (UE)
2015/2366, las entidades de dinero electrónico, también las exentas en virtud de la Directiva 2009/110/CE y los
proveedores de servicios de información sobre cuentas a que se refiere el artículo 33, apartado 1, de la Directiva (UE)
2015/2366, la autoridad competente designada de conformidad con el artículo 22 de la Directiva (UE) 2015/2366;
c) en lo que respecta a las empresas de servicios de inversión, la autoridad competente designada de conformidad con el
artículo 4 de la Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo (38);
d) en lo que respecta a los proveedores de servicios de criptoactivos autorizados en virtud del Reglamento relativo a los
mercados de criptoactivos y los emisores de fichas referenciadas a activos, la autoridad competente designada de
conformidad con las disposiciones pertinentes de dicho Reglamento;
e) en lo que respecta a los depositarios centrales de valores, la autoridad competente designada de conformidad con el
artículo 11 del Reglamento (UE) n.o 909/2014;
f) en lo que respecta a las entidades de contrapartida central, la autoridad competente designada de conformidad con el
artículo 22 del Reglamento (UE) n.o 648/2012;
g) en lo que respecta a los centros de negociación y los proveedores de servicios de suministro de datos, la autoridad
competente designada de conformidad con el artículo 67 de la Directiva 2014/65/UE y la autoridad competente según
se define en el artículo 2, apartado 1, punto 18, del Reglamento (UE) n.o 600/2014;
h) en lo que respecta a los registros de operaciones, la autoridad competente designada de conformidad con el artículo 22
del Reglamento (UE) n.o 648/2012;
i) en lo que respecta a los gestores de fondos de inversión alternativos, la autoridad competente designada de
conformidad con el artículo 44 de la Directiva 2011/61/UE;
j) en lo que respecta a las sociedades de gestión, la autoridad competente designada de conformidad con el artículo 97 de
la Directiva 2009/65/CE;
k) en lo que respecta a las empresas de seguros y de reaseguros, la autoridad competente designada de conformidad con el
artículo 30 de la Directiva 2009/138/CE;
l) en lo que respecta a los intermediarios de seguros, de reaseguros y de seguros complementarios, la autoridad
competente designada de conformidad con el artículo 12 de la Directiva (UE) 2016/97;
m) en lo que respecta a los fondos de pensiones de empleo, la autoridad competente designada de conformidad con el
artículo 47 de la Directiva (UE) 2016/2341;
n) en lo que respecta a las agencias de calificación crediticia, la autoridad competente designada de conformidad con el
artículo 21 del Reglamento (CE) n.o 1060/2009;
o) en lo que respecta a los administradores de índices de referencia cruciales, la autoridad competente designada de
conformidad con los artículos 40 y 41 del Reglamento (UE) 2016/1011;

(38) Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativa a la supervisión prudencial de
las empresas de servicios de inversión, y por la que se modifican las Directivas 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE,
2014/59/UE y 2014/65/UE (DO L 314 de 5.12.2019, p. 64).
27.12.2022 ES Diario Oficial de la Unión Europea L 333/69

p) en lo que respecta a los proveedores de servicios de financiación participativa, la autoridad competente designada de
conformidad con el artículo 29 del Reglamento (UE) 2020/1503;
q) en lo que respecta a los registros de titulizaciones, la autoridad competente designada de conformidad con el
artículo 10 y el artículo 14, apartado 1, del Reglamento (UE) 2017/2402.

Artículo 47

Cooperación con las estructuras y autoridades establecidas por la Directiva (UE) 2022/2555

1. A fin de fomentar la cooperación y permitir los intercambios en materia de supervisión entre las autoridades
competentes designadas de conformidad con el presente Reglamento y el Grupo de Cooperación establecido por el
artículo 14 de la Directiva (UE) 2022/2555, las Autoridades Europeas de Supervisión y las autoridades competentes
podrán participar en las actividades del Grupo de Cooperación en asuntos que atañan a sus actividades en materia de
supervisión en relación con las entidades financieras. Las Autoridades Europeas de Supervisión y las autoridades
competentes podrán solicitar ser invitadas a participar en las actividades del Grupo de Cooperación en asuntos relativos a
las entidades esenciales o importantes sujetas a la Directiva (UE) 2022/2555 que también hayan sido designadas como
proveedores terceros esenciales de servicios de TIC en virtud del artículo 31 del presente Reglamento.

2. En su caso, las autoridades competentes podrán consultar y compartir información con los puntos de contacto únicos
y los CSIRT designados o establecidos de conformidad con la Directiva (UE) 2022/2555.

3. En su caso, las autoridades competentes podrán solicitar cualquier tipo de asesoramiento y asistencia técnicos
pertinentes a las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555 y
establecer acuerdos de cooperación para hacer posible el establecimiento de mecanismos de coordinación eficaces y
rápidos.

4. Los acuerdos a que se refiere el apartado 3 del presente artículo podrán, entre otros aspectos, especificar los
procedimientos para la coordinación de las actividades de supervisión y vigilancia en relación con las entidades esenciales
o importantes sujetas a la Directiva (UE) 2022/2555 que hayan sido designadas proveedores terceros esenciales de
servicios de TIC en virtud del artículo 31 del presente Reglamento, también en lo relativo a la realización, con arreglo al
Derecho nacional, de investigaciones e inspecciones in situ, así como a los mecanismos para el intercambio de información
entre las autoridades competentes con arreglo al presente Reglamento y las autoridades competentes designadas o
establecidas de conformidad con dicha Directiva, que incluye el acceso a la información solicitada por estas últimas.

Artículo 48

Cooperación entre autoridades

1. Las autoridades competentes cooperarán estrechamente entre ellas y, cuando proceda, con el supervisor principal.

2. Las autoridades competentes y el supervisor principal compartirán oportunamente toda la información pertinente
relativa a los proveedores terceros esenciales de servicios de TIC que sea necesaria para el desempeño de sus respectivas
obligaciones con arreglo al presente Reglamento, en particular en relación con los riesgos detectados, los enfoques y las
medidas adoptadas como parte de las tareas de supervisión del supervisor principal.

Artículo 49

Ejercicios, comunicación y cooperación intersectoriales en el ámbito financiero

1. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en colaboración con las autoridades
competentes, las autoridades de resolución a que se refiere el artículo 3 de la Directiva 2014/59/UE, el BCE, la Junta Única
de Resolución con respecto a la información relativa a las entidades incluidas en el ámbito de aplicación del Reglamento
(UE) n.o 806/2014, la JERS y la ENISA, en su caso, podrán establecer mecanismos que permitan compartir prácticas
eficaces entre todos los sectores financieros a fin de mejorar la conciencia situacional y detectar las vulnerabilidades y los
riesgos cibernéticos comunes a los diversos sectores.
L 333/70 ES Diario Oficial de la Unión Europea 27.12.2022

Podrán organizar ejercicios de gestión de crisis y contingencia que incluyan escenarios de ciberataques con el fin de
desarrollar los canales de comunicación y hacer posible gradualmente una respuesta coordinada eficaz a escala de la Unión
en caso de que se produzca un incidente grave relacionado con las TIC de alcance transfronterizo o una amenaza conexa
que tenga un impacto sistémico en el sector financiero de la Unión en su conjunto.

Dichos ejercicios también podrán someter a prueba, en su caso, las dependencias del sector financiero con respecto a otros
sectores económicos.

2. Las autoridades competentes, las Autoridades Europeas de Supervisión y el BCE cooperarán estrechamente entre sí e
intercambiarán información para el desempeño de sus obligaciones en virtud de los artículos 47 a 54. Coordinarán
estrechamente sus actividades de supervisión con el fin de detectar y reparar las infracciones del presente Reglamento,
establecer y promover buenas prácticas, facilitar la colaboración, fomentar la coherencia en la interpretación y
proporcionar evaluaciones entre países y territorios en caso de desacuerdo.

Artículo 50

Sanciones administrativas y medidas correctoras

1. Las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias
para cumplir sus obligaciones con arreglo al presente Reglamento.

2. Las facultades a que se refiere el apartado 1 incluirán, como mínimo, las siguientes facultades para:

a) tener acceso a cualquier documento o a los datos bajo cualquier forma que la autoridad competente considere
pertinentes para el ejercicio de sus funciones y recibir o procurarse copia de los mismos;

b) realizar investigaciones o inspecciones in situ, en las que se llevarán a cabo, entre otras, las siguientes actividades:

i) convocar a los representantes de las entidades financieras para que den explicaciones orales o escritas sobre los
hechos o documentos que guarden relación con el objeto y el propósito de la investigación, y registrar las respuestas,

ii) entrevistar a cualquier otra persona física o jurídica que acepte ser entrevistada a fin de recabar información
relacionada con el objeto de una investigación;

c) exigir medidas correctoras y reparadoras en caso de incumplimiento de los requisitos del presente Reglamento.

3. Sin perjuicio del derecho de los Estados miembros a imponer sanciones penales de conformidad con el artículo 52,
los Estados miembros establecerán normas que prevean sanciones administrativas y medidas correctoras adecuadas en
caso de infracción del presente Reglamento y garantizarán su aplicación efectiva.

Dichas sanciones y medidas serán eficaces, proporcionadas y disuasorias.

4. Los Estados miembros conferirán a las autoridades competentes la facultad de aplicar al menos las siguientes
sanciones administrativas o medidas correctoras en caso de infracción del presente Reglamento:

a) emitir un requerimiento dirigido a la persona física o jurídica que esté infringiendo el presente Reglamento para que
ponga fin a su conducta y se abstenga de repetirla;

b) exigir el cese provisional o definitivo de toda práctica o conducta que la autoridad competente considere contraria a las
disposiciones del presente Reglamento e impedir la repetición de dicha práctica o conducta;

c) adoptar cualquier tipo de medida, también de carácter pecuniario, para garantizar que las entidades financieras sigan
cumpliendo los requisitos legales;

d) exigir, en la medida en que lo permita el Derecho nacional, los registros de tráfico de datos existentes que obren en
poder de un operador de telecomunicaciones, cuando existan sospechas fundadas de infracción del presente
Reglamento y cuando tales registros puedan ser pertinentes para una investigación de infracciones del presente
Reglamento, y

e) publicar avisos, incluidas declaraciones públicas, en las que se indique la identidad de la persona física o jurídica y la
naturaleza de la infracción.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/71

5. Cuando el apartado 2, letra c), y el apartado 4 se apliquen a personas jurídicas, los Estados miembros conferirán a las
autoridades competentes la facultad de aplicar las sanciones administrativas y las medidas correctoras, según las
condiciones que establezca el Derecho nacional, a los miembros del órgano de dirección y a las demás personas físicas que,
conforme al Derecho nacional, sean responsables de la infracción.

6. Los Estados miembros garantizará que cualquier decisión de imponer sanciones administrativas o medidas correctivas
con arreglo al apartado 2, letra c), esté debidamente motivada y pueda ser objeto de recurso.

Artículo 51

Ejercicio de la facultad de imponer sanciones administrativas y medidas correctoras

1. Las autoridades competentes ejercerán las facultades de imponer las sanciones administrativas y las medidas
correctoras a que se refiere el artículo 50 de conformidad con sus ordenamientos jurídicos nacionales, en su caso, de la
siguiente manera:

a) directamente;

b) en colaboración con otras autoridades;

c) bajo su responsabilidad, mediante delegación en otras autoridades, o

d) mediante solicitud dirigida a las autoridades judiciales competentes.

2. Al determinar el tipo y el nivel de una sanción administrativa o medida correctora impuesta de conformidad con el
artículo 50, las autoridades competentes tendrán en cuenta si la infracción es intencionada o es consecuencia de una
negligencia y cualesquiera otras circunstancias pertinentes, entre ellas, en su caso, las siguientes:

a) la importancia, la gravedad y la duración de la infracción;

b) el grado de responsabilidad de la persona física o jurídica responsable de la infracción;

c) la solidez financiera de la persona física o jurídica responsable;

d) la importancia de los beneficios obtenidos o las pérdidas evitadas por la persona física o jurídica responsable, en la
medida en que puedan determinarse;

e) las pérdidas causadas a terceros por la infracción, en la medida en que puedan determinarse;

f) el grado de cooperación de la persona física o jurídica responsable con la autoridad competente, sin perjuicio de la
obligación de que dicha persona física o jurídica restituya las ganancias obtenidas o las pérdidas evitadas;

g) las infracciones anteriores de la persona física o jurídica responsable.

Artículo 52

Sanciones penales

1. Los Estados miembros podrán decidir no establecer normas que prevean sanciones administrativas o medidas
correctoras para las infracciones que estén sujetas a sanciones penales con arreglo a su Derecho nacional.

2. Los Estados miembros que opten por establecer sanciones penales por infracciones del presente Reglamento se
asegurarán de que se hayan adoptado las medidas adecuadas para que las autoridades competentes dispongan de todas las
facultades necesarias a fin de ponerse en contacto con las autoridades judiciales o las responsables de la fiscalía o de la
justicia penal dentro de su jurisdicción, con el fin de obtener información específica relacionada con las investigaciones o
procesos penales iniciados por infracciones del presente Reglamento, y de facilitar información del mismo tenor a otras
autoridades competentes y a la ABE, la AEVM o la AESPJ, en cumplimiento de su obligación de cooperar a los efectos del
presente Reglamento.
L 333/72 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 53

Obligaciones de notificación

Los Estados miembros notificarán las disposiciones legales, reglamentarias y administrativas de aplicación de lo dispuesto
en el presente capítulo, incluidas cualesquiera disposiciones pertinentes de Derecho penal, a la Comisión, la AEVM, la ABE
y la AESPJ a más tardar el 17 de enero de 2025. Los Estados miembros notificarán sin demora indebida cualquier
modificación ulterior de dichas disposiciones a la Comisión, la AEVM, la ABE y la AESPJ.

Artículo 54

Publicación de las sanciones administrativas

1. Las autoridades competentes publicarán en sus sitios web oficiales, sin demora indebida, toda decisión por la que se
imponga una sanción administrativa contra la que no haya lugar a recurso tras la notificación de dicha decisión al
destinatario de la sanción.

2. La publicación a que se refiere el apartado 1 incluirá información sobre el tipo y la naturaleza de la infracción, la
identidad de las personas responsables y las sanciones impuestas.

3. Cuando la autoridad competente, tras una evaluación de cada caso, considere que la publicación de la identidad,
cuando se trate de personas jurídicas, o de la identidad y los datos personales, cuando se trate de personas físicas, sería
desproporcionada, incluidos los riesgos relacionados con la protección de los datos de carácter personal, pondría en
peligro la estabilidad de los mercados financieros o la continuación de una investigación penal en curso, o causaría a la
persona afectada daños desproporcionados, en la medida en que estos puedan determinarse, adoptará una de las siguientes
soluciones con respecto a la decisión por la que se imponga una sanción administrativa:
a) aplazar su publicación hasta que dejen de existir todos los motivos para no publicarla;
b) publicarla de forma anónima, de conformidad con el Derecho nacional, o
c) abstenerse de publicarla, si las opciones enunciadas en las letras a) y b) se consideran insuficientes para garantizar que la
estabilidad de los mercados financieros no corra peligro, o cuando dicha publicación no sea proporcionada con respecto
a la moderación de la sanción impuesta.

4. En caso de que se decida publicar una sanción administrativa de forma anónima como se establece en el apartado 3,
letra b), podrá aplazarse la publicación de los datos pertinentes.

5. Cuando una autoridad competente publique una decisión que imponga una sanción administrativa que pueda
recurrirse ante las autoridades judiciales pertinentes, las autoridades competentes añadirán de forma inmediata en su sitio
web oficial dicha información y, con posterioridad, cualquier información ulterior relacionada sobre el resultado del
recurso. Se publicará asimismo cualquier resolución judicial que anule una decisión que imponga una sanción
administrativa.

6. Las autoridades competentes garantizarán que toda publicación a que se hace referencia en los apartados 1 a 4
permanezca en su sitio web oficial únicamente durante el período de tiempo necesario a los efectos del presente artículo.
Este período no excederá de cinco años a partir de su publicación.

Artículo 55

Secreto profesional

1. Toda información confidencial recibida, intercambiada o transmitida en virtud del presente Reglamento estará sujeta
a las condiciones de secreto profesional establecidas en el apartado 2.

2. La obligación de secreto profesional se aplicará a todas las personas que trabajen o hayan trabajado para las
autoridades competentes en virtud del presente Reglamento o para cualquier otra autoridad u organismo del mercado o
persona física o jurídica en los que aquellas hayan delegado sus facultades, incluidos los auditores y expertos contratados
por ellas.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/73

3. La información sujeta al secreto profesional, incluido el intercambio de información entre las autoridades
competentes con arreglo al presente Reglamento y las autoridades competentes designadas o establecidas de conformidad
con la Directiva (UE) 2022/2555, no se divulgará a ninguna otra persona o autoridad, salvo en virtud del Derecho de la
Unión o nacional.

4. Toda la información intercambiada por las autoridades competentes en virtud del presente Reglamento y referida a las
condiciones comerciales u operativas, así como a otros asuntos de tipo económico o personal, se considerará confidencial y
estará amparada por el secreto profesional, salvo cuando la autoridad competente declare, en el momento de su
comunicación, que la información puede ser revelada o esta revelación resulte necesaria en el marco de un procedimiento
judicial.

Artículo 56

Protección de datos

1. Las Autoridades Europeas de Supervisión y las autoridades competentes solo estarán autorizadas a tratar datos
personales cuando sea necesario para el cumplimiento de sus respectivas obligaciones y funciones en virtud del presente
Reglamento, en particular en lo que respecta a la investigación, inspección, solicitud de información, comunicación,
publicación, evaluación, verificación, evaluación y elaboración de planes de supervisión. Los datos personales serán
tratados de conformidad con el Reglamento (UE) 2016/679 o con el Reglamento (UE) 2018/1725, según corresponda.

2. Salvo cuando se disponga otra cosa en otros actos sectoriales, los datos personales a que se refiere el apartado 1 se
conservarán hasta el cumplimiento de las obligaciones aplicables en materia de supervisión y, en cualquier caso, durante
un período máximo de quince años, salvo en caso de procedimientos judiciales pendientes que requieran conservar dichos
datos durante más tiempo.

CAPÍTULO VIII

Actos delegados

Artículo 57

Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente
artículo.

2. Los poderes para adoptar los actos delegados a que se refieren el artículo 31, apartado 6, y el artículo 43, apartado 2,
se otorgan a la Comisión por un período de cinco años a partir del 17 de enero de 2024. La Comisión elaborará un informe
sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de
poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se
oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3. La delegación de poderes mencionada en el artículo 31, apartado 6, y en el artículo 43, apartado 2, podrá ser
revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a
la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el
Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que
ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado
miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la
mejora de la legislación.

5. En cuanto la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
L 333/74 ES Diario Oficial de la Unión Europea 27.12.2022

6. Los actos delegados adoptados en virtud del artículo 31, apartado 6, y del artículo 43, apartado 2, entrarán en vigor
únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas
instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las
formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

CAPÍTULO IX

Disposiciones transitorias y finales

Sec c i ón I

Artículo 58

Cláusula de revisión

1. A más tardar el 17 de enero de 2028, la Comisión, previa consulta a las Autoridades Europeas de Supervisión y la
JERS, en su caso, llevará a cabo una revisión y presentará al Parlamento Europeo y al Consejo un informe, acompañado, en
su caso, de una propuesta legislativa. La revisión incluirá, como mínimo, lo siguiente:

a) los criterios para la designación de proveedores terceros esenciales de servicios de TIC de conformidad con el
artículo 31, apartado 2;

b) el carácter voluntario de la notificación de ciberamenazas importantes a que se refiere el artículo 19;

c) el régimen a que se refiere el artículo 31, apartado 12, y las competencias del supervisor principal previstas en el
artículo 35, apartado 1, letra d), inciso iv), primer guion, con vistas a evaluar la eficacia de dichas disposiciones en lo
que respecta a garantizar una supervisión eficaz de los proveedores terceros esenciales de servicios de TIC establecidos
en un tercer país, y la necesidad de establecer una filial en la Unión.

A efectos del párrafo primero de la presente letra, la revisión incluirá un análisis del régimen a que se refiere el
artículo 31, apartado 12, también en términos de acceso de las entidades financieras de la Unión a los servicios de
terceros países y la disponibilidad de dichos servicios en el mercado de la Unión, y tendrá en cuenta la evolución
ulterior de los mercados de los servicios cubiertos por el presente Reglamento, la experiencia práctica de las entidades
financieras y los supervisores financieros en relación con la aplicación y, en su caso, la supervisión de dicho régimen,
así como cualquier novedad pertinente en materia de regulación y supervisión que se produzca a escala internacional;

d) la conveniencia de incluir en el ámbito de aplicación del presente Reglamento a las entidades financieras a que se refiere
el artículo 2, apartado 3, letra e), que hagan uso de sistemas automatizados de venta, a la luz de la futura evolución del
mercado en lo relativo al uso de dichos sistemas;

e) el funcionamiento y la eficacia de la Red de Supervisión Conjunta a la hora de apoyar la homogeneidad de la supervisión


y la eficiencia del intercambio de información en el marco de supervisión.

2. En el contexto de la revisión de la Directiva (UE) 2015/2366, la Comisión evaluará la necesidad de aumentar la


ciberresiliencia de los sistemas de pago y las actividades de procesamiento de pagos, así como la conveniencia de ampliar el
ámbito de aplicación del presente Reglamento a los operadores de sistemas de pago y a las entidades que participen en
actividades de procesamiento de pagos. A la luz de esta evaluación, la Comisión presentará, como parte de la revisión de la
Directiva (UE) 2015/2366, un informe al Parlamento Europeo y al Consejo a más tardar el 17 de julio de 2023.

A partir de dicho informe de revisión, y previa consulta a las Autoridades Europeas de Supervisión, el BCE y la JERS, la
Comisión podrá presentar, en su caso y como parte de la propuesta legislativa que podrá adoptar en virtud del
artículo 108, párrafo segundo, de la Directiva (UE) 2015/2366, una propuesta para garantizar que todos los operadores de
sistemas de pago y entidades que participen en actividades de procesamiento de pagos estén sujetos a una supervisión
adecuada, teniendo en cuenta al mismo tiempo la supervisión existente por parte de los bancos centrales.
27.12.2022 ES Diario Oficial de la Unión Europea L 333/75

3. A más tardar el 17 de enero de 2026, la Comisión, previa consulta a las Autoridades Europeas de Supervisión y a la
Comisión de Organismos Europeos de Supervisión de Auditores, llevará a cabo una revisión y presentará al Parlamento
Europeo y al Consejo un informe, acompañado, en su caso, de una propuesta legislativa, sobre la conveniencia de reforzar
los requisitos para los auditores legales y sociedades de auditoría en lo relativo a la resiliencia operativa digital, mediante la
inclusión en el ámbito de aplicación del presente Reglamento de los auditores legales y las sociedades de auditoría o
mediante la modificación de la Directiva 2006/43/CE del Parlamento Europeo y del Consejo (39).

S ecc i ón I I

Mo d if i ca cio nes

Artículo 59

Modificaciones del Reglamento (CE) n.o 1060/2009

El Reglamento (CE) n.o 1060/2009 se modifica como sigue:


1) En el anexo I, sección A, punto 4, el párrafo primero se sustituye por el texto siguiente:
«Las agencias de calificación crediticia dispondrán de procedimientos administrativos y contables adecuados,
mecanismos de control interno, técnicas eficaces de valoración del riesgo y mecanismos eficaces de control y
salvaguardia para gestionar sus sistemas de TIC de conformidad con el Reglamento (UE) 2022/2554 del Parlamento
Europeo y del Consejo (*).

_____________
(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la
resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE)
n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).».

2) En el anexo III, el punto 12 se sustituye por el texto siguiente:


«12. Infringe el artículo 6, apartado 2, leído en relación con el anexo I, sección A, punto 4, la agencia de calificación
crediticia que no disponga de procedimientos administrativos o contables adecuados, mecanismos de control
interno, técnicas eficaces de evaluación del riesgo o mecanismos eficaces de control o salvaguardia para gestionar
sus sistemas de TIC de conformidad con el Reglamento (UE) 2022/2554, o que no aplique o mantenga
procedimientos de adopción de decisiones o estructuras organizativas según lo prescrito en dicho punto.».

Artículo 60

Modificaciones del Reglamento (UE) n.o 648/2012

El Reglamento (UE) n.o 648/2012 se modifica como sigue:


1) El artículo 26 se modifica como sigue:
a) el apartado 3 se sustituye por el texto siguiente:
«3. Las ECC mantendrán y aplicarán una estructura organizativa que garantice la continuidad y el correcto
funcionamiento de la prestación de sus servicios y la realización de sus actividades. Emplearán sistemas, recursos y
procedimientos adecuados y proporcionados, incluidos sistemas de TIC gestionados de conformidad con el
Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*).

_____________
(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la
resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009,
(UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»;

(39) Directiva 2006/43/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a la auditoría legal de las cuentas
anuales y de las cuentas consolidadas, por la que se modifican las Directivas 78/660/CEE y 83/349/CEE del Consejo y se deroga la
Directiva 84/253/CEE del Consejo (DO L 157 de 9.6.2006, p. 87).
L 333/76 ES Diario Oficial de la Unión Europea 27.12.2022

b) se suprime el apartado 6.

2) El artículo 34 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. Las ECC establecerán, aplicarán y mantendrán una política adecuada de continuidad de la actividad y un plan
de recuperación en caso de catástrofe, que incluirán una política de continuidad de la actividad en materia de TIC y
planes de respuesta y recuperación en materia de TIC establecidos e implantados de conformidad con el
Reglamento (UE) 2022/2554, destinados a garantizar la preservación de sus funciones, la oportuna recuperación de
las operaciones y el cumplimiento de sus obligaciones.»;

b) en el apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3. A fin de garantizar la aplicación coherente del presente artículo, la AEVM, previa consulta a los miembros del
SEBC, elaborará proyectos de normas técnicas reglamentarias en las que se especifiquen el contenido y los requisitos
mínimos de la política de continuidad de la actividad y del plan de recuperación en caso de catástrofe, que excluirán
la política de continuidad de la actividad y los planes de recuperación en caso de catástrofe en materia de TIC.».

3) En el artículo 56, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3. A fin de garantizar la aplicación coherente del presente artículo, la AEVM elaborará proyectos de normas técnicas
de regulación en las que se especifiquen los pormenores, que no sean los relativos a los requisitos relacionados con la
gestión del riesgo relacionado con las TIC, de la solicitud de inscripción a que se refiere el apartado 1.».

4) En el artículo 79, los apartados 1 y 2 se sustituyen por el texto siguiente:

«1. Los registros de operaciones detectarán las fuentes de riesgo operativo y las reducirán al mínimo también
mediante el desarrollo de sistemas, controles y procedimientos adecuados, incluidos sistemas de TIC gestionados de
conformidad con el Reglamento (UE) 2022/2554.

2. Los registros de operaciones establecerán, aplicarán y mantendrán una política adecuada de continuidad de la
actividad y un plan de recuperación en caso de catástrofe, que incluirán una política de continuidad de la actividad en
materia de TIC y planes de respuesta y recuperación en materia de TIC establecidos de conformidad con el Reglamento
(UE) 2022/2554, destinados a garantizar el mantenimiento de sus funciones, la oportuna recuperación de las
operaciones y el cumplimiento de sus obligaciones.».

5) En el artículo 80, se suprime el apartado 1.

6) En el anexo I, la sección II se modifica como sigue:

a) las letras a) y b) se sustituyen por el texto siguiente:

«a) infringe el artículo 79, apartado 1, el registro de operaciones que no detecta las fuentes de riesgo operativo o no
reduce al mínimo dicho riesgo mediante el desarrollo de sistemas, controles y procedimientos adecuados,
incluidos sistemas de TIC gestionados de conformidad con el Reglamento (UE) 2022/2554;

b) infringe el artículo 79, apartado 2, el registro de operaciones que no establece, aplica y mantiene una política
adecuada de continuidad de la actividad y un plan de recuperación en caso de catástrofe establecidos de
conformidad con el Reglamento (UE) 2022/2554, destinados a garantizar el mantenimiento de sus funciones, la
oportuna recuperación de las operaciones y el cumplimiento de sus obligaciones;»;

b) se suprime la letra c).

7) El anexo III se modifica como sigue:

a) la sección II se modifica como sigue:

i) la letra c) se sustituye por el texto siguiente:

«c) infringe el artículo 26, apartado 3, la ECC de nivel 2 que no mantiene o aplica una estructura organizativa
que garantice la continuidad y el correcto funcionamiento de la prestación de sus servicios y la realización
de sus actividades, o que no utiliza sistemas, recursos o procedimientos adecuados y proporcionados,
incluidos los sistemas de TIC gestionados de conformidad con el Reglamento (UE) 2022/2554;»,

ii) se suprime la letra f);


27.12.2022 ES Diario Oficial de la Unión Europea L 333/77

b) en la sección III, la letra a) se sustituye por el texto siguiente:

«a) infringe el artículo 34, apartado 1, la ECC de nivel 2 que no establece, aplica o mantiene una política adecuada
de continuidad de la actividad y un plan de respuesta y recuperación establecidos con arreglo al Reglamento
(UE) 2022/2554, destinados a garantizar la preservación de sus funciones, la oportuna recuperación de las
operaciones y el cumplimiento de sus obligaciones, y que permita como mínimo la recuperación de todas las
operaciones en el momento de la perturbación, con objeto de que la ECC pueda seguir operando de manera
segura y finalizar la liquidación en la fecha programada;».

Artículo 61

Modificaciones del Reglamento (UE) n.o 909/2014

El artículo 45 del Reglamento (UE) n.o 909/2014 se modifica como sigue:

1) El apartado 1 se sustituye por el texto siguiente:

«1. Los DCV detectarán las fuentes de riesgo operativo, tanto internas como externas, y minimizarán su repercusión
también mediante la implantación de herramientas, procesos y políticas en materia de TIC adecuados, establecidos y
gestionados de conformidad con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*), así como
mediante cualesquiera otros instrumentos, controles y procedimientos adecuados y pertinentes para otros tipos de
riesgo operativo, asimismo en relación con todos los sistemas de liquidación de valores que operen.

_____________
(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la
resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE)
n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).».

2) Se suprime el apartado 2.

3) Los apartados 3 y 4 se sustituyen por el texto siguiente:

«3. En lo que respecta a los servicios que presten, y en relación con cada sistema de liquidación de valores que
exploten, los DCV establecerán, aplicarán y mantendrán una política adecuada de continuidad de la actividad y un plan
de recuperación en caso de catástrofe, que incluirá una política de continuidad de la actividad en materia de TIC y planes
de respuesta y recuperación en materia de TIC, establecidos de conformidad con el Reglamento (UE) 2022/2554, a fin
de garantizar el mantenimiento de sus servicios, la oportuna recuperación de las operaciones y el cumplimiento de las
obligaciones del DCV ante acontecimientos que supongan un riesgo importante de perturbación de las operaciones.

4. El plan a que se refiere el apartado 3 deberá prever la recuperación de todas las operaciones y posiciones de los
participantes en el momento de la perturbación, con objeto de que los participantes del DCV puedan seguir operando
con certeza y finalizar la liquidación en la fecha programada, para lo cual el plan deberá garantizar, en particular, que
los sistemas informáticos esenciales puedan reanudar las operaciones a partir del momento de la perturbación, según
lo establecido en el artículo 12, apartados 5 y 7, del Reglamento (UE) 2022/2554.».

4) El apartado 6 se sustituye por el texto siguiente:

«6. Los DCV determinarán, controlarán y gestionarán los riesgos que los participantes más importantes de los
sistemas de liquidación de valores que gestionan, así como los prestadores de servicios y otros DCV u otras
infraestructuras del mercado puedan suponer para su funcionamiento. Facilitarán a las autoridades competentes y
pertinentes, a petición de estas, información sobre todo riesgo de este tipo que se detecte. Informarán asimismo sin
demora a las autoridades competentes y las autoridades pertinentes de todo incidente operativo que no guarde relación
con el riesgo relacionado con las TIC, resultante de tales riesgos.».

5) En el apartado 7, el párrafo primero se sustituye por el texto siguiente:

«7. La AEVM, en estrecha cooperación con los miembros del SEBC, elaborará proyectos de normas técnicas de
regulación que especifiquen los riesgos operativos a que se refieren los apartados 1 y 6, que no sean riesgos
relacionados con las TIC, los métodos para someter a prueba, afrontar o minimizar tales riesgos, incluidas las políticas
de continuidad de la actividad y los planes de recuperación en caso de catástrofe a que se refieren los apartados 3 y 4, y
los correspondientes métodos de evaluación.».
L 333/78 ES Diario Oficial de la Unión Europea 27.12.2022

Artículo 62

Modificaciones del Reglamento (UE) n.o 600/2014

El Reglamento (UE) n.o 600/2014 se modifica como sigue:

1) El artículo 27 octies se modifica como sigue:

a) el apartado 4 se sustituye por el texto siguiente:

«4. Los APA cumplirán los requisitos relativos a la seguridad de las redes y los sistemas de información establecidos
en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (*).

_____________
(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la
resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009,
(UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).»;

b) en el apartado 8, la letra c) se sustituye por el texto siguiente:

«c) los requisitos concretos de organización establecidos en los apartados 3 y 5.».

2) El artículo 27 nonies se modifica como sigue:

a) el apartado 5 se sustituye por el texto siguiente:

«5. Los PIC cumplirán los requisitos relativos a la seguridad de las redes y los sistemas de información
establecidos en el Reglamento (UE) 2022/2554.»;

b) en el apartado 8, la letra e) se sustituye por el texto siguiente:

«e) los requisitos concretos de organización establecidos en el apartado 4.».

3) El artículo 27 decies se modifica como sigue:

a) el apartado 3 se sustituye por el texto siguiente:

«3. Los SIA cumplirán los requisitos relativos a la seguridad de las redes y los sistemas de información
establecidos en el Reglamento (UE) 2022/2554.»;

b) en el apartado 5, la letra b) se sustituye por el texto siguiente:

«b) los requisitos concretos de organización establecidos en los apartados 2 y 4.».

Artículo 63

Modificaciones del Reglamento (UE) 2016/1011

En el artículo 6 del Reglamento (UE) 2016/1011 se añade el apartado siguiente:

«6. En lo relativo a los índices de referencia cruciales, el administrador dispondrá de procedimientos administrativos y
contables adecuados, mecanismos de control interno, técnicas eficaces de valoración del riesgo y mecanismos eficaces
de control y salvaguardia para gestionar sus sistemas de TIC de conformidad con el Reglamento (UE) 2022/2554 del
Parlamento Europeo y del Consejo (*).

_____________
(*) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia
operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE)
n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).».
27.12.2022 ES Diario Oficial de la Unión Europea L 333/79

Artículo 64

Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 17 de enero de 2025.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada
Estado miembro.

Hecho en Estrasburgo, el 14 de diciembre de 2022.

Por el Parlamento Europeo Por el Consejo


La Presidenta El Presidente
R. METSOLA M. BEK

También podría gustarte