dora.yaml

urn: urn:intuitem:risk:library:dora
locale: en
ref_id: DORA
name: Digital Operational Resilience Act (DORA)
description: REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
  of 14 December 2022 on digital operational resilience for the financial sector and
  amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU)
  No 909/2014 and (EU) 2016/1011
copyright: European Union law
version: 4
provider: EU
packager: intuitem
translations:
  es:
    name: Ley de Resiliencia Operativa Digital (DORA)
    description: REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de
      14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero
      y por el que se modifican los Reglamentos (CE) No 1060/2009, (UE) No 648/2012,
      (UE) No 600/2014, (UE) No 909/2014 y (UE) 2016/1011.
    copyright: "Legislaci\xF3n de la Uni\xF3n Europea"
objects:
  framework:
    urn: urn:intuitem:risk:framework:dora
    ref_id: DORA
    name: Digital Operational Resilience Act (DORA)
    description: REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
      of 14 December 2022 on digital operational resilience for the financial sector
      and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014,
      (EU) No 909/2014 and (EU) 2016/1011
    translations:
      es:
        name: Ley de Resiliencia Operativa Digital (DORA)
        description: REGLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
          de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector
          financiero y por el que se modifican los Reglamentos (CE) No 1060/2009,
          (UE) No 648/2012, (UE) No 600/2014, (UE) No 909/2014 y (UE) 2016/1011.
    requirement_nodes:
    - urn: urn:intuitem:risk:req_node:dora:node2
      assessable: false
      depth: 1
      name: Preamble
      translations:
        es:
          name: "PRE\xC1MBULO"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:recital-1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 1
      description: In the digital age, information and communication technology (ICT)
        supports complex systems used for everyday activities. It keeps our economies
        running in key sectors, including the financial sector, and enhances the functioning
        of the internal market. Increased digitalisation and interconnectedness also
        amplify ICT risk, making society as a whole, and the financial system in particular,
        more vulnerable to cyber threats or ICT disruptions. While the ubiquitous
        use of ICT systems and high digitalisation and connectivity are today core
        features of the activities of Union financial entities, their digital resilience
        has yet to be better addressed and integrated into their broader operational
        frameworks.
      translations:
        es:
          name: null
          description: "En la era digital, las tecnolog\xEDas de la informaci\xF3\
            n y la comunicaci\xF3n (TIC) son el soporte de sistemas complejos utilizados\
            \ en actividades cotidianas. Mantienen nuestras econom\xEDas en marcha\
            \ en sectores clave como el sector financiero, y mejoran el funcionamiento\
            \ del mercado interior. El aumento de la digitalizaci\xF3n y la interconexi\xF3\
            n tambi\xE9n amplifica el riesgo relacionado con las TIC, y hace que la\
            \ sociedad en su conjunto, y el sistema financiero en particular, sea\
            \ m\xE1s vulnerable a las ciberamenazas o a las perturbaciones de las\
            \ TIC. Si bien el uso generalizado de los sistemas de TIC y la alta digitalizaci\xF3\
            n y conectividad son hoy en d\xEDa caracter\xEDsticas fundamentales de\
            \ las actividades de las entidades financieras de la Uni\xF3n, sigue siendo\
            \ necesario abordar e integrar mejor su resiliencia digital en sus marcos\
            \ operativos m\xE1s amplios."
    - urn: urn:intuitem:risk:req_node:dora:recital-2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 2
      description: The use of ICT has in the past decades gained a pivotal role in
        the provision of financial services, to the point where it has now acquired
        a critical importance in the operation of typical daily functions of all financial
        entities. Digitalisation now covers, for instance, payments, which have increasingly
        moved from cash and paper-based methods to the use of digital solutions, as
        well as securities clearing and settlement, electronic and algorithmic trading,
        lending and funding operations, peer-to-peer finance, credit rating, claim
        management and back-office operations. The insurance sector has also been
        transformed by the use of ICT, from the emergence of insurance intermediaries
        offering their services online operating with InsurTech, to digital insurance
        underwriting. Finance has not only become largely digital throughout the whole
        sector, but digitalisation has also deepened interconnections and dependencies
        within the financial sector and with third-party infrastructure and service
        providers.
      translations:
        es:
          name: null
          description: "El uso de las TIC ha adquirido en las \xFAltimas d\xE9cadas\
            \ un papel fundamental en la prestaci\xF3n de servicios financieros, hasta\
            \ el punto de que ahora tiene una importancia fundamental en la ejecuci\xF3\
            n de las funciones cotidianas t\xEDpicas de todas las entidades financieras.\
            \ La digitalizaci\xF3n abarca ahora, por ejemplo, los pagos, para los\
            \ que se utilizan, cada vez m\xE1s, soluciones digitales, en vez de m\xE9\
            todos basados en efectivo y papel, as\xED como la compensaci\xF3n y liquidaci\xF3\
            n de valores, la negociaci\xF3n electr\xF3nica y algor\xEDtmica, las operaciones\
            \ de pr\xE9stamo y financiaci\xF3n, la financiaci\xF3n entre particulares,\
            \ la calificaci\xF3n crediticia, la gesti\xF3n de siniestros y las operaciones\
            \ administrativas. El uso de las TIC tambi\xE9n ha transformado el sector\
            \ de los seguros, desde la aparici\xF3n de intermediarios de seguros que\
            \ ofrecen sus servicios en l\xEDnea y desarrollan su actividad con tecnolog\xED\
            a aplicada al sector de los seguros (InsurTech) hasta la suscripci\xF3\
            n de seguros por medios digitales. No solo se ha digitalizado en gran\
            \ medida todo el sector financiero, sino que la digitalizaci\xF3n tambi\xE9\
            n ha profundizado las interconexiones y las dependencias tanto dentro\
            \ del sector financiero como en relaci\xF3n con proveedores terceros de\
            \ infraestructuras y servicios."
    - urn: urn:intuitem:risk:req_node:dora:recital-3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 3
      description: "The European Systemic Risk Board (ESRB) reaffirmed in a 2020 report\
        \ addressing systemic cyber risk how the existing high level of interconnectedness\
        \ across financial entities, financial markets and financial market infrastructures,\
        \ and particularly the interdependencies of their ICT systems, could constitute\
        \ a systemic vulnerability because localised cyber incidents could quickly\
        \ spread from any of the approximately 22 000 Union financial entities to\
        \ the entire financial system, unhindered by geographical boundaries. Serious\
        \ ICT breaches that occur in the financial sector do not merely affect financial\
        \ entities taken in isolation. They also smooth the way for the propagation\
        \ of localised vulnerabilities across the financial transmission channels\
        \ and potentially trigger adverse consequences for the stability of the Union\u2019\
        s financial system, such as generating liquidity runs and an overall loss\
        \ of confidence and trust in financial markets."
      translations:
        es:
          name: null
          description: "La Junta Europea de Riesgo Sist\xE9mico (JERS) reafirm\xF3\
            \ en un informe de 2020 sobre el ciberriesgo sist\xE9mico que el elevado\
            \ nivel actual de interconexi\xF3n entre entidades financieras, mercados\
            \ financieros e infraestructuras de los mercados financieros, y en particular\
            \ las interdependencias de sus sistemas de TIC, podr\xEDa constituir una\
            \ vulnerabilidad sist\xE9mica, ya que desde cualquiera de las aproximadamente\
            \ 22 000 entidades financieras de la Uni\xF3n podr\xEDan propagarse r\xE1\
            pidamente a todo el sistema financiero ciberincidentes localizados, sin\
            \ que los l\xEDmites geogr\xE1ficos supongan un obst\xE1culo. Las vulneraciones\
            \ graves relacionadas con las TIC que tienen lugar en el sector financiero\
            \ no afectan \xFAnicamente a las entidades financieras de forma aislada.\
            \ Tambi\xE9n allanan el camino para la propagaci\xF3n de vulnerabilidades\
            \ localizadas a trav\xE9s de los canales de transmisi\xF3n financieros\
            \ y pueden provocar consecuencias negativas para la estabilidad del sistema\
            \ financiero de la Uni\xF3n, por ejemplo, fugas de liquidez y una p\xE9\
            rdida general de confianza en los mercados financieros."
    - urn: urn:intuitem:risk:req_node:dora:recital-4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 4
      description: In recent years, ICT risk has attracted the attention of international,
        Union and national policy makers, regulators and standard-setting bodies in
        an attempt to enhance digital resilience, set standards and coordinate regulatory
        or supervisory work. At international level, the Basel Committee on Banking
        Supervision, the Committee on Payments and Market Infrastructures, the Financial
        Stability Board, the Financial Stability Institute, as well as the G7 and
        G20 aim to provide competent authorities and market operators across various
        jurisdictions with tools to bolster the resilience of their financial systems.
        That work has also been driven by the need to duly consider ICT risk in the
        context of a highly interconnected global financial system and to seek more
        consistency of relevant best practices.
      translations:
        es:
          name: null
          description: "En los \xFAltimos a\xF1os, los responsables pol\xEDticos,\
            \ los reguladores y los organismos de normalizaci\xF3n internacionales,\
            \ de la Uni\xF3n y nacionales han abordado el riesgo relacionado con las\
            \ TIC, en un intento de aumentar la resiliencia digital, establecer normas\
            \ y coordinar el trabajo de regulaci\xF3n o supervisi\xF3n. A escala internacional,\
            \ el Comit\xE9 de Supervisi\xF3n Bancaria de Basilea, el Comit\xE9 de\
            \ Pagos e Infraestructuras del Mercado, el Consejo de Estabilidad Financiera\
            \ y el Instituto de Estabilidad Financiera, as\xED como el G7 y el G20,\
            \ procuran proporcionar a las autoridades competentes y a los operadores\
            \ del mercado de varias jurisdicciones herramientas para reforzar la resiliencia\
            \ de sus sistemas financieros. Esta labor tambi\xE9n se ha visto impulsada\
            \ por la necesidad de tener debidamente en cuenta el riesgo relacionado\
            \ con las TIC en el contexto de un sistema financiero mundial altamente\
            \ interconectado y de tratar de reforzar la coherencia de las mejores\
            \ pr\xE1cticas pertinentes."
    - urn: urn:intuitem:risk:req_node:dora:recital-5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 5
      description: "Despite Union and national targeted policy and legislative initiatives,\
        \ ICT risk continues to pose a challenge to the operational resilience, performance\
        \ and stability of the Union financial system. The reforms that followed the\
        \ 2008 financial crisis primarily strengthened the financial resilience of\
        \ the Union financial sector and aimed to safeguard the competitiveness and\
        \ stability of the Union from economic, prudential and market conduct perspectives.\
        \ Although ICT security and digital resilience are part of operational risk,\
        \ they have been less in the focus of the post- financial crisis regulatory\
        \ agenda and have developed in only some areas of the Union\u2019s financial\
        \ services policy and regulatory landscape, or in only a few Member States."
      translations:
        es:
          name: null
          description: " \nA pesar de las iniciativas estrat\xE9gicas y legislativas\
            \ espec\xEDficas de la Uni\xF3n y nacionales, el riesgo relacionado con\
            \ las TIC sigue representando un desaf\xEDo para la resiliencia operativa,\
            \ el rendimiento y la estabilidad del sistema financiero de la Uni\xF3\
            n. Las reformas que siguieron a la crisis financiera de 2008 reforzaron\
            \ fundamentalmente la resiliencia financiera del sector financiero de\
            \ la Uni\xF3n y tuvieron por objeto salvaguardar la competitividad y la\
            \ estabilidad de la Uni\xF3n desde los puntos de vista econ\xF3mico, prudencial\
            \ y de conducta del mercado. Pese a que la resiliencia digital y la seguridad\
            \ de las TIC forman parte del riesgo operativo, han recibido menos atenci\xF3\
            n en la agenda normativa posterior a la crisis financiera y se han desarrollado\
            \ \xFAnicamente en algunos \xE1mbitos de la pol\xEDtica y el panorama\
            \ normativo de la Uni\xF3n en el \xE1mbito de los servicios financieros,\
            \ o solo en unos pocos Estados miembros."
    - urn: urn:intuitem:risk:req_node:dora:recital-6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 6
      description: "In its Communication of 8 March 2018 entitled \u2018FinTech Action\
        \ plan: For a more competitive and innovative European financial sector\u2019\
        , the Commission highlighted the paramount importance of making the Union\
        \ financial sector more resilient, including from an operational perspective\
        \ to ensure its technological safety and good functioning, its quick recovery\
        \ from ICT breaches and incidents, ultimately enabling the effective and smooth\
        \ provision of financial services across the whole Union, including under\
        \ situations of stress, while also preserving consumer and market trust and\
        \ confidence."
      translations:
        es:
          name: null
          description: "En su Comunicaci\xF3n de 8 de marzo de 2018 titulada \xAB\
            Plan de acci\xF3n en materia de tecnolog\xEDa financiera: por un sector\
            \ financiero europeo m\xE1s competitivo e innovador\xBB, la Comisi\xF3\
            n puso de relieve la importancia capital de hacer que el sector financiero\
            \ de la Uni\xF3n sea m\xE1s resiliente, tambi\xE9n desde una perspectiva\
            \ operativa, para garantizar su seguridad tecnol\xF3gica y su buen funcionamiento,\
            \ as\xED como su r\xE1pida recuperaci\xF3n de los incidentes y vulneraciones\
            \ relacionadas con las TIC, lo que permitir\xE1 en \xFAltima instancia\
            \ que los servicios financieros se presten de manera eficaz y fluida en\
            \ toda la Uni\xF3n, tambi\xE9n en situaciones de tensi\xF3n, al tiempo\
            \ que se preserva la confianza de los consumidores y del mercado."
    - urn: urn:intuitem:risk:req_node:dora:recital-7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 7
      description: "In April 2019, the European Supervisory Authority (European Banking\
        \ Authority), (EBA) established by Regulation (EU) No 1093/2010 of the European\
        \ Parliament and of the Council (4), the European Supervisory Authority (European\
        \ Insurance and Occupational Pensions Authority), (\u2018EIOPA\u2019) established\
        \ by Regulation (EU) No 1094/2010 of the European Parliament and of the Council\
        \ (5) and the European Supervisory Authority (European Securities and Markets\
        \ Authority), (\u2018ESMA\u2019) established by Regulation (EU) No 1095/2010\
        \ of the European Parliament and of the Council (6) (known collectively as\
        \ \u2018European Supervisory Authorities\u2019 or \u2018ESAs\u2019) jointly\
        \ issued technical advice calling for a coherent approach to ICT risk in finance\
        \ and recommending to strengthen, in a proportionate way, the digital operational\
        \ resilience of the financial services industry through a sector-specific\
        \ initiative of the Union."
      translations:
        es:
          name: null
          description: "En abril de 2019, la Autoridad Europea de Supervisi\xF3n (Autoridad\
            \ Bancaria Europea, ABE) creada mediante el Reglamento (UE) n.o 1093/2010\
            \ del Parlamento Europeo y del Consejo (4), la Autoridad Europea de Supervisi\xF3\
            n (Autoridad Europea de Seguros y Pensiones de Jubilaci\xF3n, AESPJ) creada\
            \ mediante el Reglamento (UE) n.o 1094/2010 del Parlamento Europeo y del\
            \ Consejo (5) y la Autoridad Europea de Supervisi\xF3n (Autoridad Europea\
            \ de Valores y Mercados, AEVM) creada mediante el Reglamento (UE) n.o\
            \ 1095/2010 del Parlamento Europeo y del Consejo (6) (conocidas colectivamente\
            \ como \xABAutoridades Europeas de Supervisi\xF3n\xBB) emitieron conjuntamente\
            \ dict\xE1menes t\xE9cnicos en los que ped\xEDan un enfoque coherente\
            \ del riesgo relacionado con las TIC en el \xE1mbito financiero y recomendaban\
            \ reforzar, de manera proporcionada, la resiliencia operativa digital\
            \ del sector de los servicios financieros a trav\xE9s de una iniciativa\
            \ sectorial de la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 8
      description: The Union financial sector is regulated by a Single Rulebook and
        governed by a European system of financial supervision. Nonetheless, provisions
        tackling digital operational resilience and ICT security are not yet fully
        or consistently harmonised, despite digital operational resilience being vital
        for ensuring financial stability and market integrity in the digital age,
        and no less important than, for example, common prudential or market conduct
        standards. The Single Rulebook and system of supervision should therefore
        be developed to also cover digital operational resilience, by strengthening
        the mandates of competent authorities to enable them to supervise the management
        of ICT risk in the financial sector in order to protect the integrity and
        efficiency of the internal market, and to facilitate its orderly functioning.
      translations:
        es:
          name: null
          description: "El sector financiero de la Uni\xF3n est\xE1 regulado por un\
            \ c\xF3digo normativo \xFAnico y regido por un sistema europeo de supervisi\xF3\
            n financiera. No obstante, las disposiciones que abordan la resiliencia\
            \ operativa digital y la seguridad de las TIC no est\xE1n todav\xEDa plena\
            \ o coherentemente armonizadas, pese a que la resiliencia operativa digital\
            \ es vital para garantizar la estabilidad financiera y la integridad del\
            \ mercado en la era digital y no es menos importante que, por ejemplo,\
            \ las normas comunes prudenciales o de conducta de mercado. Por consiguiente,\
            \ deben desarrollarse el c\xF3digo normativo \xFAnico y el sistema de\
            \ supervisi\xF3n para que abarquen tambi\xE9n la resiliencia operativa\
            \ digital, reforzando los mandatos de las autoridades competentes para\
            \ que puedan supervisar la gesti\xF3n del riesgo relacionado con las TIC\
            \ en el sector financiero con el objetivo de proteger la integridad y\
            \ la eficiencia del mercado interior y facilitar su correcto funcionamiento."
    - urn: urn:intuitem:risk:req_node:dora:recital-9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 9
      description: Legislative disparities and uneven national regulatory or supervisory
        approaches with regard to ICT risk trigger obstacles to the functioning of
        the internal market in financial services, impeding the smooth exercise of
        the freedom of establishment and the provision of services for financial entities
        operating on a cross-border basis. Competition between the same type of financial
        entities operating in different Member States could also be distorted. This
        is the case, in particular, for areas where Union harmonisation has been very
        limited, such as digital operational resilience testing, or absent, such as
        the monitoring of ICT third-party risk. Disparities stemming from developments
        envisaged at national level could generate further obstacles to the functioning
        of the internal market to the detriment of market participants and financial
        stability.
      translations:
        es:
          name: null
          description: " \nLas disparidades legislativas y unos enfoques de regulaci\xF3\
            n o de supervisi\xF3n nacionales desiguales por lo que respecta al riesgo\
            \ relacionado con las TIC generan obst\xE1culos al funcionamiento del\
            \ mercado interior de los servicios financieros, lo que dificulta el correcto\
            \ ejercicio de la libertad de establecimiento y la prestaci\xF3n de servicios\
            \ por parte de las entidades financieras que operan a escala transfronteriza.\
            \ La competencia entre el mismo tipo de entidades financieras que operan\
            \ en diferentes Estados miembros tambi\xE9n podr\xEDa verse falseada.\
            \ Esto sucede, en particular, en \xE1mbitos en los que la armonizaci\xF3\
            n a escala de la Uni\xF3n ha sido muy limitada (como las pruebas de resiliencia\
            \ operativa digital) o inexistente (como el seguimiento del riesgo de\
            \ relacionado con las TIC derivado de terceros). Las disparidades derivadas\
            \ de la evoluci\xF3n prevista a escala nacional podr\xEDan generar nuevos\
            \ obst\xE1culos al funcionamiento del mercado interior en detrimento de\
            \ los participantes en el mercado y la estabilidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:recital-10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 10
      description: To date, due to the ICT risk related provisions being only partially
        addressed at Union level, there are gaps or overlaps in important areas, such
        as ICT-related incident reporting and digital operational resilience testing,
        and inconsistencies as a result of emerging divergent national rules or cost-ineffective
        application of overlapping rules. This is particularly detrimental for an
        ICT-intensive user such as the financial sector since technology risks have
        no borders and the financial sector deploys its services on a wide cross-border
        basis within and outside the Union. Individual financial entities operating
        on a cross-border basis or holding several authorisations (e.g. one financial
        entity can have a banking, an investment firm, and a payment institution licence,
        each issued by a different competent authority in one or several Member States)
        face operational challenges in addressing ICT risk and mitigating adverse
        impacts of ICT incidents on their own and in a coherent cost-effective way.
      translations:
        es:
          name: null
          description: "Actualmente, dado que las disposiciones sobre el riesgo relacionado\
            \ con las TIC se han abordado solo parcialmente a escala de la Uni\xF3\
            n, existen lagunas o solapamientos en \xE1mbitos importantes, como la\
            \ notificaci\xF3n de incidentes relacionados con las TIC y las pruebas\
            \ de resiliencia operativa digital, e incoherencias provocadas por la\
            \ aparici\xF3n de normas nacionales divergentes o la aplicaci\xF3n ineficaz\
            \ a efecto de los costes de normas que se solapan. Esto es especialmente\
            \ perjudicial para quienes hacen un uso intensivo de las TIC, como es\
            \ el caso del sector financiero, ya que los riesgos tecnol\xF3gicos no\
            \ tienen fronteras y el sector financiero ofrece sus servicios a escala\
            \ ampliamente transfronteriza dentro y fuera de la Uni\xF3n. Las entidades\
            \ financieras que operan a escala transfronteriza o que poseen varias\
            \ autorizaciones (por ejemplo, una misma entidad financiera puede tener\
            \ una licencia bancaria, una licencia de empresa de servicios de inversi\xF3\
            n y una licencia de entidad de pago, cada una expedida por una autoridad\
            \ competente diferente en uno o varios Estados miembros) se enfrentan\
            \ a retos operativos a la hora de abordar el riesgo relacionado con las\
            \ TIC y mitigar las repercusiones negativas de los incidentes relacionados\
            \ con las TIC de manera aut\xF3noma, coherente y eficaz en t\xE9rminos\
            \ de costes."
    - urn: urn:intuitem:risk:req_node:dora:recital-11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 11
      description: As the Single Rulebook has not been accompanied by a comprehensive
        ICT or operational risk framework, further harmonisation of key digital operational
        resilience requirements for all financial entities is required. The development
        of ICT capabilities and overall resilience by financial entities, based on
        those key requirements, with a view to withstanding operational outages, would
        help preserve the stability and integrity of the Union financial markets and
        thus contribute to ensuring a high level of protection of investors and consumers
        in the Union. Since this Regulation aims to contribute to the smooth functioning
        of the internal market, it should be based on the provisions of Article 114
        of the Treaty on the Functioning of the European Union (TFEU) as interpreted
        in accordance with the consistent case law of the Court of Justice of the
        European Union (Court of Justice).
      translations:
        es:
          name: null
          description: "Dado que el c\xF3digo normativo \xFAnico no ha ido acompa\xF1\
            ado de un marco global del riesgo operativo o relacionado con las TIC,\
            \ es necesaria una mayor armonizaci\xF3n de los requisitos clave de resiliencia\
            \ operativa digital para todas las entidades financieras. El desarrollo\
            \ de las capacidades en materia de TIC y la resiliencia general por las\
            \ entidades financieras, sobre la base de estos requisitos clave, con\
            \ vistas a hacer frente a las interrupciones operativas, contribuir\xED\
            a a preservar la estabilidad e integridad de los mercados financieros\
            \ de la Uni\xF3n y, de este modo, a garantizar un elevado nivel de protecci\xF3\
            n de los inversores y consumidores de la Uni\xF3n. Puesto que el objetivo\
            \ del presente Reglamento es contribuir al buen funcionamiento del mercado\
            \ interior, debe basarse en las disposiciones del art\xEDculo 114 del\
            \ Tratado de Funcionamiento de la Uni\xF3n Europea (TFUE), interpretadas\
            \ de conformidad con la jurisprudencia reiterada del Tribunal de Justicia\
            \ de la Uni\xF3n Europea (en lo sucesivo, \xABTribunal de Justicia\xBB\
            )."
    - urn: urn:intuitem:risk:req_node:dora:recital-12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 12
      description: This Regulation aims to consolidate and upgrade ICT risk requirements
        as part of the operational risk requirements that have, up to this point,
        been addressed separately in various Union legal acts. While those acts covered
        the main categories of financial risk (e.g. credit risk, market risk, counterparty
        credit risk and liquidity risk, market conduct risk), they did not comprehensively
        tackle, at the time of their adoption, all components of operational resilience.
        The operational risk rules, when further developed in those Union legal acts,
        often favoured a traditional quantitative approach to addressing risk (namely
        setting a capital requirement to cover ICT risk) rather than targeted qualitative
        rules for the protection, detection, containment, recovery and repair capabilities
        against ICT-related incidents, or for reporting and digital testing capabilities.
        Those acts were primarily meant to cover and update essential rules on prudential
        supervision, market integrity or conduct. By consolidating and upgrading the
        different rules on ICT risk, all provisions addressing digital risk in the
        financial sector should for the first time be brought together in a consistent
        manner in one single legislative act. Therefore, this Regulation fills in
        the gaps or remedies inconsistencies in some of the prior legal acts, including
        in relation to the terminology used therein, and explicitly refers to ICT
        risk via targeted rules on ICT risk-management capabilities, incident reporting,
        operational resilience testing and ICT third-party risk monitoring. This Regulation
        should thus also raise awareness of ICT risk and acknowledge that ICT incidents
        and a lack of operational resilience have the possibility to jeopardise the
        soundness of financial entities.
      translations:
        es:
          name: null
          description: "El presente Reglamento tiene por objeto consolidar y actualizar\
            \ los requisitos relativos al riesgo relacionado con las TIC como parte\
            \ de los requisitos en materia de riesgo operativo que se han abordado\
            \ hasta la fecha por separado en distintos actos jur\xEDdicos de la Uni\xF3\
            n. Si bien esos actos abarcaron las principales categor\xEDas de riesgo\
            \ financiero (por ejemplo, riesgo de cr\xE9dito, riesgo de mercado, riesgo\
            \ de cr\xE9dito de contraparte y riesgo de liquidez, riesgo de conducta\
            \ de mercado), no abordaron de manera global, en el momento de su adopci\xF3\
            n, todos los componentes de la resiliencia operativa. Las normas en materia\
            \ de riesgo operativo, cuando se desarrollaron m\xE1s en estos actos jur\xED\
            dicos de la Uni\xF3n, a menudo se decantaron por un enfoque cuantitativo\
            \ tradicional para abordar el riesgo (a saber, establecer un requisito\
            \ de capital para cubrir el riesgo relacionado con las TIC) en vez de\
            \ por normas cualitativas espec\xEDficas con respecto a las capacidades\
            \ de protecci\xF3n, detecci\xF3n, contenci\xF3n, recuperaci\xF3n y reparaci\xF3\
            n frente a incidentes relacionados con las TIC o en lo relativo a las\
            \ capacidades de notificaci\xF3n y relativas a las pruebas digitales.\
            \ El objetivo principal de dichos actos era recoger y actualizar normas\
            \ esenciales sobre supervisi\xF3n prudencial, integridad del mercado o\
            \ conducta. La consolidaci\xF3n y la actualizaci\xF3n de las distintas\
            \ normas sobre el riesgo relacionado con las TIC deben permitir reunir\
            \ por primera vez de manera coherente en un \xFAnico acto legislativo\
            \ todas las disposiciones que abordan el riesgo digital en el sector financiero.\
            \ As\xED pues, el presente Reglamento colma las lagunas o subsana las\
            \ incoherencias de algunos de los actos jur\xEDdicos anteriores, tambi\xE9\
            n en relaci\xF3n con la terminolog\xEDa utilizada en ellos, y hace referencia\
            \ expl\xEDcita al riesgo relacionado con las TIC a trav\xE9s de normas\
            \ espec\xEDficas sobre las capacidades de gesti\xF3n de este riesgo, la\
            \ notificaci\xF3n de incidentes, las pruebas de resiliencia operativa\
            \ y el seguimiento del riesgo relacionado con las TIC derivado de terceros.\
            \ Por consiguiente, el presente Reglamento debe tambi\xE9n sensibilizar\
            \ respecto al riesgo relacionado con las TIC y reconocer que los incidentes\
            \ relacionados con las TIC y la falta de resiliencia operativa pueden\
            \ poner en peligro la solidez de las entidades financieras."
    - urn: urn:intuitem:risk:req_node:dora:recital-13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 13
      description: Financial entities should follow the same approach and the same
        principle-based rules when addressing ICT risk taking into account their size
        and overall risk profile, and the nature, scale and complexity of their services,
        activities and operations. Consistency contributes to enhancing confidence
        in the financial system and preserving its stability especially in times of
        high reliance on ICT systems, platforms and infrastructures, which entails
        increased digital risk. Observing basic cyber hygiene should also avoid imposing
        heavy costs on the economy by minimising the impact and costs of ICT disruptions.
      translations:
        es:
          name: null
          description: " \nLas entidades financieras deben seguir el mismo enfoque\
            \ y las mismas normas basadas en principios a la hora de abordar el riesgo\
            \ relacionado con las TIC teniendo en cuenta su tama\xF1o y su perfil\
            \ de riesgo general, as\xED como la naturaleza, escala y complejidad de\
            \ sus servicios, actividades y operaciones. La coherencia contribuye a\
            \ aumentar la confianza en el sistema financiero y a preservar su estabilidad,\
            \ especialmente en tiempos de elevada dependencia de los sistemas, plataformas\
            \ e infraestructuras de TIC, que conlleva un mayor riesgo digital. El\
            \ respeto de una ciberhigiene b\xE1sica tambi\xE9n debe evitar la imposici\xF3\
            n de costes elevados a la econom\xEDa a trav\xE9s de la minimizaci\xF3\
            n de las repercusiones y los costes de las perturbaciones de las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 14
      description: A Regulation helps reduce regulatory complexity, fosters supervisory
        convergence and increases legal certainty, and also contributes to limiting
        compliance costs, especially for financial entities operating across borders,
        and to reducing competitive distortions. Therefore, the choice of a Regulation
        for the establishment of a common framework for the digital operational resilience
        of financial entities is the most appropriate way to guarantee a homogenous
        and coherent application of all components of ICT risk management by the Union
        financial sector.
      translations:
        es:
          name: null
          description: "Un reglamento contribuye a reducir la complejidad normativa,\
            \ fomenta la convergencia en materia de supervisi\xF3n y aumenta la seguridad\
            \ jur\xEDdica y, adem\xE1s, contribuye a limitar los costes de cumplimiento,\
            \ especialmente para las entidades financieras que operan a escala transfronteriza,\
            \ y a reducir los falseamientos de la competencia. Por lo tanto, elegir\
            \ un reglamento para el establecimiento de un marco com\xFAn para la resiliencia\
            \ operativa digital de las entidades financieras es la manera m\xE1s adecuada\
            \ de garantizar una aplicaci\xF3n homog\xE9nea y coherente de todos los\
            \ componentes de la gesti\xF3n del riesgo relacionado con las TIC por\
            \ parte del sector financiero de la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 15
      description: Directive (EU) 2016/1148 of the European Parliament and of the
        Council (7) was the first horizontal cybersecurity framework enacted at Union
        level, applying also to three types of financial entities, namely credit institutions,
        trading venues and central counterparties. However, since Directive (EU) 2016/1148
        set out a mechanism of identification at national level of operators of essential
        services, only certain credit institutions, trading venues and central counterparties
        that were identified by the Member States, have been brought into its scope
        in practice, and hence required to comply with the ICT security and incident
        notification requirements laid down in it. Directive (EU) 2022/2555 of the
        European Parliament and of the Council (8) sets a uniform criterion to determine
        the entities falling within its scope of application (size-cap rule) while
        also keeping the three types of financial entities in its scope.
      translations:
        es:
          name: null
          description: "La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo\
            \ (7) fue el primer marco horizontal de ciberseguridad establecido a escala\
            \ de la Uni\xF3n, y se aplica tambi\xE9n a tres tipos de entidades financieras,\
            \ a saber, las entidades de cr\xE9dito, los centros de negociaci\xF3n\
            \ y las entidades de contrapartida central. Sin embargo, dado que la Directiva\
            \ (UE) 2016/1148 estableci\xF3 un mecanismo de identificaci\xF3n a escala\
            \ nacional de los operadores de servicios esenciales, solo determinadas\
            \ entidades de cr\xE9dito, centros de negociaci\xF3n y entidades de contrapartida\
            \ central que han sido identificados por los Estados miembros, han entrado,\
            \ en la pr\xE1ctica, en su \xE1mbito de aplicaci\xF3n, y se les ha exigido\
            \ por lo tanto que cumplan los requisitos de notificaci\xF3n de incidentes\
            \ y seguridad relacionados con las TIC establecidos en dicha Directiva.\
            \ La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (8)\
            \ establece un criterio uniforme para determinar qu\xE9 entidades entran\
            \ en su \xE1mbito de aplicaci\xF3n (norma sobre el tama\xF1o m\xE1ximo),\
            \ al tiempo que mantiene los tres tipos de entidades financieras en su\
            \ \xE1mbito de aplicaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 16
      description: However, as this Regulation increases the level of harmonisation
        of the various digital resilience components, by introducing requirements
        on ICT risk management and ICT-related incident reporting that are more stringent
        in comparison to those laid down in the current Union financial services law,
        this higher level constitutes an increased harmonisation also in comparison
        with the requirements laid down in Directive (EU) 2022/2555. Consequently,
        this Regulation constitutes lex specialis with regard to Directive (EU) 2022/2555.
        At the same time, it is crucial to maintain a strong relationship between
        the financial sector and the Union horizontal cybersecurity framework as currently
        laid out in Directive (EU) 2022/2555 to ensure consistency with the cyber
        security strategies adopted by Member States and to allow financial supervisors
        to be made aware of cyber incidents affecting other sectors covered by that
        Directive.
      translations:
        es:
          name: null
          description: " \nNo obstante, dado que el presente Reglamento eleva el nivel\
            \ de armonizaci\xF3n de los distintos componentes de la resiliencia digital\
            \ mediante la introducci\xF3n de requisitos en materia de gesti\xF3n del\
            \ riesgo relacionado con las TIC y de notificaci\xF3n de incidentes relacionados\
            \ con las TIC m\xE1s estrictos que los establecidos en el Derecho vigente\
            \ de la Uni\xF3n en materia de servicios financieros, este nivel m\xE1\
            s elevado constituye una mayor armonizaci\xF3n tambi\xE9n en comparaci\xF3\
            n con los requisitos establecidos en la Directiva (UE) 2022/2555. Por\
            \ consiguiente, el presente Reglamento constituye una lex specialis con\
            \ respecto a la Directiva (UE) 2022/2555. Al mismo tiempo, es fundamental\
            \ mantener una estrecha relaci\xF3n entre el sector financiero y el marco\
            \ horizontal de ciberseguridad de la Uni\xF3n tal como se establece actualmente\
            \ en la Directiva (UE) 2022/2555 para garantizar la coherencia con las\
            \ estrategias de ciberseguridad adoptadas por los Estados miembros y para\
            \ permitir que los supervisores financieros tengan conocimiento de los\
            \ ciberincidentes que afecten a otros sectores cubiertos por dicha Directiva."
    - urn: urn:intuitem:risk:req_node:dora:recital-17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 17
      description: In accordance with Article 4(2) of the Treaty on European Union
        and without prejudice to the judicial review by the Court of Justice, this
        Regulation should not affect the responsibility of Member States with regard
        to essential State functions concerning public security, defence and the safeguarding
        of national security, for example concerning the supply of information which
        would be contrary to the safeguarding of national security.
      translations:
        es:
          name: null
          description: "De conformidad con el art\xEDculo 4, apartado 2, del Tratado\
            \ de la Uni\xF3n Europea, y sin perjuicio del control judicial por parte\
            \ del Tribunal de Justicia, el presente Reglamento no debe afectar a la\
            \ responsabilidad de los Estados miembros relativa a las funciones esenciales\
            \ del Estado que afectan a la seguridad p\xFAblica, la defensa y la salvaguardia\
            \ de la seguridad nacional, por ejemplo en casos en los que facilitar\
            \ informaci\xF3n ser\xEDa contrario a la salvaguardia de la seguridad\
            \ nacional."
    - urn: urn:intuitem:risk:req_node:dora:recital-18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 18
      description: "To enable cross-sector learning and to effectively draw on experiences\
        \ of other sectors in dealing with cyber threats, the financial entities referred\
        \ to in Directive (EU) 2022/2555 should remain part of the \u2018ecosystem\u2019\
        \ of that Directive (for example, Cooperation Group and computer security\
        \ incident response teams (CSIRTs)).The ESAs and national competent authorities\
        \ should be able to participate in the strategic policy discussions and the\
        \ technical workings of the Cooperation Group under that Directive, and to\
        \ exchange information and further cooperate with the single points of contact\
        \ designated or established in accordance with that Directive. The competent\
        \ authorities under this Regulation should also consult and cooperate with\
        \ the CSIRTs. The competent authorities should also be able to request technical\
        \ advice from the competent authorities designated or established in accordance\
        \ with Directive (EU) 2022/2555 and establish cooperation arrangements that\
        \ aim to ensure effective and fast-response coordination mechanisms."
      translations:
        es:
          name: null
          description: "Para permitir el aprendizaje intersectorial y aprovechar eficazmente\
            \ las experiencias de otros sectores a la hora de hacer frente a las ciberamenazas,\
            \ las entidades financieras a que se refiere la Directiva (UE) 2022/2555\
            \ deben seguir formando parte del \xABecosistema\xBB de dicha Directiva\
            \ [por ejemplo, el Grupo de Cooperaci\xF3n y los equipos de respuesta\
            \ a incidentes de seguridad inform\xE1tica (CSIRT)]. Las Autoridades Europeas\
            \ de Supervisi\xF3n y las autoridades nacionales competentes deben poder\
            \ participar en los debates estrat\xE9gicos y en los trabajos t\xE9cnicos\
            \ del Grupo de Cooperaci\xF3n con arreglo a dicha Directiva e intercambiar\
            \ informaci\xF3n y seguir cooperando con los puntos de contacto \xFAnicos\
            \ designados o establecidos de conformidad con dicha Directiva. Las autoridades\
            \ competentes con arreglo al presente Reglamento tambi\xE9n deben consultar\
            \ a los CSIRT y cooperar con ellos. Las autoridades competentes tambi\xE9\
            n deben poder solicitar dict\xE1menes t\xE9cnicos a las autoridades competentes\
            \ designadas o establecidas de conformidad con la Directiva (UE) 2022/2555\
            \ y establecer acuerdos de cooperaci\xF3n encaminados a garantizar unos\
            \ mecanismos de coordinaci\xF3n eficaces y r\xE1pidos."
    - urn: urn:intuitem:risk:req_node:dora:recital-19
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 19
      description: Given the strong interlinkages between the digital resilience and
        the physical resilience of financial entities, a coherent approach with regard
        to the resilience of critical entities is necessary in this Regulation and
        Directive (EU) 2022/2557 of the European Parliament and the Council (9). Given
        that the physical resilience of financial entities is addressed in a comprehensive
        manner by the ICT risk management and reporting obligations covered by this
        Regulation, the obligations laid down in Chapters III and IV of Directive
        (EU) 2022/2557 should not apply to financial entities falling within the scope
        of that Directive.
      translations:
        es:
          name: null
          description: "Habida cuenta de las fuertes interrelaciones entre la resiliencia\
            \ digital y la resiliencia f\xEDsica de las entidades financieras, el\
            \ presente Reglamento y la Directiva (UE) 2022/2557 del Parlamento Europeo\
            \ y del Consejo deben adoptar un enfoque coherente por lo que respecta\
            \ a la resiliencia de las entidades cr\xEDticas. Dado que las obligaciones\
            \ de gesti\xF3n del riesgo relacionado con las TIC y de notificaci\xF3\
            n contempladas en el presente Reglamento abordan de manera global la resiliencia\
            \ f\xEDsica de las entidades financieras, las obligaciones establecidas\
            \ en los cap\xEDtulos III y IV de la Directiva (UE) 2022/2557 no deben\
            \ aplicarse a las entidades financieras que entran en el \xE1mbito de\
            \ aplicaci\xF3n de dicha Directiva."
    - urn: urn:intuitem:risk:req_node:dora:recital-20
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 20
      description: "Cloud computing service providers are one category of digital\
        \ infrastructure covered by Directive (EU) 2022/2555. The Union Oversight\
        \ Framework (\u2018Oversight Framework\u2019) established by this Regulation\
        \ applies to all critical ICT third-party service providers, including cloud\
        \ computing service providers providing ICT services to financial entities,\
        \ and should be considered complementary to the supervision carried out pursuant\
        \ to Directive (EU) 2022/ 2555. Moreover, the Oversight Framework established\
        \ by this Regulation should cover cloud computing service providers in the\
        \ absence of a Union horizontal framework establishing a digital oversight\
        \ authority."
      translations:
        es:
          name: null
          description: "Los proveedores de servicios de computaci\xF3n en nube son\
            \ una categor\xEDa de infraestructura digital cubierta por la Directiva\
            \ (UE) 2022/2555. El marco de supervisi\xF3n de la Uni\xF3n (en lo sucesivo,\
            \ \xABmarco de supervisi\xF3n\xBB) establecido por el presente Reglamento\
            \ se aplica a todos los proveedores terceros esenciales de servicios de\
            \ TIC, incluidos los proveedores de servicios de computaci\xF3n en nube\
            \ que prestan servicios de TIC a entidades financieras, y debe considerarse\
            \ complementario de la supervisi\xF3n en virtud de la Directiva (UE) 2022/2555.\
            \ Adem\xE1s, en ausencia de un marco horizontal de la Uni\xF3n que establezca\
            \ una autoridad de supervisi\xF3n digital, el marco de supervisi\xF3n\
            \ establecido por el presente Reglamento debe abarcar a los proveedores\
            \ de servicios de computaci\xF3n en nube."
    - urn: urn:intuitem:risk:req_node:dora:recital-21
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 21
      description: In order to maintain full control over ICT risk, financial entities
        need to have comprehensive capabilities to enable a strong and effective ICT
        risk management, as well as specific mechanisms and policies for handling
        all ICT-related incidents and for reporting major ICT-related incidents. Likewise,
        financial entities should have policies in place for the testing of ICT systems,
        controls and processes, as well as for managing ICT third-party risk. The
        digital operational resilience baseline for financial entities should be increased
        while also allowing for a proportionate application of requirements for certain
        financial entities, particularly microenterprises, as well as financial entities
        subject to a simplified ICT risk management framework. To facilitate an efficient
        supervision of institutions for occupational retirement provision that is
        proportionate and addresses the need to reduce administrative burdens on the
        competent authorities, the relevant national supervisory arrangements in respect
        of such financial entities should take into account their size and overall
        risk profile, and the nature, scale and complexity of their services, activities
        and operations even when the relevant thresholds established in Article 5
        of Directive (EU) 2016/2341 of the European Parliament and of the Council
        (10) are exceeded. In particular, supervisory activities should focus primarily
        on the need to address serious risks associated with the ICT risk management
        of a particular entity.
      translations:
        es:
          name: null
          description: "Para mantener el pleno control del riesgo relacionado con\
            \ las TIC, las entidades financieras necesitan disponer de capacidades\
            \ globales para permitir una gesti\xF3n del riesgo relacionado con las\
            \ TIC s\xF3lida y eficaz, as\xED como de mecanismos y pol\xEDticas espec\xED\
            ficos para gestionar todos los incidentes relacionados con las TIC y notificar\
            \ los incidentes graves relacionados con estas. Del mismo modo, las entidades\
            \ financieras deben contar con pol\xEDticas para la realizaci\xF3n de\
            \ pruebas de sistemas, controles y procesos relacionados con las TIC,\
            \ as\xED como para gestionar el riesgo relacionado con las TIC derivado\
            \ de terceros. Debe elevarse el nivel de referencia en cuanto a la resiliencia\
            \ operativa digital para las entidades financieras, al tiempo que se permite\
            \ una aplicaci\xF3n proporcionada de los requisitos para determinadas\
            \ entidades financieras, en particular las microempresas, as\xED como\
            \ las entidades financieras sujetas a un marco simplificado de gesti\xF3\
            n del riesgo relacionado con las TIC. Para facilitar un control eficaz\
            \ de los fondos de pensiones de empleo que sea proporcionado y responda\
            \ a la necesidad de reducir las cargas administrativas de las autoridades\
            \ competentes, las disposiciones nacionales pertinentes en materia de\
            \ control aplicables a dichas entidades financieras deben tener en cuenta\
            \ el tama\xF1o y el perfil de riesgo general de estas, as\xED como la\
            \ naturaleza, escala y complejidad de sus servicios, actividades y operaciones,\
            \ tambi\xE9n cuando se superen los umbrales pertinentes establecidos en\
            \ el art\xEDculo 5 de la Directiva (UE) 2016/2341 del Parlamento Europeo\
            \ y del Consejo. En particular, las actividades de control deben centrarse\
            \ principalmente en la necesidad de abordar los riesgos graves asociados\
            \ a la gesti\xF3n del riesgo relacionado con las TIC de una entidad concreta.\n\
            \nAsimismo, las autoridades competentes deben llevar a cabo de manera\
            \ atenta pero proporcionada la supervisi\xF3n de los fondos de pensiones\
            \ de empleo que, de conformidad con el art\xEDculo 31 de la Directiva\
            \ (UE) 2016/2341, externalizan a proveedores de servicios una parte considerable\
            \ de su actividad principal, como la gesti\xF3n de activos, los c\xE1\
            lculos actuariales, la contabilidad y la gesti\xF3n de datos."
    - urn: urn:intuitem:risk:req_node:dora:recital-22
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 22
      description: ICT-related incident reporting thresholds and taxonomies vary significantly
        at national level. While common ground may be achieved through the relevant
        work undertaken by the European Union Agency for Cybersecurity (ENISA) established
        by Regulation (EU) 2019/881 of the European Parliament and of the Council
        (11) and the Cooperation Group under Directive (EU) 2022/2555, divergent approaches
        on setting the thresholds and use of taxonomies still exist, or can emerge,
        for the remainder of financial entities. Due to those divergences, there are
        multiple requirements that financial entities must comply with, especially
        when operating across several Member States and when part of a financial group.
        Moreover, such divergences have the potential to hinder the creation of further
        uniform or centralised Union mechanisms that speed up the reporting process
        and support a quick and smooth exchange of information between competent authorities,
        which is crucial for addressing ICT risk in the event of large-scale attacks
        with potentially systemic consequences.
      translations:
        es:
          name: null
          description: "Los umbrales de notificaci\xF3n y las taxonom\xEDas de incidentes\
            \ relacionados con las TIC var\xEDan considerablemente a escala nacional.\
            \ Si bien es cierto que se puede alcanzar una base com\xFAn mediante la\
            \ labor pertinente emprendida por la Agencia de la Uni\xF3n Europea para\
            \ la Ciberseguridad (ENISA) establecida por el Reglamento (UE) 2019/881\
            \ del Parlamento Europeo y del Consejo (11) y el Grupo de Cooperaci\xF3\
            n a las que se aplica la Directiva (UE) 2022/2555, para las dem\xE1s entidades\
            \ financieras todav\xEDa existen, o pueden surgir, enfoques divergentes\
            \ sobre el establecimiento de los umbrales y el uso de taxonom\xEDas.\
            \ Debido a dichas divergencias, existen m\xFAltiples requisitos que deben\
            \ cumplir las entidades financieras, especialmente cuando operan en varios\
            \ Estados miembros y cuando forman parte de un grupo financiero. Adem\xE1\
            s, tales divergencias pueden obstaculizar la creaci\xF3n de nuevos mecanismos\
            \ uniformes o centralizados de la Uni\xF3n que aceleren el proceso de\
            \ notificaci\xF3n y apoyen un intercambio r\xE1pido y fluido de informaci\xF3\
            n entre las autoridades competentes, lo cual es crucial para hacer frente\
            \ al riesgo relacionado con las TIC en caso de ataques a gran escala con\
            \ posibles consecuencias sist\xE9micas."
    - urn: urn:intuitem:risk:req_node:dora:recital-23
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 23
      description: To reduce the administrative burden and potentially duplicative
        reporting obligations for certain financial entities, the requirement for
        the incident reporting pursuant to Directive (EU) 2015/2366 of the European
        Parliament and of the Council (12) should cease to apply to payment service
        providers that fall within the scope of this Regulation. Consequently, credit
        institutions, e-money institutions, payment institutions and account information
        service providers, as referred to in Article 33(1) of that Directive, should,
        from the date of application of this Regulation, report pursuant to this Regulation,
        all operational or security payment-related incidents which have been previously
        reported pursuant to that Directive, irrespective of whether such incidents
        are ICT-related.
      translations:
        es:
          name: null
          description: "A fin de reducir la carga administrativa y las obligaciones\
            \ de notificaci\xF3n que podr\xEDan constituir una duplicaci\xF3n para\
            \ determinadas entidades financieras, la obligaci\xF3n de notificar incidentes\
            \ en virtud de la Directiva (UE) 2015/2366 del Parlamento Europeo y del\
            \ Consejo (12) debe dejar de aplicarse a los proveedores de servicios\
            \ de pago que entran en el \xE1mbito de aplicaci\xF3n del presente Reglamento.\
            \ Por consiguiente, las entidades de cr\xE9dito, las entidades de dinero\
            \ electr\xF3nico, las entidades de pago y los proveedores de servicios\
            \ de informaci\xF3n sobre cuentas a que se refiere el art\xEDculo 33,\
            \ apartado 1, de dicha Directiva deben notificar a partir de la fecha\
            \ de aplicaci\xF3n del presente Reglamento, en virtud del presente Reglamento,\
            \ todos los incidentes operativos o de seguridad relacionados con los\
            \ pagos que se hayan notificado previamente en virtud de dicha Directiva,\
            \ con independencia de que dichos incidentes est\xE9n o no relacionados\
            \ con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-24
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 24
      description: To enable competent authorities to fulfil supervisory roles by
        acquiring a complete overview of the nature, frequency, significance and impact
        of ICT-related incidents and to enhance the exchange of information between
        relevant public authorities, including law enforcement authorities and resolution
        authorities, this Regulation should lay down a robust ICT-related incident
        reporting regime whereby the relevant requirements address current gaps in
        financial services law, and remove existing overlaps and duplications to alleviate
        costs. It is essential to harmonise the ICT-related incident reporting regime
        by requiring all financial entities to report to their competent authorities
        through a single streamlined framework as set out in this Regulation. In addition,
        the ESAs should be empowered to further specify relevant elements for the
        ICT-related incident reporting framework, such as taxonomy, timeframes, data
        sets, templates and applicable thresholds. To ensure full consistency with
        Directive (EU) 2022/2555, financial entities should be allowed, on a voluntary
        basis, to notify significant cyber threats to the relevant competent authority,
        when they consider that the cyber threat is of relevance to the financial
        system, service users or clients.
      translations:
        es:
          name: null
          description: " \nPara que las autoridades competentes puedan desempe\xF1\
            ar funciones de control obteniendo una perspectiva completa de la naturaleza,\
            \ frecuencia, importancia y repercusiones de los incidentes relacionados\
            \ con las TIC y a fin de mejorar el intercambio de informaci\xF3n entre\
            \ las autoridades p\xFAblicas pertinentes, incluidas las autoridades policiales\
            \ y las autoridades de resoluci\xF3n, el presente Reglamento debe establecer\
            \ un r\xE9gimen de notificaci\xF3n de incidentes relacionados con las\
            \ TIC que sea s\xF3lido y cuyos requisitos pertinentes colmen las lagunas\
            \ que actualmente existen en el Derecho en materia de servicios financieros\
            \ y eliminen los solapamientos y duplicaciones existentes para reducir\
            \ los costes. Es esencial armonizar el r\xE9gimen de notificaci\xF3n de\
            \ incidentes relacionados con las TIC exigiendo a todas las entidades\
            \ financieras que informen a sus autoridades competentes a trav\xE9s del\
            \ marco simplificado \xFAnico que se establece en el presente Reglamento.\
            \ Adem\xE1s, las Autoridades Europeas de Supervisi\xF3n deben estar facultadas\
            \ para especificar en mayor medida los elementos pertinentes para el marco\
            \ de notificaci\xF3n de incidentes relacionados con las TIC, como la taxonom\xED\
            a, los plazos, los conjuntos de datos, las plantillas y los umbrales aplicables.\
            \ Para garantizar la plena coherencia con la Directiva (UE) 2022/2555,\
            \ las entidades financieras deben poder notificar, de manera voluntaria,\
            \ ciberamenazas importantes a la autoridad competente pertinente cuando\
            \ consideren que la ciberamenaza es relevante para el sistema financiero,\
            \ los usuarios del servicio o los clientes."
    - urn: urn:intuitem:risk:req_node:dora:recital-25
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 25
      description: Digital operational resilience testing requirements have been developed
        in certain financial subsectors setting out frameworks that are not always
        fully aligned. This leads to a potential duplication of costs for cross-border
        financial entities and makes the mutual recognition of the results of digital
        operational resilience testing complex which, in turn, can fragment the internal
        market.
      translations:
        es:
          name: null
          description: " \nLos requisitos de las pruebas de resiliencia operativa\
            \ digital se han desarrollado en determinados subsectores financieros\
            \ y establecen marcos que no siempre est\xE1n plenamente armonizados.\
            \ Esto da lugar a una posible duplicaci\xF3n de costes para las entidades\
            \ financieras transfronterizas y hace que el reconocimiento mutuo de los\
            \ resultados de las pruebas de resiliencia operativa digital sea complejo,\
            \ lo que, a su vez, puede fragmentar el mercado interior."
    - urn: urn:intuitem:risk:req_node:dora:recital-26
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 26
      description: In addition, where no ICT testing is required, vulnerabilities
        remain undetected and result in exposing a financial entity to ICT risk and
        ultimately create a higher risk to the stability and integrity of the financial
        sector. Without Union intervention, digital operational resilience testing
        would continue to be inconsistent and would lack a system of mutual recognition
        of ICT testing results across different jurisdictions. In addition, as it
        is unlikely that other financial subsectors would adopt testing schemes on
        a meaningful scale, they would miss out on the potential benefits of a testing
        framework, in terms of revealing ICT vulnerabilities and risks, and testing
        defence capabilities and business continuity, which contributes to increasing
        the trust of customers, suppliers and business partners. To remedy those overlaps,
        divergences and gaps, it is necessary to lay down rules for a coordinated
        testing regime and thereby facilitate the mutual recognition of advanced testing
        for financial entities meeting the criteria set out in this Regulation.
      translations:
        es:
          name: null
          description: "Adem\xE1s, cuando no se requieren pruebas de TIC, las vulnerabilidades\
            \ no se detectan y acaban exponiendo a la entidad financiera al riesgo\
            \ relacionado con las TIC y, en \xFAltima instancia, engendran un riesgo\
            \ mayor para la estabilidad y la integridad del sector financiero. Sin\
            \ la intervenci\xF3n de la Uni\xF3n, las pruebas de resiliencia operativa\
            \ digital seguir\xEDan siendo incoherentes y carecer\xEDan de un sistema\
            \ de reconocimiento mutuo de los resultados de las pruebas de TIC en diferentes\
            \ pa\xEDses y territorios. Asimismo, dado que es poco probable que otros\
            \ subsectores financieros adopten sistemas de pruebas a una escala significativa,\
            \ desaprovechar\xEDan las ventajas potenciales de un marco de pruebas\
            \ en cuanto a la revelaci\xF3n de vulnerabilidades y riesgos relacionados\
            \ con las TIC y la prueba de las capacidades de defensa y la continuidad\
            \ de la actividad, el cual contribuye a aumentar la confianza de los clientes,\
            \ los proveedores y los socios comerciales. Para poner remedio a esos\
            \ solapamientos, divergencias y lagunas, es necesario establecer normas\
            \ con el fin de coordinar el r\xE9gimen de pruebas y facilitar as\xED\
            \ el reconocimiento mutuo de pruebas avanzadas para las entidades financieras\
            \ que cumplen los criterios establecidos en el presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-27
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 27
      description: "Financial entities\u2019 reliance on the use of ICT services is\
        \ partly driven by their need to adapt to an emerging competitive digital\
        \ global economy, to boost their business efficiency and to meet consumer\
        \ demand. The nature and extent of such reliance has been continuously evolving\
        \ in recent years, driving cost reduction in financial intermediation, enabling\
        \ business expansion and scalability in the deployment of financial activities\
        \ while offering a wide range of ICT tools to manage complex internal processes."
      translations:
        es:
          name: null
          description: " \nLa dependencia del uso de servicios de TIC por parte de\
            \ las entidades financieras se debe en parte a su necesidad de adaptarse\
            \ a una econom\xEDa mundial digital competitiva emergente, de aumentar\
            \ su eficiencia empresarial y de satisfacer la demanda de los consumidores.\
            \ La naturaleza y el alcance de dicha dependencia han estado en constante\
            \ evoluci\xF3n en los \xFAltimos a\xF1os, haciendo bajar los costes de\
            \ la intermediaci\xF3n financiera, permitiendo expandirse a las empresas\
            \ y ampliar las actividades financieras, y ofreciendo al mismo tiempo\
            \ una amplia gama de herramientas de TIC para gestionar procesos internos\
            \ complejos."
    - urn: urn:intuitem:risk:req_node:dora:recital-28
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 28
      description: The extensive use of ICT services is evidenced by complex contractual
        arrangements, whereby financial entities often encounter difficulties in negotiating
        contractual terms that are tailored to the prudential standards or other regulatory
        requirements to which they are subject, or otherwise in enforcing specific
        rights, such as access or audit rights, even when the latter are enshrined
        in their contractual arrangements. Moreover, many of those contractual arrangements
        do not provide for sufficient safeguards allowing for the fully-fledged monitoring
        of subcontracting processes, thus depriving the financial entity of its ability
        to assess the associated risks. In addition, as ICT third- party service providers
        often provide standardised services to different types of clients, such contractual
        arrangements do not always cater adequately for the individual or specific
        needs of financial industry actors.
      translations:
        es:
          name: null
          description: "Ese amplio uso de los servicios de TIC se pone de manifiesto\
            \ en acuerdos contractuales complejos, reflejo de las dificultades que\
            \ a menudo encuentran las entidades financieras a la hora de negociar\
            \ condiciones contractuales adaptadas a las normas prudenciales u otros\
            \ requisitos reglamentarios a los que est\xE1n sujetas, o a la hora de\
            \ hacer valer derechos espec\xEDficos, como los derechos de acceso o auditor\xED\
            a, aun cuando estos \xFAltimos est\xE9n consagrados en sus acuerdos contractuales.\
            \ Adem\xE1s, muchos de dichos acuerdos contractuales no ofrecen suficientes\
            \ salvaguardias que permitan el seguimiento completo de los procesos de\
            \ subcontrataci\xF3n, privando as\xED a la entidad financiera de su capacidad\
            \ para evaluar los riesgos asociados. Por otra parte, dado que los proveedores\
            \ terceros de servicios de TIC a menudo prestan servicios est\xE1ndar\
            \ a distintos tipos de clientes, tales acuerdos contractuales no siempre\
            \ satisfacen adecuadamente las necesidades particulares o espec\xEDficas\
            \ de los agentes del sector financiero."
    - urn: urn:intuitem:risk:req_node:dora:recital-29
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 29
      description: "Even though Union financial services law contains certain general\
        \ rules on outsourcing, monitoring of the contractual dimension is not fully\
        \ anchored into Union law. In the absence of clear and bespoke Union standards\
        \ applying to the contractual arrangements concluded with ICT third-party\
        \ service providers, the external source of ICT risk is not comprehensively\
        \ addressed. Consequently, it is necessary to set out certain key principles\
        \ to guide financial entities\u2019 management of ICT third-party risk, which\
        \ are of particular importance when financial entities resort to ICT third-party\
        \ service providers to support their critical or important functions. Those\
        \ principles should be accompanied by a set of core contractual rights in\
        \ relation to several elements in the performance and termination of contractual\
        \ arrangements with a view to providing certain minimum safeguards in order\
        \ to strengthen financial entities\u2019 ability to effectively monitor all\
        \ ICT risk emerging at the level of third-party service providers. Those principles\
        \ are complementary to the sectoral law applicable to outsourcing."
      translations:
        es:
          name: null
          description: "Aunque el Derecho de la Uni\xF3n en materia de servicios financieros\
            \ contiene determinadas normas generales sobre externalizaci\xF3n, el\
            \ seguimiento de la dimensi\xF3n contractual no est\xE1 plenamente establecido\
            \ en el Derecho de la Uni\xF3n. A falta de normas claras y espec\xEDficas\
            \ de la Uni\xF3n aplicables a los acuerdos contractuales celebrados con\
            \ los proveedores terceros de servicios de TIC, no se aborda de manera\
            \ global la fuente externa de riesgo relacionado con las TIC. Por consiguiente,\
            \ es necesario establecer determinados principios clave para orientar\
            \ la gesti\xF3n por parte de las entidades financieras del riesgo relacionado\
            \ con las TIC derivado de terceros, que son de especial importancia cuando\
            \ las entidades financieras recurren a proveedores terceros de servicios\
            \ de TIC para sustentar funciones esenciales o importantes. Dichos principios\
            \ deben ir acompa\xF1ados de un conjunto de derechos contractuales b\xE1\
            sicos en relaci\xF3n con varios elementos de la ejecuci\xF3n y terminaci\xF3\
            n de acuerdos contractuales, con vistas a ofrecer determinadas salvaguardias\
            \ m\xEDnimas con el fin de reforzar la capacidad de las entidades financieras\
            \ de hacer efectivamente un seguimiento de todos los riesgos relacionados\
            \ con las TIC que surjan en el nivel de los proveedores terceros de servicios.\
            \ Dichos principios son complementarios al Derecho sectorial aplicable\
            \ a la externalizaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-30
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 30
      description: "A certain lack of homogeneity and convergence regarding the monitoring\
        \ of ICT third-party risk and ICT third-party dependencies is evident today.\
        \ Despite efforts to address outsourcing, such as EBA Guidelines on outsourcing\
        \ of 2019 and ESMA Guidelines on outsourcing to cloud service providers of\
        \ 2021 the broader issue of counteracting systemic risk which may be triggered\
        \ by the financial sector\u2019s exposure to a limited number of critical\
        \ ICT third- party service providers is not sufficiently addressed by Union\
        \ law. The lack of rules at Union level is compounded by the absence of national\
        \ rules on mandates and tools that allow financial supervisors to acquire\
        \ a good understanding of ICT third-party dependencies and to monitor adequately\
        \ risks arising from the concentration of ICT third-party dependencies."
      translations:
        es:
          name: null
          description: " \nEn la actualidad es evidente cierta falta de homogeneidad\
            \ y convergencia en lo relativo al seguimiento del riesgo relacionado\
            \ con las TIC derivado de terceros y a las dependencias de terceros en\
            \ el \xE1mbito de las TIC. A pesar de los esfuerzos para abordar la externalizaci\xF3\
            n, como las Directrices sobre externalizaci\xF3n de la ABE de 2019 y las\
            \ Directrices sobre la externalizaci\xF3n de servicios a proveedores de\
            \ servicios en nube de la AEVM de 2021, el Derecho de la Uni\xF3n no aborda\
            \ de forma suficiente la cuesti\xF3n m\xE1s amplia de contrarrestar el\
            \ riesgo sist\xE9mico que puede desencadenar la exposici\xF3n del sector\
            \ financiero a un n\xFAmero limitado de proveedores terceros esenciales\
            \ de servicios de TIC. La falta de normas a escala de la Uni\xF3n se ve\
            \ agravada por la ausencia de normas nacionales sobre mandatos e instrumentos\
            \ que permitan a los supervisores financieros adquirir una buena comprensi\xF3\
            n de las dependencias de terceros en el \xE1mbito de las TIC y hacer un\
            \ seguimiento adecuado de los riesgos derivados de la concentraci\xF3\
            n de las dependencias de terceros en el \xE1mbito de las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-31
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 31
      description: Taking into account the potential systemic risk entailed by increased
        outsourcing practices and by the ICT third- party concentration, and mindful
        of the insufficiency of national mechanisms in providing financial supervisors
        with adequate tools to quantify, qualify and redress the consequences of ICT
        risk occurring at critical ICT third-party service providers, it is necessary
        to establish an appropriate Oversight Framework allowing for a continuous
        monitoring of the activities of ICT third-party service providers that are
        critical ICT third-party service providers to financial entities, while ensuring
        that the confidentiality and security of customers other than financial entities
        is preserved. While intra-group provision of ICT services entails specific
        risks and benefits, it should not be automatically considered less risky than
        the provision of ICT services by providers outside of a financial group and
        should therefore be subject to the same regulatory framework. However, when
        ICT services are provided from within the same financial group, financial
        entities might have a higher level of control over intra-group providers,
        which ought to be taken into account in the overall risk assessment.
      translations:
        es:
          name: null
          description: "Teniendo en cuenta el posible riesgo sist\xE9mico que suponen\
            \ el aumento de las pr\xE1cticas de externalizaci\xF3n y la concentraci\xF3\
            n de terceros en el sector de las TIC, as\xED como la insuficiencia de\
            \ los mecanismos nacionales a la hora de ofrecer a los supervisores financieros\
            \ instrumentos adecuados para cuantificar, calificar y corregir las consecuencias\
            \ de los riesgos relacionados con las TIC derivados de proveedores terceros\
            \ esenciales de servicios de TIC, es necesario establecer un marco de\
            \ supervisi\xF3n adecuado que permita hacer un seguimiento continuo de\
            \ las actividades de los proveedores terceros de servicios de TIC que\
            \ sean esenciales para las entidades financieras, garantizando al mismo\
            \ tiempo la confidencialidad y seguridad de los clientes que no sean entidades\
            \ financieras. Si bien la prestaci\xF3n intragrupo de servicios de TIC\
            \ conlleva riesgos y beneficios espec\xEDficos, no debe considerarse autom\xE1\
            ticamente menos arriesgada que la prestaci\xF3n de servicios de TIC por\
            \ parte de proveedores ajenos a un grupo financiero y debe por lo tanto\
            \ estar sujeta al mismo marco normativo. Sin embargo, cuando los servicios\
            \ de TIC se prestan dentro del mismo grupo financiero, las entidades financieras\
            \ podr\xEDan tener un mayor nivel de control sobre los proveedores intragrupo,\
            \ lo que deber\xEDa tenerse en cuenta en la evaluaci\xF3n global de riesgos."
    - urn: urn:intuitem:risk:req_node:dora:recital-32
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 32
      description: With ICT risk becoming more and more complex and sophisticated,
        good measures for the detection and prevention of ICT risk depend to a great
        extent on the regular sharing between financial entities of threat and vulnerability
        intelligence. Information sharing contributes to creating increased awareness
        of cyber threats. In turn, this enhances the capacity of financial entities
        to prevent cyber threats from becoming real ICT-related incidents and enables
        financial entities to more effectively contain the impact of ICT-related incidents
        and to recover faster. In the absence of guidance at Union level, several
        factors seem to have inhibited such intelligence sharing, in particular uncertainty
        about its compatibility with data protection, anti-trust and liability rules.
      translations:
        es:
          name: null
          description: "Dado que el riesgo relacionado con las TIC es cada vez m\xE1\
            s y m\xE1s complejo y sofisticado, la eficacia de las medidas de detecci\xF3\
            n y prevenci\xF3n de dicho riesgo depende en gran medida del intercambio\
            \ peri\xF3dico de informaci\xF3n sobre amenazas y vulnerabilidades entre\
            \ las entidades financieras. El intercambio de informaci\xF3n contribuye\
            \ a una mayor concienciaci\xF3n sobre las ciberamenazas. Esto mejora,\
            \ a su vez, la capacidad de las entidades financieras para evitar que\
            \ las ciberamenazas se conviertan en incidentes reales relacionados con\
            \ las TIC y les permite contener de forma m\xE1s eficaz las repercusiones\
            \ de tales incidentes y recuperarse con m\xE1s rapidez. A falta de orientaciones\
            \ a escala de la Uni\xF3n, varios factores parecen haber impedido ese\
            \ intercambio de informaci\xF3n, en particular la incertidumbre sobre\
            \ su compatibilidad con las normas de protecci\xF3n de datos, de defensa\
            \ de la competencia y de responsabilidad."
    - urn: urn:intuitem:risk:req_node:dora:recital-33
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 33
      description: In addition, doubts about the type of information that can be shared
        with other market participants, or with non- supervisory authorities (such
        as ENISA, for analytical input, or Europol, for law enforcement purposes)
        lead to useful information being withheld. Therefore, the extent and quality
        of information sharing currently remains limited and fragmented, with relevant
        exchanges mostly being local (by way of national initiatives) and with no
        consistent Union-wide information-sharing arrangements tailored to the needs
        of an integrated financial system. It is therefore important to strengthen
        those communication channels.
      translations:
        es:
          name: null
          description: "Adem\xE1s, las dudas sobre el tipo de informaci\xF3n que puede\
            \ compartirse con otros participantes en el mercado o con autoridades\
            \ que no son responsables de controlar (como la ENISA, en el caso de la\
            \ informaci\xF3n anal\xEDtica, o Europol, con fines policiales) hacen\
            \ que no se comparta informaci\xF3n \xFAtil. As\xED pues, en la actualidad,\
            \ el intercambio de informaci\xF3n sigue estando limitado y fragmentado\
            \ en t\xE9rminos cualitativos y cuantitativos, ya que los intercambios\
            \ en la materia son principalmente locales (a trav\xE9s de iniciativas\
            \ nacionales) y no existen acuerdos sistem\xE1ticos de intercambio de\
            \ informaci\xF3n a escala de la Uni\xF3n adaptados a las necesidades de\
            \ un sistema financiero integrado. Por lo tanto, es importante reforzar\
            \ esos canales de comunicaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-34
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 34
      description: "Financial entities should be encouraged to exchange among themselves\
        \ cyber threat information and intelligence, and to collectively leverage\
        \ their individual knowledge and practical experience at strategic, tactical\
        \ and operational levels with a view to enhancing their capabilities to adequately\
        \ assess, monitor, defend against, and respond to cyber threats, by participating\
        \ in information sharing arrangements. It is therefore necessary to enable\
        \ the emergence at Union level of mechanisms for voluntary information-sharing\
        \ arrangements which, when conducted in trusted environments, would help the\
        \ community of the financial industry to prevent and collectively respond\
        \ to cyber threats by quickly limiting the spread of ICT risk and impeding\
        \ potential contagion throughout the financial channels. Those mechanisms\
        \ should comply with the applicable competition law rules of the Union set\
        \ out in the Communication from the Commission of 14 January 2011 entitled\
        \ \u2018Guidelines on the applicability of Article 101 of the Treaty on the\
        \ Functioning of the European Union to horizontal cooperation agreements\u2019\
        , as well as with Union data protection rules, in particular Regulation (EU)\
        \ 2016/679 of the European Parliament and of the Council (13). They should\
        \ operate based on the use of one or more of the legal bases that are laid\
        \ down in Article 6 of that Regulation, such as in the context of the processing\
        \ of personal data that is necessary for the purposes of the legitimate interest\
        \ pursued by the controller or by a third party, as referred to in Article\
        \ 6(1), point (f), of that Regulation, as well as in the context of the processing\
        \ of personal data necessary for compliance with a legal obligation to which\
        \ the controller is subject, necessary for the performance of a task carried\
        \ out in the public interest or in the exercise of official authority vested\
        \ in the controller, as referred to in Article 6(1), points (c) and (e), respectively,\
        \ of that Regulation."
      translations:
        es:
          name: null
          description: "Debe alentarse a las entidades financieras a intercambiar\
            \ entre ellas informaci\xF3n e inteligencia sobre ciberamenazas y a aprovechar\
            \ colectivamente sus conocimientos particulares y su experiencia pr\xE1\
            ctica a nivel estrat\xE9gico, t\xE1ctico y operativo, con el fin de mejorar\
            \ sus capacidades para evaluar y hacer un seguimiento de las ciberamenazas,\
            \ defenderse de ellas y responder a las mismas, todo ello de forma adecuada,\
            \ participando en acuerdos de intercambio de informaci\xF3n. Por lo tanto,\
            \ es necesario permitir la aparici\xF3n a escala de la Uni\xF3n de mecanismos\
            \ para los acuerdos voluntarios de intercambio de informaci\xF3n que,\
            \ cuando se apliquen en entornos de confianza, ayuden a la comunidad del\
            \ sector financiero a prevenir las ciberamenazas y responder colectivamente\
            \ a las mismas limitando r\xE1pidamente la propagaci\xF3n del riesgo relacionado\
            \ con las TIC e impidiendo el posible contagio a trav\xE9s de los canales\
            \ financieros. Esos mecanismos deben respetar las normas aplicables del\
            \ Derecho de la competencia de la Uni\xF3n que se establecen en la Comunicaci\xF3\
            n de la Comisi\xF3n de 14 de enero de 2011\xABDirectrices sobre la aplicabilidad\
            \ del art\xEDculo 101 del Tratado de Funcionamiento de la Uni\xF3n Europea\
            \ a los acuerdos de cooperaci\xF3n horizontal\xBB, as\xED como las normas\
            \ de la Uni\xF3n en materia de protecci\xF3n de datos, en particular el\
            \ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (13).\
            \ Deben funcionar partiendo del uso de una o varias de las bases jur\xED\
            dicas que se establecen en el art\xEDculo 6 de dicho Reglamento, como\
            \ en el contexto del tratamiento de datos personales que es necesario\
            \ para la satisfacci\xF3n de intereses leg\xEDtimos perseguidos por el\
            \ responsable del tratamiento o por un tercero, tal como se contempla\
            \ en su art\xEDculo 6, apartado 1, letra f), as\xED como en el contexto\
            \ del tratamiento de datos personales que es necesario para el cumplimiento\
            \ de una obligaci\xF3n legal aplicable al responsable del tratamiento\
            \ o que es necesario para el cumplimiento de una misi\xF3n realizada en\
            \ inter\xE9s p\xFAblico o en el ejercicio de poderes p\xFAblicos conferidos\
            \ al responsable del tratamiento, tal como se contempla en el art\xED\
            culo 6, apartado 1, letras c) y e), respectivamente, de dicho Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-35
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 35
      description: "In order to maintain a high level of digital operational resilience\
        \ for the whole financial sector, and at the same time to keep pace with technological\
        \ developments, this Regulation should address risk stemming from all types\
        \ of ICT services. To that end, the definition of ICT services in the context\
        \ of this Regulation should be understood in a broad manner, encompassing\
        \ digital and data services provided through ICT systems to one or more internal\
        \ or external users on an ongoing basis. That definition should, for instance,\
        \ include so called \u2018over the top\u2019 services, which fall within the\
        \ category of electronic communications services. It should exclude only the\
        \ limited category of traditional analogue telephone services qualifying as\
        \ Public Switched Telephone Network (PSTN) services, landline services, Plain\
        \ Old Telephone Service (POTS), or fixed-line telephone services."
      translations:
        es:
          name: null
          description: "A fin de mantener un elevado nivel de resiliencia operativa\
            \ digital para todo el sector financiero y, al mismo tiempo, seguir el\
            \ ritmo de los avances tecnol\xF3gicos, el presente Reglamento debe abordar\
            \ los riesgos derivados de todos los tipos de servicios de TIC. A tal\
            \ fin, la definici\xF3n de servicios de TIC en el contexto del presente\
            \ Reglamento debe entenderse de una manera amplia, que abarque los servicios\
            \ digitales y de datos prestados a trav\xE9s de sistemas de TIC a uno\
            \ o varios usuarios internos o externos de forma continua. Esa definici\xF3\
            n debe incluir, por ejemplo, los denominados servicios de transmisi\xF3\
            n libre, que entran dentro de la categor\xEDa de servicios de comunicaciones\
            \ electr\xF3nicas. Debe excluir \xFAnicamente la categor\xEDa limitada\
            \ de servicios telef\xF3nicos anal\xF3gicos tradicionales que se clasifican\
            \ como servicios de red telef\xF3nica p\xFAblica conmutada (RTPC), servicios\
            \ de l\xEDnea terrestre, servicios de telefon\xEDa convencional (POTS)\
            \ o servicios de telefon\xEDa fija."
    - urn: urn:intuitem:risk:req_node:dora:recital-36
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 36
      description: Notwithstanding the broad coverage envisaged by this Regulation,
        the application of the digital operational resilience rules should take into
        account the significant differences between financial entities in terms of
        their size and overall risk profile. As a general principle, when distributing
        resources and capabilities for the implementation of the ICT risk management
        framework, financial entities should duly balance their ICT-related needs
        to their size and overall risk profile, and the nature, scale and complexity
        of their services, activities and operations, while competent authorities
        should continue to assess and review the approach of such distribution.
      translations:
        es:
          name: null
          description: "No obstante la amplia cobertura prevista en el presente Reglamento,\
            \ en la aplicaci\xF3n de las normas de resiliencia operativa digital se\
            \ deben tener en cuenta las importantes diferencias que existen entre\
            \ entidades financieras por cuanto se refiere a su tama\xF1o y perfil\
            \ de riesgo general. Como principio general, al distribuir recursos y\
            \ capacidades para la aplicaci\xF3n del marco de gesti\xF3n de riesgos\
            \ relacionados con las TIC, las entidades financieras deben buscar un\
            \ equilibrio adecuado entre sus necesidades en materia de TIC y su tama\xF1\
            o y perfil de riesgo general, as\xED como la naturaleza, escala y complejidad\
            \ de sus servicios, actividades y operaciones, mientras que las autoridades\
            \ competentes deben seguir evaluando y revisando el enfoque de dicha distribuci\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:recital-37
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 37
      description: Account information service providers, referred to in Article 33(1)
        of Directive (EU) 2015/2366, are explicitly included in the scope of this
        Regulation, taking into account the specific nature of their activities and
        the risks arising therefrom. In addition, electronic money institutions and
        payment institutions exempted pursuant to Article 9(1) of Directive 2009/110/EC
        of the European Parliament and of the Council (14) and Article 32(1) of Directive
        (EU) 2015/2366 are included in the scope of this Regulation even if they have
        not been granted authorisation in accordance Directive 2009/110/EC to issue
        electronic money, or if they have not been granted authorisation in accordance
        with Directive (EU) 2015/2366 to provide and execute payment services. However,
        post office giro institutions, referred to in Article 2(5), point (3), of
        Directive 2013/36/EU of the European Parliament and of the Council (15), are
        excluded from the scope of this Regulation. The competent authority for payment
        institutions exempted pursuant to Directive (EU) 2015/2366, electronic money
        institutions exempted pursuant to Directive 2009/110/EC and account information
        service providers as referred to in Article 33(1) of Directive (EU) 2015/2366,
        should be the competent authority designated in accordance with Article 22
        of Directive (EU) 2015/2366.
      translations:
        es:
          name: null
          description: "Los proveedores de servicios de informaci\xF3n sobre cuentas\
            \ a que se refiere el art\xEDculo 33, apartado 1, de la Directiva (UE)\
            \ 2015/2366 est\xE1n expl\xEDcitamente incluidos en el \xE1mbito de aplicaci\xF3\
            n del presente Reglamento, teniendo en cuenta la naturaleza espec\xED\
            fica de sus actividades y los riesgos derivados de ellas. Adem\xE1s, las\
            \ entidades de dinero electr\xF3nico y las entidades de pago exentas en\
            \ virtud del art\xEDculo 9, apartado 1, de la Directiva 2009/110/CE del\
            \ Parlamento Europeo y del Consejo (14) y del art\xEDculo 32, apartado\
            \ 1, de la Directiva (UE) 2015/2366 est\xE1n incluidas en el \xE1mbito\
            \ de aplicaci\xF3n del presente Reglamento, aunque no hayan recibido autorizaci\xF3\
            n de conformidad con la Directiva 2009/110/CE para emitir dinero electr\xF3\
            nico, o si no han recibido autorizaci\xF3n de conformidad con la Directiva\
            \ (UE) 2015/2366 para prestar y ejecutar servicios de pago. Sin embargo,\
            \ las instituciones de giro postal a que se refiere el art\xEDculo 2,\
            \ apartado 5, punto 3, de la Directiva 2013/36/UE del Parlamento Europeo\
            \ y del Consejo (15) quedan excluidas del \xE1mbito de aplicaci\xF3n del\
            \ presente Reglamento. La autoridad competente de las entidades de pago\
            \ exentas en virtud de la Directiva (UE) 2015/2366, las entidades de dinero\
            \ electr\xF3nico exentas en virtud de la Directiva 2009/110/CE y los proveedores\
            \ de servicios de informaci\xF3n sobre cuentas a que se refiere el art\xED\
            culo 33, apartado 1, de la Directiva (UE) 2015/2366 debe ser la autoridad\
            \ competente designada de conformidad con el art\xEDculo 22 de la Directiva\
            \ (UE) 2015/2366."
    - urn: urn:intuitem:risk:req_node:dora:recital-38
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 38
      description: As larger financial entities might enjoy wider resources and can
        swiftly deploy funds to develop governance structures and set up various corporate
        strategies, only financial entities that are not microenterprises in the sense
        of this Regulation should be required to establish more complex governance
        arrangements. Such entities are better equipped in particular to set up dedicated
        management functions for supervising arrangements with ICT third-party service
        providers or for dealing with crisis management, to organise their ICT risk
        management according to the three lines of defence model, or to set up an
        internal risk management and control model, and to submit their ICT risk management
        framework to internal audits.
      translations:
        es:
          name: null
          description: "Dado que las entidades financieras de mayor tama\xF1o podr\xED\
            an disponer de recursos m\xE1s amplios y movilizar r\xE1pidamente fondos\
            \ para desarrollar estructuras de gobernanza y establecer diversas estrategias\
            \ empresariales, solo las entidades financieras que no sean microempresas\
            \ en el sentido del presente Reglamento deben estar obligadas a establecer\
            \ mecanismos de gobernanza m\xE1s complejos. Dichas entidades est\xE1\
            n mejor preparadas, en particular, para establecer funciones de gesti\xF3\
            n espec\xEDficas encaminadas a supervisar los acuerdos con proveedores\
            \ terceros de servicios de TIC o a abordar la gesti\xF3n de crisis, para\
            \ organizar su gesti\xF3n de riesgos relacionados con las TIC con arreglo\
            \ al modelo de tres l\xEDneas de defensa o para establecer un modelo interno\
            \ de control y gesti\xF3n de riesgos, y para someter a auditor\xEDas internas\
            \ su marco de gesti\xF3n de riesgos relacionados con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-39
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 39
      description: Some financial entities benefit from exemptions or are subject
        to a very light regulatory framework under the relevant sector-specific Union
        law. Such financial entities include managers of alternative investment funds
        referred to in Article 3(2) of Directive 2011/61/EU of the European Parliament
        and of the Council (16), insurance and reinsurance undertakings referred to
        in Article 4 of Directive 2009/138/EC of the European Parliament and of the
        Council (17), and institutions for occupational retirement provision which
        operate pension schemes which together
      translations:
        es:
          name: null
          description: "Algunas entidades financieras se benefician de exenciones\
            \ o est\xE1n sujetas a un marco regulador poco estricto con arreglo al\
            \ Derecho sectorial pertinente de la Uni\xF3n. Entre esas entidades financieras\
            \ se encuentran los gestores de fondos de inversi\xF3n alternativos a\
            \ que se refiere el art\xEDculo 3, apartado 2, de la Directiva 2011/61/UE\
            \ del Parlamento Europeo y del Consejo (16), las empresas de seguros y\
            \ reaseguros a que se refiere el art\xEDculo 4 de la Directiva 2009/138/CE\
            \ del Parlamento Europeo y del Consejo (17), y los fondos de pensiones\
            \ de empleo que gestionen planes de pensiones que, en conjunto, no tengan\
            \ m\xE1s de quince part\xEDcipes en total. A la luz de esas exenciones,\
            \ ser\xEDa desproporcionado incluir a dichas entidades financieras en\
            \ el \xE1mbito de aplicaci\xF3n del presente Reglamento. Adem\xE1s, el\
            \ presente Reglamento reconoce las especificidades de la estructura del\
            \ mercado de la intermediaci\xF3n de seguros, con la consecuencia de que\
            \ los intermediarios de seguros, los intermediarios de reaseguros y los\
            \ intermediarios de seguros complementarios considerados microempresas\
            \ o peque\xF1as o medianas empresas no deben estar sujetos al presente\
            \ Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-40
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 40
      description: Since the entities referred to in Article 2(5), points (4) to (23),
        of Directive 2013/36/EU are excluded from the scope of that Directive, Member
        States should consequently be able to choose to exempt from the application
        of this Regulation such entities located within their respective territories.
      translations:
        es:
          name: null
          description: "Dado que las entidades a que se refiere el art\xEDculo 2,\
            \ apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE est\xE1n excluidas\
            \ del \xE1mbito de aplicaci\xF3n de dicha Directiva, los Estados miembros\
            \ deben poder optar por eximir de la aplicaci\xF3n del presente Reglamento\
            \ a dichas entidades situadas en sus respectivos territorios."
    - urn: urn:intuitem:risk:req_node:dora:recital-41
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 41
      description: Similarly, in order to align this Regulation to the scope of Directive
        2014/65/EU of the European Parliament and of the Council (18), it is also
        appropriate to exclude from the scope of this Regulation natural and legal
        persons referred in Articles 2 and 3 of that Directive which are allowed to
        provide investment services without having to obtain an authorisation under
        Directive 2014/65/EU. However, Article 2 of Directive 2014/65/EU also excludes
        from the scope of that Directive entities which qualify as financial entities
        for the purposes of this Regulation such as, central securities depositories,
        collective investment undertakings or insurance and reinsurance undertakings.
        The exclusion from the scope of this Regulation of the persons and entities
        referred to in Articles 2 and 3 of that Directive should not encompass those
        central securities depositories, collective investment undertakings or insurance
        and reinsurance undertakings.
      translations:
        es:
          name: null
          description: "Del mismo modo, a fin de adaptar el presente Reglamento al\
            \ \xE1mbito de aplicaci\xF3n de la Directiva 2014/65/UE del Parlamento\
            \ Europeo y del Consejo (18), tambi\xE9n conviene excluir del \xE1mbito\
            \ de aplicaci\xF3n del presente Reglamento a las personas f\xEDsicas y\
            \ jur\xEDdicas a que se refieren los art\xEDculos 2 y 3 de dicha Directiva\
            \ que est\xE9n autorizadas a prestar servicios de inversi\xF3n sin tener\
            \ que obtener una autorizaci\xF3n con arreglo a la Directiva 2014/65/UE.\
            \ No obstante, el art\xEDculo 2 de la Directiva 2014/65/UE tambi\xE9n\
            \ excluye del \xE1mbito de aplicaci\xF3n de dicha Directiva a las entidades\
            \ que puedan considerarse entidades financieras a efectos del presente\
            \ Reglamento, como los depositarios centrales de valores, las instituciones\
            \ de inversi\xF3n colectiva o las empresas de seguros y de reaseguros.\
            \ La exclusi\xF3n del \xE1mbito de aplicaci\xF3n del presente Reglamento\
            \ de las personas y entidades a que se refieren los art\xEDculos 2 y 3\
            \ de dicha Directiva no debe abarcar a esos depositarios centrales de\
            \ valores, instituciones de inversi\xF3n colectiva o empresas de seguros\
            \ y de reaseguros."
    - urn: urn:intuitem:risk:req_node:dora:recital-42
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 42
      description: Under sector-specific Union law, some financial entities are subject
        to lighter requirements or exemptions for reasons associated with their size
        or the services they provide. That category of financial entities includes
        small and non- interconnected investment firms, small institutions for occupational
        retirement provision which may be excluded from the scope of Directive (EU)
        2016/2341 under the conditions laid down in Article 5 of that Directive by
        the Member State concerned and operate pension schemes which together do not
        have more than 100 members in total, as well as institutions exempted pursuant
        to Directive 2013/36/EU. Therefore, in accordance with the principle of proportionality
        and to preserve the spirit of sector-specific Union law, it is also appropriate
        to subject those financial entities to a simplified ICT risk management framework
        under this Regulation. The proportionate character of the ICT risk management
        framework covering those financial entities should not be altered by the regulatory
        technical standards that are to be developed by the ESAs. Moreover, in accordance
        with the principle of proportionality, it is appropriate to also subject payment
        institutions referred to in Article 32(1) of Directive (EU) 2015/2366 and
        electronic money institutions referred to in Article 9 of Directive 2009/110/EC
        exempted in accordance with national law transposing those Union legal acts
        to a simplified ICT risk management framework under this Regulation, while
        payment institutions and electronic money institutions which have not been
        exempted in accordance with their respective national law transposing sectoral
        Union law should comply with the general framework laid down by this Regulation.
      translations:
        es:
          name: null
          description: "Con arreglo al Derecho sectorial de la Uni\xF3n, algunas entidades\
            \ financieras est\xE1n sujetas a requisitos o exenciones menos estrictos\
            \ por motivos relacionados con su tama\xF1o o con los servicios que prestan.\
            \ Entre esta categor\xEDa de entidades financieras se encuentran las empresas\
            \ de servicios de inversi\xF3n peque\xF1as y no interconectadas, los fondos\
            \ de pensiones de empleo peque\xF1os que pueden quedar excluidos con arreglo\
            \ a la Directiva (UE) 2016/2341 en las condiciones establecidas en el\
            \ art\xEDculo 5 de dicha Directiva por el Estado miembro de que se trate\
            \ y que gestionan planes de pensiones que, en conjunto, no tengan m\xE1\
            s de cien part\xEDcipes, as\xED como las entidades exentas en virtud de\
            \ la Directiva 2013/36/UE. Por consiguiente, de conformidad con el principio\
            \ de proporcionalidad y con el fin de preservar el esp\xEDritu del Derecho\
            \ sectorial de la Uni\xF3n, tambi\xE9n conviene someter a dichas entidades\
            \ financieras a un marco simplificado de gesti\xF3n del riesgo relacionado\
            \ con las TIC con arreglo al presente Reglamento. El car\xE1cter proporcionado\
            \ del marco de gesti\xF3n del riesgo relacionado con las TIC que abarca\
            \ a esas entidades financieras no debe verse alterado por las normas t\xE9\
            cnicas de regulaci\xF3n que deben desarrollar las Autoridades Europeas\
            \ de Supervisi\xF3n. Adem\xE1s, de conformidad con el principio de proporcionalidad,\
            \ conviene someter tambi\xE9n a las entidades de pago a que se refiere\
            \ el art\xEDculo 32, apartado 1, de la Directiva (UE) 2015/2366 y a las\
            \ entidades de dinero electr\xF3nico a que se refiere el art\xEDculo 9\
            \ de la Directiva 2009/110/CE, exentas de conformidad con el Derecho nacional\
            \ por el que se transpongan estos actos jur\xEDdicos de la Uni\xF3n a\
            \ un marco simplificado de gesti\xF3n del riesgo relacionado con las TIC\
            \ con arreglo al presente Reglamento, mientras que las entidades de pago\
            \ y las entidades de dinero electr\xF3nico que no hayan sido eximidas\
            \ de conformidad con su respectivo Derecho nacional por el que se transponga\
            \ el Derecho sectorial de la Uni\xF3n deben cumplir el marco general establecido\
            \ en el presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-43
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 43
      description: "Similarly, financial entities which qualify as microenterprises\
        \ or are subject to the simplified ICT risk management framework under this\
        \ Regulation should not be required to establish a role to monitor their arrangements\
        \ concluded with ICT third-party service providers on the use of ICT services;\
        \ or to designate a member of senior management to be responsible for overseeing\
        \ the related risk exposure and relevant documentation; to assign the responsibility\
        \ for managing and overseeing ICT risk to a control function and ensure an\
        \ appropriate level of independence of such control function in order to avoid\
        \ conflicts of interest; to document and review at least once a year the ICT\
        \ risk management framework; to subject to internal audit on a regular basis\
        \ the ICT risk management framework; to perform in-depth assessments after\
        \ major changes in their network and information system infrastructures and\
        \ processes; to regularly conduct risk analyses on legacy ICT systems; to\
        \ subject the implementation of the ICT Response and Recovery plans to independent\
        \ internal audit reviews; to have a crisis management function, to expand\
        \ the testing of business continuity and response and recovery plans to capture\
        \ switchover scenarios between primary ICT infrastructure and redundant facilities;\
        \ to report to competent authorities, upon their request, an estimation of\
        \ aggregated annual costs and losses caused by major ICT-related incidents,\
        \ to maintain redundant ICT capacities; to communicate to national competent\
        \ authorities implemented changes following post ICT-related incident reviews;\
        \ to monitor on a continuous basis relevant technological developments, to\
        \ establish a comprehensive digital operational resilience testing programme\
        \ as an integral part of the ICT risk management framework provided for in\
        \ this Regulation, or to adopt and regularly review a strategy on ICT third-party\
        \ risk. In addition, microenterprises should only be required to assess the\
        \ need to maintain such redundant ICT capacities based on their risk profile.\
        \ Microenterprises should benefit from a more flexible regime as regards digital\
        \ operational resilience testing programmes. When considering the type and\
        \ frequency of testing to be performed, they should properly balance the objective\
        \ of maintaining a high digital operational resilience, the available resources\
        \ and their overall risk profile. Microenterprises and financial entities\
        \ subject to the simplified ICT risk management framework under this Regulation\
        \ should be exempted from the requirement to perform advanced testing of ICT\
        \ tools, systems and processes based on threat-led penetration testing (TLPT),\
        \ as only financial entities meeting the criteria set out in this Regulation\
        \ should be required to carry out such testing. In light of their limited\
        \ capabilities, microenterprises should be able to agree with the ICT third-party\
        \ service provider to delegate the financial entity\u2019s rights of access,\
        \ inspection and audit to an independent third-party, to be appointed by the\
        \ ICT third-party service provider, provided that the financial entity is\
        \ able to request, at any time, all relevant information and assurance on\
        \ the ICT third-party service provider\u2019s performance from the respective\
        \ independent third-party."
      translations:
        es:
          name: null
          description: "De modo similar, las entidades financieras que se consideran\
            \ microempresas o que est\xE1n sujetas al marco simplificado de gesti\xF3\
            n del riesgo relacionado con las TIC con arreglo al presente Reglamento\
            \ no deben estar obligadas a crear un cargo para el seguimiento de los\
            \ acuerdos celebrados con proveedores terceros de servicios de TIC sobre\
            \ el uso de servicios de TIC; a designar a un miembro de la alta direcci\xF3\
            n para que sea responsable de supervisar la exposici\xF3n al riesgo correspondiente\
            \ y la documentaci\xF3n pertinente; a asignar la responsabilidad de la\
            \ gesti\xF3n y supervisi\xF3n del riesgo relacionado con las TIC a una\
            \ funci\xF3n de control y garantizar un nivel adecuado de independencia\
            \ de dicha funci\xF3n de control para evitar conflictos de intereses;\
            \ a documentar y revisar al menos una vez al a\xF1o el marco de gesti\xF3\
            n del riesgo relacionado con las TIC; a someter a auditor\xEDa interna\
            \ peri\xF3dicamente el marco de gesti\xF3n del riesgo relacionado con\
            \ las TIC; a llevar a cabo evaluaciones exhaustivas tras cambios importantes\
            \ en los procesos y las infraestructuras de su red y sistemas de informaci\xF3\
            n; a realizar peri\xF3dicamente an\xE1lisis de riesgos sobre los sistemas\
            \ de TIC heredados; a someter a auditor\xEDas internas independientes\
            \ la ejecuci\xF3n de los planes de respuesta y recuperaci\xF3n en materia\
            \ de TIC; a disponer de una funci\xF3n de gesti\xF3n de crisis; a ampliar\
            \ las pruebas sobre los planes de continuidad de la actividad y de respuesta\
            \ y recuperaci\xF3n para reflejar los escenarios de conmutaci\xF3n entre\
            \ la infraestructura primaria de TIC y las instalaciones redundantes;\
            \ a comunicar a las autoridades competentes que lo soliciten una estimaci\xF3\
            n de los costes y p\xE9rdidas anuales agregados provocados por incidentes\
            \ graves relacionados con las TIC, a mantener capacidades de TIC redundantes;\
            \ a comunicar a las autoridades nacionales competentes los cambios ejecutados\
            \ a ra\xEDz de revisiones realizadas tras incidentes relacionados con\
            \ las TIC; a hacer un seguimiento continuo de los avances tecnol\xF3gicos\
            \ pertinentes; a establecer un programa completo de pruebas de resiliencia\
            \ operativa digital como parte integrante del marco de gesti\xF3n del\
            \ riesgo relacionado con las TIC establecido en el presente Reglamento,\
            \ o a adoptar y revisar peri\xF3dicamente una estrategia relativa al riesgo\
            \ relacionado con las TIC derivado de terceros. Adem\xE1s, se debe obligar\
            \ a las microempresas a que eval\xFAen la necesidad de mantener estas\
            \ capacidades de TIC redundantes \xFAnicamente sobre la base de su perfil\
            \ de riesgo. Las microempresas deben beneficiarse de un r\xE9gimen m\xE1\
            s flexible en lo que respecta a los programas de pruebas de resiliencia\
            \ operativa digital. A la hora de considerar el tipo y la frecuencia de\
            \ las pruebas que han de realizarse, deben buscar un equilibrio adecuado\
            \ entre el objetivo de mantener una elevada resiliencia operativa digital,\
            \ los recursos disponibles y su perfil de riesgo general. Las microempresas\
            \ y las entidades financieras sujetas al marco simplificado de gesti\xF3\
            n del riesgo relacionado con las TIC con arreglo al presente Reglamento\
            \ deben quedar exentas del requisito de realizar pruebas avanzadas de\
            \ herramientas, sistemas y procesos de TIC sobre la base de pruebas de\
            \ penetraci\xF3n basadas en amenazas, ya que solo las entidades financieras\
            \ que cumplen los criterios establecidos en el presente Reglamento deben\
            \ estar obligadas a llevar a cabo dichas pruebas. Habida cuenta de sus\
            \ limitadas capacidades, las microempresas deben poder acordar con el\
            \ proveedor tercero de servicios de TIC la delegaci\xF3n de los derechos\
            \ de acceso, inspecci\xF3n y auditor\xEDa de la entidad financiera en\
            \ un tercero independiente, que nombrar\xE1 el proveedor tercero de servicios\
            \ de TIC, siempre que la entidad financiera pueda solicitar, en cualquier\
            \ momento, toda la informaci\xF3n y garant\xEDas pertinentes sobre el\
            \ rendimiento del proveedor tercero de servicios de TIC al tercero independiente\
            \ respectivo."
    - urn: urn:intuitem:risk:req_node:dora:recital-44
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 44
      description: As only those financial entities identified for the purposes of
        the advanced digital resilience testing should be required to conduct threat-led
        penetration tests, the administrative processes and financial costs entailed
        in the performance of such tests should be borne by a small percentage of
        financial entities.
      translations:
        es:
          name: null
          description: "Dado que solo las entidades financieras identificadas a efectos\
            \ de las pruebas avanzadas de resiliencia digital deben estar obligadas\
            \ a llevar a cabo pruebas de penetraci\xF3n basadas en amenazas, los procesos\
            \ administrativos y los costes financieros derivados de la realizaci\xF3\
            n de dichas pruebas deben recaer en un peque\xF1o porcentaje de entidades\
            \ financieras."
    - urn: urn:intuitem:risk:req_node:dora:recital-45
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 45
      description: "To ensure full alignment and overall consistency between financial\
        \ entities\u2019 business strategies, on the one hand, and the conduct of\
        \ ICT risk management, on the other hand, the financial entities\u2019 management\
        \ bodies should be required to maintain a pivotal and active role in steering\
        \ and adapting the ICT risk management framework and the overall digital operational\
        \ resilience strategy. The approach to be taken by management bodies should\
        \ not only focus on the means of ensuring the resilience of the ICT systems,\
        \ but should also cover people and processes through a set of policies which\
        \ cultivate, at each corporate layer, and for all staff, a strong sense of\
        \ awareness about cyber risks and a commitment to observe a strict cyber hygiene\
        \ at all levels. The ultimate responsibility of the management body in managing\
        \ a financial entity\u2019s ICT risk should be an overarching principle of\
        \ that comprehensive approach, further translated into the continuous engagement\
        \ of the management body in the control of the monitoring of the ICT risk\
        \ management."
      translations:
        es:
          name: null
          description: "Para garantizar la plena armonizaci\xF3n y la coherencia general\
            \ entre las estrategias empresariales de las entidades financieras, por\
            \ una parte, y la gesti\xF3n del riesgo relacionado con las TIC, por otra,\
            \ debe exigirse a los \xF3rganos de direcci\xF3n de las entidades financieras\
            \ que desempe\xF1en un papel central y activo en la direcci\xF3n y adaptaci\xF3\
            n del marco de gesti\xF3n del riesgo relacionado con las TIC y de la estrategia\
            \ de resiliencia digital general. El enfoque que adopten los \xF3rganos\
            \ de direcci\xF3n no solo debe centrarse en los medios para garantizar\
            \ la resiliencia de los sistemas de TIC, sino que tambi\xE9n debe abarcar\
            \ a las personas y los procesos a trav\xE9s de un conjunto de pol\xED\
            ticas que promuevan, en cada nivel corporativo y para todo el personal,\
            \ una fuerte concienciaci\xF3n sobre los riesgos de ciberseguridad y el\
            \ compromiso de respetar una estricta ciberhigiene a todos los niveles.\
            \ La responsabilidad \xFAltima del \xF3rgano de direcci\xF3n en la gesti\xF3\
            n del riesgo relacionado con las TIC de una entidad financiera debe ser\
            \ un principio fundamental de ese enfoque global, que se traducir\xE1\
            \ adem\xE1s en la implicaci\xF3n continua del \xF3rgano de direcci\xF3\
            n en el control del seguimiento de la gesti\xF3n del riesgo relacionado\
            \ con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-46
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 46
      description: "Moreover, the principle of the management body\u2019s full and\
        \ ultimate responsibility for the management of the ICT risk of the financial\
        \ entity goes hand in hand with the need to secure a level of ICT-related\
        \ investments and an overall budget for the financial entity that would enable\
        \ the financial entity to achieve a high level of digital operational resilience."
      translations:
        es:
          name: null
          description: "Adem\xE1s, el principio de la responsabilidad plena y \xFA\
            ltima del \xF3rgano de direcci\xF3n sobre la gesti\xF3n del riesgo relacionado\
            \ con las TIC de la entidad financiera va acompa\xF1ado de la necesidad\
            \ de garantizar un nivel de inversiones relacionadas con las TIC y un\
            \ presupuesto global para la entidad financiera que permita que esta alcance\
            \ un elevado nivel de resiliencia operativa digital."
    - urn: urn:intuitem:risk:req_node:dora:recital-47
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 47
      description: Inspired by relevant international, national and industry best
        practices, guidelines, recommendations and approaches to the management of
        cyber risk, this Regulation promotes a set of principles that facilitate the
        overall structure of ICT risk management. Consequently, as long as the main
        capabilities which financial entities put in place address the various functions
        in the ICT risk management (identification, protection and prevention, detection,
        response and recovery, learning and evolving and communication) set out in
        this Regulation, financial entities should remain free to use ICT risk management
        models that are differently framed or categorised.
      translations:
        es:
          name: null
          description: " \nInspir\xE1ndose en las pertinentes buenas pr\xE1cticas,\
            \ directrices, recomendaciones y enfoques internacionales, nacionales\
            \ y sectoriales en relaci\xF3n con la gesti\xF3n del riesgo cibern\xE9\
            tico, el presente Reglamento promueve una serie de principios que facilitan\
            \ la estructura general de la gesti\xF3n del riesgo relacionado con las\
            \ TIC. Por consiguiente, mientras las principales capacidades que las\
            \ entidades financieras ponen en pr\xE1ctica aborden las distintas funciones\
            \ de la gesti\xF3n del riesgo relacionado con las TIC (identificaci\xF3\
            n, protecci\xF3n y prevenci\xF3n, detecci\xF3n, respuesta y recuperaci\xF3\
            n, aprendizaje y evoluci\xF3n y comunicaci\xF3n) establecidas en el presente\
            \ Reglamento, las entidades financieras deben seguir teniendo libertad\
            \ para utilizar modelos de gesti\xF3n del riesgo relacionado con las TIC\
            \ que se enmarquen o categoricen de manera diferente."
    - urn: urn:intuitem:risk:req_node:dora:recital-48
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 48
      description: To keep pace with an evolving cyber threat landscape, financial
        entities should maintain updated ICT systems that are reliable and capable,
        not only for guaranteeing the processing of data required for their services,
        but also for ensuring sufficient technological resilience to allow them to
        deal adequately with additional processing needs due to stressed market conditions
        or other adverse situations.
      translations:
        es:
          name: null
          description: "Para seguir el ritmo de la evoluci\xF3n del panorama de las\
            \ ciberamenazas, las entidades financieras deben mantener sistemas de\
            \ TIC actualizados que sean fiables y capaces, no solo de garantizar el\
            \ tratamiento de datos necesario para sus servicios, sino tambi\xE9n de\
            \ asegurar una resiliencia tecnol\xF3gica suficiente que les permita ocuparse\
            \ adecuadamente de las necesidades de tratamiento adicionales debidas\
            \ al tensionamiento del mercado o a otras situaciones adversas."
    - urn: urn:intuitem:risk:req_node:dora:recital-49
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 49
      description: Efficient business continuity and recovery plans are necessary
        to allow financial entities to promptly and quickly resolve ICT-related incidents,
        in particular cyber-attacks, by limiting damage and giving priority to the
        resumption of activities and recovery actions in accordance with their back-up
        policies. However, such resumption should in no way jeopardise the integrity
        and security of the network and information systems or the availability, authenticity,
        integrity or confidentiality of data.
      translations:
        es:
          name: null
          description: "Son necesarios planes eficientes de continuidad de la actividad\
            \ y de recuperaci\xF3n para que las entidades financieras puedan resolver\
            \ pronta y r\xE1pidamente los incidentes relacionados con las TIC, en\
            \ particular los ciberataques, limitando los da\xF1os y dando prioridad\
            \ a la reanudaci\xF3n de las actividades y a las acciones de recuperaci\xF3\
            n de conformidad con sus pol\xEDticas de respaldo. No obstante, dicha\
            \ reanudaci\xF3n no debe en modo alguno poner en peligro la integridad\
            \ y la seguridad de las redes y los sistemas de informaci\xF3n ni la disponibilidad,\
            \ autenticidad, integridad o confidencialidad de los datos."
    - urn: urn:intuitem:risk:req_node:dora:recital-50
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 50
      description: While this Regulation allows financial entities to determine their
        recovery time and recovery point objectives in a flexible manner and hence
        to set such objectives by fully taking into account the nature and the criticality
        of the relevant functions and any specific business needs, it should nevertheless
        require them to carry out an assessment of the potential overall impact on
        market efficiency when determining such objectives.
      translations:
        es:
          name: null
          description: " \nSi bien el presente Reglamento permite a las entidades\
            \ financieras determinar de manera flexible sus objetivos de tiempo de\
            \ recuperaci\xF3n y punto de recuperaci\xF3n y, por tanto, fijar tales\
            \ objetivos teniendo plenamente en cuenta la naturaleza y el car\xE1cter\
            \ esencial de las funciones pertinentes y cualesquiera necesidades empresariales\
            \ espec\xEDficas, al determinar dichos objetivos les debe exigir, no obstante,\
            \ la realizaci\xF3n de una evaluaci\xF3n del posible impacto global en\
            \ la eficiencia del mercado."
    - urn: urn:intuitem:risk:req_node:dora:recital-51
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 51
      description: The propagators of cyber-attacks tend to pursue financial gains
        directly at the source, thus exposing financial entities to significant consequences.
        To prevent ICT systems from losing integrity or becoming unavailable, and
        hence to avoid data breaches and damage to physical ICT infrastructure, the
        reporting of major ICT-related incidents by financial entities should be significantly
        improved and streamlined. ICT-related incident reporting should be harmonised
        through the introduction of a requirement for all financial entities to report
        directly to their relevant competent authorities. Where a financial entity
        is subject to supervision by more than one national competent authority, Member
        States should designate a single competent authority as the addressee of such
        reporting. Credit institutions classified as significant in accordance with
        Article 6(4) of Council Regulation (EU) No 1024/2013 (19) should submit such
        reporting to the national competent authorities, which should subsequently
        transmit the report to the European Central Bank (ECB).
      translations:
        es:
          name: null
          description: "Los propagadores de ciberataques tienden a perseguir la obtenci\xF3\
            n de beneficios financieros directamente en la fuente, exponiendo as\xED\
            \ a las entidades financieras a consecuencias importantes. Para impedir\
            \ que los sistemas de TIC pierdan integridad o dejen de estar disponibles\
            \ y evitar as\xED que se vulneren datos y que sufran da\xF1os las infraestructuras\
            \ f\xEDsicas de TIC, debe mejorarse y racionalizarse significativamente\
            \ la notificaci\xF3n de incidentes graves relacionados con las TIC por\
            \ parte de las entidades financieras. La notificaci\xF3n de incidentes\
            \ relacionados con las TIC debe armonizarse mediante la introducci\xF3\
            n del requisito de que todas las entidades financieras informen directamente\
            \ a sus autoridades competentes pertinentes. Cuando una entidad financiera\
            \ est\xE9 sujeta a la supervisi\xF3n de m\xE1s de una autoridad nacional\
            \ competente, los Estados miembros deben designar a una \xFAnica autoridad\
            \ competente como destinataria de dicha informaci\xF3n. Las entidades\
            \ de cr\xE9dito clasificadas como significativas de conformidad con el\
            \ art\xEDculo 6, apartado 4, del Reglamento (UE) n.o 1024/2013 del Consejo\
            \ (19) deben presentar dicha informaci\xF3n a las autoridades nacionales\
            \ competentes, que deben transmitir posteriormente el informe al Banco\
            \ Central Europeo (BCE)."
    - urn: urn:intuitem:risk:req_node:dora:recital-52
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 52
      description: 'The direct reporting should enable financial supervisors to have
        immediate access to information about major ICT- related incidents. Financial
        supervisors should in turn pass on details of major ICT-related incidents
        to public non- financial authorities (such as competent authorities and single
        points of contact under Directive (EU) 2022/2555, national data protection
        authorities, and to law enforcement authorities for major ICT-related incidents
        of a criminal nature) in order to enhance such authorities awareness of such
        incidents and, in the case of CSIRTs, to facilitate prompt assistance that
        may be given to financial entities, as appropriate. Member States should,
        in addition, be able to determine that financial entities themselves should
        provide such information to public authorities outside the financial services
        area. Those information flows should allow financial entities to swiftly benefit
        from any relevant technical input, advice about remedies, and subsequent follow-up
        from such authorities. The information on major ICT-related incidents should
        be mutually channelled: financial supervisors should provide all necessary
        feedback or guidance to the financial entity, while the ESAs should share
        anonymised data on cyber threats and vulnerabilities relating to an incident,
        to aid wider collective defence.'
      translations:
        es:
          name: null
          description: "La notificaci\xF3n directa debe posibilitar que los supervisores\
            \ financieros tengan acceso inmediato a informaci\xF3n sobre incidentes\
            \ graves relacionados con las TIC. Los supervisores financieros deben\
            \ a su vez transmitir los detalles de incidentes graves relacionados con\
            \ las TIC a las autoridades no financieras p\xFAblicas (como las autoridades\
            \ competentes y los puntos de contacto \xFAnicos con arreglo a la Directiva\
            \ (UE) 2022/2555, las autoridades nacionales de protecci\xF3n de datos\
            \ y las autoridades policiales en caso de incidentes graves relacionados\
            \ con las TIC que tengan car\xE1cter delictivo) a fin de mejorar el conocimiento\
            \ que dichas autoridades tienen de tales incidentes y, en el caso de los\
            \ equipos de respuesta a incidentes de seguridad inform\xE1tica, facilitar\
            \ la asistencia r\xE1pida que pueda prestarse a las entidades financieras,\
            \ seg\xFAn proceda. Adem\xE1s, los Estados miembros deben poder determinar\
            \ que las propias entidades financieras faciliten dicha informaci\xF3\
            n a las autoridades p\xFAblicas fuera del \xE1mbito de los servicios financieros.\
            \ Dichos flujos de informaci\xF3n deben permitir a las entidades financieras\
            \ beneficiarse r\xE1pidamente de cualquier aportaci\xF3n t\xE9cnica pertinente,\
            \ asesoramiento sobre medidas correctoras y seguimiento posterior por\
            \ parte de dichas autoridades. La informaci\xF3n sobre incidentes graves\
            \ relacionados con las TIC debe comunicarse rec\xEDprocamente: los supervisores\
            \ financieros deben proporcionar a la entidad financiera todas las observaciones\
            \ u orientaciones necesarias, mientras que las Autoridades Europeas de\
            \ Supervisi\xF3n deben compartir datos anonimizados sobre ciberamenazas\
            \ y vulnerabilidades relacionadas con un determinado incidente, con el\
            \ fin de contribuir a una defensa colectiva m\xE1s amplia."
    - urn: urn:intuitem:risk:req_node:dora:recital-53
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 53
      description: While all financial entities should be required to carry out incident
        reporting, that requirement is not expected to affect all of them in the same
        manner. Indeed, relevant materiality thresholds, as well as reporting timelines,
        should be duly adjusted, in the context of delegated acts based on the regulatory
        technical standards to be developed by the ESAs, with a view to covering only
        major ICT-related incidents. In addition, the specificities of financial entities
        should be taken into account when setting timelines for reporting obligations.
      translations:
        es:
          name: null
          description: "Aunque debe exigirse a todas las entidades financieras que\
            \ notifiquen los incidentes, no se espera que todas ellas se vean afectadas\
            \ de la misma manera por este requisito. En efecto, los umbrales de importancia\
            \ relativa, as\xED como los plazos de notificaci\xF3n, deben ajustarse\
            \ debidamente en el contexto de los actos delegados basados en las normas\
            \ t\xE9cnicas de regulaci\xF3n que deben desarrollar las Autoridades Europeas\
            \ de Supervisi\xF3n, con el fin de cubrir \xFAnicamente los incidentes\
            \ graves relacionados con las TIC. Adem\xE1s, deben tenerse en cuenta\
            \ las particularidades de las entidades financieras a la hora de establecer\
            \ plazos para las obligaciones de notificaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-54
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 54
      description: "This Regulation should require credit institutions, payment institutions,\
        \ account information service providers and electronic money institutions\
        \ to report all operational or security payment-related incidents \u2013 previously\
        \ reported under Directive (EU) 2015/2366 \u2013 irrespective of the ICT nature\
        \ of the incident."
      translations:
        es:
          name: null
          description: "El presente Reglamento debe exigir a las entidades de cr\xE9\
            dito, a las entidades de pago, a los proveedores de servicios de informaci\xF3\
            n sobre cuentas y a las entidades de dinero electr\xF3nico que notifiquen\
            \ todos los incidentes operativos o de seguridad relacionados con los\
            \ pagos \u2014previamente notificados con arreglo a la Directiva (UE)\
            \ 2015/2366\u2014 con independencia de si la naturaleza del incidente\
            \ est\xE1 relacionada con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-55
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 55
      description: The ESAs should be tasked with assessing the feasibility and conditions
        for a possible centralisation of ICT-related incident reports at Union level.
        Such centralisation could consist of a single EU Hub for major ICT-related
        incident reporting either directly receiving relevant reports and automatically
        notifying national competent authorities, or merely centralising relevant
        reports forwarded by the national competent authorities and thus fulfilling
        a coordination role. The ESAs should be tasked with preparing, in consultation
        with the ECB and ENISA, a joint report exploring the feasibility of setting
        up a single EU Hub.
      translations:
        es:
          name: null
          description: " \nDebe encargarse a las Autoridades Europeas de Supervisi\xF3\
            n que eval\xFAen la viabilidad y las condiciones para una posible centralizaci\xF3\
            n de los informes de incidentes relacionados con las TIC a escala de la\
            \ Uni\xF3n. Dicha centralizaci\xF3n puede consistir en un centro \xFA\
            nico de la UE para la notificaci\xF3n de incidentes graves relacionados\
            \ con las TIC que reciba directamente los informes pertinentes y los notifique\
            \ autom\xE1ticamente a las autoridades nacionales competentes, o que simplemente\
            \ centralice los informes pertinentes transmitidos por las autoridades\
            \ nacionales competentes y desempe\xF1e de este modo una funci\xF3n de\
            \ coordinaci\xF3n. Debe encargarse a las Autoridades Europeas de Supervisi\xF3\
            n que elaboren, en consulta con el BCE y la ENISA, un informe conjunto\
            \ en el que se estudie la viabilidad de crear un centro \xFAnico de la\
            \ UE."
    - urn: urn:intuitem:risk:req_node:dora:recital-56
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 56
      description: "In order to achieve a high level of digital operational resilience,\
        \ and in line with both the relevant international standards (e.g. the G7\
        \ Fundamental Elements for Threat-Led Penetration Testing) and with the frameworks\
        \ applied in the Union, such as the TIBER-EU, financial entities should regularly\
        \ test their ICT systems and staff having ICT- related responsibilities with\
        \ regard to the effectiveness of their preventive, detection, response and\
        \ recovery capabilities, to uncover and address potential ICT vulnerabilities.\
        \ To reflect differences that exist across, and within, the various financial\
        \ subsectors as regards financial entities\u2019 level of cybersecurity preparedness,\
        \ testing should include a wide variety of tools and actions, ranging from\
        \ the assessment of basic requirements (e.g. vulnerability assessments and\
        \ scans, open source analyses, network security assessments, gap analyses,\
        \ physical security reviews, questionnaires and scanning software solutions,\
        \ source code reviews where feasible, scenario-based tests, compatibility\
        \ testing, performance testing or end-to-end testing) to more advanced testing\
        \ by means of TLPT. Such advanced testing should be required only of financial\
        \ entities that are mature enough from an ICT perspective to reasonably carry\
        \ it out. The digital operational resilience testing required by this Regulation\
        \ should thus be more demanding for those financial entities meeting the criteria\
        \ set out in this Regulation (for example, large, systemic and ICT-mature\
        \ credit institutions, stock exchanges, central securities depositories and\
        \ central counterparties) than for other financial entities. At the same time,\
        \ the digital operational resilience testing by means of TLPT should be more\
        \ relevant for financial entities operating in core financial services subsectors\
        \ and playing a systemic role (for example, payments, banking, and clearing\
        \ and settlement), and less relevant for other subsectors (for example, asset\
        \ managers and credit rating agencies)."
      translations:
        es:
          name: null
          description: "Con el fin de lograr un nivel elevado de resiliencia operativa\
            \ digital, y en consonancia tanto con las normas internacionales pertinentes\
            \ (por ejemplo, los Elementos Fundamentales del G7 para las pruebas de\
            \ penetraci\xF3n basadas en amenazas) como con los marcos aplicados en\
            \ la Uni\xF3n, como el TIBER-EU, las entidades financieras deben someter\
            \ a pruebas peri\xF3dicas a sus sistemas de TIC y a su personal con responsabilidades\
            \ relacionadas con las TIC en lo que respecta a la efectividad de sus\
            \ capacidades de prevenci\xF3n, detecci\xF3n, respuesta y recuperaci\xF3\
            n, a fin de descubrir y abordar posibles vulnerabilidades de las TIC.\
            \ Para reflejar las diferencias que existen entre los distintos subsectores\
            \ financieros y dentro de ellos en relaci\xF3n con el nivel de preparaci\xF3\
            n de las entidades financieras en materia de ciberseguridad, las pruebas\
            \ deben incluir una amplia variedad de herramientas y acciones, que van\
            \ desde la evaluaci\xF3n de los requisitos b\xE1sicos (por ejemplo, evaluaciones\
            \ y exploraciones de vulnerabilidad, an\xE1lisis del c\xF3digo abierto,\
            \ evaluaciones de la seguridad de la red, an\xE1lisis de carencias, revisiones\
            \ de seguridad f\xEDsica, cuestionarios y soluciones de software de exploraci\xF3\
            n, revisiones del c\xF3digo fuente cuando sea posible, pruebas basadas\
            \ en escenarios, pruebas de compatibilidad, pruebas de rendimiento o pruebas\
            \ de extremo a extremo) hasta pruebas m\xE1s avanzadas a trav\xE9s de\
            \ pruebas de penetraci\xF3n basadas en amenazas. Estas pruebas avanzadas\
            \ solo deben exigirse a las entidades financieras que sean suficientemente\
            \ maduras desde la perspectiva de las TIC para llevarlas a cabo razonablemente.\
            \ Las pruebas de resiliencia operativa digital exigidas por el presente\
            \ Reglamento deben, por tanto, ser m\xE1s exigentes para las entidades\
            \ financieras significativas (como grandes entidades de cr\xE9dito, bolsas\
            \ de valores, depositarios centrales de valores, entidades de contrapartida\
            \ central, etc.) que para otras entidades financieras. Al mismo tiempo,\
            \ las pruebas de resiliencia operativa digital por medio de pruebas de\
            \ penetraci\xF3n basadas en amenazas deben ser m\xE1s pertinentes para\
            \ las entidades financieras que operen en subsectores esenciales de los\
            \ servicios financieros y que desempe\xF1en un papel sist\xE9mico (por\
            \ ejemplo, pagos, banca, compensaci\xF3n y liquidaci\xF3n) y menos pertinentes\
            \ para otros subsectores (por ejemplo, gestores de activos, agencias de\
            \ calificaci\xF3n crediticia, etc.)."
    - urn: urn:intuitem:risk:req_node:dora:recital-57
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 57
      description: Financial entities involved in cross-border activities and exercising
        the freedoms of establishment, or of provision of services within the Union,
        should comply with a single set of advanced testing requirements (i.e. TLPT)
        in their home Member State, which should include the ICT infrastructures in
        all jurisdictions where the cross-border financial group operates within the
        Union, thus allowing such cross-border financial groups to incur related ICT
        testing costs in one jurisdiction only.
      translations:
        es:
          name: null
          description: "Las entidades financieras que participen en actividades transfronterizas\
            \ y que ejerzan la libertad de establecimiento o prestaci\xF3n de servicios\
            \ en la Uni\xF3n deben cumplir un \xFAnico conjunto de requisitos de pruebas\
            \ avanzadas (por ejemplo, pruebas de penetraci\xF3n basadas en amenazas)\
            \ en su Estado miembro de origen, el cual debe incluir las infraestructuras\
            \ de TIC en todos los pa\xEDses o territorios en los que el grupo financiero\
            \ transfronterizo opere dentro de la Uni\xF3n, permitiendo as\xED que\
            \ los grupos financieros transfronterizos solo soporten los costes de\
            \ las pruebas relacionadas con las TIC en un pa\xEDs o territorio."
    - urn: urn:intuitem:risk:req_node:dora:recital-58
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 58
      description: To draw on the expertise already acquired by certain competent
        authorities, in particular with regard to implementing the TIBER-EU framework,
        this Regulation should allow Member States to designate a single public authority
        as responsible in the financial sector, at national level, for all TLPT matters,
        or competent authorities, to delegate, in the absence of such designation,
        the exercise of TLPT related tasks to another national financial competent
        authority.
      translations:
        es:
          name: null
          description: "A fin de aprovechar los conocimientos especializados ya adquiridos\
            \ por determinadas autoridades competentes, en particular en lo que se\
            \ refiere a la aplicaci\xF3n del marco TIBER-EU, el presente Reglamento\
            \ debe permitir que los Estados miembros designen a una \xFAnica autoridad\
            \ p\xFAblica como responsable en el sector financiero, a escala nacional,\
            \ para todas las cuestiones relacionadas con las pruebas de penetraci\xF3\
            n basadas en amenazas, o que las autoridades competentes deleguen, a falta\
            \ de dicha designaci\xF3n, el ejercicio de las tareas relacionadas con\
            \ las pruebas de penetraci\xF3n basadas en amenazas en otra autoridad\
            \ financiera nacional competente."
    - urn: urn:intuitem:risk:req_node:dora:recital-59
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 59
      description: Since this Regulation does not require financial entities to cover
        all critical or important functions in one single threat-led penetration test,
        financial entities should be free to determine which and how many critical
        or important functions should be included in the scope of such a test.
      translations:
        es:
          name: null
          description: "Dado que el presente Reglamento no exige que las entidades\
            \ financieras abarquen todas las funciones esenciales o importantes en\
            \ una \xFAnica prueba de penetraci\xF3n basada en amenazas, las entidades\
            \ financieras deben tener libertad para determinar las funciones esenciales\
            \ o importantes que deben incluirse en el \xE1mbito de aplicaci\xF3n de\
            \ tal prueba y cu\xE1ntas de dichas funciones."
    - urn: urn:intuitem:risk:req_node:dora:recital-60
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 60
      description: "Pooled testing within the meaning of this Regulation \u2013 involving\
        \ the participation of several financial entities in a TLPT and for which\
        \ an ICT third-party service provider can directly enter into contractual\
        \ arrangements with an external tester \u2013 should be allowed only where\
        \ the quality or security of services delivered by the ICT third-party service\
        \ provider to customers that are entities falling outside the scope of this\
        \ Regulation, or the confidentiality of the data related to such services,\
        \ are reasonably expected to be adversely impacted. Pooled testing should\
        \ also be subject to safeguards (direction by one designated financial entity,\
        \ calibration of the number of participating financial entities) to ensure\
        \ a rigorous testing exercise for the financial entities involved which meet\
        \ the objectives of the TLPT pursuant to this Regulation."
      translations:
        es:
          name: null
          description: "Se autorizan las pruebas conjuntas en el sentido del presente\
            \ Reglamento \u2014en las que varias entidades financieras participan\
            \ en una prueba de penetraci\xF3n basada en amenazas y para las cuales\
            \ un proveedor tercero de servicios de TIC puede celebrar directamente\
            \ acuerdos contractuales con un probador externo\u2014 solo en aquellos\
            \ casos en los que cabe esperar razonablemente que se vean afectadas negativamente\
            \ la calidad o la seguridad de los servicios prestados por el proveedor\
            \ tercero de servicios de TIC a clientes que son entidades excluidas del\
            \ \xE1mbito de aplicaci\xF3n del presente Reglamento, o la confidencialidad\
            \ de los datos relacionados con tales servicios. Las pruebas conjuntas\
            \ tambi\xE9n deben estar sujetas a salvaguardias (direcci\xF3n a cargo\
            \ de una entidad financiera designada, determinaci\xF3n del n\xFAmero\
            \ de entidades financieras participantes) a fin de garantizar el rigor\
            \ de la prueba para que las entidades financieras implicadas cumplan los\
            \ objetivos de la prueba de penetraci\xF3n basada en amenazas en virtud\
            \ del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-61
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 61
      description: "In order to take advantage of internal resources available at\
        \ corporate level, this Regulation should allow the use of internal testers\
        \ for the purposes of carrying out TLPT, provided there is supervisory approval,\
        \ no conflicts of interest, and periodical alternation of the use of internal\
        \ and external testers (every three tests), while also requiring the provider\
        \ of the threat intelligence in the TLPT to always be external to the financial\
        \ entity. The responsibility for conducting TLPT should remain fully with\
        \ the financial entity. Attestations provided by authorities should be solely\
        \ for the purpose of mutual recognition and should not preclude any follow-up\
        \ action needed to address the ICT risk to which the financial entity is exposed,\
        \ nor should they be seen as a supervisory endorsement of a financial entity\u2019\
        s ICT risk management and mitigation capabilities."
      translations:
        es:
          name: null
          description: " \nCon el fin de aprovechar los recursos internos disponibles\
            \ a escala corporativa, el presente Reglamento debe permitir el recurso\
            \ a probadores internos para llevar a cabo pruebas de penetraci\xF3n basadas\
            \ en amenazas, siempre que se cuente con la aprobaci\xF3n de las autoridades\
            \ de control, no existan conflictos de inter\xE9s y se alterne peri\xF3\
            dicamente el recurso a probadores internos y externos (cada tres pruebas),\
            \ al tiempo que se exige que el proveedor de inteligencia sobre amenazas\
            \ en dichas pruebas de penetraci\xF3n sea siempre externo a la entidad\
            \ financiera. La responsabilidad de llevar a cabo las pruebas de penetraci\xF3\
            n basadas en amenazas debe seguir recayendo plenamente en la entidad financiera.\
            \ Las validaciones proporcionadas por las autoridades deben tener como\
            \ \xFAnica finalidad el reconocimiento mutuo y no deben impedir ninguna\
            \ acci\xF3n de seguimiento necesaria para abordar el riesgo en materia\
            \ de TIC al que est\xE9 expuesta la entidad financiera, ni deben considerarse\
            \ como una confirmaci\xF3n por parte de las autoridades de control de\
            \ las capacidades de gesti\xF3n y mitigaci\xF3n del riesgo de TIC de una\
            \ entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:recital-62
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 62
      description: "To ensure a sound monitoring of ICT third-party risk in the financial\
        \ sector, it is necessary to lay down a set of principle-based rules to guide\
        \ financial entities\u2019 when monitoring risk arising in the context of\
        \ functions outsourced to ICT third-party service providers, particularly\
        \ for ICT services supporting critical or important functions, as well as\
        \ more generally in the context of all ICT third-party dependencies."
      translations:
        es:
          name: null
          description: "Para garantizar un seguimiento s\xF3lido del riesgo relacionado\
            \ con las TIC derivado de terceros en el sector financiero, es necesario\
            \ establecer un conjunto de normas basadas en principios para orientar\
            \ a las entidades financieras a la hora de hacer un seguimiento de los\
            \ riesgos que surgen en el contexto de las funciones externalizadas a\
            \ proveedores terceros de servicios de TIC, en particular para servicios\
            \ de TIC que den apoyo a funciones esenciales o importantes, as\xED como,\
            \ de manera m\xE1s general, en el contexto de todas las dependencias de\
            \ terceros relacionadas con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-63
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 63
      description: To address the complexity of the various sources of ICT risk, while
        taking into account the multitude and diversity of providers of technological
        solutions which enable a smooth provision of financial services, this Regulation
        should cover a wide range of ICT third-party service providers, including
        providers of cloud computing services, software, data analytics services and
        providers of data centre services. Similarly, since financial entities should
        effectively and coherently identify and manage all types of risk, including
        in the context of ICT services procured within a financial group, it should
        be clarified that undertakings which are part of a financial group and provide
        ICT services predominantly to their parent undertaking, or to subsidiaries
        or branches of their parent undertaking, as well as financial entities providing
        ICT services to other financial entities, should also be considered as ICT
        third-party service providers under this Regulation. Lastly, in light of the
        evolving payment services market becoming increasingly dependent on complex
        technical solutions, and in view of emerging types of payment services and
        payment-related solutions, participants in the payment services ecosystem,
        providing payment-processing activities, or operating payment infrastructures,
        should also be considered to be ICT third-party service providers under this
        Regulation, with the exception of central banks when operating payment or
        securities settlement systems, and public authorities when providing ICT related
        services in the context of fulfilling State functions.
      translations:
        es:
          name: null
          description: "Para abordar la complejidad de las diversas fuentes de riesgo\
            \ relacionado con las TIC, teniendo en cuenta al mismo tiempo la multitud\
            \ y diversidad de proveedores de soluciones tecnol\xF3gicas que hacen\
            \ posible una prestaci\xF3n fluida de los servicios financieros, el presente\
            \ Reglamento debe abarcar una amplia variedad de proveedores terceros\
            \ de servicios de TIC, incluidos los proveedores de servicios de computaci\xF3\
            n en nube, software, servicios de an\xE1lisis de datos y los proveedores\
            \ de servicios de centros de datos. Del mismo modo, dado que las entidades\
            \ financieras deben determinar y gestionar de manera efectiva y coherente\
            \ todos los tipos de riesgo, tambi\xE9n en el contexto de los servicios\
            \ de TIC adquiridos dentro de un grupo financiero, debe aclararse que\
            \ las empresas que forman parte de un grupo financiero y prestan servicios\
            \ de TIC principalmente a su sociedad matriz, o a filiales o sucursales\
            \ de su empresa matriz, as\xED como las entidades financieras que prestan\
            \ servicios de TIC a otras entidades financieras, tambi\xE9n deben considerarse\
            \ proveedores terceros de servicios de TIC de conformidad con el presente\
            \ Reglamento. Por \xFAltimo, a la luz de la evoluci\xF3n del mercado de\
            \ servicios de pago, cada vez m\xE1s dependiente de soluciones t\xE9cnicas\
            \ complejas, y en vista de los nuevos tipos de servicios de pago y soluciones\
            \ relacionadas con los pagos, los participantes en el ecosistema de servicios\
            \ de pago que presten actividades de procesamiento de pagos o gestionen\
            \ infraestructuras tambi\xE9n deben considerarse proveedores terceros\
            \ de servicios de TIC con arreglo al presente Reglamento, a excepci\xF3\
            n de los bancos centrales cuando gestionen sistemas de pago o de liquidaci\xF3\
            n de valores y las autoridades p\xFAblicas cuando presten servicios relacionados\
            \ con las TIC en el contexto del desempe\xF1o de funciones estatales."
    - urn: urn:intuitem:risk:req_node:dora:recital-64
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 64
      description: A financial entity should at all times remain fully responsible
        for complying with its obligations set out in this Regulation. Financial entities
        should apply a proportionate approach to the monitoring of risks emerging
        at the level of the ICT third-party service providers, by duly considering
        the nature, scale, complexity and importance of their ICT-related dependencies,
        the criticality or importance of the services, processes or functions subject
        to the contractual arrangements and, ultimately, on the basis of a careful
        assessment of any potential impact on the continuity and quality of financial
        services at individual and at group level, as appropriate.
      translations:
        es:
          name: null
          description: "Una entidad financiera debe seguir siendo en todo momento\
            \ plenamente responsable del cumplimiento de las obligaciones que respecto\
            \ de ella se establecen en el presente Reglamento. Las entidades financieras\
            \ deben aplicar un enfoque proporcionado al seguimiento de los riesgos\
            \ que surjan a nivel de los proveedores terceros de servicios de TIC teniendo\
            \ debidamente en cuenta la naturaleza, la escala, la complejidad y la\
            \ importancia de sus dependencias relacionadas con las TIC, el car\xE1\
            cter esencial o la importancia de los servicios, procesos o funciones\
            \ sujetos a los acuerdos contractuales y, en \xFAltima instancia, sobre\
            \ la base de una evaluaci\xF3n cuidadosa de cualquier posible consecuencia\
            \ para la continuidad y calidad de los servicios financieros a escala\
            \ particular y de grupo, seg\xFAn proceda."
    - urn: urn:intuitem:risk:req_node:dora:recital-65
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 65
      description: "The conduct of such monitoring should follow a strategic approach\
        \ to ICT third-party risk formalised through the adoption by the financial\
        \ entity\u2019s management body of a dedicated ICT third-party risk strategy,\
        \ rooted in a continuous screening of all ICT third-party dependencies. To\
        \ enhance supervisory awareness of ICT third-party dependencies, and with\
        \ a view to further supporting the work in the context of the Oversight Framework\
        \ established by this Regulation, all financial entities should be required\
        \ to maintain a register of information with all contractual arrangements\
        \ about the use of ICT services provided by ICT third-party service providers.\
        \ Financial supervisors should be able to request the full register, or to\
        \ ask for specific sections thereof, and thus to obtain essential information\
        \ for acquiring a broader understanding of the ICT dependencies of financial\
        \ entities."
      translations:
        es:
          name: null
          description: "La realizaci\xF3n de dicho seguimiento debe seguir un enfoque\
            \ estrat\xE9gico para el riesgo relacionado con las TIC derivado de terceros\
            \ formalizado mediante la adopci\xF3n por parte del \xF3rgano de direcci\xF3\
            n de la entidad financiera de una estrategia de riesgos relacionados con\
            \ las TIC derivados de terceros espec\xEDfica, basada en un examen continuo\
            \ de todas las dependencias de terceros relacionadas con las TIC. Para\
            \ aumentar la sensibilizaci\xF3n entre las autoridades de control sobre\
            \ las dependencias de terceros en el sector de las TIC, y con vistas a\
            \ apoyar en mayor medida el trabajo desarrollado en el contexto del marco\
            \ de supervisi\xF3n establecido por el presente Reglamento, debe exigirse\
            \ a todas las entidades financieras que mantengan un registro de informaci\xF3\
            n con todos los acuerdos contractuales relativos al uso de servicios de\
            \ TIC prestados por proveedores terceros de servicios de TIC. Los supervisores\
            \ financieros deben poder solicitar el registro completo o solicitar secciones\
            \ espec\xEDficas de este, y as\xED obtener informaci\xF3n esencial para\
            \ adquirir una mayor comprensi\xF3n de las dependencias relacionadas con\
            \ las TIC de las entidades financieras."
    - urn: urn:intuitem:risk:req_node:dora:recital-66
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 66
      description: A thorough pre-contracting analysis should underpin and precede
        the formal conclusion of contractual arrangements, in particular by focusing
        on elements such as the criticality or importance of the services supported
        by the envisaged ICT contract, the necessary supervisory approvals or other
        conditions, the possible concentration risk entailed, as well as applying
        due diligence in the process of selection and assessment of ICT third-party
        service providers and assessing potential conflicts of interest. For contractual
        arrangements concerning critical or important functions, financial entities
        should take into consideration the use by ICT third-party service providers
        of the most up-to-date and highest information security standards. Termination
        of contractual arrangements could be prompted at least by a series of circumstances
        showing shortfalls at the ICT third-party service provider level, in particular
        significant breaches of laws or contractual terms, circumstances revealing
        a potential alteration of the performance of the functions provided for in
        the contractual arrangements, evidence of weaknesses of the ICT third-party
        service provider in its overall ICT risk management, or circumstances indicating
        the inability of the relevant competent authority to effectively supervise
        the financial entity.
      translations:
        es:
          name: null
          description: "La celebraci\xF3n formal de acuerdos contractuales debe fundarse\
            \ e ir precedida de un an\xE1lisis exhaustivo previo a la contrataci\xF3\
            n, centrado en particular en elementos como el car\xE1cter esencial o\
            \ la importancia de los servicios cubiertos por el contrato de TIC previsto,\
            \ las aprobaciones de las autoridades de control necesarias u otras condiciones,\
            \ el posible riesgo de concentraci\xF3n que conlleva, aplicando asimismo\
            \ la diligencia debida en el proceso de selecci\xF3n y evaluaci\xF3n de\
            \ los proveedores terceros de servicios de TIC y evaluando los posibles\
            \ conflictos de intereses. En lo que respecta a los acuerdos contractuales\
            \ relativos a funciones esenciales o importantes, las entidades financieras\
            \ deben tener en cuenta el uso por parte de los proveedores terceros de\
            \ servicios de TIC de los est\xE1ndares m\xE1s actualizados y m\xE1s estrictos\
            \ en materia de seguridad de la informaci\xF3n. La terminaci\xF3n de los\
            \ contratos puede estar motivada como m\xEDnimo, por una serie de circunstancias\
            \ que pongan de manifiesto deficiencias a nivel del proveedor tercero\
            \ de servicios de TIC, en particular incumplimientos importantes de leyes\
            \ o de cl\xE1usulas contractuales, circunstancias que revelen una posible\
            \ alteraci\xF3n en el desempe\xF1o de las funciones contempladas en el\
            \ contrato, pruebas de deficiencias del proveedor tercero de servicios\
            \ de TIC en su gesti\xF3n global de riesgos de TIC, o circunstancias que\
            \ indiquen la incapacidad de la autoridad competente pertinente para supervisar\
            \ eficazmente la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:recital-67
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 67
      description: "To address the systemic impact of ICT third-party concentration\
        \ risk, this Regulation promotes a balanced solution by means of taking a\
        \ flexible and gradual approach to such concentration risk since the imposition\
        \ of any rigid caps or strict limitations might hinder the conduct of business\
        \ and restrain the contractual freedom. Financial entities should thoroughly\
        \ assess their envisaged contractual arrangements to identify the likelihood\
        \ of such risk emerging, including by means of in-depth analyses of subcontracting\
        \ arrangements, in particular when concluded with ICT third-party service\
        \ providers established in a third country. At this stage, and with a view\
        \ to striking a fair balance between the imperative of preserving contractual\
        \ freedom and that of guaranteeing financial stability, it is not considered\
        \ appropriate to set out rules on strict caps and limits to ICT third-party\
        \ exposures. In the context of the Oversight Framework, a Lead Overseer, appointed\
        \ pursuant to this Regulation, should, in respect to critical ICT third-party\
        \ service providers, pay particular attention to fully grasp the magnitude\
        \ of interdependences, discover specific instances where a high degree of\
        \ concentration of critical ICT third-party service providers in the Union\
        \ is likely to put a strain on the Union financial system\u2019s stability\
        \ and integrity and maintain a dialogue with critical ICT third-party service\
        \ providers where that specific risk is identified."
      translations:
        es:
          name: null
          description: "Para abordar las repercusiones sist\xE9micas del riesgo de\
            \ concentraci\xF3n de terceros en el \xE1mbito de las TIC, el presente\
            \ Reglamento promueve una soluci\xF3n equilibrada mediante la adopci\xF3\
            n de un enfoque flexible y gradual en lo que respecta a dicho riesgo de\
            \ concentraci\xF3n, ya que la imposici\xF3n de unos techos r\xEDgidos\
            \ o unas limitaciones estrictas podr\xEDa obstaculizar la actividad empresarial\
            \ y restringir la libertad contractual. Las entidades financieras deben\
            \ evaluar exhaustivamente los acuerdos contractuales que tienen previstos\
            \ para determinar la probabilidad de que aparezca dicho riesgo, tambi\xE9\
            n mediante an\xE1lisis en profundidad de los acuerdos de subcontrataci\xF3\
            n, en particular cuando se celebren con proveedores terceros de servicios\
            \ de TIC establecidos en un tercer pa\xEDs. En esta fase, y con el fin\
            \ de lograr un equilibrio justo entre el imperativo de preservar la libertad\
            \ contractual y el de garantizar la estabilidad financiera, no se considera\
            \ apropiado establecer normas sobre techos y l\xEDmites estrictos a las\
            \ exposiciones frente a terceros en el \xE1mbito de las TIC. En el contexto\
            \ del marco de supervisi\xF3n, un supervisor principal nombrado en virtud\
            \ del presente Reglamento debe, en relaci\xF3n con los proveedores terceros\
            \ esenciales de servicios de TIC, prestar especial atenci\xF3n a comprender\
            \ plenamente la magnitud de las interdependencias, descubrir los casos\
            \ espec\xEDficos en los que un alto grado de concentraci\xF3n de proveedores\
            \ terceros esenciales de servicios de TIC en la Uni\xF3n pueda poner bajo\
            \ presi\xF3n la estabilidad e integridad del sistema financiero de la\
            \ Uni\xF3n y mantener un di\xE1logo con los proveedores terceros esenciales\
            \ de servicios de TIC cuando se detecte ese riesgo espec\xEDfico."
    - urn: urn:intuitem:risk:req_node:dora:recital-68
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 68
      description: "To evaluate and monitor on a regular basis the ability of an ICT\
        \ third party service provider to securely provide services to a financial\
        \ entity without adverse effects on a financial entity\u2019s digital operational\
        \ resilience, several key contractual elements with ICT third-party service\
        \ providers should be harmonised. Such harmonisation should cover minimum\
        \ areas which are crucial for enabling a full monitoring by the financial\
        \ entity of the risks that could emerge from the ICT third-party service provider,\
        \ from the perspective of a financial entity\u2019s need to secure its digital\
        \ resilience because it is deeply dependent on the stability, functionality,\
        \ availability and security of the ICT services received."
      translations:
        es:
          name: null
          description: "Para evaluar y controlar peri\xF3dicamente la capacidad del\
            \ proveedor tercero de servicios de TIC para prestar servicios de forma\
            \ segura a la entidad financiera sin que ello produzca efectos adversos\
            \ para la capacidad de resiliencia operativa digital de esta, deben armonizarse\
            \ varios elementos contractuales fundamentales con los proveedores terceros\
            \ de servicios de TIC. Dicha armonizaci\xF3n debe cubrir \xE1mbitos m\xED\
            nimos que son cruciales para que la entidad financiera pueda hacer un\
            \ seguimiento completo de los riesgos que podr\xEDan derivarse del proveedor\
            \ tercero de servicios de TIC desde la perspectiva de la necesidad de\
            \ una entidad financiera de garantizar su resiliencia digital por depender\
            \ en gran medida de la estabilidad, la funcionalidad, la disponibilidad\
            \ y la seguridad de los servicios de TIC recibidos."
    - urn: urn:intuitem:risk:req_node:dora:recital-69
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 69
      description: When renegotiating contractual arrangements to seek alignment with
        the requirements of this Regulation, financial entities and ICT third-party
        service providers should ensure the coverage of the key contractual provisions
        as provided for in this Regulation.
      translations:
        es:
          name: null
          description: "Al renegociar los acuerdos contractuales para conformarlos\
            \ con los requisitos establecidos en el presente Reglamento, las entidades\
            \ financieras y los proveedores terceros de servicios de TIC deben garantizar\
            \ que quedan cubiertas las cl\xE1usulas contractuales fundamentales contempladas\
            \ en el presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-70
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 70
      description: "The definition of \u2018critical or important function\u2019 provided\
        \ for in this Regulation encompasses the \u2018critical functions\u2019 as\
        \ defined in Article 2(1), point (35), of Directive 2014/59/EU of the European\
        \ Parliament and of the Council (20). Accordingly, functions deemed to be\
        \ critical pursuant to Directive 2014/59/EU are included in the definition\
        \ of critical functions within the meaning of this Regulation."
      translations:
        es:
          name: null
          description: "La definici\xF3n de \xABfunci\xF3n esencial o importante\xBB\
            \ establecida en el presente Reglamento engloba la definici\xF3n de \xAB\
            funciones esenciales\xBB del art\xEDculo 2, apartado 1, punto 35, de la\
            \ Directiva 2014/59/UE del Parlamento Europeo y del Consejo. De este modo,\
            \ las funciones que se consideran esenciales en virtud de la citada Directiva\
            \ se incluyen en la definici\xF3n de funciones esenciales o importantes\
            \ en el sentido del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-71
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 71
      description: "Irrespective of the criticality or importance of the function\
        \ supported by the ICT services, contractual arrangements should, in particular,\
        \ provide for a specification of the complete descriptions of functions and\
        \ services, of the locations where such functions are provided and where data\
        \ is to be processed, as well as an indication of service level descriptions.\
        \ Other essential elements to enable a financial entity\u2019s monitoring\
        \ of ICT third party risk are: contractual provisions specifying how the accessibility,\
        \ availability, integrity, security and protection of personal data are ensured\
        \ by the ICT third-party service provider, provisions laying down the relevant\
        \ guarantees for enabling the access, recovery and return of data in the case\
        \ of insolvency, resolution or discontinuation of the business operations\
        \ of the ICT third-party service provider, as well as provisions requiring\
        \ the ICT third-party service provider to provide assistance in case of ICT\
        \ incidents in connection with the services provided, at no additional cost\
        \ or at a cost determined ex-ante; provisions on the obligation of the ICT\
        \ third-party service provider to fully cooperate with the competent authorities\
        \ and resolution authorities of the financial entity; and provisions on termination\
        \ rights and related minimum notice periods for the termination of the contractual\
        \ arrangements, in accordance with the expectations of competent authorities\
        \ and resolution authorities."
      translations:
        es:
          name: null
          description: "Independientemente del car\xE1cter esencial o de la importancia\
            \ de la funci\xF3n sustentada por los servicios de TIC, los acuerdos contractuales\
            \ deben especificar, en particular, las descripciones completas de las\
            \ funciones y servicios, de los lugares en los que se presten tales funciones\
            \ y en los que se procesar\xE1n los datos, as\xED como una indicaci\xF3\
            n de las descripciones de los niveles de servicio. Otros elementos esenciales\
            \ para permitir el seguimiento por parte de la entidad financiera del\
            \ riesgo relacionado con las TIC derivado de terceros son las disposiciones\
            \ contractuales que especifiquen el modo en que el proveedor tercero de\
            \ servicios de TIC garantiza la accesibilidad, la disponibilidad, la integridad,\
            \ la seguridad y la protecci\xF3n de los datos personales; las disposiciones\
            \ que establecen las garant\xEDas pertinentes para permitir el acceso,\
            \ la recuperaci\xF3n y la restituci\xF3n de los datos en caso de insolvencia,\
            \ resoluci\xF3n o interrupci\xF3n de las operaciones comerciales del proveedor\
            \ tercero de servicios de TIC, as\xED como las disposiciones que obligan\
            \ al proveedor tercero de servicios de TIC a prestar asistencia en caso\
            \ de incidentes relacionados con las TIC vinculados a los servicios prestados,\
            \ sin coste adicional o con un coste determinado con anterioridad; las\
            \ disposiciones relativas a la obligaci\xF3n del proveedor tercero de\
            \ servicios de TIC de cooperar plenamente con las autoridades competentes\
            \ y las autoridades de resoluci\xF3n de la entidad financiera; y las disposiciones\
            \ relativas a los derechos de terminaci\xF3n y los correspondientes plazos\
            \ m\xEDnimos de notificaci\xF3n para la terminaci\xF3n de los acuerdos\
            \ contractuales, con arreglo a las expectativas de las autoridades competentes\
            \ y de las autoridades de resoluci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-72
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 72
      description: "In addition to such contractual provisions, and with a view to\
        \ ensuring that financial entities remain in full control of all developments\
        \ occurring at third-party level which may impair their ICT security, the\
        \ contracts for the provision of ICT services supporting critical or important\
        \ functions should also provide for the following: the specification of the\
        \ full service level descriptions, with precise quantitative and qualitative\
        \ performance targets, to enable without undue delay appropriate corrective\
        \ actions when the agreed service levels are not met; the relevant notice\
        \ periods and reporting obligations of the ICT third-party service provider\
        \ in the event of developments with a potential material impact on the ICT\
        \ third-party service provider\u2019s ability to effectively provide their\
        \ respective ICT services; a requirement upon the ICT third-party service\
        \ provider to implement and test business contingency plans and have ICT security\
        \ measures, tools and policies allowing for the secure provision of services,\
        \ and to participate and fully cooperate in the TLPT carried out by the financial\
        \ entity."
      translations:
        es:
          name: null
          description: "Adem\xE1s de estas disposiciones contractuales, y con vistas\
            \ a garantizar que las entidades financieras mantengan el pleno control\
            \ de todos los acontecimientos que se produzcan a nivel de terceros que\
            \ puedan perjudicar su seguridad en materia de TIC, los contratos para\
            \ la prestaci\xF3n de servicios de TIC que sustenten funciones esenciales\
            \ o importantes tambi\xE9n deben establecer lo siguiente: la especificaci\xF3\
            n de las descripciones completas del nivel de servicio, con objetivos\
            \ de rendimiento cuantitativos y cualitativos precisos, para permitir,\
            \ sin demora indebida, la adopci\xF3n de medidas correctoras adecuadas\
            \ cuando no se alcancen los niveles de servicio acordados; los plazos\
            \ de notificaci\xF3n y las obligaciones de informaci\xF3n pertinentes\
            \ de los proveedores terceros de servicios de TIC en caso de cambios que\
            \ puedan tener consecuencias importantes para la capacidad del proveedor\
            \ tercero de servicios de TIC de prestar efectivamente sus servicios de\
            \ TIC respectivos; la obligaci\xF3n para el proveedor tercero de servicios\
            \ de TIC de aplicar y someter a prueba los planes de contingencia empresariales\
            \ y disponer de medidas, herramientas y pol\xEDticas de seguridad de las\
            \ TIC que permitan la prestaci\xF3n segura de servicios, y de participar\
            \ y cooperar plenamente en la prueba de penetraci\xF3n basada en amenazas\
            \ llevada a cabo por la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:recital-73
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 73
      description: "Contracts for the provision of ICT services supporting critical\
        \ or important functions should also contain provisions enabling the rights\
        \ of access, inspection and audit by the financial entity, or an appointed\
        \ third party, and the right to take copies as crucial instruments in the\
        \ financial entities\u2019 ongoing monitoring of the ICT third-party service\
        \ provider\u2019s performance, coupled with the service provider\u2019s full\
        \ cooperation during inspections. Similarly, the competent authority of the\
        \ financial entity should have the right, based on notices, to inspect and\
        \ audit the ICT third-party service provider, subject to the protection of\
        \ confidential information."
      translations:
        es:
          name: null
          description: " \nLos contratos para la prestaci\xF3n de servicios de TIC\
            \ que sustenten funciones esenciales o importantes deben contener tambi\xE9\
            n disposiciones que estipulen derechos de acceso, inspecci\xF3n y auditor\xED\
            a por parte de la entidad financiera o de un tercero designado, y el derecho\
            \ de hacer copias, como instrumentos cruciales para las entidades financieras\
            \ a la hora de hacer un seguimiento permanente del rendimiento del proveedor\
            \ tercero de servicios de TIC, junto con la plena cooperaci\xF3n de este\
            \ \xFAltimo durante las inspecciones. Del mismo modo, la autoridad competente\
            \ de la entidad financiera debe tener el derecho de inspeccionar y auditar,\
            \ previa notificaci\xF3n, al proveedor tercero de servicios de TIC, a\
            \ reserva de la protecci\xF3n de la informaci\xF3n confidencial."
    - urn: urn:intuitem:risk:req_node:dora:recital-74
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 74
      description: Such contractual arrangements should also provide for dedicated
        exit strategies to enable, in particular, mandatory transition periods during
        which ICT third-party service providers should continue providing the relevant
        services with a view to reducing the risk of disruptions at the level of the
        financial entity, or to allow the latter effectively to switch to the use
        of other ICT third-party service providers or, alternatively, to change to
        in-house solutions, consistent with the complexity of the provided ICT service.
        Moreover, financial entities within the scope of Directive 2014/59/EU should
        ensure that the relevant contracts for ICT services are robust and fully enforceable
        in the event of resolution of those financial entities. Therefore, in line
        with the expectations of the resolution authorities, those financial entities
        should ensure that the relevant contracts for ICT services are resolution
        resilient. As long as they continue meeting their payment obligations, those
        financial entities should ensure, among other requirements, that the relevant
        contracts for ICT services contain clauses for non-termination, non-suspension
        and non-modification on grounds of restructuring or resolution.
      translations:
        es:
          name: null
          description: "Dichos acuerdos contractuales deben estipular tambi\xE9n estrategias\
            \ espec\xEDficas de salida que permitan establecer, en particular per\xED\
            odos transitorios obligatorios durante los cuales los proveedores terceros\
            \ de servicios de TIC deben seguir proporcionando los servicios pertinentes\
            \ con vistas a reducir el riesgo de perturbaciones a nivel de la entidad\
            \ financiera, o para permitir que esta \xFAltima cambie de modo efectivo\
            \ de proveedores terceros de servicios de TIC o, alternativamente, opte\
            \ por soluciones internas, en consonancia con la complejidad del servicio\
            \ de TIC prestado. Adem\xE1s, las entidades financieras incluidas en el\
            \ \xE1mbito de aplicaci\xF3n de la Directiva 2014/59/UE deben garantizar\
            \ que los contratos de servicios de TIC pertinentes sean s\xF3lidos y\
            \ plenamente aplicables en caso de resoluci\xF3n de dichas entidades financieras.\
            \ Por consiguiente, en consonancia con las expectativas de las autoridades\
            \ de resoluci\xF3n, estas entidades financieras deben garantizar que los\
            \ contratos de servicios de TIC correspondientes sean resilientes a las\
            \ resoluciones. Mientras sigan cumpliendo sus obligaciones de pago, estas\
            \ entidades financieras deben garantizar, entre otros requisitos, que\
            \ los contratos pertinentes de servicios de TIC contengan cl\xE1usulas\
            \ de no terminaci\xF3n, no suspensi\xF3n y no modificaci\xF3n por motivos\
            \ de reestructuraci\xF3n o resoluci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-75
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 75
      description: "Moreover, the voluntary use of standard contractual clauses developed\
        \ by public authorities or Union institutions, in particular the use of contractual\
        \ clauses developed by the Commission for cloud computing services could provide\
        \ further comfort to the financial entities and ICT third-party service providers,\
        \ by enhancing their level of legal certainty regarding the use of cloud computing\
        \ services in the financial sector, in full alignment with the requirements\
        \ and expectations set out by the Union financial services law. The development\
        \ of standard contractual clauses builds on measures already envisaged in\
        \ the 2018 Fintech Action Plan that announced the Commission\u2019s intention\
        \ to encourage and facilitate the development of standard contractual clauses\
        \ for the use of cloud computing services outsourcing by financial entities,\
        \ drawing on cross-sectorial cloud computing services stakeholders\u2019 efforts,\
        \ which the Commission has facilitated with the help of the financial sector\u2019\
        s involvement."
      translations:
        es:
          name: null
          description: "Adem\xE1s, la inclusi\xF3n voluntaria de cl\xE1usulas contractuales\
            \ tipo desarrolladas por autoridades p\xFAblicas o instituciones de la\
            \ Uni\xF3n, en particular la inclusi\xF3n de cl\xE1usulas contractuales\
            \ desarrolladas por la Comisi\xF3n para los servicios de computaci\xF3\
            n en nube, puede ofrecer mayor confianza a las entidades financieras y\
            \ a los proveedores terceros de servicios de TIC al aumentar su nivel\
            \ de seguridad jur\xEDdica en lo concerniente al uso de servicios de computaci\xF3\
            n en nube en el sector financiero, respetando plenamente los requisitos\
            \ y expectativas establecidos en el Derecho de la Uni\xF3n en materia\
            \ de servicios financieros. El desarrollo de cl\xE1usulas contractuales\
            \ tipo se basa en las medidas ya previstas en el Plan de Acci\xF3n en\
            \ materia de Tecnolog\xEDa Financiera de 2018, que anunciaba la intenci\xF3\
            n de la Comisi\xF3n de fomentar y facilitar el desarrollo de cl\xE1usulas\
            \ contractuales tipo para la externalizaci\xF3n de servicios de computaci\xF3\
            n en nube por parte de las entidades financieras, bas\xE1ndose en los\
            \ esfuerzos intersectoriales de las partes interesadas del \xE1mbito de\
            \ los servicios de computaci\xF3n en nube, que la Comisi\xF3n ha facilitado\
            \ con la ayuda de la participaci\xF3n del sector financiero."
    - urn: urn:intuitem:risk:req_node:dora:recital-76
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 76
      description: "With a view to promoting convergence and efficiency in relation\
        \ to supervisory approaches when addressing ICT third-party risk in the financial\
        \ sector, as well as to strengthening the digital operational resilience of\
        \ financial entities which rely on critical ICT third-party service providers\
        \ for the provision of ICT services that support the supply of financial services,\
        \ and thereby to contributing to the preservation of the Union\u2019s financial\
        \ system stability and the integrity of the internal market for financial\
        \ services, critical ICT third-party service providers should be subject to\
        \ a Union Oversight Framework. While the set-up of the Oversight Framework\
        \ is justified by the added value of taking action at Union level and by virtue\
        \ of the inherent role and specificities of the use of ICT services in the\
        \ provision of financial services, it should be recalled, at the same time,\
        \ that this solution appears suitable only in the context of this Regulation\
        \ specifically dealing with digital operational resilience in the financial\
        \ sector. However, such Oversight Framework should not be regarded as a new\
        \ model for Union supervision in other areas of financial services and activities."
      translations:
        es:
          name: null
          description: " \nLos proveedores terceros esenciales de servicios de TIC\
            \ deben estar sujetos a un marco de supervisi\xF3n con vistas a promover\
            \ la convergencia y la eficiencia en relaci\xF3n con los enfoques de supervisi\xF3\
            n a la hora de afrontar el riesgo relacionado con las TIC derivado de\
            \ terceros en el sector financiero, as\xED como para reforzar la resiliencia\
            \ operativa digital de las entidades financieras que dependen de proveedores\
            \ terceros esenciales de servicios de TIC para la prestaci\xF3n de servicios\
            \ de TIC que sustentan la prestaci\xF3n de servicios financieros, y contribuir\
            \ as\xED a preservar la estabilidad del sistema financiero de la Uni\xF3\
            n y la integridad del mercado \xFAnico de servicios financieros. Si bien\
            \ el establecimiento del marco de supervisi\xF3n se justifica por el valor\
            \ a\xF1adido de la adopci\xF3n de medidas a escala de la Uni\xF3n y por\
            \ el papel inherente y las especificidades del uso de los servicios de\
            \ TIC en la prestaci\xF3n de servicios financieros, debe recordarse, al\
            \ mismo tiempo, que esta soluci\xF3n parece adecuada \xFAnicamente en\
            \ el contexto del presente Reglamento, que aborda espec\xEDficamente la\
            \ resiliencia operativa digital en el sector financiero. No obstante,\
            \ este marco de supervisi\xF3n no debe considerarse como un nuevo modelo\
            \ para la supervisi\xF3n por la Uni\xF3n en otros \xE1mbitos de los servicios\
            \ y actividades financieros."
    - urn: urn:intuitem:risk:req_node:dora:recital-77
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 77
      description: "The Oversight Framework should apply only to critical ICT third-party\
        \ service providers. There should therefore be a designation mechanism to\
        \ take into account the dimension and nature of the financial sector\u2019\
        s reliance on such ICT third-party service providers. That mechanism should\
        \ involve a set of quantitative and qualitative criteria to set the criticality\
        \ parameters as a basis for inclusion in the Oversight Framework. In order\
        \ to ensure the accuracy of that assessment, and regardless of the corporate\
        \ structure of the ICT third-party service provider, such criteria should,\
        \ in the case of a ICT third-party service provider that is part of a wider\
        \ group, take into consideration the entire ICT third-party service provider\u2019\
        s group structure. On the one hand, critical ICT third-party service providers,\
        \ which are not automatically designated by virtue of the application of those\
        \ criteria, should have the possibility to opt in to the Oversight Framework\
        \ on a voluntary basis, on the other hand, ICT third-party service providers,\
        \ that are already subject to oversight mechanism frameworks supporting the\
        \ fulfilment of the tasks of the European System of Central Banks as referred\
        \ to in Article 127(2) TFEU, should be exempted."
      translations:
        es:
          name: null
          description: "El marco de supervisi\xF3n debe aplicarse \xFAnicamente a\
            \ los proveedores terceros esenciales de servicios de TIC. Por consiguiente,\
            \ debe existir un mecanismo de designaci\xF3n que tenga en cuenta la dimensi\xF3\
            n y la naturaleza de la dependencia del sector financiero de dichos proveedores\
            \ terceros de servicios de TIC. Dicho mecanismo debe comportar un conjunto\
            \ de criterios cuantitativos y cualitativos para establecer los par\xE1\
            metros para determinar el car\xE1cter esencial como base para la inclusi\xF3\
            n en el marco de supervisi\xF3n. A fin de garantizar la exactitud de dicha\
            \ evaluaci\xF3n, y con independencia de la estructura corporativa del\
            \ proveedor tercero de servicios de TIC, tales criterios, en el caso de\
            \ un proveedor tercero de servicios de TIC que forme parte de un grupo\
            \ m\xE1s amplio, deben tener en cuenta toda la estructura del grupo del\
            \ proveedor tercero de servicios de TIC. Por una parte, los proveedores\
            \ terceros esenciales de servicios de TIC que no sean designados autom\xE1\
            ticamente en virtud de la aplicaci\xF3n de estos criterios deben tener\
            \ la posibilidad de participar voluntariamente en el marco de supervisi\xF3\
            n, mientras que, por otra parte, los proveedores terceros de servicios\
            \ de TIC que ya est\xE9n sujetos a marcos del mecanismo de supervisi\xF3\
            n que apoyan el desempe\xF1o de las tareas del Sistema Europeo de Bancos\
            \ Centrales a que se refiere el art\xEDculo 127, apartado 2, del TFUE,\
            \ deben quedar exentos."
    - urn: urn:intuitem:risk:req_node:dora:recital-78
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 78
      description: Similarly, financial entities providing ICT services to other financial
        entities, while belonging to the category of ICT third-party service providers
        under this Regulation, should also be exempted from the Oversight Framework
        since they are already subject to supervisory mechanisms established by the
        relevant Union financial services law. Where applicable, competent authorities
        should take into account, in the context of their supervisory activities,
        the ICT risk posed to financial entities by financial entities providing ICT
        services. Likewise, due to the existing risk monitoring mechanisms at group
        level, the same exemption should be introduced for ICT third-party service
        providers delivering services predominantly to the entities of their own group.
        ICT third-party service providers providing ICT services solely in one Member
        State to financial entities that are active only in that Member State should
        also be exempted from the designation mechanism because of their limited activities
        and lack of cross-border impact.
      translations:
        es:
          name: null
          description: "Del mismo modo, las entidades financieras que prestan servicios\
            \ de TIC a otras entidades financieras, aunque pertenezcan a la categor\xED\
            a de proveedores terceros de servicios de TIC con arreglo al presente\
            \ Reglamento, tambi\xE9n deben quedar exentas del marco de supervisi\xF3\
            n, puesto que ya est\xE1n sujetas a mecanismos de control establecidos\
            \ por el Derecho de la Uni\xF3n aplicable en materia de servicios financieros.\
            \ Cuando proceda, las autoridades competentes deben tener en cuenta, en\
            \ el contexto de sus actividades de control, el riesgo relacionado con\
            \ las TIC que plantean para las entidades financieras las entidades financieras\
            \ que prestan servicios de TIC. Del mismo modo, debido a los mecanismos\
            \ de seguimiento de riesgos existentes a escala de grupo, debe introducirse\
            \ la misma exenci\xF3n para los proveedores terceros de servicios de TIC\
            \ que presten servicios predominantemente a las entidades de su propio\
            \ grupo. Los proveedores terceros de servicios de TIC que presten servicios\
            \ de TIC \xFAnicamente en un Estado miembro a entidades financieras que\
            \ solo operen en ese Estado tambi\xE9n deben quedar exentos del mecanismo\
            \ de designaci\xF3n debido al car\xE1cter limitado de sus actividades\
            \ y a la ausencia de consecuencias transfronterizas."
    - urn: urn:intuitem:risk:req_node:dora:recital-79
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 79
      description: The digital transformation experienced in financial services has
        brought about an unprecedented level of use of, and reliance upon, ICT services.
        Since it has become inconceivable to provide financial services without the
        use of cloud computing services, software solutions and data-related services,
        the Union financial ecosystem has become intrinsically co-dependent on certain
        ICT services provided by ICT service suppliers. Some of those suppliers, innovators
        in developing and applying ICT-based technologies, play a significant role
        in the delivery of financial services, or have become integrated into the
        financial services value chain. They have thus become critical to the stability
        and integrity of the Union financial system. This widespread reliance on services
        supplied by critical ICT third-party service providers, combined with the
        interdependence of the information systems of various market operators, create
        a direct, and potentially severe, risk to the Union financial services system
        and to the continuity of delivery of financial services if critical ICT third-party
        service providers were to be affected by operational disruptions or major
        cyber incidents. Cyber incidents have a distinctive ability to multiply and
        propagate throughout the financial system at a considerably faster pace than
        other types of risk monitored in the financial sector and can extend across
        sectors and beyond geographical borders. They have the potential to evolve
        into a systemic crisis, where trust in the financial system has been eroded
        due to the disruption of functions supporting the real economy, or to substantial
        financial losses, reaching a level which the financial system is unable to
        withstand, or which requires the deployment of heavy shock absorption measures.
        To prevent these scenarios from taking place and thereby endangering the financial
        stability and integrity of the Union, it is essential to provide the convergence
        of supervisory practices relating to ICT third-party risk in finance, in particular
        through new rules enabling the Union oversight of critical ICT third-party
        service providers.
      translations:
        es:
          name: null
          description: "La transformaci\xF3n digital experimentada en los servicios\
            \ financieros ha dado lugar a un nivel de uso y dependencia de los servicios\
            \ de TIC que no tiene precedentes. Dado que hoy en d\xEDa resulta inconcebible\
            \ prestar servicios financieros sin el uso de servicios de computaci\xF3\
            n en nube, soluciones de software y servicios relacionados con datos,\
            \ el ecosistema financiero de la Uni\xF3n ha pasado a ser intr\xEDnsecamente\
            \ codependiente de determinados servicios de TIC prestados por proveedores\
            \ de servicios de TIC. Algunos de estos proveedores, innovadores en el\
            \ desarrollo y la aplicaci\xF3n de tecnolog\xEDas basadas en las TIC,\
            \ desempe\xF1an un papel importante en la prestaci\xF3n de servicios financieros\
            \ o se han integrado en la cadena de valor de los servicios financieros.\
            \ Por lo tanto, se han convertido en fundamentales para la estabilidad\
            \ y la integridad del sistema financiero de la Uni\xF3n. Esta dependencia\
            \ generalizada de los servicios prestados por proveedores terceros esenciales\
            \ de servicios de TIC, combinada con la interdependencia de los sistemas\
            \ de informaci\xF3n de diversos operadores del mercado, crea un riesgo\
            \ directo y potencialmente grave para el sistema de servicios financieros\
            \ de la Uni\xF3n y para la continuidad de la prestaci\xF3n de servicios\
            \ financieros en caso de que los proveedores terceros esenciales de servicios\
            \ de TIC se vean afectados por perturbaciones operativas o por ciberincidentes\
            \ graves. Los ciberincidentes tienen una capacidad particular para multiplicarse\
            \ y propagarse por todo el sistema financiero a un ritmo considerablemente\
            \ m\xE1s r\xE1pido que otros tipos de riesgos sujetos a seguimiento en\
            \ el sector financiero y pueden extenderse a otros sectores y m\xE1s all\xE1\
            \ de las fronteras geogr\xE1ficas. Tienen el potencial de dar lugar a\
            \ una crisis sist\xE9mica, en la que la confianza en el sistema financiero\
            \ se vea erosionada debido a la perturbaci\xF3n de las funciones que dan\
            \ apoyo a la econom\xEDa real, o a p\xE9rdidas financieras sustanciosas,\
            \ alcanzando un nivel que el sistema financiero no pueda soportar o que\
            \ requiera el despliegue de medidas importantes de amortiguaci\xF3n de\
            \ choques. Para evitar que se produzcan estos escenarios, que ponen en\
            \ peligro la estabilidad financiera y la integridad de la Uni\xF3n, es\
            \ fundamental lograr la convergencia de las pr\xE1cticas de supervisi\xF3\
            n sobre los riesgos relacionados con las TIC derivados de terceros en\
            \ el sector financiero, en particular mediante nuevas normas que permitan\
            \ la supervisi\xF3n por parte de la Uni\xF3n de los proveedores terceros\
            \ esenciales de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-80
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 80
      description: "The Oversight Framework largely depends on the degree of collaboration\
        \ between the Lead Overseer and the critical ICT third-party service provider\
        \ delivering to financial entities services affecting the supply of financial\
        \ services. Successful oversight is predicated, inter alia, upon the ability\
        \ of the Lead Overseer to effectively conduct monitoring missions and inspections\
        \ to assess the rules, controls and processes used by the critical ICT third-party\
        \ service providers, as well as to assess the potential cumulative impact\
        \ of their activities on financial stability and the integrity of the financial\
        \ system. At the same time, it is crucial that critical ICT third-party service\
        \ providers follow the Lead Overseer\u2019s recommendations and address its\
        \ concerns. Since a lack of cooperation by a critical ICT third- party service\
        \ provider providing services that affect the supply of financial services,\
        \ such as the refusal to grant access to its premises or to submit information,\
        \ would ultimately deprive the Lead Overseer of its essential tools in appraising\
        \ ICT third-party risk, and could adversely impact the financial stability\
        \ and the integrity of the financial system, it is necessary to also provide\
        \ for a commensurate sanctioning regime."
      translations:
        es:
          name: null
          description: "El marco de supervisi\xF3n depende en gran medida del grado\
            \ de colaboraci\xF3n entre el supervisor principal y el proveedor tercero\
            \ esencial de servicios de TIC que presta a entidades financieras servicios\
            \ que afectan a la prestaci\xF3n de servicios financieros. El \xE9xito\
            \ de la supervisi\xF3n depende, entre otras cosas, de la capacidad del\
            \ supervisor principal para llevar a cabo efectivamente misiones e inspecciones\
            \ de seguimiento a fin de evaluar las normas, los controles y los procesos\
            \ utilizados por los proveedores terceros esenciales de servicios de TIC,\
            \ as\xED como para evaluar el posible efecto acumulado de sus actividades\
            \ en la estabilidad financiera y la integridad del sistema financiero.\
            \ Al mismo tiempo, es fundamental que los proveedores terceros esenciales\
            \ de servicios de TIC sigan las recomendaciones del supervisor principal\
            \ y atiendan sus preocupaciones. Dado que una falta de cooperaci\xF3n\
            \ por parte de un proveedor tercero esencial de servicios de TIC que preste\
            \ servicios que afecten a la prestaci\xF3n de servicios financieros, como\
            \ la negativa a conceder acceso a sus locales o a facilitar informaci\xF3\
            n, privar\xEDa en definitiva al supervisor principal de sus herramientas\
            \ esenciales para evaluar el riesgo relacionado con las TIC derivado de\
            \ terceros y podr\xEDa afectar negativamente a la estabilidad financiera\
            \ y a la integridad del sistema financiero, es necesario tambi\xE9n establecer\
            \ un r\xE9gimen sancionador acorde."
    - urn: urn:intuitem:risk:req_node:dora:recital-81
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 81
      description: "Against this background, the need of the Lead Overseer to impose\
        \ penalty payments to compel critical ICT third- party service providers to\
        \ comply with the transparency and access-related obligations set out in this\
        \ Regulation should not be jeopardised by difficulties raised by the enforcement\
        \ of those penalty payments in relation to critical ICT third-party service\
        \ providers established in third countries. In order to ensure the enforceability\
        \ of such penalties, and to allow a swift roll out of procedures upholding\
        \ the critical ICT third-party service providers\u2019 rights of defence in\
        \ the context of the designation mechanism and the issuance of recommendations,\
        \ those critical ICT third-party service providers, providing services to\
        \ financial entities that affect the supply of financial services, should\
        \ be required to maintain an adequate business presence in the Union. Due\
        \ to the nature of the oversight, and the absence of comparable arrangements\
        \ in other jurisdictions, there are no suitable alternative mechanisms ensuring\
        \ this objective by way of effective cooperation with financial supervisors\
        \ in third countries in relation to the monitoring of the impact of digital\
        \ operational risks posed by systemic ICT third-party service providers, qualifying\
        \ as critical ICT third-party service providers established in third countries.\
        \ Therefore, in order to continue its provision of ICT services to financial\
        \ entities in the Union, an ICT third-party service provider established in\
        \ a third country which has been designated as critical in accordance with\
        \ this Regulation should undertake, within 12 months of such designation,\
        \ all necessary arrangements to ensure its incorporation within the Union,\
        \ by means of establishing a subsidiary, as defined throughout the Union acquis,\
        \ namely in Directive 2013/34/EU of the European Parliament and of the Council\
        \ (21)."
      translations:
        es:
          name: null
          description: "En este contexto, la necesidad de que el supervisor principal\
            \ imponga multas coercitivas para obligar a los proveedores terceros esenciales\
            \ de servicios de TIC a cumplir las obligaciones en materia de transparencia\
            \ y acceso establecidas en el presente Reglamento no debe verse comprometida\
            \ por las dificultades planteadas por la ejecuci\xF3n de dichas multas\
            \ coercitivas en relaci\xF3n con los proveedores terceros esenciales de\
            \ servicios de TIC establecidos en terceros pa\xEDses. A fin de garantizar\
            \ que puedan ejecutarse dichas multas y que se implanten r\xE1pidamente\
            \ procedimientos que respeten los derechos de defensa de los proveedores\
            \ terceros esenciales de servicios de TIC en el contexto del mecanismo\
            \ de designaci\xF3n y la formulaci\xF3n de recomendaciones, debe exigirse\
            \ a dichos proveedores terceros esenciales de servicios de TIC que prestan\
            \ servicios a entidades financieras que afectan a la prestaci\xF3n de\
            \ servicios financieros que mantengan una presencia empresarial adecuada\
            \ en la Uni\xF3n. Debido a la naturaleza de la supervisi\xF3n y a la ausencia\
            \ de mecanismos comparables en otros pa\xEDses o territorios, no existe\
            \ ning\xFAn otro mecanismo adecuado que garantice este objetivo mediante\
            \ una cooperaci\xF3n eficaz con los supervisores financieros de terceros\
            \ pa\xEDses en lo relativo al seguimiento de la repercusi\xF3n de los\
            \ riesgos operativos digitales planteados por proveedores terceros sist\xE9\
            micos de servicios de TIC considerados proveedores terceros esenciales\
            \ de servicios de TIC establecidos en terceros pa\xEDses. Por tanto, para\
            \ continuar prestando servicios de TIC a las entidades financieras en\
            \ la Uni\xF3n, un proveedor tercero de servicios de TIC establecido en\
            \ un tercer pa\xEDs designado como esencial con arreglo al presente Reglamento\
            \ debe tomar, en un plazo de 12 meses a partir de dicha designaci\xF3\
            n, todas las medidas necesarias para garantizar su constituci\xF3n como\
            \ sociedad en la Uni\xF3n mediante el establecimiento de una empresa filial,\
            \ tal como se define en todo el acervo de la Uni\xF3n, en concreto en\
            \ la Directiva 2013/34/UE del Parlamento Europeo y del Consejo."
    - urn: urn:intuitem:risk:req_node:dora:recital-82
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 82
      description: The requirement to set up a subsidiary in the Union should not
        prevent the critical ICT third-party service provider from supplying ICT services
        and related technical support from facilities and infrastructure located outside
        the Union. This Regulation does not impose a data localisation obligation
        as it does not require data storage or processing to be undertaken in the
        Union.
      translations:
        es:
          name: null
          description: "El requisito de establecer una empresa filial en la Uni\xF3\
            n no debe impedir que el proveedor tercero esencial de servicios de TIC\
            \ preste servicios de TIC y asistencia t\xE9cnica relacionada con estos\
            \ desde instalaciones e infraestructuras situadas fuera de la Uni\xF3\
            n. El presente Reglamento no impone una obligaci\xF3n en materia de localizaci\xF3\
            n de datos, ya que no exige que el almacenamiento o el tratamiento de\
            \ los datos se realice en la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-83
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 83
      description: Critical ICT third-party service providers should be able to provide
        ICT services from anywhere in the world, not necessarily or not only from
        premises located in the Union. Oversight activities should be first conducted
        on premises located in the Union and by interacting with entities located
        in the Union, including the subsidiaries established by critical ICT third-party
        service providers pursuant to this Regulation. However, such actions within
        the Union might be insufficient to allow the Lead Overseer to fully and effectively
        perform its duties under this Regulation. The Lead Overseer should therefore
        also be able to exercise its relevant oversight powers in third countries.
        Exercising those powers in third countries should allow the Lead Overseer
        to examine the facilities from which the ICT services or the technical support
        services are actually provided or managed by the critical ICT third- party
        service provider, and should give the Lead Overseer a comprehensive and operational
        understanding of the ICT risk management of the critical ICT third-party service
        provider. The possibility for the Lead Overseer, as a Union agency, to exercise
        powers outside the territory of the Union should be duly framed by relevant
        conditions, in particular the consent of the critical ICT third-party service
        provider concerned. Similarly, the relevant authorities of the third country
        should be informed of, and not have objected to, the exercise on their own
        territory of the activities of the Lead Overseer. However, in order to ensure
        efficient implementation, and without prejudice to the respective competences
        of the Union institutions and the Member States, such powers also need to
        be fully anchored in the conclusion of administrative cooperation arrangements
        with the relevant authorities of the third country concerned. This Regulation
        should therefore enable the ESAs to conclude administrative cooperation arrangements
        with the relevant authorities of third countries, which should not otherwise
        create legal obligations in respect of the Union and its Member States.
      translations:
        es:
          name: null
          description: " \nLos proveedores terceros esenciales de servicios de TIC\
            \ deben poder prestar servicios de TIC desde cualquier lugar del mundo,\
            \ no deben necesariamente estar ubicados en la Uni\xF3n ni prestar servicios\
            \ \xFAnicamente desde locales situados en la Uni\xF3n. Las actividades\
            \ de supervisi\xF3n deben llevarse a cabo en primer lugar en locales situados\
            \ en la Uni\xF3n e interactuando con entidades situadas en la Uni\xF3\
            n, incluidas las empresas filiales establecidas por proveedores terceros\
            \ esenciales de servicios de TIC con arreglo al presente Reglamento. Sin\
            \ embargo, estas acciones en la Uni\xF3n podr\xEDan ser insuficientes\
            \ para que el supervisor principal pueda desempe\xF1ar plena y eficazmente\
            \ sus funciones con arreglo al presente Reglamento. El supervisor principal\
            \ debe, por lo tanto, poder ejercer sus competencias de supervisi\xF3\
            n pertinentes en terceros pa\xEDses. El ejercicio de dichas competencias\
            \ en terceros pa\xEDses debe permitir al supervisor principal examinar\
            \ las instalaciones desde las que el proveedor tercero esencial de servicios\
            \ de TIC presta o gestiona realmente servicios de TIC o servicios de asistencia\
            \ t\xE9cnica, y debe brindarle un conocimiento completo y operativo de\
            \ la gesti\xF3n del riesgo relacionado con las TIC del proveedor tercero\
            \ esencial de servicios de TIC. La posibilidad de que el supervisor principal,\
            \ como agencia de la Uni\xF3n, ejerza sus competencias fuera del territorio\
            \ de la Uni\xF3n debe estar debidamente enmarcada con las condiciones\
            \ pertinentes, en particular el consentimiento del proveedor tercero esencial\
            \ de servicios de TIC de que se trate. Del mismo modo, las autoridades\
            \ pertinentes del tercer pa\xEDs deben ser informadas del ejercicio en\
            \ su propio territorio de las actividades del supervisor principal y no\
            \ deben haberse opuesto a ello. No obstante, para garantizar una aplicaci\xF3\
            n eficaz, y sin perjuicio de las potestades respectivas de las instituciones\
            \ de la Uni\xF3n y de los Estados miembros, dichas competencias tambi\xE9\
            n deben estar firmemente establecidas mediante la celebraci\xF3n de acuerdos\
            \ de cooperaci\xF3n administrativa con las autoridades pertinentes del\
            \ tercer pa\xEDs de que se trate. Por tanto, el presente Reglamento debe\
            \ permitir a las Autoridades Europeas de Supervisi\xF3n celebrar acuerdos\
            \ de cooperaci\xF3n administrativa con las autoridades pertinentes de\
            \ terceros pa\xEDses que no deben crear de ning\xFAn otro modo obligaciones\
            \ jur\xEDdicas con respecto a la Uni\xF3n y sus Estados miembros.\n\n"
    - urn: urn:intuitem:risk:req_node:dora:recital-84
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 84
      description: To facilitate communication with the Lead Overseer and to ensure
        adequate representation, critical ICT third-party service providers which
        are part of a group should designate one legal person as their coordination
        point.
      translations:
        es:
          name: null
          description: "A fin de facilitar la comunicaci\xF3n con el supervisor principal\
            \ y garantizar una representaci\xF3n adecuada, los proveedores terceros\
            \ esenciales de servicios de TIC que formen parte de un grupo deben designar\
            \ a una persona jur\xEDdica como su punto de coordinaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-85
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 85
      description: "The Oversight Framework should be without prejudice to Member\
        \ States\u2019 competence to conduct their own oversight or monitoring missions\
        \ in respect to ICT third-party service providers which are not designated\
        \ as critical under this Regulation, but which are regarded as important at\
        \ national level."
      translations:
        es:
          name: null
          description: "El marco de supervisi\xF3n debe entenderse sin perjuicio de\
            \ la potestad de los Estados miembros para llevar a cabo sus propias misiones\
            \ de supervisi\xF3n o seguimiento con respecto a los proveedores terceros\
            \ de servicios de TIC no designados como esenciales con arreglo al presente\
            \ Reglamento, pero considerados importantes a escala nacional."
    - urn: urn:intuitem:risk:req_node:dora:recital-86
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 86
      description: "To leverage the multi-layered institutional architecture in the\
        \ financial services area, the Joint Committee of the ESAs should continue\
        \ to ensure overall cross-sectoral coordination in relation to all matters\
        \ pertaining to ICT risk, in accordance with its tasks on cybersecurity. It\
        \ should be supported by a new Subcommittee (the \u2018Oversight Forum\u2019\
        ) carrying out preparatory work both for the individual decisions addressed\
        \ to critical ICT third-party service providers, and for the issuing of collective\
        \ recommendations, in particular in relation to benchmarking the oversight\
        \ programmes for critical ICT third-party service providers, and identifying\
        \ best practices for addressing ICT concentration risk issues."
      translations:
        es:
          name: null
          description: " \nPara aprovechar la arquitectura institucional de m\xFA\
            ltiples niveles en el \xE1mbito de los servicios financieros, el Comit\xE9\
            \ Mixto de las Autoridades Europeas de Supervisi\xF3n debe seguir garantizando\
            \ la coordinaci\xF3n intersectorial general en relaci\xF3n con todos los\
            \ asuntos relativos al riesgo relacionado con las TIC, de conformidad\
            \ con sus funciones en materia de ciberseguridad. Debe contar con el apoyo\
            \ de un nuevo subcomit\xE9 (Foro de Supervisi\xF3n) que lleve a cabo trabajos\
            \ preparatorios tanto para decisiones particulares dirigidas a proveedores\
            \ terceros esenciales de servicios de TIC como para la formulaci\xF3n\
            \ de recomendaciones colectivas, en particular en relaci\xF3n con la evaluaci\xF3\
            n comparativa de los programas de supervisi\xF3n de proveedores terceros\
            \ esenciales de servicios de TIC, y que determine las buenas pr\xE1cticas\
            \ para abordar las cuestiones relativas al riesgo de concentraci\xF3n\
            \ de TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-87
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 87
      description: To ensure that critical ICT third-party service providers are appropriately
        and effectively overseen on a Union level, this Regulation provides that any
        of the three ESAs could be designated as a Lead Overseer. The individual assignment
        of a critical ICT third-party service provider to one of the three ESAs should
        result from an assessment of the preponderance of financial entities operating
        in the financial sectors for which that ESA has responsibilities. This approach
        should lead to a balanced allocation of tasks and responsibilities between
        the three ESAs, in the context of exercising the oversight functions, and
        should make the best use of the human resources and technical expertise available
        in each of the three ESAs.
      translations:
        es:
          name: null
          description: "A fin de garantizar que los proveedores terceros esenciales\
            \ de servicios de TIC sean objeto de una supervisi\xF3n apropiada y efectiva\
            \ a escala de la Uni\xF3n el presente Reglamento establece que cualquiera\
            \ de las tres Autoridades Europeas de Supervisi\xF3n podr\xEDa ser designada\
            \ como supervisor principal. La asignaci\xF3n particular de un proveedor\
            \ tercero esencial de servicios de TIC a una de las tres Autoridades Europeas\
            \ de Supervisi\xF3n debe ser el resultado de una evaluaci\xF3n de la preponderancia\
            \ de las entidades financieras que operan en los sectores financieros\
            \ sobre los que dicha Autoridad Europea de Supervisi\xF3n tiene responsabilidades.\
            \ Este enfoque debe conducir a una distribuci\xF3n equilibrada de tareas\
            \ y responsabilidades entre las tres Autoridades Europeas de Supervisi\xF3\
            n en el contexto del ejercicio de las funciones de supervisi\xF3n y debe\
            \ hacer el mejor uso posible de los recursos humanos y los conocimientos\
            \ t\xE9cnicos especializados disponibles en cada una de ellas."
    - urn: urn:intuitem:risk:req_node:dora:recital-88
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 88
      description: "Lead Overseers should be granted the necessary powers to conduct\
        \ investigations, to carry out onsite and offsite inspections at the premises\
        \ and locations of critical ICT third-party service providers and to obtain\
        \ complete and updated information. Those powers should enable the Lead Overseer\
        \ to acquire real insight into the type, dimension and impact of the ICT third-party\
        \ risk posed to financial entities and ultimately to the Union\u2019s financial\
        \ system. Entrusting the ESAs with the lead oversight role is a prerequisite\
        \ for understanding and addressing the systemic dimension of ICT risk in finance.\
        \ The impact of critical ICT third-party service providers on the Union financial\
        \ sector and the potential issues caused by the ICT concentration risk entailed\
        \ call for taking a collective approach at Union level. The simultaneous carrying\
        \ out of multiple audits and access rights, performed separately by numerous\
        \ competent authorities, with little or no coordination among them, would\
        \ prevent financial supervisors from obtaining a complete and comprehensive\
        \ overview of ICT third-party risk in the Union, while also creating redundancy,\
        \ burden and complexity for critical ICT third-party service providers if\
        \ they were subject to numerous monitoring and inspection requests."
      translations:
        es:
          name: null
          description: " \nDeben otorgarse a los supervisores principales las competencias\
            \ necesarias para llevar a cabo investigaciones, para realizar inspecciones\
            \ in situ y fuera de locales y ubicaciones de proveedores terceros esenciales\
            \ de servicios de TIC, y para obtener informaci\xF3n completa y actualizada.\
            \ Dichas competencias deben permitir al supervisor principal hacerse una\
            \ idea precisa del tipo, la dimensi\xF3n y la repercusi\xF3n del riesgo\
            \ relacionado con las TIC derivado de terceros al que se enfrentan las\
            \ entidades financieras y, en \xFAltima instancia, el sistema financiero\
            \ de la Uni\xF3n. Encomendar a las Autoridades Europeas de Supervisi\xF3\
            n la funci\xF3n de supervisi\xF3n principal es un requisito indispensable\
            \ para comprender y abordar la dimensi\xF3n sist\xE9mica del riesgo relacionado\
            \ con las TIC en el \xE1mbito financiero. La repercusi\xF3n de los proveedores\
            \ terceros esenciales de servicios de TIC en el sector financiero y los\
            \ problemas que puede ocasionar el consiguiente riesgo de concentraci\xF3\
            n de TIC exigen un enfoque colectivo aplicado a escala de la Uni\xF3n.\
            \ El ejercicio simult\xE1neo de varios derechos de acceso y auditor\xED\
            as, desarrollado por separado por numerosas autoridades competentes con\
            \ una coordinaci\xF3n escasa o nula, impedir\xEDa a los supervisores financieros\
            \ obtener una visi\xF3n general completa y exhaustiva del riesgo relacionado\
            \ con las TIC derivado de terceros en la Uni\xF3n, al tiempo que tambi\xE9\
            n crear\xEDa redundancias, cargas y complejidad para los proveedores terceros\
            \ esenciales de servicios de TIC en caso de ser objeto de numerosas solicitudes\
            \ de seguimiento e inspecci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-89
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 89
      description: Due to the significant impact of being designated as critical,
        this Regulation should ensure that the rights of critical ICT third-party
        service providers are observed throughout the implementation of the Oversight
        Framework. Prior to being designated as critical, such providers should, for
        example, have the right to submit to the Lead Overseer a reasoned statement
        containing any relevant information for the purposes of the assessment related
        to their designation. Since the Lead Overseer should be empowered to submit
        recommendations on ICT risk matters and suitable remedies thereto, which include
        the power to oppose certain contractual arrangements ultimately affecting
        the stability of the financial entity or the financial system, critical ICT
        third-party service providers should also be given the opportunity to provide,
        prior to the finalisation of those recommendations, explanations regarding
        the expected impact of the solutions, envisaged in the recommendations, on
        customers that are entities falling outside the scope of this Regulation and
        to formulate solutions to mitigate risks. Critical ICT third-party service
        providers disagreeing with the recommendations should submit a reasoned explanation
        of their intention not to endorse the recommendation. Where such reasoned
        explanation is not submitted or where it is considered to be insufficient,
        the Lead Overseer should issue a public notice summarily describing the matter
        of non-compliance.
      translations:
        es:
          name: null
          description: "Debido a la importante repercusi\xF3n que tiene la designaci\xF3\
            n como esencial, el presente Reglamento debe garantizar que los derechos\
            \ de los proveedores terceros esenciales de servicios de TIC se respeten\
            \ en toda la aplicaci\xF3n del marco de supervisi\xF3n. Antes de ser designados\
            \ como esenciales, dichos proveedores deben, por ejemplo, tener derecho\
            \ a presentar al supervisor principal una declaraci\xF3n motivada que\
            \ contenga cualquier informaci\xF3n pertinente a efectos de la evaluaci\xF3\
            n relacionada con esa designaci\xF3n. Dado que el supervisor principal\
            \ debe estar facultado para presentar recomendaciones sobre cuestiones\
            \ relativas al riesgo relacionado con las TIC y medidas correctoras adecuadas,\
            \ entre ellas la potestad de oponerse a determinados acuerdos contractuales\
            \ que afecten en \xFAltima instancia a la estabilidad de la entidad financiera\
            \ o del sistema financiero, debe darse asimismo a los proveedores terceros\
            \ esenciales de servicios de TIC la oportunidad de presentar, antes de\
            \ ultimar dichas recomendaciones, explicaciones sobre el efecto esperado\
            \ de las soluciones previstas en las recomendaciones para los clientes\
            \ que sean entidades excluidas en el \xE1mbito de aplicaci\xF3n del presente\
            \ Reglamento, as\xED como de plantear soluciones para mitigar los riesgos.\
            \ Los proveedores terceros esenciales de servicios de TIC que no est\xE9\
            n de acuerdo con las recomendaciones tambi\xE9n deben presentar una explicaci\xF3\
            n razonada de su intenci\xF3n de no refrendar la recomendaci\xF3n. Si\
            \ dicha explicaci\xF3n razonada no se presenta o se considera insuficiente,\
            \ el supervisor principal debe publicar un aviso en el que se describa\
            \ brevemente el incumplimiento."
    - urn: urn:intuitem:risk:req_node:dora:recital-90
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 90
      description: "Competent authorities should duly include the task of verifying\
        \ substantive compliance with recommendations issued by the Lead Overseer\
        \ in their functions with regard to prudential supervision of financial entities.\
        \ Competent authorities should be able to require financial entities to take\
        \ additional measures to address the risks identified in the Lead Overseer\u2019\
        s recommendations, and should, in due course, issue notifications to that\
        \ effect. Where the Lead Overseer addresses recommendations to critical ICT\
        \ third-party service providers that are supervised under Directive (EU) 2022/2555,\
        \ the competent authorities should be able, on a voluntary basis and before\
        \ adopting additional measures, to consult the competent authorities under\
        \ that Directive in order to foster a coordinated approach to dealing with\
        \ the critical ICT third-party service providers in question."
      translations:
        es:
          name: null
          description: "Las autoridades competentes deben incluir debidamente la tarea\
            \ de verificar el cumplimiento material de las recomendaciones formuladas\
            \ por el supervisor principal entre sus funciones en relaci\xF3n con la\
            \ supervisi\xF3n prudencial de las entidades financieras. Las autoridades\
            \ competentes deben poder exigir a las entidades financieras que adopten\
            \ medidas adicionales para hacer frente a los riesgos se\xF1alados en\
            \ las recomendaciones del supervisor principal y, a su debido tiempo,\
            \ deben emitir notificaciones a tal efecto. Cuando el supervisor principal\
            \ dirija recomendaciones a proveedores terceros esenciales de servicios\
            \ de TIC supervisados con arreglo a la Directiva (UE) 2022/2555, las autoridades\
            \ competentes deben poder consultar, de forma voluntaria y antes de adoptar\
            \ medidas adicionales, a las autoridades competentes con arreglo a dicha\
            \ Directiva a fin de propiciar un enfoque coordinado con respecto al tratamiento\
            \ de los proveedores terceros esenciales de servicios de TIC en cuesti\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:recital-91
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 91
      description: 'The exercise of the oversight should be guided by three operational
        principles seeking to ensure: (a) close coordination among the ESAs in their
        Lead Overseer roles, through a joint oversight network (JON), (b) consistency
        with the framework established by Directive (EU) 2022/2555 (through a voluntary
        consultation of bodies under that Directive to avoid duplication of measures
        directed at critical ICT third-party service providers), and (c) applying
        diligence to minimise the potential risk of disruption to services provided
        by the critical ICT third-party service providers to customers that are entities
        falling outside the scope of this Regulation.'
      translations:
        es:
          name: null
          description: "El ejercicio de la supervisi\xF3n debe guiarse por tres principios\
            \ operativos que buscan garantizar: a) una estrecha coordinaci\xF3n entre\
            \ las Autoridades Europeas de Supervisi\xF3n en sus funciones de supervisor\
            \ principal, mediante una Red de Supervisi\xF3n Conjunta; b) la coherencia\
            \ con el marco establecido por la Directiva (UE) 2022/2555 (mediante una\
            \ consulta voluntaria de los organismos con arreglo a dicha Directiva\
            \ para evitar la duplicaci\xF3n de las medidas dirigidas a proveedores\
            \ terceros esenciales de servicios de TIC), y c) la aplicaci\xF3n de medidas\
            \ de diligencia para reducir al m\xEDnimo el posible riesgo de perturbaci\xF3\
            n de los servicios prestados por los proveedores terceros esenciales de\
            \ servicios de TIC a clientes que sean entidades excluidas del \xE1mbito\
            \ de aplicaci\xF3n del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:recital-92
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 92
      description: The Oversight Framework should not replace, or in any way or for
        any part substitute for, the requirement for financial entities to manage
        themselves the risks entailed by the use of ICT third-party service providers,
        including their obligation to maintain an ongoing monitoring of contractual
        arrangements concluded with critical ICT third- party service providers. Similarly,
        the Oversight Framework should not affect the full responsibility of financial
        entities for complying with, and discharging, all the legal obligations laid
        down in this Regulation and in the relevant financial services law.
      translations:
        es:
          name: null
          description: "El marco de supervisi\xF3n no debe sustituir, en modo alguno\
            \ ni en ninguna parte, al requisito de que las entidades financieras gestionen\
            \ ellas mismas los riesgos que entra\xF1a el recurso a proveedores terceros\
            \ de servicios de TIC, incluida la obligaci\xF3n de mantener un seguimiento\
            \ permanente de los acuerdos contractuales celebrados con proveedores\
            \ terceros esenciales de servicios de TIC. Asimismo, el marco de supervisi\xF3\
            n no debe afectar a la plena responsabilidad de las entidades financieras\
            \ en el cumplimiento y la liberaci\xF3n de todas las obligaciones establecidas\
            \ en el presente Reglamento y en el Derecho aplicable en materia de servicios\
            \ financieros."
    - urn: urn:intuitem:risk:req_node:dora:recital-93
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 93
      description: "To avoid duplications and overlaps, competent authorities should\
        \ refrain from taking individually any measures aiming to monitor the critical\
        \ ICT third-party service provider\u2019s risks and should, in that respect,\
        \ rely on the relevant Lead Overseer\u2019s assessment. Any measures should\
        \ in any case be coordinated and agreed in advance with the Lead Overseer\
        \ in the context of the exercise of tasks in the Oversight Framework."
      translations:
        es:
          name: null
          description: "Para evitar duplicaciones y solapamientos, las autoridades\
            \ competentes deben abstenerse de adoptar a t\xEDtulo particular cualquier\
            \ medida destinada a hacer un seguimiento de los riesgos de los proveedores\
            \ terceros esenciales de servicios de TIC y, a ese respecto, deben basarse\
            \ en la evaluaci\xF3n del supervisor principal correspondiente. Toda medida\
            \ debe, en cualquier caso, coordinarse y acordarse previamente con el\
            \ supervisor principal en el contexto de la ejecuci\xF3n de las tareas\
            \ en el marco de supervisi\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-94
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 94
      description: "To promote convergence at international level as regards the use\
        \ of best practices in the review and monitoring of ICT third-party service\
        \ providers\u2019 digital risk-management, the ESAs should be encouraged to\
        \ conclude cooperation arrangements with relevant supervisory and regulatory\
        \ third-country authorities."
      translations:
        es:
          name: null
          description: "A fin de promover la convergencia a nivel internacional por\
            \ cuanto se refiere al recurso a las buenas pr\xE1cticas en la revisi\xF3\
            n y el seguimiento de la gesti\xF3n de riesgos digitales por parte de\
            \ proveedores terceros de servicios de TIC, debe alentarse a las Autoridades\
            \ Europeas de Supervisi\xF3n a que celebren acuerdos de cooperaci\xF3\
            n con las autoridades pertinentes de terceros pa\xEDses en materia de\
            \ supervisi\xF3n y regulaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:recital-95
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 95
      description: To leverage the specific competences, technical skills and expertise
        of staff specialising in operational and ICT risk within the competent authorities,
        the three ESAs and, on a voluntary basis, the competent authorities under
        Directive (EU) 2022/2555, the Lead Overseer should draw on national supervisory
        capabilities and knowledge and set up dedicated examination teams for each
        critical ICT third-party service provider, pooling multidisciplinary teams
        in support of the preparation and execution of oversight activities, including
        general investigations and inspections of critical ICT third-party service
        providers, as well as for any necessary follow-up thereto.
      translations:
        es:
          name: null
          description: "Para aprovechar las competencias, capacidades t\xE9cnicas\
            \ y conocimientos espec\xEDficos del personal especializado en riesgos\
            \ operativos y relacionados con las TIC de las autoridades competentes,\
            \ las tres Autoridades Europeas de Supervisi\xF3n y, a t\xEDtulo voluntario,\
            \ las autoridades competentes con arreglo a la Directiva (UE) 2022/2555,\
            \ el supervisor principal debe servirse de las capacidades y conocimientos\
            \ nacionales en materia de supervisi\xF3n y crear equipos de examinadores\
            \ para cada proveedor tercero esencial de servicios de TIC, agrupando\
            \ equipos multidisciplinares para apoyar tanto la preparaci\xF3n como\
            \ la ejecuci\xF3n de las actividades de supervisi\xF3n, incluidas las\
            \ investigaciones generales y las inspecciones de proveedores terceros\
            \ esenciales de servicios de TIC, as\xED como para cualquier seguimiento\
            \ que sea necesario."
    - urn: urn:intuitem:risk:req_node:dora:recital-96
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 96
      description: "Whereas costs resulting from oversight tasks would be fully funded\
        \ from fees levied on critical ICT third-party service providers, the ESAs\
        \ are. however, likely to incur, before the start of the Oversight Framework,\
        \ costs for the implementation of dedicated ICT systems supporting the upcoming\
        \ oversight, since dedicated ICT systems would need to be developed and deployed\
        \ beforehand. This Regulation therefore provides for a hybrid funding model,\
        \ whereby the Oversight Framework would, as such, be fully fee-funded, while\
        \ the development of the ESAs\u2019 ICT systems would be funded from Union\
        \ and national competent authorities\u2019 contributions."
      translations:
        es:
          name: null
          description: "Mientras que los costes derivados de las tareas de supervisi\xF3\
            n se financiar\xEDan \xEDntegramente con las tasas cobradas a los proveedores\
            \ terceros esenciales de servicios de TIC, es probable, sin embargo, que\
            \ las Autoridades Europeas de Supervisi\xF3n incurran, antes del inicio\
            \ del marco de supervisi\xF3n, en gastos para la implantaci\xF3n de sistemas\
            \ de TIC espec\xEDficos en apoyo a la pr\xF3xima supervisi\xF3n, ya que\
            \ ser\xEDa necesario desarrollar y poner en marcha de antemano sistemas\
            \ de TIC espec\xEDficos. Por lo tanto, el presente Reglamento establece\
            \ un modelo de financiaci\xF3n h\xEDbrido, en virtud del cual el marco\
            \ de supervisi\xF3n como tal se financiar\xEDa \xEDntegramente con las\
            \ tasas, mientras que el desarrollo de los sistemas de TIC de las Autoridades\
            \ Europeas de Supervisi\xF3n se financiar\xEDa con las contribuciones\
            \ de la Uni\xF3n y de las autoridades nacionales competentes."
    - urn: urn:intuitem:risk:req_node:dora:recital-97
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 97
      description: Competent authorities should have all required supervisory, investigative
        and sanctioning powers to ensure the proper exercise of their duties under
        this Regulation. They should, in principle, publish notices of the administrative
        penalties they impose. Since financial entities and ICT third-party service
        providers can be established in different Member States and supervised by
        different competent authorities, the application of this Regulation should
        be facilitated by, on the one hand, close cooperation among relevant competent
        authorities, including the ECB with regard to specific tasks conferred on
        it by Council Regulation (EU) No 1024/2013, and, on the other hand, by consultation
        with the ESAs through the mutual exchange of information and the provision
        of assistance in the context of relevant supervisory activities.
      translations:
        es:
          name: null
          description: "Las autoridades competentes deben disponer de todas las competencias\
            \ en materia de supervisi\xF3n, investigaci\xF3n y sanci\xF3n requeridas\
            \ para garantizar el correcto ejercicio de sus obligaciones con arreglo\
            \ al presente Reglamento. En principio, deben publicar los anuncios de\
            \ las sanciones administrativas que impongan. Dado que las entidades financieras\
            \ y los proveedores terceros de servicios de TIC pueden estar establecidos\
            \ en diferentes Estados miembros y ser controlados por diferentes autoridades\
            \ competentes, la aplicaci\xF3n del presente Reglamento debe facilitarse,\
            \ por una parte, mediante una estrecha cooperaci\xF3n entre las autoridades\
            \ competentes pertinentes, incluido el BCE en relaci\xF3n con las tareas\
            \ espec\xEDficas que le encomienda el Reglamento (UE) n.o 1024/2013, y,\
            \ por otra parte, mediante la consulta con las Autoridades Europeas de\
            \ Supervisi\xF3n a trav\xE9s del intercambio rec\xEDproco de informaci\xF3\
            n y la prestaci\xF3n de asistencia en el contexto de las actividades de\
            \ control pertinentes."
    - urn: urn:intuitem:risk:req_node:dora:recital-98
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 98
      description: "In order to further quantify and qualify the criteria for the\
        \ designation of ICT third-party service providers as critical and to harmonise\
        \ oversight fees, the power to adopt acts in accordance with Article 290 TFEU\
        \ should be delegated to the Commission to supplement this Regulation by further\
        \ specifying the systemic impact that a failure or operational outage of an\
        \ ICT third-party service provider could have on the financial entities it\
        \ provides ICT services to, the number of global systemically important institutions\
        \ (G-SIIs), or other systemically important institutions (O-SIIs), that rely\
        \ on the ICT third-party service provider in question, the number of ICT third-party\
        \ service providers active on a given market, the costs of migrating data\
        \ and ICT workloads to other ICT third-party service providers, as well as\
        \ the amount of the oversight fees and the way in which they are to be paid.\
        \ It is of particular importance that the Commission carry out appropriate\
        \ consultations during its preparatory work, including at expert level, and\
        \ that those consultations be conducted in accordance with the principles\
        \ laid down in the Interinstitutional Agreement of 13 April 2016 on Better\
        \ Law-Making (22). In particular, to ensure equal participation in the preparation\
        \ of delegated acts, the European Parliament and the Council should receive\
        \ all documents at the same time as Member States\u2019 experts, and their\
        \ experts should systematically have access to meetings of Commission expert\
        \ groups dealing with the preparation of delegated acts."
      translations:
        es:
          name: null
          description: "A fin de cuantificar y calificar en mayor medida los criterios\
            \ de designaci\xF3n a proveedores terceros de servicios de TIC como esenciales\
            \ y de armonizar las tasas de supervisi\xF3n, deben delegarse en la Comisi\xF3\
            n los poderes para adoptar actos con arreglo al art\xEDculo 290 del TFUE\
            \ para completar el presente Reglamento mediante una mayor especificaci\xF3\
            n de la repercusi\xF3n sist\xE9mica que un fallo o una interrupci\xF3\
            n operativa de un proveedor tercero de servicios de TIC podr\xEDa tener\
            \ en las entidades financieras a las que presta servicios de TIC, el n\xFA\
            mero de entidades de importancia sist\xE9mica mundial (EISM) u otras entidades\
            \ de importancia sist\xE9mica (OEIS) que dependen del proveedor tercero\
            \ de servicios de TIC correspondiente, el n\xFAmero de proveedores terceros\
            \ de servicios de TIC activos en un mercado dado, los costes de migraci\xF3\
            n de datos y cargas de trabajo de TIC a otros proveedores terceros de\
            \ servicios de TIC, as\xED como la cuant\xEDa de las tasas de supervisi\xF3\
            n y las modalidades de pago. Reviste especial importancia que la Comisi\xF3\
            n lleve a cabo las consultas oportunas durante la fase preparatoria, tambi\xE9\
            n a nivel de expertos, y que esas consultas se realicen de conformidad\
            \ con los principios establecidos en el Acuerdo interinstitucional de\
            \ 13 de abril de 2016 sobre la mejora de la legislaci\xF3n. En particular,\
            \ a fin de garantizar una participaci\xF3n equitativa en la preparaci\xF3\
            n de los actos delegados, el Parlamento Europeo y el Consejo deben recibir\
            \ toda la documentaci\xF3n al mismo tiempo que los expertos de los Estados\
            \ miembros, y sus expertos deben tener acceso sistem\xE1ticamente a las\
            \ reuniones de los grupos de expertos de la Comisi\xF3n que se ocupen\
            \ de la preparaci\xF3n de actos delegados."
    - urn: urn:intuitem:risk:req_node:dora:recital-99
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 99
      description: Regulatory technical standards should ensure the consistent harmonisation
        of the requirements laid down in this Regulation. In their roles as bodies
        endowed with highly specialised expertise, the ESAs should develop draft regulatory
        technical standards which do not involve policy choices, for submission to
        the Commission. Regulatory technical standards should be developed in the
        areas of ICT risk management, major ICT-related incident reporting, testing,
        as well as in relation to key requirements for a sound monitoring of ICT third-party
        risk. The Commission and the ESAs should ensure that those standards and requirements
        can be applied by all financial entities in a manner that is proportionate
        to their size and overall risk profile, and the nature, scale and complexity
        of their services, activities and operations. The Commission should be empowered
        to adopt those regulatory technical standards by means of delegated acts pursuant
        to Article 290 TFEU and in accordance with Articles 10 to 14 of Regulations
        (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010.
      translations:
        es:
          name: null
          description: "Debe garantizarse una armonizaci\xF3n coherente de los requisitos\
            \ establecidos en el presente Reglamento mediante normas t\xE9cnicas de\
            \ regulaci\xF3n. Como parte de su funci\xF3n como organismos dotados de\
            \ conocimientos altamente especializados, las Autoridades Europeas de\
            \ Supervisi\xF3n deben elaborar proyectos de normas t\xE9cnicas de regulaci\xF3\
            n que no conlleven opciones estrat\xE9gicas, para su presentaci\xF3n a\
            \ la Comisi\xF3n. Deben elaborarse normas t\xE9cnicas de regulaci\xF3\
            n en los \xE1mbitos de la gesti\xF3n del riesgo relacionado con las TIC,\
            \ la notificaci\xF3n de incidentes graves relacionados con las TIC, la\
            \ realizaci\xF3n de pruebas, as\xED como en lo relativo a los requisitos\
            \ clave para un seguimiento adecuado del riesgo relacionado con las TIC\
            \ derivado de terceros. La Comisi\xF3n y las Autoridades Europeas de Supervisi\xF3\
            n deben garantizar que todas las entidades financieras puedan aplicar\
            \ esas normas y esos requisitos de manera proporcionada a su tama\xF1\
            o y perfil de riesgo general, as\xED como a la naturaleza, escala y complejidad\
            \ de sus servicios, actividades y operaciones. Se deben otorgar a la Comisi\xF3\
            n poderes para adoptar dichas normas t\xE9cnicas de regulaci\xF3n mediante\
            \ actos delegados con arreglo al art\xEDculo 290 del TFUE y de conformidad\
            \ con los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los\
            \ art\xEDculos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:recital-100
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 100
      description: To facilitate the comparability of reports on major ICT-related
        incidents and major operational or security payment- related incidents, as
        well as to ensure transparency regarding contractual arrangements for the
        use of ICT services provided by ICT third-party service providers, the ESAs
        should develop draft implementing technical standards establishing standardised
        templates, forms and procedures for financial entities to report a major ICT-related
        incident and a major operational or security payment-related incident, as
        well as standardised templates for the register of information. When developing
        those standards, the ESAs should take into account the size and the overall
        risk profile of the financial entity, and the nature, scale and complexity
        of its services, activities and operations. The Commission should be empowered
        to adopt those implementing technical standards by means of implementing acts
        pursuant to Article 291 TFEU and in accordance with Article 15 of Regulations
        (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010.
      translations:
        es:
          name: null
          description: "A fin de facilitar la comparabilidad de las notificaciones\
            \ sobre incidentes graves relacionados con las TIC e incidentes operativos\
            \ o de seguridad graves relacionados con los pagos, as\xED como de garantizar\
            \ la transparencia de los acuerdos contractuales para el uso de servicios\
            \ de TIC prestados por proveedores terceros de servicios de TIC, las Autoridades\
            \ Europeas de Supervisi\xF3n deben elaborar proyectos de normas t\xE9\
            cnicas de ejecuci\xF3n que establezcan plantillas, formularios y procedimientos\
            \ normalizados para la notificaci\xF3n por las entidades financieras de\
            \ incidentes graves relacionados con las TIC y de incidentes graves operativos\
            \ o de seguridad relacionados con los pagos, as\xED como plantillas normalizadas\
            \ para el registro de informaci\xF3n. A la hora de elaborar dichas normas,\
            \ las Autoridades Europeas de Supervisi\xF3n deben tener en cuenta el\
            \ tama\xF1o y el perfil de riesgo general de la entidad financiera, as\xED\
            \ como la naturaleza, escala y complejidad de sus servicios, actividades\
            \ y operaciones. Deben conferirse a la Comisi\xF3n competencias para adoptar\
            \ dichas normas t\xE9cnicas de ejecuci\xF3n mediante actos de ejecuci\xF3\
            n con arreglo al art\xEDculo 291 del TFUE y de conformidad con el art\xED\
            culo 15 del Reglamento (UE) n.o 1093/2010, el art\xEDculo 15 del Reglamento\
            \ (UE) n.o 1094/2010 y el art\xEDculo 15 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:recital-101
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 101
      description: Since further requirements have already been specified through
        delegated and implementing acts based on technical regulatory and implementing
        technical standards in Regulations (EC) No 1060/2009 (23), (EU) No 648/2012
        (24), (EU) No 600/2014 (25) and (EU) No 909/2014 (26) of the European Parliament
        and of the Council, it is appropriate to mandate the ESAs, either individually
        or jointly through the Joint Committee, to submit regulatory and implementing
        technical standards to the Commission for adoption of delegated and implementing
        acts carrying over and updating existing ICT risk management rules.
      translations:
        es:
          name: null
          description: "Dado que ya se han especificado requisitos adicionales mediante\
            \ actos delegados y de ejecuci\xF3n basados en normas t\xE9cnicas de regulaci\xF3\
            n y de ejecuci\xF3n en virtud de los Reglamentos (CE) n.o 1060/2009, (UE)\
            \ n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 del Parlamento Europeo\
            \ y del Consejo, procede encomendar a las Autoridades Europeas de Supervisi\xF3\
            n que presenten a la Comisi\xF3n, ya sea a t\xEDtulo particular o conjuntamente\
            \ a trav\xE9s del Comit\xE9 Mixto, normas t\xE9cnicas de regulaci\xF3\
            n y de ejecuci\xF3n para la adopci\xF3n de actos delegados y de ejecuci\xF3\
            n que incorporen y actualicen las actuales normas de gesti\xF3n del riesgo\
            \ relacionado con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-102
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 102
      description: "Since this Regulation, together with Directive (EU) 2022/2556\
        \ of the European Parliament and of the Council (27), entails a consolidation\
        \ of the ICT risk management provisions across multiple regulations and directives\
        \ of the Union\u2019s financial services acquis, including Regulations (EC)\
        \ No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014, and\
        \ Regulation (EU) 2016/1011 of the European Parliament and of the Council\
        \ (28), in order to ensure full consistency, those Regulations should be amended\
        \ to clarify that the applicable ICT risk-related provisions are laid down\
        \ in this Regulation."
      translations:
        es:
          name: null
          description: "Dado que el presente Reglamento, junto con la Directiva (UE)\
            \ 2022/2556 del Parlamento Europeo y del Consejo, implica una consolidaci\xF3\
            n de las disposiciones en materia de gesti\xF3n del riesgo relacionado\
            \ con las TIC de varios reglamentos y directivas del acervo de la Uni\xF3\
            n sobre servicios financieros, incluidos los Reglamentos (CE) n.o 1060/2009,\
            \ (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014 y el Reglamento\
            \ (UE) 2016/1011 del Parlamento Europeo y del Consejo, con el fin de garantizar\
            \ la plena coherencia se deben modificar dichos Reglamentos para aclarar\
            \ que el presente Reglamento establece las disposiciones aplicables en\
            \ materia de riesgo relacionado con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:recital-103
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 103
      description: Consequently, the scope of the relevant articles related to operational
        risk, upon which empowerments laid down in Regulations (EC) No 1060/2009,
        (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014, and (EU) 2016/1011 had
        mandated the adoption of delegated and implementing acts, should be narrowed
        down with a view to carry over into this Regulation all provisions covering
        the digital operational resilience aspects which today are part of those Regulations.
      translations:
        es:
          name: null
          description: "Por consiguiente, debe delimitarse el \xE1mbito de aplicaci\xF3\
            n de los art\xEDculos pertinentes relacionados con el riesgo operativo\
            \ en virtud de los cuales se encomendaban la adopci\xF3n de actos delegados\
            \ y de ejecuci\xF3n en las habilitaciones establecidas en los Reglamentos\
            \ (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014\
            \ y (UE) 2016/1011, con el fin de incorporar al presente Reglamento todas\
            \ las disposiciones relativas a los aspectos de la resiliencia operativa\
            \ digital que forman actualmente parte de dichos Reglamentos."
    - urn: urn:intuitem:risk:req_node:dora:recital-104
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 104
      description: The potential systemic cyber risk associated with the use of ICT
        infrastructures that enable the operation of payment systems and the provision
        of payment processing activities should be duly addressed at Union level through
        harmonised digital resilience rules. To that effect, the Commission should
        swiftly assess the need for reviewing the scope of this Regulation while aligning
        such review with the outcome of the comprehensive review envisaged under Directive
        (EU) 2015/2366. Numerous large-scale attacks over the past decade demonstrate
        how payment systems have become exposed to cyber threats. Placed at the core
        of the payment services chain and showing strong interconnections with the
        overall financial system, payment systems and payment processing activities
        acquired a critical significance for the functioning of the Union financial
        markets. Cyber-attacks on such systems can cause severe operational business
        disruptions with direct repercussions on key economic functions, such as the
        facilitation of payments, and indirect effects on related economic processes.
        Until a harmonised regime and the supervision of operators of payment systems
        and processing entities are put in place at Union level, Member States may,
        with a view to applying similar market practices, draw inspiration from the
        digital operational resilience requirements laid down by this Regulation,
        when applying rules to operators of payment systems and processing entities
        supervised under their own jurisdictions.
      translations:
        es:
          name: null
          description: "El posible riesgo de ciberseguridad sist\xE9mico asociado\
            \ al uso de infraestructuras de TIC que permiten el funcionamiento de\
            \ los sistemas de pago y la realizaci\xF3n de actividades de procesamiento\
            \ de pagos debe abordarse debidamente a escala de la Uni\xF3n mediante\
            \ normas armonizadas en materia de resiliencia digital. A tal efecto,\
            \ la Comisi\xF3n debe evaluar r\xE1pidamente la necesidad de revisar el\
            \ \xE1mbito de aplicaci\xF3n del presente Reglamento, ajustando al mismo\
            \ tiempo dicha revisi\xF3n al resultado de la evaluaci\xF3n completa que\
            \ se contempla con arreglo a la Directiva (UE) 2015/2366. Numerosos ataques\
            \ a gran escala durante el \xFAltimo decenio demuestran hasta qu\xE9 punto\
            \ los sistemas de pago han quedado expuestos a ciberamenazas. Situados\
            \ en el centro de la cadena de servicios de pago e interconectados firmemente\
            \ con el sistema financiero general, los sistemas de pago y las actividades\
            \ de procesamiento de pagos han adquirido una importancia crucial para\
            \ el funcionamiento de los mercados financieros de la Uni\xF3n. Los ciberataques\
            \ a estos sistemas pueden provocar perturbaciones graves de la actividad\
            \ con repercusiones directas en funciones econ\xF3micas clave, como la\
            \ facilitaci\xF3n de los pagos, y efectos indirectos en los procesos econ\xF3\
            micos conexos. Hasta que se establezcan a escala de la Uni\xF3n un r\xE9\
            gimen armonizado y la supervisi\xF3n de los operadores de sistemas de\
            \ pago y entidades de procesamiento, los Estados miembros, con vistas\
            \ a aplicar pr\xE1cticas de mercado similares, podr\xE1n inspirarse en\
            \ los requisitos de resiliencia operativa digital establecidos en el presente\
            \ Reglamento al aplicar normas a los operadores de sistemas de pago y\
            \ a las entidades de procesamiento controlados en sus propias jurisdicciones."
    - urn: urn:intuitem:risk:req_node:dora:recital-105
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 105
      description: Since the objective of this Regulation, namely to achieve a high
        level of digital operational resilience for regulated financial entities,
        cannot be sufficiently achieved by the Member States because it requires harmonisation
        of various different rules in Union and national law, but can rather, by reason
        of its scale and effects, be better achieved at Union level, the Union may
        adopt measures in accordance with the principle of subsidiarity as set out
        in Article 5 of the Treaty on European Union. In accordance with the principle
        of proportionality as set out in that Article, this Regulation does not go
        beyond what is necessary in order to achieve that objective.
      translations:
        es:
          name: null
          description: "Dado que el objetivo del presente Reglamento, a saber, conseguir\
            \ un alto nivel de resiliencia operativa digital para las entidades financieras\
            \ reguladas, no puede ser alcanzado de manera suficiente por los Estados\
            \ miembros, pues requiere la armonizaci\xF3n de algunas normas diferentes\
            \ del Derecho de la Uni\xF3n y nacional, sino que, debido a su dimensi\xF3\
            n y efectos, puede alcanzarse mejor a escala de la Uni\xF3n, esta \xFA\
            ltima puede adoptar medidas de acuerdo con el principio de subsidiariedad\
            \ establecido en el art\xEDculo 5 del Tratado de la Uni\xF3n Europea.\
            \ De conformidad con el principio de proporcionalidad establecido en ese\
            \ mismo art\xEDculo, el presente Reglamento no excede de lo necesario\
            \ para alcanzar dicho objetivo."
    - urn: urn:intuitem:risk:req_node:dora:recital-106
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node2
      ref_id: Recital 106
      description: The European Data Protection Supervisor was consulted in accordance
        with Article 42(1) of Regulation (EU) 2018/1725 of the European Parliament
        and of the Council (29) and delivered an opinion on 10 May 2021 (30),
      translations:
        es:
          name: null
          description: "El Supervisor Europeo de Protecci\xF3n de Datos, al que se\
            \ consult\xF3 de conformidad con el art\xEDculo 42, apartado 1, del Reglamento\
            \ (UE) 2018/1725 del Parlamento Europeo y del Consejo (29), emiti\xF3\
            \ su dictamen el 10 de mayo de 2021."
    - urn: urn:intuitem:risk:req_node:dora:node109
      assessable: false
      depth: 1
      name: Chapter I
      description: General provisions
      translations:
        es:
          name: "CAP\xCDTULO I"
          description: Disposiciones generales
    - urn: urn:intuitem:risk:req_node:dora:node110
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node109
      name: Article 1
      description: Subject matter
      translations:
        es:
          name: "Art\xEDculo 1"
          description: Objeto
    - urn: urn:intuitem:risk:req_node:dora:1.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node110
      ref_id: '1.1'
      description: "In order to achieve a high common level of digital operational\
        \ resilience, this Regulation lays down uniform requirements concerning the\
        \ security of network and information systems supporting the business processes\
        \ of financial entities as follows:\n(a)\trequirements applicable to financial\
        \ entities in relation to:\n(i)\tinformation and communication technology\
        \ (ICT) risk management;\n(ii)\treporting of major ICT-related incidents and\
        \ notifying, on a voluntary basis, significant cyber threats to the competent\
        \ authorities;\n(iii)\treporting of major operational or security payment-related\
        \ incidents to the competent authorities by financial entities referred to\
        \ in Article 2(1), points (a) to (d);\n(iv)\tdigital operational resilience\
        \ testing;\n(v)\tinformation and intelligence sharing in relation to cyber\
        \ threats and vulnerabilities;\n(vi)\tmeasures for the sound management of\
        \ ICT third-party risk;\n(b)\trequirements in relation to the contractual\
        \ arrangements concluded between ICT third-party service providers and financial\
        \ entities;\n(c)\trules for the establishment and conduct of the Oversight\
        \ Framework for critical ICT third-party service providers when providing\
        \ services to financial entities;\n(d)\trules on cooperation among competent\
        \ authorities, and rules on supervision and enforcement by competent authorities\
        \ in relation to all matters covered by this Regulation."
      translations:
        es:
          name: null
          description: "A fin de lograr un elevado nivel com\xFAn de resiliencia operativa\
            \ digital, el presente Reglamento establece requisitos uniformes relativos\
            \ a la seguridad de las redes y los sistemas de informaci\xF3n que sustentan\
            \ los procesos empresariales de las entidades financieras como sigue:\n\
            \na) requisitos aplicables a las entidades financieras en relaci\xF3n\
            \ con:\n\n i) la gesti\xF3n del riesgo en el \xE1mbito de las tecnolog\xED\
            as de la informaci\xF3n y la comunicaci\xF3n (TIC),\n ii) la notificaci\xF3\
            n a las autoridades competentes de incidentes graves relacionados con\
            \ las TIC y, con car\xE1cter voluntario, de ciberamenazas importantes,\n\
            \ iii) la notificaci\xF3n a las autoridades competentes de incidentes\
            \ operativos o de seguridad graves relacionados con los pagos por parte\
            \ de las entidades financieras a las que se hace referencia en el art\xED\
            culo 2, apartado 1, letras a) a d),\n iv) las pruebas de resiliencia operativa\
            \ digital, \n v) el intercambio de informaci\xF3n e inteligencia en relaci\xF3\
            n con las ciberamenazas y las vulnerabilidades cibern\xE9ticas,\n vi)\
            \ las medidas para la buena gesti\xF3n del riesgo relacionado con las\
            \ TIC derivado de terceros;\n\nb) requisitos en relaci\xF3n con los acuerdos\
            \ contractuales celebrados entre proveedores terceros de servicios de\
            \ TIC y entidades financieras;\n\nc) normas para el establecimiento y\
            \ aplicaci\xF3n del marco de supervisi\xF3n de los proveedores terceros\
            \ esenciales de servicios de TIC cuando presten servicios a entidades\
            \ financieras;\n\nd) normas sobre cooperaci\xF3n entre autoridades competentes\
            \ y normas sobre control y ejecuci\xF3n por parte de las autoridades competentes\
            \ en relaci\xF3n con todos los asuntos cubiertos por el presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:1.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node110
      ref_id: '1.2'
      description: In relation to financial entities identified as essential or important
        entities pursuant to national rules transposing Article 3 of Directive (EU)
        2022/2555, this Regulation shall be considered a sector-specific Union legal
        act for the purposes of Article 4 of that Directive.
      translations:
        es:
          name: null
          description: "En relaci\xF3n con las entidades financieras identificadas\
            \ como entidades esenciales o importantes en virtud de las normas nacionales\
            \ de transposici\xF3n del art\xEDculo 3 de la Directiva (UE) 2022/2555,\
            \ el presente Reglamento se considerar\xE1 un acto jur\xEDdico sectorial\
            \ de la Uni\xF3n a efectos del art\xEDculo 4 de dicha Directiva."
    - urn: urn:intuitem:risk:req_node:dora:1.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node110
      ref_id: '1.3'
      description: "This Regulation is without prejudice to the responsibility of\
        \ Member States\u2019 regarding essential State functions concerning public\
        \ security, defence and national security in accordance with Union law."
      translations:
        es:
          name: null
          description: "El presente Reglamento se entender\xE1 sin perjuicio de la\
            \ responsabilidad de los Estados miembros en lo concerniente a las funciones\
            \ esenciales del Estado que afectan a la seguridad p\xFAblica, la defensa\
            \ y la seguridad nacional de conformidad con el Derecho de la Uni\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:node114
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node109
      name: Article 2
      description: Scope
      translations:
        es:
          name: "Art\xEDculo 2"
          description: "\xC1mbito de aplicaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:2.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node114
      ref_id: '2.1'
      description: "Without prejudice to paragraphs 3 and 4, this Regulation applies\
        \ to the following entities:\n(a)\tcredit institutions;\n(b)\tpayment institutions,\
        \ including payment institutions exempted pursuant to Directive (EU) 2015/2366;\n\
        (c)\taccount information service providers;\n(d)\telectronic money institutions,\
        \ including electronic money institutions exempted pursuant to Directive 2009/110/EC;\
        \ (e)\tinvestment firms;\n(f)\tcrypto-asset service providers as authorised\
        \ under a Regulation of the European Parliament and of the Council on markets\
        \ in crypto-assets, and amending Regulations (EU) No 1093/2010 and (EU) No\
        \ 1095/2010 and Directives 2013/36/EU and (EU) 2019/1937 (\u2018the Regulation\
        \ on markets in crypto-assets\u2019) and issuers of asset-referenced tokens;\n\
        (g)\tcentral securities depositories;\n(h)\tcentral counterparties;\n(i)\t\
        trading venues;\n(j)\ttrade repositories;\n(k)\tmanagers of alternative investment\
        \ funds;\n(l)\tmanagement companies;\n(m)\tdata reporting service providers;\n\
        (n)\tinsurance and reinsurance undertakings;\n(o)\tinsurance intermediaries,\
        \ reinsurance intermediaries and ancillary insurance intermediaries;\n(p)\t\
        institutions for occupational retirement provision;\n(q)\tcredit rating agencies;\n\
        (r)\tadministrators of critical benchmarks;\n(s)\tcrowdfunding service providers;\n\
        (t)\tsecuritisation repositories;\n(u)\tICT third-party service providers."
      translations:
        es:
          name: null
          description: "Sin perjuicio de lo dispuesto en los apartados 3 y 4, el presente\
            \ Reglamento se aplicar\xE1 a las siguientes entidades:\n\na) entidades\
            \ de cr\xE9dito;\nb) entidades de pago, incluidas las entidades de pago\
            \ exentas en virtud de la Directiva (UE) 2015/2366;\nc) proveedores de\
            \ servicios de informaci\xF3n sobre cuentas;\nd) entidades de dinero electr\xF3\
            nico, incluidas las entidades de dinero electr\xF3nico exentas en virtud\
            \ de la Directiva 2009/110/CE;\ne) empresas de servicios de inversi\xF3\
            n;\nf) proveedores de servicios de criptoactivos autorizados en virtud\
            \ de un Reglamento del Parlamento Europeo y del Consejo relativo a los\
            \ mercados de criptoactivos y por el que se modifican los Reglamentos\
            \ (UE) n.o 1093/2010 y (UE) n.o 1095/2010 y las Directivas 2013/36/UE\
            \ y (UE) 2019/1937 (en lo sucesivo, \xABReglamento relativo a los mercados\
            \ de criptoactivos\xBB), y emisores de fichas referenciadas a activos;\n\
            g) depositarios centrales de valores;\nh) entidades de contrapartida central;\n\
            i) centros de negociaci\xF3n;\nj) registros de operaciones;\nk) gestores\
            \ de fondos de inversi\xF3n alternativos;\nl) sociedades de gesti\xF3\
            n;\nm) proveedores de servicios de suministro de datos;\nn) empresas de\
            \ seguros y de reaseguros;\no) intermediarios de seguros, intermediarios\
            \ de reaseguros e intermediarios de seguros complementarios;\np) fondos\
            \ de pensiones de empleo;\nq) agencias de calificaci\xF3n crediticia;\n\
            r) administradores de \xEDndices de referencia cruciales;\ns) proveedores\
            \ de servicios de financiaci\xF3n participativa;\nt) registros de titulizaciones;\n\
            u) proveedores terceros de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:2.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node114
      ref_id: '2.2'
      description: "For the purposes of this Regulation, entities referred to in paragraph\
        \ 1, points (a) to (t), shall collectively be referred to as \u2018financial\
        \ entities\u2019."
      translations:
        es:
          name: null
          description: "A efectos del presente Reglamento, las entidades a que se\
            \ refiere el apartado 1, letras a) a t), se denominar\xE1n colectivamente\
            \ \xABentidades financieras\xBB."
    - urn: urn:intuitem:risk:req_node:dora:2.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node114
      ref_id: '2.3'
      description: "This Regulation does not apply to:\n(a)\tmanagers of alternative\
        \ investment funds as referred to in Article 3(2) of Directive 2011/61/EU;\n\
        (b)\tinsurance and reinsurance undertakings as referred to in Article 4 of\
        \ Directive 2009/138/EC;\n(c)\tinstitutions for occupational retirement provision\
        \ which operate pension schemes which together do not have more than 15 members\
        \ in total;\n(d)\tnatural or legal persons exempted pursuant to Articles 2\
        \ and 3 of Directive 2014/65/EU;\n(e)\tinsurance intermediaries, reinsurance\
        \ intermediaries and ancillary insurance intermediaries which are microenterprises\
        \ or small or medium-sized enterprises;\n(f)\tpost office giro institutions\
        \ as referred to in Article 2(5), point (3), of Directive 2013/36/EU."
      translations:
        es:
          name: null
          description: "El presente Reglamento no se aplicar\xE1 a:\n\na) los gestores\
            \ de fondos de inversi\xF3n alternativos tal como se contemplan en el\
            \ art\xEDculo 3, apartado 2, de la Directiva 2011/61/UE;\nb) las empresas\
            \ de seguros y de reaseguros tal como se contemplan en el art\xEDculo\
            \ 4 de la Directiva 2009/138/CE;\nc) los fondos de pensiones de empleo\
            \ que gestionen planes de pensiones que, en conjunto, no tengan m\xE1\
            s de quince part\xEDcipes en total;\nd) las personas f\xEDsicas o jur\xED\
            dicas exentas en virtud de los art\xEDculos 2 y 3 de la Directiva 2014/65/UE;\n\
            e) los intermediarios de seguros, los intermediarios de reaseguros y los\
            \ intermediarios de seguros complementarios que sean microempresas o peque\xF1\
            as o medianas empresas;\nf) las oficinas de cheques postales tal como\
            \ se contemplan en el art\xEDculo 2, apartado 5, punto 3, de la Directiva\
            \ 2013/36/UE."
    - urn: urn:intuitem:risk:req_node:dora:node118
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node114
      description: Member States may exclude from the scope of this Regulation entities
        referred to in Article 2(5), points (4) to (23), of Directive 2013/36/EU that
        are located within their respective territories. Where a Member State makes
        use of such option, it shall inform the Commission thereof as well as of any
        subsequent changes thereto. The Commission shall make that information publicly
        available on its website or other easily accessible means.
      translations:
        es:
          name: null
          description: "Los Estados miembros podr\xE1n excluir del \xE1mbito de aplicaci\xF3\
            n del presente Reglamento a las entidades a que se refiere el art\xED\
            culo 2, apartado 5, puntos 4 a 23, de la Directiva 2013/36/UE que est\xE9\
            n situadas en sus respectivos territorios. Cuando un Estado miembro haga\
            \ uso de esta posibilidad, informar\xE1 de ello a la Comisi\xF3n, as\xED\
            \ como de cualquier modificaci\xF3n posterior al respecto. La Comisi\xF3\
            n har\xE1 p\xFAblica esta informaci\xF3n en su sitio web o por otros medios\
            \ f\xE1cilmente accesibles."
    - urn: urn:intuitem:risk:req_node:dora:node119
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node109
      name: Article 3
      description: Definitions
      translations:
        es:
          name: "Art\xEDculo 3"
          description: Definiciones
    - urn: urn:intuitem:risk:req_node:dora:3.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.1'
      description: "\u2018digital operational resilience\u2019 means the ability of\
        \ a financial entity to build, assure and review its operational integrity\
        \ and reliability by ensuring, either directly or indirectly through the use\
        \ of services provided by ICT third-party service providers, the full range\
        \ of ICT-related capabilities needed to address the security of the network\
        \ and information systems which a financial entity uses, and which support\
        \ the continued provision of financial services and their quality, including\
        \ throughout disruptions;"
      translations:
        es:
          name: null
          description: "[resiliencia operativa digital]: la capacidad de una entidad\
            \ financiera para construir, asegurar y revisar su integridad y fiabilidad\
            \ operativas asegurando, directa o indirectamente mediante el uso de servicios\
            \ prestados por proveedores terceros de servicios de TIC, toda la gama\
            \ de capacidades relacionadas con las TIC necesarias para preservar la\
            \ seguridad de las redes y los sistemas de informaci\xF3n que utiliza\
            \ una entidad financiera y que sustentan la prestaci\xF3n continuada de\
            \ servicios financieros y su calidad, incluso en caso de perturbaciones;"
    - urn: urn:intuitem:risk:req_node:dora:3.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.2'
      description: "\u2018network and information system\u2019 means a network and\
        \ information system as defined in Article 6, point 1, of Directive (EU) 2022/2555;"
      translations:
        es:
          name: null
          description: "[red y sistema de informaci\xF3n]: una red y un sistema de\
            \ informaci\xF3n seg\xFAn se definen en el art\xEDculo 6, punto 1, de\
            \ la Directiva (UE) 2022/2555;"
    - urn: urn:intuitem:risk:req_node:dora:3.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.3'
      description: "\u2018legacy ICT system\u2019 means an ICT system that has reached\
        \ the end of its lifecycle (end-of-life), that is not suitable for upgrades\
        \ or fixes, for technological or commercial reasons, or is no longer supported\
        \ by its supplier or by an ICT third-party service provider, but that is still\
        \ in use and supports the functions of the financial entity;"
      translations:
        es:
          name: null
          description: "[sistema de TIC heredado]: un sistema de TIC que ha alcanzado\
            \ el final de su ciclo de vida (final de vida \xFAtil) y que por razones\
            \ tecnol\xF3gicas o comerciales no admite actualizaciones o correcciones,\
            \ o para el que su proveedor o un proveedor tercero de servicios de TIC\
            \ ya no presta asistencia t\xE9cnica, pero que sigue utiliz\xE1ndose y\
            \ sustenta las funciones de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.4'
      description: "\u2018security of network and information systems\u2019 means\
        \ security of network and information systems as defined in Article 6, point\
        \ 2, of Directive (EU) 2022/2555;"
      translations:
        es:
          name: null
          description: "[seguridad de las redes y sistemas de informaci\xF3n]: la\
            \ seguridad de las redes y sistemas de informaci\xF3n seg\xFAn se define\
            \ en el art\xEDculo 6, punto 2, de la Directiva (UE) 2022/2555;"
    - urn: urn:intuitem:risk:req_node:dora:3.5
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.5'
      description: "\u2018ICT risk\u2019 means any reasonably identifiable circumstance\
        \ in relation to the use of network and information systems which, if materialised,\
        \ may compromise the security of the network and information systems, of any\
        \ technology dependent tool or process, of operations and processes, or of\
        \ the provision of services by producing adverse effects in the digital or\
        \ physical environment;"
      translations:
        es:
          name: null
          description: "[riesgo relacionado con las TIC]: cualquier circunstancia\
            \ razonablemente identificable en relaci\xF3n con el uso de redes y sistemas\
            \ de informaci\xF3n que, si se materializa, puede comprometer la seguridad\
            \ de las redes y sistemas de informaci\xF3n, de cualquier herramienta\
            \ o proceso dependiente de la tecnolog\xEDa, de las operaciones y los\
            \ procesos o de la prestaci\xF3n de servicios, al provocar efectos adversos\
            \ en el entorno digital o f\xEDsico;"
    - urn: urn:intuitem:risk:req_node:dora:3.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.6'
      description: "\u2018information asset\u2019 means a collection of information,\
        \ either tangible or intangible, that is worth protecting;"
      translations:
        es:
          name: null
          description: "[activo de informaci\xF3n]: un compendio de informaci\xF3\
            n, tangible o intangible, que conviene proteger;"
    - urn: urn:intuitem:risk:req_node:dora:3.7
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.7'
      description: "\u2018ICT asset\u2019 means a software or hardware asset in the\
        \ network and information systems used by the financial entity;"
      translations:
        es:
          name: null
          description: "[activo de TIC]: un activo de software o hardware en las redes\
            \ y sistemas de informaci\xF3n utilizados por la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.8
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.8'
      description: "\u2018ICT-related incident\u2019 means a single event or a series\
        \ of linked events unplanned by the financial entity that compromises the\
        \ security of the network and information systems, and have an adverse impact\
        \ on the availability, authenticity, integrity or confidentiality of data,\
        \ or on the services provided by the financial entity;"
      translations:
        es:
          name: null
          description: "[incidente relacionado con las TIC]: un \xFAnico suceso o\
            \ una serie de sucesos interrelacionados no previstos por la entidad financiera\
            \ que pone en peligro la seguridad de las redes y sistemas de informaci\xF3\
            n y tiene repercusiones negativas en la disponibilidad, autenticidad,\
            \ integridad o confidencialidad de los datos o en los servicios prestados\
            \ por la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.9
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.9'
      description: "\u2018operational or security payment-related incident\u2019 means\
        \ a single event or a series of linked events unplanned by the financial entities\
        \ referred to in Article 2(1), points (a) to (d), whether ICT-related or not,\
        \ that has an adverse impact on the availability, authenticity, integrity\
        \ or confidentiality of payment-related data, or on the payment-related services\
        \ provided by the financial entity;"
      translations:
        es:
          name: null
          description: "[incidente operativo o de seguridad relacionado con los pagos]:\
            \ un \xFAnico suceso o una serie de sucesos interrelacionados no previstos\
            \ por las entidades financieras a que se refiere el art\xEDculo 2, apartado\
            \ 1, letras a) a d), est\xE9n o no relacionados con las TIC, que tiene\
            \ repercusiones negativas en la confidencialidad, disponibilidad, integridad\
            \ o autenticidad de los datos relacionados con los pagos o en los servicios\
            \ relacionados con los pagos prestados por la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.10
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.10'
      description: "\u2018major ICT-related incident\u2019 means an ICT-related incident\
        \ that has a high adverse impact on the network and information systems that\
        \ support critical or important functions of the financial entity;"
      translations:
        es:
          name: null
          description: "[incidente grave relacionado con las TIC]: un incidente relacionado\
            \ con las TIC con graves repercusiones negativas en las redes y sistemas\
            \ de informaci\xF3n que sustentan funciones esenciales o importantes de\
            \ la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.11
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.11'
      description: "\u2018major operational or security payment-related incident\u2019\
        \ means an operational or security payment-related incident that has a high\
        \ adverse impact on the payment-related services provided;"
      translations:
        es:
          name: null
          description: '[incidente operativo o de seguridad grave relacionado con
            los pagos]: un incidente operativo o de seguridad relacionado con los
            pagos con graves repercusiones negativas en los servicios relacionados
            con los pagos prestados;'
    - urn: urn:intuitem:risk:req_node:dora:3.12
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.12'
      description: "\u2018cyber threat\u2019 means \u2018cyber threat\u2019 as defined\
        \ in Article 2, point (8), of Regulation (EU) 2019/881;"
      translations:
        es:
          name: null
          description: "[ciberamenaza]: una ciberamenaza tal como se define en el\
            \ art\xEDculo 2, punto 8, del Reglamento (UE) 2019/881;"
    - urn: urn:intuitem:risk:req_node:dora:3.13
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.13'
      description: "\u2018significant cyber threat\u2019 means a cyber threat the\
        \ technical characteristics of which indicate that it could have the potential\
        \ to result in a major ICT-related incident or a major operational or security\
        \ payment-related incident;"
      translations:
        es:
          name: null
          description: "[ciberamenaza importante]: una ciberamenaza cuyas caracter\xED\
            sticas t\xE9cnicas indican que podr\xEDa dar lugar a un incidente grave\
            \ relacionado con las TIC o a un incidente operativo o de seguridad grave\
            \ relacionado con los pagos;"
    - urn: urn:intuitem:risk:req_node:dora:3.14
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.14'
      description: "\u2018cyber-attack\u2019 means a malicious ICT-related incident\
        \ caused by means of an attempt perpetrated by any threat actor to destroy,\
        \ expose, alter, disable, steal or gain unauthorised access to, or make unauthorised\
        \ use of, an asset;"
      translations:
        es:
          name: null
          description: "[ciberataque]: un incidente malintencionado relacionado con\
            \ las TIC provocado mediante una tentativa, perpetrada por cualquier agente\
            \ de riesgo, de destruir, revelar, alterar, desactivar o robar un activo,\
            \ de obtener acceso no autorizado a ese activo o de hacer uso no autorizado\
            \ de \xE9l;"
    - urn: urn:intuitem:risk:req_node:dora:3.15
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.15'
      description: "\u2018threat intelligence\u2019 means information that has been\
        \ aggregated, transformed, analysed, interpreted or enriched to provide the\
        \ necessary context for decision-making and to enable relevant and sufficient\
        \ understanding in order to mitigate the impact of an ICT-related incident\
        \ or of a cyber threat, including the technical details of a cyber-attack,\
        \ those responsible for the attack and their modus operandi and motivations;"
      translations:
        es:
          name: null
          description: "[inteligencia sobre amenazas]: informaci\xF3n que se ha agregado,\
            \ transformado, analizado, interpretado o enriquecido para proporcionar\
            \ el contexto necesario para la toma de decisiones y permitir una comprensi\xF3\
            n pertinente y suficiente para mitigar las repercusiones de un incidente\
            \ relacionado con las TIC o de una ciberamenaza, incluidos los detalles\
            \ t\xE9cnicos de un ciberataque, los responsables del ataque, su modus\
            \ operandi y sus motivaciones;"
    - urn: urn:intuitem:risk:req_node:dora:3.16
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.16'
      description: "\u2018vulnerability\u2019 means a weakness, susceptibility or\
        \ flaw of an asset, system, process or control that can be exploited;"
      translations:
        es:
          name: null
          description: '[vulnerabilidad]: una debilidad, susceptibilidad o defecto
            de un activo, sistema, proceso o control que puede ser explotado;'
    - urn: urn:intuitem:risk:req_node:dora:3.17
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.17'
      description: "\u2018threat-led penetration testing (TLPT)\u2019 means a framework\
        \ that mimics the tactics, techniques and procedures of real- life threat\
        \ actors perceived as posing a genuine cyber threat, that delivers a controlled,\
        \ bespoke, intelligence-led (red team) test of the financial entity\u2019\
        s critical live production systems;"
      translations:
        es:
          name: null
          description: "[pruebas de penetraci\xF3n basadas en amenazas]: un marco\
            \ que imita las t\xE1cticas, t\xE9cnicas y procedimientos de agentes de\
            \ amenazas reales que se considera presentan una aut\xE9ntica ciberamenaza,\
            \ que permite someter a prueba (equipo rojo) de forma controlada, a medida\
            \ y en funci\xF3n de la inteligencia los sistemas de producci\xF3n activos\
            \ esenciales de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:3.18
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.18'
      description: "\u2018ICT third-party risk\u2019 means an ICT risk that may arise\
        \ for a financial entity in relation to its use of ICT services provided by\
        \ ICT third-party service providers or by subcontractors of the latter, including\
        \ through outsourcing arrangements;"
      translations:
        es:
          name: null
          description: "[riesgo relacionado con las TIC derivado de terceros]: el\
            \ riesgo relacionado con las TIC al que puede verse expuesta una entidad\
            \ financiera en raz\xF3n de su uso de servicios de TIC prestados por proveedores\
            \ terceros de servicios de TIC o por subcontratistas de estos \xFAltimos,\
            \ a trav\xE9s, entre otros, de acuerdos de externalizaci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:3.19
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.19'
      description: "\u2018ICT third-party service provider\u2019 means an undertaking\
        \ providing ICT services;"
      translations:
        es:
          name: null
          description: '[proveedor tercero de servicios de TIC]: una empresa que presta
            servicios de TIC;'
    - urn: urn:intuitem:risk:req_node:dora:3.20
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.20'
      description: "\u2018ICT intra-group service provider\u2019 means an undertaking\
        \ that is part of a financial group and that provides predominantly ICT services\
        \ to financial entities within the same group or to financial entities belonging\
        \ to the same institutional protection scheme, including to their parent undertakings,\
        \ subsidiaries, branches or other entities that are under common ownership\
        \ or control;"
      translations:
        es:
          name: null
          description: "[proveedor intragrupo de servicios de TIC]: una empresa que\
            \ forma parte de un grupo financiero y presta principalmente servicios\
            \ de TIC a entidades financieras del mismo grupo o a entidades financieras\
            \ que pertenecen al mismo sistema institucional de protecci\xF3n, tambi\xE9\
            n a sus sociedades matrices, filiales o sucursales o a otras entidades\
            \ que compartan propiedad o control;"
    - urn: urn:intuitem:risk:req_node:dora:3.21
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.21'
      description: "\u2018ICT services\u2019 means digital and data services provided\
        \ through ICT systems to one or more internal or external users on an ongoing\
        \ basis, including hardware as a service and hardware services which includes\
        \ the provision of technical support via software or firmware updates by the\
        \ hardware provider, excluding traditional analogue telephone services;"
      translations:
        es:
          name: null
          description: "[servicios de TIC]: los servicios digitales y de datos prestados\
            \ a trav\xE9s de los sistemas de TIC a uno o varios usuarios internos\
            \ o externos de forma continua, incluidos el hardware como servicio y\
            \ los servicios de hardware que incluyen la prestaci\xF3n de asistencia\
            \ t\xE9cnica a trav\xE9s de actualizaciones de software o firmware por\
            \ parte del proveedor de hardware y excluidos los servicios telef\xF3\
            nicos anal\xF3gicos tradicionales;"
    - urn: urn:intuitem:risk:req_node:dora:3.22
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.22'
      description: "\u2018critical or important function\u2019 means a function, the\
        \ disruption of which would materially impair the financial performance of\
        \ a financial entity, or the soundness or continuity of its services and activities,\
        \ or the discontinued, defective or failed performance of that function would\
        \ materially impair the continuing compliance of a financial entity with the\
        \ conditions and obligations of its authorisation, or with its other obligations\
        \ under applicable financial services law;"
      translations:
        es:
          name: null
          description: "[funci\xF3n esencial o importante]: una funci\xF3n cuya perturbaci\xF3\
            n afectar\xEDa significativamente al rendimiento financiero de una entidad\
            \ financiera o a la solidez o continuidad de sus servicios y actividades\
            \ o cuya interrupci\xF3n o ejecuci\xF3n defectuosa o fallida afectar\xED\
            a significativamente al cumplimiento continuado de una entidad financiera\
            \ con las condiciones y obligaciones de su autorizaci\xF3n, o con sus\
            \ dem\xE1s obligaciones con arreglo al Derecho aplicable en materia de\
            \ servicios financieros;"
    - urn: urn:intuitem:risk:req_node:dora:3.23
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.23'
      description: "\u2018critical ICT third-party service provider\u2019 means an\
        \ ICT third-party service provider designated as critical in accordance with\
        \ Article 31;"
      translations:
        es:
          name: null
          description: "[proveedor tercero esencial de servicios de TIC]: un proveedor\
            \ tercero de servicios de TIC designado como esencial de conformidad con\
            \ el art\xEDculo 31;"
    - urn: urn:intuitem:risk:req_node:dora:3.24
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.24'
      description: "\u2018ICT third-party service provider established in a third\
        \ country\u2019 means an ICT third-party service provider that is a legal\
        \ person established in a third-country and that has entered into a contractual\
        \ arrangement with a financial entity for the provision of ICT services;"
      translations:
        es:
          name: null
          description: "[proveedor tercero de servicios de TIC establecido en un tercer\
            \ pa\xEDs]: un proveedor tercero de servicios de TIC que sea una persona\
            \ jur\xEDdica establecida en un tercer pa\xEDs que haya celebrado un acuerdo\
            \ contractual con una entidad financiera para la prestaci\xF3n de servicios\
            \ de TIC;"
    - urn: urn:intuitem:risk:req_node:dora:3.25
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.25'
      description: "\u2018subsidiary\u2019 means a subsidiary undertaking within the\
        \ meaning of Article 2, point (10), and Article 22 of Directive 2013/34/EU;"
      translations:
        es:
          name: null
          description: "[filial]: una empresa filial en el sentido del art\xEDculo\
            \ 2, punto 10, y del art\xEDculo 22 de la Directiva 2013/34/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.26
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.26'
      description: "\u2018group\u2019 means a group as defined in Article 2, point\
        \ (11), of Directive 2013/34/EU;"
      translations:
        es:
          name: null
          description: "[grupo]: un grupo tal como se define en el art\xEDculo 2,\
            \ punto 11, de la Directiva 2013/34/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.27
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.27'
      description: "\u2018parent undertaking\u2019 means a parent undertaking within\
        \ the meaning of Article 2, point (9), and Article 22 of Directive 2013/34/EU;"
      translations:
        es:
          name: null
          description: "[sociedad matriz]: una sociedad matriz en el sentido del art\xED\
            culo 2, punto 9, y del art\xEDculo 22 de la Directiva 2013/34/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.28
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.28'
      description: "\u2018ICT subcontractor established in a third country\u2019 means\
        \ an ICT subcontractor that is a legal person established in a third-country\
        \ and that has entered into a contractual arrangement either with an ICT third-party\
        \ service provider, or with an ICT third-party service provider established\
        \ in a third country;"
      translations:
        es:
          name: null
          description: "[subcontratista de TIC establecido en un tercer pa\xEDs]:\
            \ un subcontratista de TIC que sea una persona jur\xEDdica establecida\
            \ en un tercer pa\xEDs y que haya celebrado un acuerdo contractual con\
            \ un proveedor tercero de servicios de TIC o con un proveedor tercero\
            \ de servicios de TIC establecido en un tercer pa\xEDs;"
    - urn: urn:intuitem:risk:req_node:dora:3.29
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.29'
      description: "\u2018ICT concentration risk\u2019 means an exposure to individual\
        \ or multiple related critical ICT third-party service providers creating\
        \ a degree of dependency on such providers so that the unavailability, failure\
        \ or other type of shortfall of such provider may potentially endanger the\
        \ ability of a financial entity to deliver critical or important functions,\
        \ or cause it to suffer other types of adverse effects, including large losses,\
        \ or endanger the financial stability of the Union as a whole;"
      translations:
        es:
          name: null
          description: "[riesgo de concentraci\xF3n de TIC]: una exposici\xF3n a uno\
            \ o m\xFAltiples proveedores terceros esenciales de servicios de TIC relacionados\
            \ que cree tal grado de dependencia de dichos proveedores que la indisponibilidad,\
            \ fallo u otro tipo de deficiencia de estos \xFAltimos pueda poner en\
            \ peligro la capacidad de una entidad financiera para desempe\xF1ar funciones\
            \ esenciales o importantes o causarle otro tipo de efectos adversos, incluidas\
            \ grandes p\xE9rdidas, o poner en peligro la estabilidad financiera de\
            \ la Uni\xF3n en su conjunto;"
    - urn: urn:intuitem:risk:req_node:dora:3.30
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.30'
      description: "\u2018management body\u2019 means a management body as defined\
        \ in Article 4(1), point (36), of Directive 2014/65/EU, Article 3(1), point\
        \ (7), of Directive 2013/36/EU, Article 2(1), point (s), of Directive 2009/65/EC\
        \ of the European Parliament and of the Council (31), Article 2(1), point\
        \ (45), of Regulation (EU) No 909/2014, Article 3(1), point (20), of Regulation\
        \ (EU) 2016/1011, and in the relevant provision of the Regulation on markets\
        \ in crypto-assets, or the equivalent persons who effectively run the entity\
        \ or have key functions in accordance with relevant Union or national law;"
      translations:
        es:
          name: null
          description: "[\xF3rgano de direcci\xF3n]: un \xF3rgano de direcci\xF3n\
            \ tal como se define en el art\xEDculo 4, apartado 1, punto 36, de la\
            \ Directiva 2014/65/UE, el art\xEDculo 3, apartado 1, punto 7, de la Directiva\
            \ 2013/36/UE, el art\xEDculo 2, apartado 1, letra s), de la Directiva\
            \ 2009/65/CE del Parlamento Europeo y del Consejo (31), el art\xEDculo\
            \ 2, apartado 1, punto 45, del Reglamento (UE) n.o 909/2014, el art\xED\
            culo 3, apartado 1, punto 20, del Reglamento (UE) 2016/1011 y las disposiciones\
            \ pertinentes del Reglamento relativo a los mercados de criptoactivos,\
            \ o las personas equivalentes que dirijan efectivamente la entidad o desempe\xF1\
            en funciones clave de conformidad con el Derecho de la Uni\xF3n o nacional\
            \ pertinente;"
    - urn: urn:intuitem:risk:req_node:dora:3.31
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.31'
      description: "\u2018credit institution\u2019 means a credit institution as defined\
        \ in Article 4(1), point (1), of Regulation (EU) No 575/2013 of the European\
        \ Parliament and of the Council (32);"
      translations:
        es:
          name: null
          description: "[entidad de cr\xE9dito]: una entidad de cr\xE9dito tal como\
            \ se define en el art\xEDculo 4, apartado 1, punto 1, del Reglamento (UE)\
            \ n.o 575/2013 del Parlamento Europeo y del Consejo (32);"
    - urn: urn:intuitem:risk:req_node:dora:3.32
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.32'
      description: "\u2018institution exempted pursuant to Directive 2013/36/EU\u2019\
        \ means an entity as referred to in Article 2(5), points (4) to"
      translations:
        es:
          name: null
          description: "[entidad exenta en virtud de la Directiva 2013/36/UE]: una\
            \ entidad a que se refiere el art\xEDculo 2, apartado 5, puntos 4 a 23,\
            \ de la Directiva 2013/36/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.33
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.33'
      description: "\u2018investment firm\u2019 means an investment firm as defined\
        \ in Article 4(1), point (1), of Directive 2014/65/EU;"
      translations:
        es:
          name: null
          description: "[empresa de servicios de inversi\xF3n]: una empresa de servicios\
            \ de inversi\xF3n tal como se define en el art\xEDculo 4, apartado 1,\
            \ punto 1, de la Directiva 2014/65/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.34
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.34'
      description: "\u2018small and non-interconnected investment firm\u2019 means\
        \ an investment firm that meets the conditions laid out in Article 12(1) of\
        \ Regulation (EU) 2019/2033 of the European Parliament and of the Council\
        \ (33);"
      translations:
        es:
          name: null
          description: "[empresa de servicios de inversi\xF3n peque\xF1a y no interconectada]:\
            \ una empresa de servicios de inversi\xF3n que cumple las condiciones\
            \ establecidas en el art\xEDculo 12, apartado 1, del Reglamento (UE) 2019/2033\
            \ del Parlamento Europeo y del Consejo;"
    - urn: urn:intuitem:risk:req_node:dora:3.35
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.35'
      description: "\u2018payment institution\u2019 means a payment institution as\
        \ defined in Article 4, point (4), of Directive (EU) 2015/2366;"
      translations:
        es:
          name: null
          description: "[entidad de pago]: una entidad de pago tal como se define\
            \ en el art\xEDculo 4, punto 4, de la Directiva (UE) 2015/2366;"
    - urn: urn:intuitem:risk:req_node:dora:3.36
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.36'
      description: "\u2018payment institution exempted pursuant to Directive (EU)\
        \ 2015/2366\u2019 means a payment institution exempted pursuant to Article\
        \ 32(1) of Directive (EU) 2015/2366;"
      translations:
        es:
          name: null
          description: "[entidad de pago exenta en virtud de la Directiva (UE) 2015/2366]:\
            \ una entidad de pago exenta en virtud del art\xEDculo 32, apartado 1,\
            \ de la Directiva (UE) 2015/2366;"
    - urn: urn:intuitem:risk:req_node:dora:3.37
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.37'
      description: "\u2018account information service provider\u2019 means an account\
        \ information service provider as referred to in Article 33(1) of Directive\
        \ (EU) 2015/2366;"
      translations:
        es:
          name: null
          description: "[proveedor de servicios de informaci\xF3n sobre cuentas]:\
            \ un proveedor de servicios de informaci\xF3n sobre cuentas a que se refiere\
            \ el art\xEDculo 33, apartado 1, de la Directiva (UE) 2015/2366;"
    - urn: urn:intuitem:risk:req_node:dora:3.38
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.38'
      description: "\u2018electronic money institution\u2019 means an electronic money\
        \ institution as defined in Article 2, point (1), of Directive 2009/110/EC\
        \ of the European Parliament and of the Council;"
      translations:
        es:
          name: null
          description: "[entidad de dinero electr\xF3nico]: una entidad de dinero\
            \ electr\xF3nico tal como se define en el art\xEDculo 2, punto 1, de la\
            \ Directiva 2009/110/CE;"
    - urn: urn:intuitem:risk:req_node:dora:3.39
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.39'
      description: "\u2018electronic money institution exempted pursuant to Directive\
        \ 2009/110/EC\u2019 means an electronic money institution benefitting from\
        \ a waiver as referred to in Article 9(1) of Directive 2009/110/EC;"
      translations:
        es:
          name: null
          description: "[entidad de dinero electr\xF3nico exenta en virtud de la Directiva\
            \ 2009/110/CE]: una entidad de dinero electr\xF3nico que se beneficia\
            \ de una exenci\xF3n a tenor del art\xEDculo 9, apartado 1, de la Directiva\
            \ 2009/110/CE;"
    - urn: urn:intuitem:risk:req_node:dora:3.40
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.40'
      description: "\u2018central counterparty\u2019 means a central counterparty\
        \ as defined in Article 2, point (1), of Regulation (EU) No 648/2012;"
      translations:
        es:
          name: null
          description: "[entidad de contrapartida central]: una entidad de contrapartida\
            \ central tal como se define en el art\xEDculo 2, punto 1, del Reglamento\
            \ (UE) n.o 648/2012;"
    - urn: urn:intuitem:risk:req_node:dora:3.41
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.41'
      description: "\u2018trade repository\u2019 means a trade repository as defined\
        \ in Article 2, point (2), of Regulation (EU) No 648/2012;"
      translations:
        es:
          name: null
          description: "[registro de operaciones]: un registro de operaciones tal\
            \ como se define en el art\xEDculo 2, punto 2, del Reglamento (UE) n.o\
            \ 648/2012;"
    - urn: urn:intuitem:risk:req_node:dora:3.42
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.42'
      description: "\u2018central securities depository\u2019 means a central securities\
        \ depository as defined in Article 2(1), point (1), of Regulation (EU) No\
        \ 909/2014;"
      translations:
        es:
          name: null
          description: "[depositario central de valores]: un depositario central de\
            \ valores tal como se define en el art\xEDculo 2, apartado 1, punto 1,\
            \ del Reglamento (UE) n.o 909/2014;"
    - urn: urn:intuitem:risk:req_node:dora:3.43
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.43'
      description: "\u2018trading venue\u2019 means a trading venue as defined in\
        \ Article 4(1), point (24), of Directive 2014/65/EU;"
      translations:
        es:
          name: null
          description: "[centro de negociaci\xF3n]: un centro de negociaci\xF3n tal\
            \ como se define en el art\xEDculo 4, apartado 1, punto 24, de la Directiva\
            \ 2014/65/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.44
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.44'
      description: "\u2018manager of alternative investment funds\u2019 means a manager\
        \ of alternative investment funds as defined in Article 4(1), point (b), of\
        \ Directive 2011/61/EU;"
      translations:
        es:
          name: null
          description: "[gestor de fondos de inversi\xF3n alternativos]: un gestor\
            \ de fondos de inversi\xF3n alternativos tal como se define en el art\xED\
            culo 4, apartado 1, letra b), de la Directiva 2011/61/UE;"
    - urn: urn:intuitem:risk:req_node:dora:3.45
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.45'
      description: "\u2018management company\u2019 means a management company as defined\
        \ in Article 2(1), point (b), of Directive 2009/65/EC;"
      translations:
        es:
          name: null
          description: "[sociedad de gesti\xF3n]: una sociedad de gesti\xF3n tal como\
            \ se define en el art\xEDculo 2, apartado 1, letra b), de la Directiva\
            \ 2009/65/CE;"
    - urn: urn:intuitem:risk:req_node:dora:3.46
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.46'
      description: "\u2018data reporting service provider\u2019 means a data reporting\
        \ service provider within the meaning of Regulation (EU) No 600/2014, as referred\
        \ to in Article 2(1), points (34) to (36) thereof;"
      translations:
        es:
          name: null
          description: "[proveedor de servicios de suministro de datos]: un proveedor\
            \ de servicios de suministro de datos en el sentido del Reglamento (UE)\
            \ n.o 600/2014, a que se refiere su art\xEDculo 2, apartado 1, puntos\
            \ 34 a 36;"
    - urn: urn:intuitem:risk:req_node:dora:3.47
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.47'
      description: "\u2018insurance undertaking\u2019 means an insurance undertaking\
        \ as defined in Article 13, point (1), of Directive 2009/138/EC;"
      translations:
        es:
          name: null
          description: "[empresa de seguros]: una empresa de seguros tal como se define\
            \ en el art\xEDculo 13, punto 1, de la Directiva 2009/138/CE;"
    - urn: urn:intuitem:risk:req_node:dora:3.48
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.48'
      description: "\u2018reinsurance undertaking\u2019 means a reinsurance undertaking\
        \ as defined in Article 13, point (4), of Directive 2009/138/EC;"
      translations:
        es:
          name: null
          description: "[empresa de reaseguros]: una empresa de reaseguros tal como\
            \ se define en el art\xEDculo 13, punto 4, de la Directiva 2009/138/CE;"
    - urn: urn:intuitem:risk:req_node:dora:3.49
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.49'
      description: "\u2018insurance intermediary\u2019 means an insurance intermediary\
        \ as defined in Article 2(1), point (3), of Directive (EU) 2016/97 of the\
        \ European Parliament and of the Council (34);"
      translations:
        es:
          name: null
          description: "[intermediario de seguros]: un intermediario de seguros tal\
            \ como se define en el art\xEDculo 2, apartado 1, punto 3, de la Directiva\
            \ (UE) 2016/97 del Parlamento Europeo y del Consejo;"
    - urn: urn:intuitem:risk:req_node:dora:3.50
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.50'
      description: "\u2018ancillary insurance intermediary\u2019 means an ancillary\
        \ insurance intermediary as defined in Article 2(1), point (4), of Directive\
        \ (EU) 2016/97;"
      translations:
        es:
          name: null
          description: "[intermediario de seguros complementarios]: un intermediario\
            \ de seguros complementarios tal como se define en el art\xEDculo 2, apartado\
            \ 1, punto 4, de la Directiva (UE) 2016/97;"
    - urn: urn:intuitem:risk:req_node:dora:3.51
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.51'
      description: "\u2018reinsurance intermediary\u2019 means a reinsurance intermediary\
        \ as defined in Article 2(1), point (5), of Directive (EU) 2016/97;"
      translations:
        es:
          name: null
          description: "[intermediario de reaseguros]: un intermediario de reaseguros\
            \ tal como se define en el art\xEDculo 2, apartado 1, punto 5, de la Directiva\
            \ (UE) 2016/97;"
    - urn: urn:intuitem:risk:req_node:dora:3.52
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.52'
      description: "\u2018institution for occupational retirement provision\u2019\
        \ means an institution for occupational retirement provision as defined in\
        \ Article 6, point (1), of Directive (EU) 2016/2341;"
      translations:
        es:
          name: null
          description: "[fondo de pensiones de empleo]: un fondo de pensiones de empleo\
            \ tal como se define en el art\xEDculo 6, punto 1, de la Directiva (UE)\
            \ 2016/2341;"
    - urn: urn:intuitem:risk:req_node:dora:3.53
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.53'
      description: "\u2018small institution for occupational retirement provision\u2019\
        \ means an institution for occupational retirement provision which operates\
        \ pension schemes which together have less than 100 members in total;"
      translations:
        es:
          name: null
          description: "[fondo de pensiones de empleo peque\xF1o]: un fondo de pensiones\
            \ de empleo que gestiona planes de pensiones que cuentan con menos de\
            \ 100 part\xEDcipes en total;"
    - urn: urn:intuitem:risk:req_node:dora:3.54
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.54'
      description: "\u2018credit rating agency\u2019 means a credit rating agency\
        \ as defined in Article 3(1), point (b), of Regulation (EC) No 1060/2009;"
      translations:
        es:
          name: null
          description: "[agencia de calificaci\xF3n crediticia]: una agencia de calificaci\xF3\
            n crediticia tal como se define en el art\xEDculo 3, apartado 1, letra\
            \ b), del Reglamento (CE) n.o 1060/2009;"
    - urn: urn:intuitem:risk:req_node:dora:3.55
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.55'
      description: "\u2018crypto-asset service provider\u2019 means a crypto-asset\
        \ service provider as defined in the relevant provision of the Regulation\
        \ on markets in crypto-assets;"
      translations:
        es:
          name: null
          description: '[proveedor de servicios de criptoactivos]: un proveedor de
            servicios de criptoactivos tal como se define en las disposiciones pertinentes
            del Reglamento relativo a los mercados de criptoactivos;'
    - urn: urn:intuitem:risk:req_node:dora:3.56
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.56'
      description: "\u2018issuer of asset-referenced tokens\u2019 means an issuer\
        \ of asset-referenced tokens as defined in the relevant provision of the Regulation\
        \ on markets in crypto-assets;"
      translations:
        es:
          name: null
          description: '[emisor de fichas referenciadas a activos]: un emisor de fichas
            referenciadas a activos tal como se definen en las disposiciones pertinentes
            del Reglamento relativo a los mercados de criptoactivos;'
    - urn: urn:intuitem:risk:req_node:dora:3.57
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.57'
      description: "\u2018administrator of critical benchmarks\u2019 means an administrator\
        \ of \u2018critical benchmarks\u2019 as defined in Article 3(1), point (25),\
        \ of Regulation (EU) 2016/1011;"
      translations:
        es:
          name: null
          description: "[administrador de \xEDndices de referencia cruciales]: un\
            \ administrador de [\xEDndices de referencia cruciales] tal como se definen\
            \ en el art\xEDculo 3, apartado 1, punto 25, del Reglamento (UE) 2016/1011;"
    - urn: urn:intuitem:risk:req_node:dora:3.58
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.58'
      description: "\u2018crowdfunding service provider\u2019 means a crowdfunding\
        \ service provider as defined in Article 2(1), point (e), of Regulation (EU)\
        \ 2020/1503 of the European Parliament and of the Council (35);"
      translations:
        es:
          name: null
          description: "[proveedor de servicios de financiaci\xF3n participativa]:\
            \ un proveedor de servicios de financiaci\xF3n participativa tal como\
            \ se define en el art\xEDculo 2, apartado 1, letra e), del Reglamento\
            \ (UE) 2020/1503 del Parlamento Europeo y del Consejo;"
    - urn: urn:intuitem:risk:req_node:dora:3.59
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.59'
      description: "\u2018securitisation repository\u2019 means a securitisation repository\
        \ as defined in Article 2, point (23), of Regulation (EU) 2017/2402 of the\
        \ European Parliament and of the Council (36);"
      translations:
        es:
          name: null
          description: "[registro de titulizaciones]: un registro de titulizaciones\
            \ tal como se define en el art\xEDculo 2, punto 23, del Reglamento (UE)\
            \ 2017/2402 del Parlamento Europeo y del Consejo;"
    - urn: urn:intuitem:risk:req_node:dora:3.60
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.60'
      description: "\u2018microenterprise\u2019 means a financial entity, other than\
        \ a trading venue, a central counterparty, a trade repository or a central\
        \ securities depository, which employs fewer than 10 persons and has an annual\
        \ turnover and/or annual balance sheet total that does not exceed EUR 2 million;"
      translations:
        es:
          name: null
          description: "[microempresa]: una entidad financiera distinta de un centro\
            \ de negociaci\xF3n, una entidad de contrapartida central, un registro\
            \ de operaciones o un depositario central de valores, que emplea a menos\
            \ de diez personas y cuyo volumen de negocios anual o balance anual total\
            \ es igual o inferior a 2 millones EUR;"
    - urn: urn:intuitem:risk:req_node:dora:3.61
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.61'
      description: "\u2018Lead Overseer\u2019 means the European Supervisory Authority\
        \ appointed in accordance with Article 31(1), point (b) of this Regulation;"
      translations:
        es:
          name: null
          description: "[supervisor principal]: la Autoridad Europea de Supervisi\xF3\
            n nombrada de conformidad con el art\xEDculo 31, apartado 1, letra b),\
            \ del presente Reglamento;"
    - urn: urn:intuitem:risk:req_node:dora:3.62
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.62'
      description: "\u2018Joint Committee\u2019 means the committee referred to in\
        \ Article 54 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU)\
        \ No 1095/2010;"
      translations:
        es:
          name: null
          description: "[Comit\xE9 Mixto]: el comit\xE9 a que se refiere el art\xED\
            culo 54 del Reglamento (UE) n.o 1093/2010, el art\xEDculo 54 del Reglamento\
            \ (UE) n.o 1094/2010 y el art\xEDculo 54 del Reglamento (UE) n.o 1095/2010;"
    - urn: urn:intuitem:risk:req_node:dora:3.63
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.63'
      description: "\u2018small enterprise\u2019 means a financial entity that employs\
        \ 10 or more persons, but fewer than 50 persons, and has an annual turnover\
        \ and/or annual balance sheet total that exceeds EUR 2 million, but does not\
        \ exceed EUR 10 million;"
      translations:
        es:
          name: null
          description: "[peque\xF1a empresa]: una entidad financiera que emplea a\
            \ 10 o m\xE1s personas pero menos de 50 y cuyo volumen de negocios anual\
            \ o balance anual total es superior a 2 millones EUR pero igual o inferior\
            \ a 10 millones EUR;"
    - urn: urn:intuitem:risk:req_node:dora:3.64
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.64'
      description: "\u2018medium-sized enterprise\u2019 means a financial entity that\
        \ is not a small enterprise and employs fewer than 250 persons and has an\
        \ annual turnover that does not exceed EUR 50 million and/or an annual balance\
        \ sheet that does not exceed EUR 43 million;"
      translations:
        es:
          name: null
          description: "[mediana empresa]: una entidad financiera distinta de una\
            \ peque\xF1a empresa, que emplea a menos de 250 personas y cuyo volumen\
            \ de negocios anual es igual o inferior a 50 millones EUR o cuyo balance\
            \ anual es igual o inferior a 43 millones EUR;"
    - urn: urn:intuitem:risk:req_node:dora:3.65
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node119
      ref_id: '3.65'
      description: "\u2018public authority\u2019 means any government or other public\
        \ administration entity, including national central banks."
      translations:
        es:
          name: null
          description: "[autoridad p\xFAblica]: cualquier gobierno u otra entidad\
            \ de la administraci\xF3n p\xFAblica, incluidos los bancos centrales nacionales."
    - urn: urn:intuitem:risk:req_node:dora:node185
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node109
      name: Article 4
      description: Proportionality principle
      translations:
        es:
          name: "Art\xEDculo 4"
          description: Principio de proporcionalidad
    - urn: urn:intuitem:risk:req_node:dora:4.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node185
      ref_id: '4.1'
      description: Financial entities shall implement the rules laid down in Chapter
        II in accordance with the principle of proportionality, taking into account
        their size and overall risk profile, and the nature, scale and complexity
        of their services, activities and operations.
      translations:
        es:
          name: null
          description: "Las entidades financieras aplicar\xE1n las normas establecidas\
            \ en el cap\xEDtulo II de conformidad con el principio de proporcionalidad,\
            \ teniendo en cuenta su tama\xF1o y perfil de riesgo general, as\xED como\
            \ la naturaleza, escala y complejidad de sus servicios, actividades y\
            \ operaciones."
    - urn: urn:intuitem:risk:req_node:dora:4.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node185
      ref_id: '4.2'
      description: In addition, the application by financial entities of Chapters
        III, IV and V, Section I, shall be proportionate to their size and overall
        risk profile, and to the nature, scale and complexity of their services, activities
        and operations, as specifically provided for in the relevant rules of those
        Chapters.
      translations:
        es:
          name: null
          description: "Adem\xE1s, la aplicaci\xF3n por parte de las entidades financieras\
            \ de los cap\xEDtulos III y IV y el cap\xEDtulo V, secci\xF3n I, ser\xE1\
            \ proporcional a su tama\xF1o y perfil de riesgo general, as\xED como\
            \ a la naturaleza, escala y complejidad de sus servicios, actividades\
            \ y operaciones, tal como se establece espec\xEDficamente en las normas\
            \ pertinentes de dichos cap\xEDtulos."
    - urn: urn:intuitem:risk:req_node:dora:4.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node185
      ref_id: '4.3'
      description: The competent authorities shall consider the application of the
        proportionality principle by financial entities when reviewing the consistency
        of the ICT risk management framework on the basis of the reports submitted
        upon the request of competent authorities pursuant to Article 6(5) and Article
        16(2).
      translations:
        es:
          name: null
          description: "Las autoridades competentes tendr\xE1n en cuenta la aplicaci\xF3\
            n del principio de proporcionalidad por parte de las entidades financieras\
            \ al revisar la coherencia del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a partir de los informes presentados a petici\xF3n de las\
            \ autoridades competentes en virtud del art\xEDculo 6, apartado 5, y al\
            \ art\xEDculo 16, apartado 2."
    - urn: urn:intuitem:risk:req_node:dora:node189
      assessable: false
      depth: 1
      name: Chapter II
      description: ' ICT risk management'
      translations:
        es:
          name: "CAP\xCDTULO II"
          description: "Gesti\xF3n del riesgo relacionado con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:node190
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node189
      name: Section I
      translations:
        es:
          name: "Secci\xF3n I"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:node191
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node190
      name: Article 5
      description: Governance and organisation
      translations:
        es:
          name: "Art\xEDculo 5"
          description: "Gobernanza y organizaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:5.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node191
      ref_id: '5.1'
      description: Financial entities shall have in place an internal governance and
        control framework that ensures an effective and prudent management of ICT
        risk, in accordance with Article 6(4), in order to achieve a high level of
        digital operational resilience.
      translations:
        es:
          name: null
          description: "A fin lograr un nivel elevado de resiliencia operativa digital,\
            \ las entidades financieras dispondr\xE1n de un marco interno de gobernanza\
            \ y control que garantice una gesti\xF3n efectiva y prudente del riesgo\
            \ relacionado con las TIC, de conformidad con el art\xEDculo 6, apartado\
            \ 4."
    - urn: urn:intuitem:risk:req_node:dora:5.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node191
      ref_id: '5.2'
      description: The management body of the financial entity shall define, approve,
        oversee and be responsible for the implementation of all arrangements related
        to the ICT risk management framework referred to in Article 6(1).
      translations:
        es:
          name: null
          description: "El \xF3rgano de direcci\xF3n de la entidad financiera definir\xE1\
            , aprobar\xE1 y supervisar\xE1 todas las disposiciones relacionadas con\
            \ el marco de gesti\xF3n del riesgo relacionado con las TIC a que se refiere\
            \ el art\xEDculo 6, apartado 1, y ser\xE1 responsable de su aplicaci\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:node194
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node191
      description: 'For the purposes of the first subparagraph, the management body
        shall:'
      translations:
        es:
          name: null
          description: "A efectos del p\xE1rrafo primero, el \xF3rgano de direcci\xF3\
            n:"
    - urn: urn:intuitem:risk:req_node:dora:5.2.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.a
      description: "bear the ultimate responsibility for managing the financial entity\u2019\
        s ICT risk;"
      translations:
        es:
          name: null
          description: "asumir\xE1 la responsabilidad \xFAltima de gestionar el riesgo\
            \ relacionado con las TIC de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.b
      description: put in place policies that aim to ensure the maintenance of high
        standards of availability, authenticity, integrity and confidentiality, of
        data;
      translations:
        es:
          name: null
          description: "adoptar\xE1 pol\xEDticas encaminadas a garantizar el mantenimiento\
            \ de unos niveles elevados de disponibilidad, autenticidad, integridad\
            \ y confidencialidad de los datos;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.c
      description: set clear roles and responsibilities for all ICT-related functions
        and establish appropriate governance arrangements to ensure effective and
        timely communication, cooperation and coordination among those functions;
      translations:
        es:
          name: null
          description: "definir\xE1 claramente los cometidos y responsabilidades por\
            \ lo que respecta a todas las funciones relacionadas con las TIC y establecer\xE1\
            \ mecanismos de gobernanza adecuados para garantizar una comunicaci\xF3\
            n, cooperaci\xF3n y coordinaci\xF3n efectivas y oportunas entre dichas\
            \ funciones;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.d
      description: bear the overall responsibility for setting and approving the digital
        operational resilience strategy as referred to in Article 6(8), including
        the determination of the appropriate risk tolerance level of ICT risk of the
        financial entity, as referred to in Article 6(8), point (b);
      translations:
        es:
          name: null
          description: "asumir\xE1 la responsabilidad general de establecer y aprobar\
            \ la estrategia de resiliencia operativa digital a que se refiere el art\xED\
            culo 6, apartado 8, lo que incluye determinar el nivel adecuado de tolerancia\
            \ al riesgo relacionado con las TIC de la entidad financiera a que se\
            \ refiere el art\xEDculo 6, apartado 8, letra b);"
    - urn: urn:intuitem:risk:req_node:dora:5.2.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.e
      description: "approve, oversee and periodically review the implementation of\
        \ the financial entity\u2019s ICT business continuity policy and ICT response\
        \ and recovery plans, referred to, respectively, in Article 11(1) and (3),\
        \ which may be adopted as a dedicated specific policy forming an integral\
        \ part of the financial entity\u2019s overall business continuity policy and\
        \ response and recovery plan;"
      translations:
        es:
          name: null
          description: "aprobar\xE1, supervisar\xE1 y revisar\xE1 peri\xF3dicamente\
            \ la aplicaci\xF3n de la pol\xEDtica de continuidad de la actividad en\
            \ materia de TIC y de los planes de respuesta y recuperaci\xF3n en materia\
            \ de TIC de la entidad financiera a que se refiere, respectivamente, el\
            \ art\xEDculo 11 apartados 1 y 3, que podr\xE1n ser adoptados como una\
            \ pol\xEDtica espec\xEDfica que forme parte integrante de la pol\xEDtica\
            \ global de continuidad de la actividad y del plan de respuesta y recuperaci\xF3\
            n de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.f
      description: "approve and periodically review the financial entity\u2019s ICT\
        \ internal audit plans, ICT audits and material modifications to them;"
      translations:
        es:
          name: null
          description: "aprobar\xE1 y revisar\xE1 peri\xF3dicamente los planes de\
            \ auditor\xEDa internos de TIC y las auditor\xEDas de TIC de la entidad\
            \ financiera, as\xED como sus modificaciones significativas;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.g
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.g
      description: "allocate and periodically review the appropriate budget to fulfil\
        \ the financial entity\u2019s digital operational resilience needs in respect\
        \ of all types of resources, including relevant ICT security awareness programmes\
        \ and digital operational resilience training referred to in Article 13(6),\
        \ and ICT skills for all staff;"
      translations:
        es:
          name: null
          description: "asignar\xE1 y revisar\xE1 peri\xF3dicamente el presupuesto\
            \ adecuado para satisfacer las necesidades de resiliencia operativa digital\
            \ de la entidad financiera con respecto a todos los tipos de recursos,\
            \ incluidos los programas de sensibilizaci\xF3n en materia de seguridad\
            \ de las TIC y las actividades de formaci\xF3n sobre resiliencia operativa\
            \ digital pertinentes a que se refiere el art\xEDculo 13, apartado 6,\
            \ y las capacidades en materia de TIC para todo el personal;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.h
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.h
      description: "approve and periodically review the financial entity\u2019s policy\
        \ on arrangements regarding the use of ICT services provided by ICT third-party\
        \ service providers;"
      translations:
        es:
          name: null
          description: "aprobar\xE1 y revisar\xE1 peri\xF3dicamente la pol\xEDtica\
            \ de la entidad financiera sobre los acuerdos relativos al uso de servicios\
            \ de TIC prestados por proveedores terceros de servicios de TIC;"
    - urn: urn:intuitem:risk:req_node:dora:5.2.i
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node194
      ref_id: 5.2.i
      description: 'put in place, at corporate level, reporting channels enabling
        it to be duly informed of the following:'
      translations:
        es:
          name: null
          description: "establecer\xE1, a escala corporativa, canales de comunicaci\xF3\
            n que le permitan estar debidamente informado de lo siguiente:"
    - urn: urn:intuitem:risk:req_node:dora:5.2.i.i
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:5.2.i
      ref_id: 5.2.i.i
      description: arrangements concluded with ICT third-party service providers on
        the use of ICT services,
      translations:
        es:
          name: null
          description: de los acuerdos celebrados con proveedores terceros de servicios
            de TIC sobre el uso de servicios de TIC,
    - urn: urn:intuitem:risk:req_node:dora:5.2.i.ii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:5.2.i
      ref_id: 5.2.i.ii
      description: any relevant planned material changes regarding the ICT third-party
        service providers,
      translations:
        es:
          name: null
          description: "de cualquier cambio sustancial pertinente previsto en relaci\xF3\
            n con los proveedores terceros de servicios de TIC,"
    - urn: urn:intuitem:risk:req_node:dora:5.2.i.iii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:5.2.i
      ref_id: 5.2.i.iii
      description: the potential impact of such changes on the critical or important
        functions subject to those arrangements, including a risk analysis summary
        to assess the impact of those changes, and at least major ICT-related incidents
        and their impact, as well as response, recovery and corrective measures.
      translations:
        es:
          name: null
          description: "de las posibles repercusiones de tales cambios en las funciones\
            \ esenciales o importantes reguladas por dichos acuerdos, incluido un\
            \ resumen del an\xE1lisis de riesgos para evaluar las repercusiones de\
            \ dichos cambios, y al menos de los incidentes graves relacionados con\
            \ las TIC y sus repercusiones, as\xED como de las medidas de respuesta,\
            \ recuperaci\xF3n y correcci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:5.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node191
      ref_id: '5.3'
      description: Financial entities, other than microenterprises, shall establish
        a role in order to monitor the arrangements concluded with ICT third-party
        service providers on the use of ICT services, or shall designate a member
        of senior management as responsible for overseeing the related risk exposure
        and relevant documentation.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas crear\xE1\
            n un cargo para el seguimiento de los acuerdos celebrados con proveedores\
            \ terceros de servicios de TIC sobre el uso de servicios de TIC o designar\xE1\
            n a un miembro de la alta direcci\xF3n como responsable de supervisar\
            \ la exposici\xF3n al riesgo correspondiente y la documentaci\xF3n pertinente."
    - urn: urn:intuitem:risk:req_node:dora:5.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node191
      ref_id: '5.4'
      description: Members of the management body of the financial entity shall actively
        keep up to date with sufficient knowledge and skills to understand and assess
        ICT risk and its impact on the operations of the financial entity, including
        by following specific training on a regular basis, commensurate to the ICT
        risk being managed.
      translations:
        es:
          name: null
          description: "Los miembros del \xF3rgano de direcci\xF3n de la entidad financiera\
            \ mantendr\xE1n al d\xEDa de manera activa conocimientos y capacidades\
            \ suficientes para comprender y evaluar el riesgo relacionado con las\
            \ TIC y sus repercusiones en las operaciones de la entidad financiera,\
            \ tambi\xE9n siguiendo peri\xF3dicamente una formaci\xF3n espec\xEDfica\
            \ que sea acorde al riesgo relacionado con las TIC que se est\xE9 gestionando."
    - urn: urn:intuitem:risk:req_node:dora:node209
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node189
      name: Section II
      translations:
        es:
          name: "Secci\xF3n II"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:node210
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 6
      description: ICT risk management framework
      translations:
        es:
          name: "Art\xEDculo 6"
          description: "Marco de gesti\xF3n del riesgo relacionado con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:6.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.1'
      description: Financial entities shall have a sound, comprehensive and well-documented
        ICT risk management framework as part of their overall risk management system,
        which enables them to address ICT risk quickly, efficiently and comprehensively
        and to ensure a high level of digital operational resilience.
      translations:
        es:
          name: null
          description: "Las entidades financieras contar\xE1n con un marco de gesti\xF3\
            n del riesgo relacionado con las TIC s\xF3lido, completo y bien documentado\
            \ como parte de su sistema global de gesti\xF3n de riesgos, que les permita\
            \ hacer frente al riesgo relacionado con las TIC de forma r\xE1pida, eficiente\
            \ y exhaustiva y asegurar un alto nivel de resiliencia operativa digital."
    - urn: urn:intuitem:risk:req_node:dora:6.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.2'
      description: The ICT risk management framework shall include at least strategies,
        policies, procedures, ICT protocols and tools that are necessary to duly and
        adequately protect all information assets and ICT assets, including computer
        software, hardware, servers, as well as to protect all relevant physical components
        and infrastructures, such as premises, data centres and sensitive designated
        areas, to ensure that all information assets and ICT assets are adequately
        protected from risks including damage and unauthorised access or usage.
      translations:
        es:
          name: null
          description: "El marco de gesti\xF3n del riesgo relacionado con las TIC\
            \ incluir\xE1 al menos las estrategias, las pol\xEDticas, los procedimientos,\
            \ y los protocolos y herramientas de TIC que sean necesarios para proteger\
            \ debida y adecuadamente todos los activos de informaci\xF3n y activos\
            \ de TIC, incluidos el software, el hardware y los servidores, as\xED\
            \ como para proteger todos los componentes e infraestructuras f\xEDsicos\
            \ pertinentes, como locales, centros de datos y zonas sensibles designadas,\
            \ a fin de garantizar que todos los activos de informaci\xF3n y activos\
            \ de TIC est\xE9n adecuadamente protegidos de los riesgos, incluidos los\
            \ da\xF1os y el acceso o uso no autorizados."
    - urn: urn:intuitem:risk:req_node:dora:6.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.3'
      description: In accordance with their ICT risk management framework, financial
        entities shall minimise the impact of ICT risk by deploying appropriate strategies,
        policies, procedures, ICT protocols and tools. They shall provide complete
        and updated information on ICT risk and on their ICT risk management framework
        to the competent authorities upon their request.
      translations:
        es:
          name: null
          description: "De conformidad con el marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC, las entidades financieras minimizar\xE1n las consecuencias\
            \ de dicho riesgo mediante el despliegue de estrategias, pol\xEDticas,\
            \ procedimientos, protocolos y herramientas de TIC adecuados. Proporcionar\xE1\
            n a las autoridades competentes que lo soliciten informaci\xF3n completa\
            \ y actualizada sobre el riesgo relacionado con las TIC y sobre su marco\
            \ de gesti\xF3n de dicho riesgo."
    - urn: urn:intuitem:risk:req_node:dora:6.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.4'
      description: Financial entities, other than microenterprises, shall assign the
        responsibility for managing and overseeing ICT risk to a control function
        and ensure an appropriate level of independence of such control function in
        order to avoid conflicts of interest. Financial entities shall ensure appropriate
        segregation and independence of ICT risk management functions, control functions,
        and internal audit functions, according to the three lines of defence model,
        or an internal risk management and control model.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas encomendar\xE1\
            n a una funci\xF3n de control la gesti\xF3n y la supervisi\xF3n del riesgo\
            \ relacionado con las TIC y garantizar\xE1n un nivel adecuado de independencia\
            \ de dicha funci\xF3n para evitar conflictos de intereses. Las entidades\
            \ financieras garantizar\xE1n una separaci\xF3n e independencia adecuadas\
            \ de las funciones de gesti\xF3n del riesgo relacionado con las TIC, las\
            \ funciones de control y las funciones de auditor\xEDa interna, con arreglo\
            \ al modelo de tres l\xEDneas de defensa o a un modelo interno de gesti\xF3\
            n y control de riesgos."
    - urn: urn:intuitem:risk:req_node:dora:6.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.5'
      description: The ICT risk management framework shall be documented and reviewed
        at least once a year, or periodically in the case of microenterprises, as
        well as upon the occurrence of major ICT-related incidents, and following
        supervisory instructions or conclusions derived from relevant digital operational
        resilience testing or audit processes. It shall be continuously improved on
        the basis of lessons derived from implementation and monitoring. A report
        on the review of the ICT risk management framework shall be submitted to the
        competent authority upon its request.
      translations:
        es:
          name: null
          description: "El marco de gesti\xF3n del riesgo relacionado con las TIC\
            \ se documentar\xE1 y revisar\xE1 al menos una vez al a\xF1o, o peri\xF3\
            dicamente en el caso de las microempresas, as\xED como cuando se produzcan\
            \ incidentes graves relacionados con las TIC, y siguiendo las instrucciones\
            \ de supervisi\xF3n o conclusiones derivadas de los procesos pertinentes\
            \ de prueba o auditor\xEDa de la resiliencia operativa digital. Se mejorar\xE1\
            \ continuamente sobre la base de las ense\xF1anzas derivadas de la aplicaci\xF3\
            n y el seguimiento. Se presentar\xE1 a la autoridad competente que lo\
            \ solicite un informe sobre la revisi\xF3n del marco de gesti\xF3n del\
            \ riesgo relacionado con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:6.6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.6'
      description: "The ICT risk management framework of financial entities, other\
        \ than microenterprises, shall be subject to internal audit by auditors on\
        \ a regular basis in line with the financial entities\u2019 audit plan. Those\
        \ auditors shall possess sufficient knowledge, skills and expertise in ICT\
        \ risk, as well as appropriate independence. The frequency and focus of ICT\
        \ audits shall be commensurate to the ICT risk of the financial entity."
      translations:
        es:
          name: null
          description: "El marco de gesti\xF3n del riesgo relacionado con las TIC\
            \ de las entidades financieras que no sean microempresas ser\xE1 objeto\
            \ de auditor\xEDa interna llevada a cabo por auditores con car\xE1cter\
            \ peri\xF3dico en consonancia con el plan de auditor\xEDa de las entidades\
            \ financieras. Dichos auditores poseer\xE1n conocimientos, capacidades\
            \ y pericia suficientes en materia de riesgo relacionado con las TIC,\
            \ y gozar\xE1n de la independencia adecuada. La frecuencia y el enfoque\
            \ de las auditor\xEDas de TIC ser\xE1n acordes con el riesgo relacionado\
            \ con las TIC de la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:6.7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.7'
      description: Based on the conclusions from the internal audit review, financial
        entities shall establish a formal follow-up process, including rules for the
        timely verification and remediation of critical ICT audit findings.
      translations:
        es:
          name: null
          description: "A partir de las conclusiones de la auditor\xEDa interna, las\
            \ entidades financieras establecer\xE1n un proceso formal de seguimiento\
            \ que incluir\xE1 normas para la oportuna verificaci\xF3n y correcci\xF3\
            n de los resultados problem\xE1ticos de la auditor\xEDa de TIC."
    - urn: urn:intuitem:risk:req_node:dora:6.8
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.8'
      description: 'The ICT risk management framework shall include a digital operational
        resilience strategy setting out how the framework shall be implemented. To
        that end, the digital operational resilience strategy shall include methods
        to address ICT risk and attain specific ICT objectives, by:'
      translations:
        es:
          name: null
          description: "El marco de gesti\xF3n del riesgo relacionado con las TIC\
            \ incluir\xE1 una estrategia de resiliencia operativa digital que establezca\
            \ c\xF3mo se aplicar\xE1 el marco. A tal fin, la estrategia de resiliencia\
            \ operativa digital incluir\xE1 m\xE9todos para hacer frente al riesgo\
            \ relacionado con las TIC y alcanzar los objetivos espec\xEDficos en materia\
            \ de TIC, para lo cual:"
    - urn: urn:intuitem:risk:req_node:dora:6.8.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.a
      description: "explaining how the ICT risk management framework supports the\
        \ financial entity\u2019s business strategy and objectives;"
      translations:
        es:
          name: null
          description: "explicar\xE1 c\xF3mo apoya el marco de gesti\xF3n del riesgo\
            \ relacionado con las TIC la estrategia y los objetivos empresariales\
            \ de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.b
      description: establishing the risk tolerance level for ICT risk, in accordance
        with the risk appetite of the financial entity, and analysing the impact tolerance
        for ICT disruptions;
      translations:
        es:
          name: null
          description: "establecer\xE1 el nivel de tolerancia al riesgo relacionado\
            \ con las TIC, de acuerdo con la propensi\xF3n al riesgo de la entidad\
            \ financiera, y analizar\xE1 la tolerancia al impacto de las perturbaciones\
            \ de las TIC;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.c
      description: setting out clear information security objectives, including key
        performance indicators and key risk metrics;
      translations:
        es:
          name: null
          description: "establecer\xE1 objetivos claros en materia de seguridad de\
            \ la informaci\xF3n, incluidos indicadores clave de rendimiento y par\xE1\
            metros clave de medici\xF3n del riesgo;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.d
      description: explaining the ICT reference architecture and any changes needed
        to reach specific business objectives;
      translations:
        es:
          name: null
          description: "explicar\xE1 la arquitectura de referencia de TIC y cualquier\
            \ cambio necesario para alcanzar objetivos empresariales espec\xEDficos;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.e
      description: outlining the different mechanisms put in place to detect ICT-related
        incidents, prevent their impact and provide protection from it;
      translations:
        es:
          name: null
          description: "esbozar\xE1 los diferentes mecanismos establecidos para detectar\
            \ incidentes relacionados con las TIC, prevenir su impacto y protegerse\
            \ de sus efectos;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.f
      description: evidencing the current digital operational resilience situation
        on the basis of the number of major ICT-related incidents reported and the
        effectiveness of preventive measures;
      translations:
        es:
          name: null
          description: "har\xE1 constar la situaci\xF3n actual de la resiliencia operativa\
            \ digital sobre la base del n\xFAmero de incidentes graves relacionados\
            \ con las TIC notificados y la eficacia de las medidas preventivas;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.g
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.g
      description: implementing digital operational resilience testing, in accordance
        with Chapter IV of this Regulation;
      translations:
        es:
          name: null
          description: "efectuar\xE1 pruebas de resiliencia operativa digital, de\
            \ conformidad con el cap\xEDtulo IV del presente Reglamento;"
    - urn: urn:intuitem:risk:req_node:dora:6.8.h
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:6.8
      ref_id: 6.8.h
      description: outlining a communication strategy in the event of ICT-related
        incidents the disclosure of which is required in accordance with Article 14.
      translations:
        es:
          name: null
          description: "esbozar\xE1 una estrategia de comunicaci\xF3n en caso de aquellos\
            \ incidentes relacionados con las TIC que sea obligatorio divulgar conformidad\
            \ con el art\xEDculo 14."
    - urn: urn:intuitem:risk:req_node:dora:6.9
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.9'
      description: Financial entities may, in the context of the digital operational
        resilience strategy referred to in paragraph 8, define a holistic ICT multi-vendor
        strategy, at group or entity level, showing key dependencies on ICT third-party
        service providers and explaining the rationale behind the procurement mix
        of ICT third-party service providers.
      translations:
        es:
          name: null
          description: "Las entidades financieras podr\xE1n, en el contexto de la\
            \ estrategia de resiliencia operativa digital a que se refiere el apartado\
            \ 8, definir una estrategia global multiproveedor en materia de TIC a\
            \ nivel de grupo o entidad, que muestre las dependencias clave de los\
            \ proveedores terceros de servicios de TIC y explique los motivos subyacentes\
            \ a la contrataci\xF3n de una combinaci\xF3n de proveedores terceros de\
            \ servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:6.10
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node210
      ref_id: '6.10'
      description: Financial entities may, in accordance with Union and national sectoral
        law, outsource the tasks of verifying compliance with ICT risk management
        requirements to intra-group or external undertakings. In case of such outsourcing,
        the financial entity remains fully responsible for the verification of compliance
        with the ICT risk management requirements.
      translations:
        es:
          name: null
          description: "Las entidades financieras podr\xE1n externalizar, de conformidad\
            \ con el Derecho sectorial de la Uni\xF3n y nacional, a empresas externas\
            \ o de su mismo grupo las tareas de verificaci\xF3n del cumplimiento de\
            \ los requisitos de gesti\xF3n del riesgo relacionado con las TIC. En\
            \ los casos en que se produzca tal externalizaci\xF3n, la entidad financiera\
            \ seguir\xE1 siendo plenamente responsable de la verificaci\xF3n del cumplimiento\
            \ de los requisitos en materia de gesti\xF3n del riesgo relacionado con\
            \ las TIC."
    - urn: urn:intuitem:risk:req_node:dora:node229
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 7
      description: ICT systems, protocols and tools
      translations:
        es:
          name: "Art\xEDculo 7"
          description: Sistemas, protocolos y herramientas de TIC
    - urn: urn:intuitem:risk:req_node:dora:node230
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node229
      description: 'In order to address and manage ICT risk, financial entities shall
        use and maintain updated ICT systems, protocols and tools that are:'
      translations:
        es:
          name: null
          description: "Con el fin de abordar y gestionar los riesgos relacionados\
            \ con las TIC, las entidades financieras utilizar\xE1n y mantendr\xE1\
            n actualizados sistemas, protocolos y herramientas de TIC que:"
    - urn: urn:intuitem:risk:req_node:dora:7.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node230
      ref_id: 7.a
      description: appropriate to the magnitude of operations supporting the conduct
        of their activities, in accordance with the proportionality principle as referred
        to in Article 4;
      translations:
        es:
          name: null
          description: "sean adecuados a la magnitud de las operaciones que sustentan\
            \ la realizaci\xF3n de sus actividades, de conformidad con el principio\
            \ de proporcionalidad a que se refiere el art\xEDculo 4;"
    - urn: urn:intuitem:risk:req_node:dora:7.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node230
      ref_id: 7.b
      description: reliable;
      translations:
        es:
          name: null
          description: sean fiables;
    - urn: urn:intuitem:risk:req_node:dora:7.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node230
      ref_id: 7.c
      description: equipped with sufficient capacity to accurately process the data
        necessary for the performance of activities and the timely provision of services,
        and to deal with peak orders, message or transaction volumes, as needed, including
        where new technology is introduced;
      translations:
        es:
          name: null
          description: "dispongan de capacidad suficiente para tratar con exactitud\
            \ los datos necesarios para llevar a cabo las actividades y prestar los\
            \ servicios a tiempo, y para hacer frente a los vol\xFAmenes m\xE1ximos\
            \ de pedidos, mensajes u operaciones, seg\xFAn sea necesario, tambi\xE9\
            n en caso de introducci\xF3n de nuevas tecnolog\xEDas;"
    - urn: urn:intuitem:risk:req_node:dora:7.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node230
      ref_id: 7.d
      description: technologically resilient in order to adequately deal with additional
        information processing needs as required under stressed market conditions
        or other adverse situations.
      translations:
        es:
          name: null
          description: "sean tecnol\xF3gicamente resilientes a fin de hacer frente\
            \ adecuadamente a las necesidades adicionales de tratamiento de la informaci\xF3\
            n que surjan en condiciones de tensi\xF3n del mercado u otras situaciones\
            \ adversas."
    - urn: urn:intuitem:risk:req_node:dora:node235
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 8
      description: Identification
      translations:
        es:
          name: "Art\xEDculo 8"
          description: "Identificaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:8.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.1'
      description: As part of the ICT risk management framework referred to in Article
        6(1), financial entities shall identify, classify and adequately document
        all ICT supported business functions, roles and responsibilities, the information
        assets and ICT assets supporting those functions, and their roles and dependencies
        in relation to ICT risk. Financial entities shall review as needed, and at
        least yearly, the adequacy of this classification and of any relevant documentation.
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6, apartado 1, las entidades\
            \ financieras identificar\xE1n, clasificar\xE1n y documentar\xE1n adecuadamente\
            \ todas las funciones, cometidos y responsabilidades empresariales sustentados\
            \ por las TIC, los activos de informaci\xF3n y activos de TIC que sustenten\
            \ dichas funciones, y sus cometidos y dependencias en relaci\xF3n con\
            \ el riesgo relacionado con las TIC. Las entidades financieras revisar\xE1\
            n en caso necesario, y al menos una vez al a\xF1o, la idoneidad de esta\
            \ clasificaci\xF3n y de cualquier documentaci\xF3n pertinente."
    - urn: urn:intuitem:risk:req_node:dora:8.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.2'
      description: Financial entities shall, on a continuous basis, identify all sources
        of ICT risk, in particular the risk exposure to and from other financial entities,
        and assess cyber threats and ICT vulnerabilities relevant to their ICT supported
        business functions, information assets and ICT assets. Financial entities
        shall review on a regular basis, and at least yearly, the risk scenarios impacting
        them.
      translations:
        es:
          name: null
          description: "Las entidades financieras identificar\xE1n de forma continua\
            \ todas las fuentes de riesgo relacionado con las TIC, en particular la\
            \ exposici\xF3n al riesgo para con otras entidades financieras y derivada\
            \ de otras entidades financieras, y evaluar\xE1n las ciberamenazas y vulnerabilidades\
            \ en materia de TIC pertinentes para sus funciones empresariales sustentadas\
            \ por TIC, activos de informaci\xF3n y activos de TIC. Las entidades financieras\
            \ revisar\xE1n peri\xF3dicamente, y al menos una vez al a\xF1o, los escenarios\
            \ de riesgo que les afecten."
    - urn: urn:intuitem:risk:req_node:dora:8.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.3'
      description: Financial entities, other than microenterprises, shall perform
        a risk assessment upon each major change in the network and information system
        infrastructure, in the processes or procedures affecting their ICT supported
        business functions, information assets or ICT assets.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas llevar\xE1\
            n a cabo una evaluaci\xF3n del riesgo cada vez que se produzca un cambio\
            \ importante en la infraestructura de las redes y los sistemas de informaci\xF3\
            n, en los procesos o procedimientos que afecten a sus funciones empresariales\
            \ sustentadas por TIC, activos de informaci\xF3n o activos de TIC."
    - urn: urn:intuitem:risk:req_node:dora:8.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.4'
      description: Financial entities shall identify all information assets and ICT
        assets, including those on remote sites, network resources and hardware equipment,
        and shall map those considered critical. They shall map the configuration
        of the information assets and ICT assets and the links and interdependencies
        between the different information assets and ICT assets.
      translations:
        es:
          name: null
          description: "Las entidades financieras identificar\xE1n todos los activos\
            \ de informaci\xF3n y activos de TIC, incluidos los que se encuentren\
            \ en emplazamientos remotos, recursos de red y equipos de hardware, y\
            \ cartografiar\xE1n aquellos considerados esenciales. Cartografiar\xE1\
            n la configuraci\xF3n de los activos de informaci\xF3n y activos de TIC\
            \ y los v\xEDnculos e interdependencias entre los distintos activos de\
            \ informaci\xF3n y activos de TIC."
    - urn: urn:intuitem:risk:req_node:dora:8.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.5'
      description: Financial entities shall identify and document all processes that
        are dependent on ICT third-party service providers, and shall identify interconnections
        with ICT third-party service providers that provide services that support
        critical or important functions.
      translations:
        es:
          name: null
          description: "Las entidades financieras identificar\xE1n y documentar\xE1\
            n todos los procesos que dependan de proveedores terceros de servicios\
            \ de TIC, e identificar\xE1n las interconexiones con proveedores terceros\
            \ de servicios de TIC que presten servicios que sustenten funciones esenciales\
            \ o importantes."
    - urn: urn:intuitem:risk:req_node:dora:8.6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.6'
      description: For the purposes of paragraphs 1, 4 and 5, financial entities shall
        maintain relevant inventories and update them periodically and every time
        any major change as referred to in paragraph 3 occurs.
      translations:
        es:
          name: null
          description: "A los efectos de los apartados 1, 4 y 5, las entidades financieras\
            \ mantendr\xE1n los inventarios pertinentes y los actualizar\xE1n peri\xF3\
            dicamente y cada vez que se produzcan los cambios importantes a que se\
            \ refiere el apartado 3."
    - urn: urn:intuitem:risk:req_node:dora:8.7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node235
      ref_id: '8.7'
      description: Financial entities, other than microenterprises, shall on a regular
        basis, and at least yearly, conduct a specific ICT risk assessment on all
        legacy ICT systems and, in any case before and after connecting technologies,
        applications or systems.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas llevar\xE1\
            n a cabo peri\xF3dicamente, y al menos una vez al a\xF1o, una evaluaci\xF3\
            n espec\xEDfica del riesgo relacionado con las TIC en todos los sistemas\
            \ de TIC heredados y, en cualquier caso, antes y despu\xE9s de conectar\
            \ tecnolog\xEDas, aplicaciones o sistemas."
    - urn: urn:intuitem:risk:req_node:dora:node243
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 9
      description: Protection and prevention
      translations:
        es:
          name: "Art\xEDculo 9"
          description: "Protecci\xF3n y prevenci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:9.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      ref_id: '9.1'
      description: For the purposes of adequately protecting ICT systems and with
        a view to organising response measures, financial entities shall continuously
        monitor and control the security and functioning of ICT systems and tools
        and shall minimise the impact of ICT risk on ICT systems through the deployment
        of appropriate ICT security tools, policies and procedures.
      translations:
        es:
          name: null
          description: "Con el fin de proteger adecuadamente los sistemas de TIC y\
            \ con vistas a organizar medidas de respuesta, las entidades financieras\
            \ realizar\xE1n un seguimiento y un control permanentes de la seguridad\
            \ y el funcionamiento de los sistemas y herramientas de TIC y minimizar\xE1\
            n las repercusiones en dichos sistemas del riesgo relacionado con las\
            \ TIC mediante el despliegue de herramientas, pol\xEDticas y procedimientos\
            \ adecuados en materia de seguridad de las TIC."
    - urn: urn:intuitem:risk:req_node:dora:9.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      ref_id: '9.2'
      description: Financial entities shall design, procure and implement ICT security
        policies, procedures, protocols and tools that aim to ensure the resilience,
        continuity and availability of ICT systems, in particular for those supporting
        critical or important functions, and to maintain high standards of availability,
        authenticity, integrity and confidentiality of data, whether at rest, in use
        or in transit.
      translations:
        es:
          name: null
          description: "Las entidades financieras dise\xF1ar\xE1n, adquirir\xE1n y\
            \ aplicar\xE1n pol\xEDticas, procedimientos, protocolos y herramientas\
            \ en materia de seguridad de las TIC que tengan por objeto asegurar la\
            \ resiliencia, la continuidad y la disponibilidad de los sistemas de TIC,\
            \ en particular aquellos que sustentan funciones esenciales o importantes,\
            \ as\xED como mantener elevados niveles de disponibilidad, autenticidad,\
            \ integridad y confidencialidad de los datos, con independencia de que\
            \ est\xE9n en reposo, en uso o en tr\xE1nsito."
    - urn: urn:intuitem:risk:req_node:dora:9.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      ref_id: '9.3'
      description: 'In order to achieve the objectives referred to in paragraph 2,
        financial entities shall use ICT solutions and processes that are appropriate
        in accordance with Article 4. Those ICT solutions and processes shall:'
      translations:
        es:
          name: null
          description: "A fin de alcanzar los objetivos mencionados en el apartado\
            \ 2, las entidades financieras utilizar\xE1n soluciones y procesos de\
            \ TIC que sean adecuados de conformidad con el art\xEDculo 4. Dichas soluciones\
            \ y procesos de TIC deber\xE1n:"
    - urn: urn:intuitem:risk:req_node:dora:9.3.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.3
      ref_id: 9.3.a
      description: ensure the security of the means of transfer of data;
      translations:
        es:
          name: null
          description: "garantizar la seguridad de los medios de transmisi\xF3n de\
            \ datos;"
    - urn: urn:intuitem:risk:req_node:dora:9.3.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.3
      ref_id: 9.3.b
      description: minimise the risk of corruption or loss of data, unauthorised access
        and technical flaws that may hinder business activity;
      translations:
        es:
          name: null
          description: "minimizar el riesgo de corrupci\xF3n o p\xE9rdida de datos,\
            \ acceso no autorizado y defectos t\xE9cnicos que puedan obstaculizar\
            \ la actividad empresarial;"
    - urn: urn:intuitem:risk:req_node:dora:9.3.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.3
      ref_id: 9.3.c
      description: prevent the lack of availability, the impairment of the authenticity
        and integrity, the breaches of confidentiality and the loss of data;
      translations:
        es:
          name: null
          description: "evitar la falta de disponibilidad, el menoscabo de la autenticidad\
            \ e integridad, la vulneraci\xF3n de la confidencialidad y la p\xE9rdida\
            \ de datos;"
    - urn: urn:intuitem:risk:req_node:dora:9.3.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.3
      ref_id: 9.3.d
      description: ensure that data is protected from risks arising from data management,
        including poor administration, processing- related risks and human error.
      translations:
        es:
          name: null
          description: "garantizar que los datos est\xE9n protegidos de riesgos derivados\
            \ de su gesti\xF3n, incluidos los debidos a una mala administraci\xF3\
            n, los relacionados con el tratamiento y los errores humanos."
    - urn: urn:intuitem:risk:req_node:dora:9.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      ref_id: '9.4'
      description: 'As part of the ICT risk management framework referred to in Article
        6(1), financial entities shall:'
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6, apartado 1, las entidades\
            \ financieras deber\xE1n:"
    - urn: urn:intuitem:risk:req_node:dora:9.4.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.a
      description: develop and document an information security policy defining rules
        to protect the availability, authenticity, integrity and confidentiality of
        data, information assets and ICT assets, including those of their customers,
        where applicable;
      translations:
        es:
          name: null
          description: "elaborar y documentar una pol\xEDtica de seguridad de la informaci\xF3\
            n que defina normas para proteger la confidencialidad, disponibilidad,\
            \ integridad o autenticidad de los datos, activos de informaci\xF3n y\
            \ activos de TIC, incluidos los de sus clientes, en su caso;"
    - urn: urn:intuitem:risk:req_node:dora:9.4.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.b
      description: following a risk-based approach, establish a sound network and
        infrastructure management structure using appropriate techniques, methods
        and protocols that may include implementing automated mechanisms to isolate
        affected information assets in the event of cyber-attacks;
      translations:
        es:
          name: null
          description: "siguiendo un enfoque basado en el riesgo, establecer una estructura\
            \ de gesti\xF3n s\xF3lida de redes e infraestructuras utilizando t\xE9\
            cnicas, m\xE9todos y protocolos adecuados que puedan incluir la aplicaci\xF3\
            n de mecanismos automatizados para aislar los activos de informaci\xF3\
            n afectados en caso de ciberataques;"
    - urn: urn:intuitem:risk:req_node:dora:9.4.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.c
      description: implement policies that limit the physical or logical access to
        information assets and ICT assets to what is required for legitimate and approved
        functions and activities only, and establish to that end a set of policies,
        procedures and controls that address access rights and ensure a sound administration
        thereof;
      translations:
        es:
          name: null
          description: "aplicar pol\xEDticas que limiten el acceso f\xEDsico o l\xF3\
            gico a los activos de informaci\xF3n y activos de TIC a lo que sea necesario\
            \ \xFAnicamente para funciones y actividades leg\xEDtimas y aprobadas,\
            \ y establecer a tal fin un conjunto de pol\xEDticas, procedimientos y\
            \ controles que se centren en los derechos de acceso y garanticen una\
            \ buena administraci\xF3n de estos;"
    - urn: urn:intuitem:risk:req_node:dora:9.4.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.d
      description: implement policies and protocols for strong authentication mechanisms,
        based on relevant standards and dedicated control systems, and protection
        measures of cryptographic keys whereby data is encrypted based on results
        of approved data classification and ICT risk assessment processes;
      translations:
        es:
          name: null
          description: "aplicar pol\xEDticas y protocolos para mecanismos de autenticaci\xF3\
            n fuerte, basados en est\xE1ndares pertinentes y sistemas de control espec\xED\
            ficos, y medidas de protecci\xF3n de las claves criptogr\xE1ficas mediante\
            \ las que se cifran los datos en funci\xF3n de los resultados de los procesos\
            \ aprobados de clasificaci\xF3n de datos y evaluaci\xF3n de riesgos relacionados\
            \ con las TIC;"
    - urn: urn:intuitem:risk:req_node:dora:9.4.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.e
      description: "implement documented policies, procedures and controls for ICT\
        \ change management, including changes to software, hardware, firmware components,\
        \ systems or security parameters, that are based on a risk assessment approach\
        \ and are an integral part of the financial entity\u2019s overall change management\
        \ process, in order to ensure that all changes to ICT systems are recorded,\
        \ tested, assessed, approved, implemented and verified in a controlled manner;"
      translations:
        es:
          name: null
          description: "aplicar pol\xEDticas, procedimientos y controles documentados\
            \ para la gesti\xF3n de los cambios en las TIC, incluidos los cambios\
            \ en el software, el hardware, los componentes de firmware, los sistemas\
            \ o los par\xE1metros de seguridad, que se basen en un enfoque de evaluaci\xF3\
            n de riesgos y formen parte integrante del proceso general de gesti\xF3\
            n de cambios de la entidad financiera, a fin de garantizar que todos los\
            \ cambios en los sistemas de TIC se registren, sometan a prueba, eval\xFA\
            en, aprueben, apliquen y verifiquen de forma controlada;"
    - urn: urn:intuitem:risk:req_node:dora:9.4.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:9.4
      ref_id: 9.4.f
      description: have appropriate and comprehensive documented policies for patches
        and updates.
      translations:
        es:
          name: null
          description: "contar con pol\xEDticas documentadas adecuadas y globales\
            \ para los parches y actualizaciones."
    - urn: urn:intuitem:risk:req_node:dora:node258
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      description: For the purposes of the first subparagraph, point (b), financial
        entities shall design the network connection infrastructure in a way that
        allows it to be instantaneously severed or segmented in order to minimise
        and prevent contagion, especially for interconnected financial processes.
      translations:
        es:
          name: null
          description: "A efectos del p\xE1rrafo primero, letra b), las entidades\
            \ financieras dise\xF1ar\xE1n la infraestructura de conexi\xF3n a la red\
            \ de manera que permita su ruptura o segmentaci\xF3n instant\xE1nea con\
            \ el fin de minimizar y prevenir el contagio, especialmente en los procesos\
            \ financieros interconectados."
    - urn: urn:intuitem:risk:req_node:dora:node259
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node243
      description: For the purposes of the first subparagraph, point (e), the ICT
        change management process shall be approved by appropriate lines of management
        and shall have specific protocols in place.
      translations:
        es:
          name: null
          description: "A efectos del p\xE1rrafo primero, letra e), el proceso de\
            \ gesti\xF3n de cambios en las TIC ser\xE1 aprobado por los niveles directivos\
            \ adecuados y dispondr\xE1 de protocolos espec\xEDficos."
    - urn: urn:intuitem:risk:req_node:dora:node260
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 10
      description: Detection
      translations:
        es:
          name: "Art\xEDculo 10"
          description: "Detecci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:10.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node260
      ref_id: '10.1'
      description: Financial entities shall have in place mechanisms to promptly detect
        anomalous activities, in accordance with Article 17, including ICT network
        performance issues and ICT-related incidents, and to identify potential material
        single points of failure.
      translations:
        es:
          name: null
          description: "Las entidades financieras dispondr\xE1n de mecanismos para\
            \ detectar r\xE1pidamente las actividades an\xF3malas, de conformidad\
            \ con el art\xEDculo 17, incluidos los problemas de rendimiento de las\
            \ redes de TIC y los incidentes relacionados con las TIC, y para identificar\
            \ los posibles puntos \xFAnicos de fallo significativos."
    - urn: urn:intuitem:risk:req_node:dora:node262
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node260
      description: All detection mechanisms referred to in the first subparagraph
        shall be regularly tested in accordance with Article 25.
      translations:
        es:
          name: null
          description: "Todos los mecanismos de detecci\xF3n mencionados en el p\xE1\
            rrafo primero se someter\xE1n a pruebas peri\xF3dicas de conformidad con\
            \ el art\xEDculo 25."
    - urn: urn:intuitem:risk:req_node:dora:10.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node260
      ref_id: '10.2'
      description: The detection mechanisms referred to in paragraph 1 shall enable
        multiple layers of control, define alert thresholds and criteria to trigger
        and initiate ICT-related incident response processes, including automatic
        alert mechanisms for relevant staff in charge of ICT-related incident response.
      translations:
        es:
          name: null
          description: "Los mecanismos de detecci\xF3n a que se refiere el apartado\
            \ 1 permitir\xE1n m\xFAltiples niveles de control, definir\xE1n criterios\
            \ y umbrales de alerta para activar e iniciar procesos de respuesta a\
            \ incidentes relacionados con las TIC, incluidos mecanismos autom\xE1\
            ticos de alerta para el personal responsable de la respuesta a incidentes\
            \ relacionados con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:10.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node260
      ref_id: '10.3'
      description: Financial entities shall devote sufficient resources and capabilities
        to monitor user activity, the occurrence of ICT anomalies and ICT-related
        incidents, in particular cyber-attacks.
      translations:
        es:
          name: null
          description: "Las entidades financieras dedicar\xE1n recursos y capacidades\
            \ suficientes al seguimiento de la actividad de los usuarios y la aparici\xF3\
            n de anomal\xEDas en las TIC y de incidentes relacionados con las TIC,\
            \ en particular de ciberataques."
    - urn: urn:intuitem:risk:req_node:dora:10.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node260
      ref_id: '10.4'
      description: Data reporting service providers shall, in addition, have in place
        systems that can effectively check trade reports for completeness, identify
        omissions and obvious errors, and request re-transmission of those reports.
      translations:
        es:
          name: null
          description: "Los proveedores de servicios de suministro de datos dispondr\xE1\
            n adem\xE1s de sistemas que permitan controlar de manera efectiva la exhaustividad\
            \ de los informes de operaciones, detectar omisiones y errores manifiestos\
            \ y solicitar la retransmisi\xF3n de tales informes."
    - urn: urn:intuitem:risk:req_node:dora:node266
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 11
      description: Response and recovery
      translations:
        es:
          name: "Art\xEDculo 11"
          description: "Respuesta y recuperaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:11.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.1'
      description: As part of the ICT risk management framework referred to in Article
        6(1) and based on the identification requirements set out in Article 8, financial
        entities shall put in place a comprehensive ICT business continuity policy,
        which may be adopted as a dedicated specific policy, forming an integral part
        of the overall business continuity policy of the financial entity.
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6, apartado 1, y sobre la\
            \ base de los requisitos de identificaci\xF3n establecidos en el art\xED\
            culo 8, las entidades financieras pondr\xE1n en pr\xE1ctica una pol\xED\
            tica global de continuidad de la actividad en materia de TIC, que podr\xE1\
            \ ser adoptada como una pol\xEDtica espec\xEDfica propia que forme parte\
            \ integrante de la pol\xEDtica global de continuidad de la actividad de\
            \ la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:11.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.2'
      description: 'Financial entities shall implement the ICT business continuity
        policy through dedicated, appropriate and documented arrangements, plans,
        procedures and mechanisms aiming to:'
      translations:
        es:
          name: null
          description: "Las entidades financieras aplicar\xE1n la pol\xEDtica de continuidad\
            \ de la actividad en materia de TIC mediante disposiciones, planes, procedimientos\
            \ y mecanismos espec\xEDficos, adecuados y documentados destinados a:"
    - urn: urn:intuitem:risk:req_node:dora:11.2.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.2
      ref_id: 11.2.a
      description: "ensure the continuity of the financial entity\u2019s critical\
        \ or important functions;"
      translations:
        es:
          name: null
          description: garantizar la continuidad de las funciones esenciales o importantes
            de la entidad financiera;
    - urn: urn:intuitem:risk:req_node:dora:11.2.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.2
      ref_id: 11.2.b
      description: quickly, appropriately and effectively respond to, and resolve,
        all ICT-related incidents in a way that limits damage and prioritises the
        resumption of activities and recovery actions;
      translations:
        es:
          name: null
          description: "responder a todos los incidentes relacionados con las TIC\
            \ y resolverlos r\xE1pida, adecuada y eficazmente de manera que se limiten\
            \ los da\xF1os y se d\xE9 prioridad a la reanudaci\xF3n de las actividades\
            \ y a las acciones de recuperaci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:11.2.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.2
      ref_id: 11.2.c
      description: activate, without delay, dedicated plans that enable containment
        measures, processes and technologies suited to each type of ICT-related incident
        and prevent further damage, as well as tailored response and recovery procedures
        established in accordance with Article 12;
      translations:
        es:
          name: null
          description: "activar, sin demora, planes espec\xEDficos que permitan recurrir\
            \ a medidas de contenci\xF3n, procesos y tecnolog\xEDas adaptados a cada\
            \ tipo de incidente relacionado con las TIC y que eviten nuevos da\xF1\
            os, as\xED como a procedimientos de respuesta y recuperaci\xF3n adaptados\
            \ establecidos de conformidad con el art\xEDculo 12;"
    - urn: urn:intuitem:risk:req_node:dora:11.2.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.2
      ref_id: 11.2.d
      description: estimate preliminary impacts, damages and losses;
      translations:
        es:
          name: null
          description: "estimar con car\xE1cter preliminar las repercusiones, da\xF1\
            os y p\xE9rdidas;"
    - urn: urn:intuitem:risk:req_node:dora:11.2.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.2
      ref_id: 11.2.e
      description: set out communication and crisis management actions that ensure
        that updated information is transmitted to all relevant internal staff and
        external stakeholders in accordance with Article 14, and report to the competent
        authorities in accordance with Article 19.
      translations:
        es:
          name: null
          description: "definir acciones de comunicaci\xF3n y gesti\xF3n de crisis\
            \ que garanticen la transmisi\xF3n de informaci\xF3n actualizada a todo\
            \ el personal interno y las partes interesadas externas pertinentes de\
            \ conformidad con el art\xEDculo 14, y su notificaci\xF3n a las autoridades\
            \ competentes de conformidad con el art\xEDculo 19."
    - urn: urn:intuitem:risk:req_node:dora:11.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.3'
      description: As part of the ICT risk management framework referred to in Article
        6(1), financial entities shall implement associated ICT response and recovery
        plans which, in the case of financial entities other than microenterprises,
        shall be subject to independent internal audit reviews.
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6, apartado 1, las entidades\
            \ financieras aplicar\xE1n planes conexos de respuesta y recuperaci\xF3\
            n en materia de TIC que, en el caso de entidades financieras que no sean\
            \ microempresas, estar\xE1n sujetos a auditor\xEDas internas independientes."
    - urn: urn:intuitem:risk:req_node:dora:11.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.4'
      description: Financial entities shall put in place, maintain and periodically
        test appropriate ICT business continuity plans, notably with regard to critical
        or important functions outsourced or contracted through arrangements with
        ICT third-party service providers.
      translations:
        es:
          name: null
          description: "Las entidades financieras establecer\xE1n, mantendr\xE1n y\
            \ someter\xE1n a prueba peri\xF3dicamente planes adecuados de continuidad\
            \ de las actividades de TIC, en particular en lo que se refiere a las\
            \ funciones esenciales o importantes externalizadas o contratadas mediante\
            \ acuerdos con proveedores terceros de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:11.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.5'
      description: As part of the overall business continuity policy, financial entities
        shall conduct a business impact analysis (BIA) of their exposures to severe
        business disruptions. Under the BIA, financial entities shall assess the potential
        impact of severe business disruptions by means of quantitative and qualitative
        criteria, using internal and external data and scenario analysis, as appropriate.
        The BIA shall consider the criticality of identified and mapped business functions,
        support processes, third-party dependencies and information assets, and their
        interdependencies. Financial entities shall ensure that ICT assets and ICT
        services are designed and used in full alignment with the BIA, in particular
        with regard to adequately ensuring the redundancy of all critical components.
      translations:
        es:
          name: null
          description: "Como parte de la pol\xEDtica global de continuidad de la actividad,\
            \ las entidades financieras llevar\xE1n a cabo un an\xE1lisis de impacto\
            \ en el negocio de sus exposiciones a perturbaciones graves de la actividad.\
            \ En el marco de dicho an\xE1lisis, las entidades financieras evaluar\xE1\
            n el impacto potencial de las perturbaciones graves de la actividad mediante\
            \ criterios cuantitativos y cualitativos, utilizando datos internos y\
            \ externos y an\xE1lisis de escenarios, seg\xFAn proceda. El an\xE1lisis\
            \ de impacto en el negocio tendr\xE1 en cuenta el car\xE1cter esencial\
            \ de las funciones empresariales identificadas y cartografiadas, los procesos\
            \ de apoyo, las dependencias de terceros y los activos de informaci\xF3\
            n, as\xED como sus interdependencias. Las entidades financieras garantizar\xE1\
            n que los activos de TIC y los servicios de TIC se dise\xF1en y utilicen\
            \ en plena consonancia con el an\xE1lisis de impacto en el negocio, en\
            \ particular en lo que se refiere a garantizar adecuadamente la redundancia\
            \ de todos los componentes esenciales."
    - urn: urn:intuitem:risk:req_node:dora:11.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.6'
      description: 'As part of their comprehensive ICT risk management, financial
        entities shall:'
      translations:
        es:
          name: null
          description: "Como parte de su gesti\xF3n global del riesgo relacionado\
            \ con las TIC, las entidades financieras:"
    - urn: urn:intuitem:risk:req_node:dora:11.6.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.6
      ref_id: 11.6.a
      description: test the ICT business continuity plans and the ICT response and
        recovery plans in relation to ICT systems supporting all functions at least
        yearly, as well as in the event of any substantive changes to ICT systems
        supporting critical or important functions;
      translations:
        es:
          name: null
          description: "someter\xE1n a prueba los planes de continuidad de la actividad\
            \ y los planes de respuesta y recuperaci\xF3n en materia de TIC en relaci\xF3\
            n con los sistemas de TIC que sustenten todas las funciones al menos una\
            \ vez al a\xF1o, as\xED como en caso de que se produzca cualquier cambio\
            \ sustancial en los sistemas de TIC que sustenten funciones esenciales\
            \ o importantes;"
    - urn: urn:intuitem:risk:req_node:dora:11.6.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:11.6
      ref_id: 11.6.b
      description: test the crisis communication plans established in accordance with
        Article 14.
      translations:
        es:
          name: null
          description: "someter\xE1n a prueba los planes de comunicaci\xF3n en caso\
            \ de crisis establecidos de conformidad con el art\xEDculo 14."
    - urn: urn:intuitem:risk:req_node:dora:node280
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      description: For the purposes of the first subparagraph, point (a), financial
        entities, other than microenterprises, shall include in the testing plans
        scenarios of cyber-attacks and switchovers between the primary ICT infrastructure
        and the redundant capacity, backups and redundant facilities necessary to
        meet the obligations set out in Article 12.
      translations:
        es:
          name: null
          description: "A efectos del p\xE1rrafo primero, letra a), las entidades\
            \ financieras que no sean microempresas incluir\xE1n, en los planes de\
            \ pruebas, escenarios de ciberataques y de conmutaci\xF3n entre la infraestructura\
            \ primaria de TIC y la capacidad redundante, las copias de seguridad y\
            \ las instalaciones redundantes necesarias para cumplir con las obligaciones\
            \ establecidas en el art\xEDculo 12."
    - urn: urn:intuitem:risk:req_node:dora:node281
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      description: Financial entities shall regularly review their ICT business continuity
        policy and ICT response and recovery plans, taking into account the results
        of tests carried out in accordance with the first subparagraph and recommendations
        stemming from audit checks or supervisory reviews.
      translations:
        es:
          name: null
          description: "Las entidades financieras revisar\xE1n peri\xF3dicamente su\
            \ pol\xEDtica de continuidad de la actividad en materia de TIC y sus planes\
            \ de respuesta y recuperaci\xF3n en materia de TIC teniendo en cuenta\
            \ los resultados de las pruebas realizadas de conformidad con el p\xE1\
            rrafo primero y las recomendaciones derivadas de los controles de auditor\xED\
            a o las revisiones supervisoras."
    - urn: urn:intuitem:risk:req_node:dora:11.7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.7'
      description: Financial entities, other than microenterprises, shall have a crisis
        management function, which, in the event of activation of their ICT business
        continuity plans or ICT response and recovery plans, shall, inter alia, set
        out clear procedures to manage internal and external crisis communications
        in accordance with Article 14.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas dispondr\xE1\
            n de una funci\xF3n de gesti\xF3n de crisis que, en caso de activaci\xF3\
            n de sus planes de continuidad de la actividad en materia de TIC o de\
            \ sus planes de respuesta y recuperaci\xF3n en materia de TIC, establecer\xE1\
            , entre otros, procedimientos claros para gestionar las comunicaciones\
            \ de crisis internas y externas de conformidad con el art\xEDculo 14."
    - urn: urn:intuitem:risk:req_node:dora:11.8
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.8'
      description: Financial entities shall keep readily accessible records of activities
        before and during disruption events when their ICT business continuity plans
        and ICT response and recovery plans are activated.
      translations:
        es:
          name: null
          description: "Las entidades financieras mantendr\xE1n registros f\xE1cilmente\
            \ accesibles de las actividades antes de las perturbaciones y durante\
            \ estas cuando se activen sus planes de continuidad de la actividad en\
            \ materia de TIC y sus planes de respuesta y recuperaci\xF3n en materia\
            \ de TIC."
    - urn: urn:intuitem:risk:req_node:dora:11.9
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.9'
      description: Central securities depositories shall provide the competent authorities
        with copies of the results of the ICT business continuity tests, or of similar
        exercises.
      translations:
        es:
          name: null
          description: "Los depositarios centrales de valores facilitar\xE1n a las\
            \ autoridades competentes copias de los resultados de las pruebas de continuidad\
            \ de la actividad en materia de TIC, o de ejercicios similares."
    - urn: urn:intuitem:risk:req_node:dora:11.10
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.10'
      description: Financial entities, other than microenterprises, shall report to
        the competent authorities, upon their request, an estimation of aggregated
        annual costs and losses caused by major ICT-related incidents.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas informar\xE1\
            n a las autoridades competentes, si estas lo solicitan, una estimaci\xF3\
            n de los costes y p\xE9rdidas anuales agregados causados por incidentes\
            \ graves relacionados con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:11.11
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node266
      ref_id: '11.11'
      description: In accordance with Article 16 of Regulations (EU) No 1093/2010,
        (EU) No 1094/2010 and (EU) No 1095/2010, the ESAs, through the Joint Committee,
        shall by 17 July 2024 develop common guidelines on the estimation of aggregated
        annual costs and losses referred to in paragraph 10.
      translations:
        es:
          name: null
          description: "De conformidad con el art\xEDculo 16 del Reglamento (UE) n.o\
            \ 1093/2010, el art\xEDculo 16 del Reglamento (UE) n.o 1094/2010 y el\
            \ art\xEDculo 16 del Reglamento (UE) n.o 1095/2010, las Autoridades Europeas\
            \ de Supervisi\xF3n, a trav\xE9s del Comit\xE9 Mixto, elaborar\xE1n, a\
            \ m\xE1s tardar el 17 de julio de 2024, directrices comunes sobre la estimaci\xF3\
            n de los costes y p\xE9rdidas anuales agregados a que se refiere el apartado\
            \ 10."
    - urn: urn:intuitem:risk:req_node:dora:node287
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 12
      description: Backup policies and procedures, restoration and recovery procedures
        and methods
      translations:
        es:
          name: "Art\xEDculo 12"
          description: "Pol\xEDticas y procedimientos de respaldo y procedimientos\
            \ y m\xE9todos de restablecimiento y recuperaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:12.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.1'
      description: 'For the purpose of ensuring the restoration of ICT systems and
        data with minimum downtime, limited disruption and loss, as part of their
        ICT risk management framework, financial entities shall develop and document:'
      translations:
        es:
          name: null
          description: "Con el fin de garantizar el restablecimiento de los sistemas\
            \ de TIC y los datos con un tiempo m\xEDnimo de inactividad y una perturbaci\xF3\
            n y p\xE9rdida limitadas, como parte de su marco de gesti\xF3n del riesgo\
            \ relacionado con las TIC, las entidades financieras desarrollar\xE1n\
            \ y documentar\xE1n:"
    - urn: urn:intuitem:risk:req_node:dora:12.1.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:12.1
      ref_id: 12.1.a
      description: backup policies and procedures specifying the scope of the data
        that is subject to the backup and the minimum frequency of the backup, based
        on the criticality of information or the confidentiality level of the data;
      translations:
        es:
          name: null
          description: "pol\xEDticas y procedimientos de respaldo que especifiquen\
            \ el alcance de los datos objeto de respaldo y la frecuencia m\xEDnima\
            \ de este, en funci\xF3n del car\xE1cter esencial de la informaci\xF3\
            n o del nivel de confidencialidad de los datos;"
    - urn: urn:intuitem:risk:req_node:dora:12.1.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:12.1
      ref_id: 12.1.b
      description: restoration and recovery procedures and methods.
      translations:
        es:
          name: null
          description: "procedimientos y m\xE9todos de restablecimiento y recuperaci\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:12.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.2'
      description: Financial entities shall set up backup systems that can be activated
        in accordance with the backup policies and procedures, as well as restoration
        and recovery procedures and methods. The activation of backup systems shall
        not jeopardise the security of the network and information systems or the
        availability, authenticity, integrity or confidentiality of data. Testing
        of the backup procedures and restoration and recovery procedures and methods
        shall be undertaken periodically.
      translations:
        es:
          name: null
          description: "Las entidades financieras establecer\xE1n sistemas de respaldo\
            \ que puedan activarse de conformidad con las pol\xEDticas y procedimientos\
            \ de respaldo, as\xED como procedimientos y m\xE9todos de restablecimiento\
            \ y recuperaci\xF3n. La activaci\xF3n de sistemas de respaldo no pondr\xE1\
            \ en peligro la seguridad de las redes y los sistemas de informaci\xF3\
            n ni la disponibilidad, autenticidad, integridad o confidencialidad de\
            \ los datos. Las pruebas de los procedimientos de respaldo y restablecimiento\
            \ y los procedimientos y m\xE9todos de recuperaci\xF3n se llevar\xE1n\
            \ a cabo peri\xF3dicamente."
    - urn: urn:intuitem:risk:req_node:dora:12.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.3'
      description: When restoring backup data using own systems, financial entities
        shall use ICT systems that are physically and logically segregated from the
        source ICT system. The ICT systems shall be securely protected from any unauthorised
        access or ICT corruption and allow for the timely restoration of services
        making use of data and system backups as necessary.
      translations:
        es:
          name: null
          description: "Al restablecer los datos de seguridad mediante sus propios\
            \ sistemas, las entidades financieras utilizar\xE1n sistemas de TIC que\
            \ est\xE9n separados, f\xEDsica y l\xF3gicamente, del sistema de TIC de\
            \ origen. Los sistemas de TIC estar\xE1n protegidos de forma segura contra\
            \ cualquier acceso no autorizado o corrupci\xF3n de las TIC y permitir\xE1\
            n el r\xE1pido restablecimiento de los servicios utilizando los respaldos\
            \ de los sistemas y los datos que sean necesarios."
    - urn: urn:intuitem:risk:req_node:dora:node293
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      description: For central counterparties, the recovery plans shall enable the
        recovery of all transactions at the time of disruption to allow the central
        counterparty to continue to operate with certainty and to complete settlement
        on the scheduled date.
      translations:
        es:
          name: null
          description: "En el caso de las entidades de contrapartida central, los\
            \ planes de recuperaci\xF3n permitir\xE1n la recuperaci\xF3n de todas\
            \ las operaciones en el momento de la perturbaci\xF3n, para que la entidad\
            \ de contrapartida central pueda seguir operando de manera segura y finalizar\
            \ la liquidaci\xF3n en la fecha programada."
    - urn: urn:intuitem:risk:req_node:dora:node294
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      description: Data reporting service providers shall additionally maintain adequate
        resources and have back-up and restoration facilities in place in order to
        offer and maintain their services at all times.
      translations:
        es:
          name: null
          description: "Los proveedores de servicios de suministro de datos mantendr\xE1\
            n adem\xE1s recursos suficientes y dispondr\xE1n de instalaciones de respaldo\
            \ y restablecimiento para ofrecer y mantener sus servicios en todo momento."
    - urn: urn:intuitem:risk:req_node:dora:12.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.4'
      description: Financial entities, other than microenterprises, shall maintain
        redundant ICT capacities equipped with resources, capabilities and functions
        that are adequate to ensure business needs. Microenterprises shall assess
        the need to maintain such redundant ICT capacities based on their risk profile.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas mantendr\xE1\
            n capacidades de TIC redundantes provistas de recursos, medios y funciones\
            \ adecuados para satisfacer las necesidades empresariales. Las microempresas\
            \ evaluar\xE1n la necesidad de mantener estas capacidades de TIC redundantes\
            \ sobre la base de su perfil de riesgo."
    - urn: urn:intuitem:risk:req_node:dora:12.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.5'
      description: Central securities depositories shall maintain at least one secondary
        processing site endowed with adequate resources, capabilities, functions and
        staffing arrangements to ensure business needs.
      translations:
        es:
          name: null
          description: "Los depositarios centrales de valores mantendr\xE1n al menos\
            \ un centro de tratamiento secundario dotado de recursos, capacidades,\
            \ funciones y personal adecuados para satisfacer las necesidades empresariales."
    - urn: urn:intuitem:risk:req_node:dora:node297
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      description: 'The secondary processing site shall be:'
      translations:
        es:
          name: null
          description: "El centro de proceso secundario deber\xE1:"
    - urn: urn:intuitem:risk:req_node:dora:12.5.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node297
      ref_id: 12.5.a
      description: located at a geographical distance from the primary processing
        site to ensure that it bears a distinct risk profile and to prevent it from
        being affected by the event which has affected the primary site;
      translations:
        es:
          name: null
          description: "estar situado a una determinada distancia geogr\xE1fica del\
            \ centro de proceso primario para garantizar que presente un perfil de\
            \ riesgo distinto y evitar que se vea afectado por el suceso que haya\
            \ afectado al centro primario;"
    - urn: urn:intuitem:risk:req_node:dora:12.5.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node297
      ref_id: 12.5.b
      description: capable of ensuring the continuity of critical or important functions
        identically to the primary site, or providing the level of services necessary
        to ensure that the financial entity performs its critical operations within
        the recovery objectives;
      translations:
        es:
          name: null
          description: "ser capaz de garantizar la continuidad de las funciones esenciales\
            \ o importantes del mismo modo que el centro primario, o de prestar el\
            \ nivel de servicios necesario para garantizar que la entidad financiera\
            \ realice sus operaciones esenciales dentro de los objetivos de recuperaci\xF3\
            n;"
    - urn: urn:intuitem:risk:req_node:dora:12.5.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node297
      ref_id: 12.5.c
      description: "immediately accessible to the financial entity\u2019s staff to\
        \ ensure continuity of critical or important functions in the event that the\
        \ primary processing site has become unavailable."
      translations:
        es:
          name: null
          description: "estar inmediatamente accesible para el personal de la entidad\
            \ financiera a fin de garantizar la continuidad de las funciones esenciales\
            \ o importantes en caso de que el centro de proceso primario no est\xE9\
            \ disponible."
    - urn: urn:intuitem:risk:req_node:dora:12.6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.6'
      description: In determining the recovery time and recovery point objectives
        for each function, financial entities shall take into account whether it is
        a critical or important function and the potential overall impact on market
        efficiency. Such time objectives shall ensure that, in extreme scenarios,
        the agreed service levels are met.
      translations:
        es:
          name: null
          description: "Al determinar los objetivos de tiempo y punto de recuperaci\xF3\
            n para cada funci\xF3n, las entidades financieras tendr\xE1n en cuenta\
            \ si se trata de una funci\xF3n esencial o importante y las posibles repercusiones\
            \ globales en la eficiencia del mercado. Estos objetivos garantizar\xE1\
            n que, en situaciones extremas, se alcancen los niveles de servicio acordados."
    - urn: urn:intuitem:risk:req_node:dora:12.7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node287
      ref_id: '12.7'
      description: When recovering from an ICT-related incident, financial entities
        shall perform necessary checks, including any multiple checks and reconciliations,
        in order to ensure that the highest level of data integrity is maintained.
        These checks shall also be performed when reconstructing data from external
        stakeholders, in order to ensure that all data is consistent between systems.
      translations:
        es:
          name: null
          description: "Al recuperarse de un incidente relacionado con las TIC, las\
            \ entidades financieras realizar\xE1n las comprobaciones necesarias, incluidas\
            \ m\xFAltiples comprobaciones y conciliaciones, a fin de garantizar que\
            \ se mantenga el m\xE1ximo nivel de integridad de los datos. Estas comprobaciones\
            \ tambi\xE9n se llevar\xE1n a cabo cuando se reconstruyan datos de partes\
            \ interesadas externas, a fin de garantizar que todos los datos sean coherentes\
            \ entre los sistemas."
    - urn: urn:intuitem:risk:req_node:dora:node303
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 13
      description: Learning and evolving
      translations:
        es:
          name: "Art\xEDculo 13"
          description: "Aprendizaje y evoluci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:13.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.1'
      description: Financial entities shall have in place capabilities and staff to
        gather information on vulnerabilities and cyber threats, ICT-related incidents,
        in particular cyber-attacks, and analyse the impact they are likely to have
        on their digital operational resilience.
      translations:
        es:
          name: null
          description: "Las entidades financieras dispondr\xE1n de capacidades y de\
            \ personal para recopilar informaci\xF3n sobre vulnerabilidades, ciberamenazas\
            \ e incidentes relacionados con las TIC, en particular ciberataques, y\
            \ para analizar las repercusiones que es probable que tengan en su resiliencia\
            \ operativa digital."
    - urn: urn:intuitem:risk:req_node:dora:13.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.2'
      description: Financial entities shall put in place post ICT-related incident
        reviews after a major ICT-related incident disrupts their core activities,
        analysing the causes of disruption and identifying required improvements to
        the ICT operations or within the ICT business continuity policy referred to
        in Article 11.
      translations:
        es:
          name: null
          description: "Las entidades financieras llevar\xE1n a cabo revisiones tras\
            \ incidentes relacionados con las TIC despu\xE9s de que un incidente grave\
            \ relacionado con las TIC perturbe sus actividades principales, analizando\
            \ sus causas e identificando las mejoras necesarias para las operaciones\
            \ de TIC o en la pol\xEDtica de continuidad de la actividad en materia\
            \ de TIC a que se refiere el art\xEDculo 11."
    - urn: urn:intuitem:risk:req_node:dora:node306
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      description: Financial entities, other than microenterprises, shall, upon request,
        communicate to the competent authorities, the changes that were implemented
        following post ICT-related incident reviews as referred to in the first subparagraph.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas comunicar\xE1\
            n, previa petici\xF3n, a las autoridades competentes los cambios que se\
            \ hayan introducido despu\xE9s de las revisiones tras incidentes relacionados\
            \ con las TIC a que se refiere el p\xE1rrafo primero."
    - urn: urn:intuitem:risk:req_node:dora:node307
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      description: 'The post ICT-related incident reviews referred to in the first
        subparagraph shall determine whether the established procedures were followed
        and the actions taken were effective, including in relation to the following:'
      translations:
        es:
          name: null
          description: "Las revisiones tras incidentes relacionados con las TIC a\
            \ que se refiere el p\xE1rrafo primero determinar\xE1n si se han seguido\
            \ los procedimientos establecidos y si las medidas adoptadas han sido\
            \ eficaces, inclusive en relaci\xF3n con lo siguiente:"
    - urn: urn:intuitem:risk:req_node:dora:13.2.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node307
      ref_id: 13.2.a
      description: the promptness in responding to security alerts and determining
        the impact of ICT-related incidents and their severity;
      translations:
        es:
          name: null
          description: la rapidez a la hora de responder a las alertas de seguridad
            y determinar las repercusiones de los incidentes relacionados con las
            TIC y su gravedad;
    - urn: urn:intuitem:risk:req_node:dora:13.2.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node307
      ref_id: 13.2.b
      description: the quality and speed of performing a forensic analysis, where
        deemed appropriate;
      translations:
        es:
          name: null
          description: "la calidad y rapidez en la realizaci\xF3n de un an\xE1lisis\
            \ forense, cuando se considere oportuno;"
    - urn: urn:intuitem:risk:req_node:dora:13.2.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node307
      ref_id: 13.2.c
      description: the effectiveness of incident escalation within the financial entity;
      translations:
        es:
          name: null
          description: "la eficacia de la activaci\xF3n de los niveles sucesivos de\
            \ intervenci\xF3n en caso de incidente dentro de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:node310-1
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node307
      ref_id: 13.2.d
      description: ' the effectiveness of internal and external communication.'
      translations:
        es:
          name: null
          description: "la eficacia de la comunicaci\xF3n interna y externa."
    - urn: urn:intuitem:risk:req_node:dora:13.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.3'
      description: Lessons derived from the digital operational resilience testing
        carried out in accordance with Articles 26 and 27 and from real life ICT-related
        incidents, in particular cyber-attacks, along with challenges faced upon the
        activation of ICT business continuity plans and ICT response and recovery
        plans, together with relevant information exchanged with counterparts and
        assessed during supervisory reviews, shall be duly incorporated on a continuous
        basis into the ICT risk assessment process. Those findings shall form the
        basis for appropriate reviews of relevant components of the ICT risk management
        framework referred to in Article 6(1).
      translations:
        es:
          name: null
          description: "Las ense\xF1anzas derivadas de las pruebas de resiliencia\
            \ operativa digital llevadas a cabo de conformidad con los art\xEDculos\
            \ 26 y 27 y de los incidentes reales relacionados con las TIC, en particular\
            \ los ciberataques, junto con los problemas que se hayan planteado al\
            \ activar los planes de continuidad de la actividad en materia de TIC\
            \ y los planes de respuesta y recuperaci\xF3n en materia de TIC, adem\xE1\
            s de la informaci\xF3n pertinente intercambiada con las contrapartes y\
            \ evaluada durante las revisiones supervisoras, se incorporar\xE1n debidamente\
            \ de forma continua al proceso de evaluaci\xF3n del riesgo relacionado\
            \ con las TIC. Tales hallazgos conformar\xE1n la base para las revisiones\
            \ adecuadas de los componentes pertinentes del marco de gesti\xF3n del\
            \ riesgo relacionado con las TIC a que se refiere el art\xEDculo 6, apartado\
            \ 1."
    - urn: urn:intuitem:risk:req_node:dora:13.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.4'
      description: Financial entities shall monitor the effectiveness of the implementation
        of their digital operational resilience strategy set out in Article 6(8).
        They shall map the evolution of ICT risk over time, analyse the frequency,
        types, magnitude and evolution of ICT-related incidents, in particular cyber-attacks
        and their patterns, with a view to understanding the level of ICT risk exposure,
        in particular in relation to critical or important functions, and enhance
        the cyber maturity and preparedness of the financial entity.
      translations:
        es:
          name: null
          description: "Las entidades financieras har\xE1n un seguimiento de la efectividad\
            \ de la aplicaci\xF3n de su estrategia de resiliencia operativa digital\
            \ establecida en el art\xEDculo 6, apartado 8. Cartografiar\xE1n la evoluci\xF3\
            n del riesgo relacionado con las TIC a lo largo del tiempo, analizar\xE1\
            n la frecuencia, los tipos, la magnitud y la evoluci\xF3n de los incidentes\
            \ relacionados con las TIC, en particular los ciberataques y sus patrones,\
            \ con el fin de comprender el nivel de exposici\xF3n al riesgo relacionado\
            \ con las TIC, en particular por cuanto ata\xF1e a funciones esenciales\
            \ o importantes, y mejorar la madurez y preparaci\xF3n cibern\xE9ticas\
            \ de la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:13.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.5'
      description: Senior ICT staff shall report at least yearly to the management
        body on the findings referred to in paragraph 3 and put forward recommendations.
      translations:
        es:
          name: null
          description: "El personal directivo responsable de las TIC informar\xE1\
            \ al menos una vez al a\xF1o al \xF3rgano de direcci\xF3n de los hallazgos\
            \ a que se refiere el apartado 3 y formular\xE1 recomendaciones."
    - urn: urn:intuitem:risk:req_node:dora:13.6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.6'
      description: Financial entities shall develop ICT security awareness programmes
        and digital operational resilience training as compulsory modules in their
        staff training schemes. Those programmes and training shall be applicable
        to all employees and to senior management staff, and shall have a level of
        complexity commensurate to the remit of their functions. Where appropriate,
        financial entities shall also include ICT third-party service providers in
        their relevant training schemes in accordance with Article 30(2), point (i).
      translations:
        es:
          name: null
          description: "Las entidades financieras desarrollar\xE1n programas de sensibilizaci\xF3\
            n en materia de seguridad de las TIC y formaci\xF3n sobre resiliencia\
            \ operativa digital, que constituir\xE1n m\xF3dulos obligatorios en sus\
            \ programas de formaci\xF3n del personal. Esos programas y acciones formativas\
            \ ser\xE1n aplicables a todos los empleados y al personal de alta direcci\xF3\
            n y tendr\xE1n un nivel de complejidad acorde con las atribuciones de\
            \ sus funciones. Cuando proceda, las entidades financieras tambi\xE9n\
            \ incluir\xE1n a proveedores terceros de servicios de TIC en sus planes\
            \ de formaci\xF3n pertinentes de conformidad con el art\xEDculo 30, apartado\
            \ 2, letra i)."
    - urn: urn:intuitem:risk:req_node:dora:13.7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node303
      ref_id: '13.7'
      description: Financial entities, other than microenterprises, shall monitor
        relevant technological developments on a continuous basis, also with a view
        to understanding the possible impact of the deployment of such new technologies
        on ICT security requirements and digital operational resilience. They shall
        keep up-to-date with the latest ICT risk management processes, in order to
        effectively combat current or new forms of cyber-attacks.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas supervisar\xE1\
            n continuamente los avances tecnol\xF3gicos pertinentes, tambi\xE9n con\
            \ vistas a comprender las posibles repercusiones del despliegue de esas\
            \ nuevas tecnolog\xEDas en los requisitos de seguridad de las TIC y la\
            \ resiliencia operativa digital. Se mantendr\xE1n al d\xEDa de los \xFA\
            ltimos procesos de gesti\xF3n del riesgo relacionado con las TIC, para\
            \ luchar efectivamente contra las formas existentes o nuevas de ciberataques."
    - urn: urn:intuitem:risk:req_node:dora:node316
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 14
      description: Communication
      translations:
        es:
          name: "Art\xEDculo 14"
          description: "Comunicaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:14.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node316
      ref_id: '14.1'
      description: As part of the ICT risk management framework referred to in Article
        6(1), financial entities shall have in place crisis communication plans enabling
        a responsible disclosure of, at least, major ICT-related incidents or vulnerabilities
        to clients and counterparts as well as to the public, as appropriate.
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6, apartado 1, las entidades\
            \ financieras dispondr\xE1n de planes de comunicaci\xF3n de crisis que\
            \ permitan la divulgaci\xF3n responsable de, al menos, los incidentes\
            \ graves relacionados con las TIC o las vulnerabilidades importantes a\
            \ clientes y contrapartes, as\xED como al p\xFAblico, seg\xFAn proceda."
    - urn: urn:intuitem:risk:req_node:dora:14.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node316
      ref_id: '14.2'
      description: As part of the ICT risk management framework, financial entities
        shall implement communication policies for internal staff and for external
        stakeholders. Communication policies for staff shall take into account the
        need to differentiate between staff involved in ICT risk management, in particular
        the staff responsible for response and recovery, and staff that needs to be
        informed.
      translations:
        es:
          name: null
          description: "Como parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC, las entidades financieras aplicar\xE1n pol\xEDticas de\
            \ comunicaci\xF3n destinadas al personal interno y a las partes interesadas\
            \ externas. Las pol\xEDticas de comunicaci\xF3n destinadas al personal\
            \ tendr\xE1n en cuenta la necesidad de diferenciar entre el personal que\
            \ participa en la gesti\xF3n del riesgo relacionado con las TIC, en particular\
            \ el personal responsable de la respuesta y la recuperaci\xF3n, y el personal\
            \ al que es necesario informar."
    - urn: urn:intuitem:risk:req_node:dora:14.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node316
      ref_id: '14.3'
      description: At least one person in the financial entity shall be tasked with
        implementing the communication strategy for ICT- related incidents and fulfil
        the public and media function for that purpose.
      translations:
        es:
          name: null
          description: "Al menos una persona de la entidad financiera se encargar\xE1\
            \ de aplicar la estrategia de comunicaci\xF3n sobre incidentes relacionados\
            \ con las TIC y desempe\xF1ar\xE1 a tal efecto la funci\xF3n de portavoz\
            \ ante el p\xFAblico y los medios de comunicaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:node320
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 15
      description: Further harmonisation of ICT risk management tools, methods, processes
        and policies
      translations:
        es:
          name: "Art\xEDculo 15"
          description: "Mayor armonizaci\xF3n de las herramientas, m\xE9todos, procesos\
            \ y pol\xEDticas de gesti\xF3n del riesgo relacionado con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:node321
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node320
      description: "The ESAs shall, through the Joint Committee, in consultation with\
        \ the European Union Agency on Cybersecurity (ENISA), develop common draft\
        \ regulatory technical standards in order to:\n(a)\tspecify further elements\
        \ to be included in the ICT security policies, procedures, protocols and tools\
        \ referred to in Article 9(2), with a view to ensuring the security of networks,\
        \ enable adequate safeguards against intrusions and data misuse, preserve\
        \ the availability, authenticity, integrity and confidentiality of data, including\
        \ cryptographic techniques, and guarantee an accurate and prompt data transmission\
        \ without major disruptions and undue delays;\n(b)\tdevelop further components\
        \ of the controls of access management rights referred to in Article 9(4),\
        \ point (c), and associated human resource policy specifying access rights,\
        \ procedures for granting and revoking rights, monitoring anomalous behaviour\
        \ in relation to ICT risk through appropriate indicators, including for network\
        \ use patterns, hours, IT activity and unknown devices;\n(c)\tdevelop further\
        \ the mechanisms specified in Article 10(1) enabling a prompt detection of\
        \ anomalous activities and the criteria set out in Article 10(2) triggering\
        \ ICT-related incident detection and response processes;\n(d)\tspecify further\
        \ the components of the ICT business continuity policy referred to in Article\
        \ 11(1);\n(e)\tspecify further the testing of ICT business continuity plans\
        \ referred to in Article 11(6) to ensure that such testing duly takes into\
        \ account scenarios in which the quality of the provision of a critical or\
        \ important function deteriorates to an unacceptable level or fails, and duly\
        \ considers the potential impact of the insolvency, or other failures, of\
        \ any relevant ICT third-party service provider and, where relevant, the political\
        \ risks in the respective providers\u2019 jurisdictions;\n(f)\tspecify further\
        \ the components of the ICT response and recovery plans referred to in Article\
        \ 11(3);\n(g)\tspecifying further the content and format of the report on\
        \ the review of the ICT risk management framework referred to in Article 6(5);\n\
        When developing those draft regulatory technical standards, the ESAs shall\
        \ take into account the size and the overall risk profile of the financial\
        \ entity, and the nature, scale and complexity of its services, activities\
        \ and operations, while duly taking into consideration any specific feature\
        \ arising from the distinct nature of activities across different financial\
        \ services sectors.\nThe ESAs shall submit those draft regulatory technical\
        \ standards to the Commission by 17 January 2024.\nPower is delegated to the\
        \ Commission to supplement this Regulation by adopting the regulatory technical\
        \ standards referred to in the first paragraph in accordance with Articles\
        \ 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No\
        \ 1095/2010."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en consulta con la Agencia de la Uni\xF3n Europea\
            \ para la Ciberseguridad (ENISA), desarrollar\xE1 normas t\xE9cnicas de\
            \ regulaci\xF3n comunes a fin de:\n\na) especificar otros elementos que\
            \ deban incluirse en las pol\xEDticas, procedimientos, protocolos y herramientas\
            \ en materia de seguridad de las TIC a que se refiere el art\xEDculo 9,\
            \ apartado 2, con vistas a garantizar la seguridad de las redes, activar\
            \ salvaguardias adecuadas contra las intrusiones y el uso indebido de\
            \ los datos, preservar la disponibilidad, autenticidad, integridad y confidencialidad\
            \ de los datos, incluidas las t\xE9cnicas criptogr\xE1ficas, y garantizar\
            \ una transmisi\xF3n exacta y r\xE1pida de los datos sin perturbaciones\
            \ importantes ni demoras indebidas;\n\nb) desarrollar nuevos componentes\
            \ de los controles de los derechos de gesti\xF3n de accesos a que se refiere\
            \ el art\xEDculo 9, apartado 4, letra c), y la correspondiente pol\xED\
            tica de recursos humanos, especificando los derechos de acceso, los procedimientos\
            \ de concesi\xF3n y revocaci\xF3n de derechos, el seguimiento de comportamientos\
            \ an\xF3malos en relaci\xF3n con los riesgos relacionados con las TIC\
            \ a trav\xE9s de indicadores adecuados, tambi\xE9n para los patrones de\
            \ uso de la red, las horas, la actividad inform\xE1tica y los dispositivos\
            \ desconocidos;\n\nc) desarrollar m\xE1s detalladamente los mecanismos\
            \ especificados en el art\xEDculo 10, apartado 1, que permitan la r\xE1\
            pida detecci\xF3n de actividades an\xF3malas y los criterios establecidos\
            \ en el art\xEDculo 10, apartado 2, que activen los procesos de detecci\xF3\
            n de incidentes relacionados con las TIC y de respuesta a los mismos;\n\
            \nd) especificar m\xE1s detalladamente los componentes de la pol\xEDtica\
            \ de continuidad de la actividad en materia de TIC a que se refiere el\
            \ art\xEDculo 11, apartado 1;\n\ne) especificar m\xE1s detalladamente\
            \ las pruebas de los planes de continuidad de la actividad en materia\
            \ de TIC a que se refiere el art\xEDculo 11, apartado 6, a fin de garantizar\
            \ que dichas pruebas tengan debidamente en cuenta los escenarios en los\
            \ que la calidad de la ejecuci\xF3n de una funci\xF3n esencial o importante\
            \ se deteriore hasta un nivel inaceptable o falle, as\xED como el impacto\
            \ potencial de la insolvencia u otros fallos de cualquier proveedor tercero\
            \ de servicios de TIC pertinente y, cuando proceda, los riesgos pol\xED\
            ticos en los pa\xEDses o territorios de los proveedores de que se trate;\n\
            \nf) especificar m\xE1s detalladamente los componentes de los planes de\
            \ respuesta y recuperaci\xF3n en materia de TIC a que se refiere el art\xED\
            culo 11, apartado 3;\n\ng) especificar en mayor medida el contenido y\
            \ el formato del informe sobre la revisi\xF3n del marco de gesti\xF3n\
            \ del riesgo relacionado con las TIC a que se refiere el art\xEDculo 6,\
            \ apartado 5.\n\nAl desarrollar dichos proyectos de normas t\xE9cnicas\
            \ de regulaci\xF3n, las Autoridades Europeas de Supervisi\xF3n deber\xE1\
            n tener en cuenta el tama\xF1o y el perfil de riesgo general de la entidad\
            \ financiera, as\xED como la naturaleza, la escala y la complejidad de\
            \ sus servicios, actividades y operaciones, y tener al mismo tiempo debidamente\
            \ presente cualquier caracter\xEDstica espec\xEDfica derivada de la distinta\
            \ naturaleza de las actividades en los distintos sectores de los servicios\
            \ financieros.\n\nLas Autoridades Europeas de Supervisi\xF3n presentar\xE1\
            n a la Comisi\xF3n dichos proyectos de normas t\xE9cnicas de regulaci\xF3\
            n a m\xE1s tardar el 17 de enero de 2024.\nSe delegan en la Comisi\xF3\
            n los poderes para completar el presente Reglamento mediante la adopci\xF3\
            n de las normas t\xE9cnicas de regulaci\xF3n a que se refiere el p\xE1\
            rrafo primero de conformidad con los art\xEDculos 10 a 14 del Reglamento\
            \ (UE) n.o 1093/2010, los art\xEDculos 10 a 14 del Reglamento (UE) n.o\
            \ 1094/2010 y los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node322
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node209
      name: Article 16
      description: Simplified ICT risk management framework
      translations:
        es:
          name: "Art\xEDculo 16"
          description: "Marco simplificado de gesti\xF3n del riesgo relacionado con\
            \ las TIC"
    - urn: urn:intuitem:risk:req_node:dora:16.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node322
      ref_id: '16.1'
      description: Articles 5 to 15 of this Regulation shall not apply to small and
        non-interconnected investment firms, payment institutions exempted pursuant
        to Directive (EU) 2015/2366; institutions exempted pursuant to Directive 2013/36/EU
        in respect of which Member States have decided not to apply the option referred
        to in Article 2(4) of this Regulation; electronic money institutions exempted
        pursuant to Directive 2009/110/EC; and small institutions for occupational
        retirement provision.
      translations:
        es:
          name: null
          description: "Los art\xEDculos 5 a 15 del presente Reglamento no se aplicar\xE1\
            n a las empresas de servicios de inversi\xF3n peque\xF1as y no interconectadas\
            \ ni a las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366;\
            \ ni a las entidades exentas en virtud de la Directiva 2013/36/UE respecto\
            \ de las cuales los Estados miembros hayan decidido no aplicar la opci\xF3\
            n a que se refiere el art\xEDculo 2, apartado 4, del presente Reglamento,\
            \ ni a las entidades de dinero electr\xF3nico exentas en virtud de la\
            \ Directiva 2009/110/CE; ni a los fondos de pensiones de empleo peque\xF1\
            os."
    - urn: urn:intuitem:risk:req_node:dora:node324
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node322
      description: 'Without prejudice to the first subparagraph, the entities listed
        in the first subparagraph shall:'
      translations:
        es:
          name: null
          description: "Sin perjuicio de lo dispuesto en el p\xE1rrafo primero, las\
            \ entidades enumeradas en el p\xE1rrafo primero deber\xE1n:"
    - urn: urn:intuitem:risk:req_node:dora:16.1.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.a
      description: put in place and maintain a sound and documented ICT risk management
        framework that details the mechanisms and measures aimed at a quick, efficient
        and comprehensive management of ICT risk, including for the protection of
        relevant physical components and infrastructures;
      translations:
        es:
          name: null
          description: "crear y mantener un marco de gesti\xF3n s\xF3lido y documentado\
            \ de riesgos relacionados con las TIC en el que se detallen los mecanismos\
            \ y las medidas encaminados a procurar una gesti\xF3n r\xE1pida, efectiva\
            \ y global del riesgo relacionado con las TIC, incluida la protecci\xF3\
            n de las infraestructuras y los componentes f\xEDsicos pertinentes;"
    - urn: urn:intuitem:risk:req_node:dora:16.1.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.b
      description: continuously monitor the security and functioning of all ICT systems;
      translations:
        es:
          name: null
          description: supervisar de manera permanente la seguridad y el funcionamiento
            de todos los sistemas de TIC;
    - urn: urn:intuitem:risk:req_node:dora:16.1.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.c
      description: minimise the impact of ICT risk through the use of sound, resilient
        and updated ICT systems, protocols and tools which are appropriate to support
        the performance of their activities and the provision of services and adequately
        protect availability, authenticity, integrity and confidentiality of data
        in the network and information systems;
      translations:
        es:
          name: null
          description: "minimizar las consecuencias del riesgo relacionado con las\
            \ TIC mediante el uso de sistemas, protocolos y herramientas de TIC s\xF3\
            lidos, resilientes y actualizados que sean apropiados para sustentar el\
            \ desempe\xF1o de sus actividades y la prestaci\xF3n de servicios y para\
            \ proteger adecuadamente la disponibilidad, autenticidad, integridad y\
            \ confidencialidad de los datos en las redes y sistemas de informaci\xF3\
            n;"
    - urn: urn:intuitem:risk:req_node:dora:16.1.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.d
      description: allow sources of ICT risk and anomalies in the network and information
        systems to be promptly identified and detected and ICT-related incidents to
        be swiftly handled;
      translations:
        es:
          name: null
          description: "permitir que las fuentes de riesgo relacionado con las TIC\
            \ y las anomal\xEDas en las redes y sistemas de informaci\xF3n se identifiquen\
            \ y detecten de inmediato y que los incidentes relacionados con las TIC\
            \ se gestionen con rapidez;"
    - urn: urn:intuitem:risk:req_node:dora:16.1.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.e
      description: identify key dependencies on ICT third-party service providers;
      translations:
        es:
          name: null
          description: identificar dependencias clave de proveedores terceros de servicios
            de TIC;
    - urn: urn:intuitem:risk:req_node:dora:16.1.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.f
      description: ensure the continuity of critical or important functions, through
        business continuity plans and response and recovery measures, which include,
        at least, back-up and restoration measures;
      translations:
        es:
          name: null
          description: "garantizar la continuidad de las funciones esenciales o importantes\
            \ mediante planes de continuidad de la actividad y medidas de respuesta\
            \ y recuperaci\xF3n que incluyan, al menos, medidas de respaldo y restablecimiento\
            \ de datos;"
    - urn: urn:intuitem:risk:req_node:dora:16.1.g
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.g
      description: test, on a regular basis, the plans and measures referred to in
        point (f), as well as the effectiveness of the controls implemented in accordance
        with points (a) and (c);
      translations:
        es:
          name: null
          description: "someter a pruebas peri\xF3dicas los planes y medidas a que\
            \ se refiere la letra f), as\xED como la eficacia de los controles llevados\
            \ a cabo de conformidad con las letras a) y c);"
    - urn: urn:intuitem:risk:req_node:dora:16.1.h
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node324
      ref_id: 16.1.h
      description: implement, as appropriate, relevant operational conclusions resulting
        from the tests referred to in point (g) and from post-incident analysis into
        the ICT risk assessment process and develop, according to needs and ICT risk
        profile, ICT security awareness programmes and digital operational resilience
        training for staff and management.
      translations:
        es:
          name: null
          description: "aplicar, seg\xFAn proceda, las conclusiones operativas pertinentes\
            \ resultantes de las pruebas a que se refiere la letra g) y de los an\xE1\
            lisis tras incidentes al proceso de evaluaci\xF3n del riesgo relacionado\
            \ con las TIC y desarrollar, de acuerdo con las necesidades y el perfil\
            \ de riesgo de TIC, programas de sensibilizaci\xF3n en materia de seguridad\
            \ de las TIC y formaci\xF3n en materia de resiliencia operativa digital\
            \ para el personal y la direcci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:16.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node322
      ref_id: '16.2'
      description: The ICT risk management framework referred to in paragraph 1, second
        subparagraph, point (a), shall be documented and reviewed periodically and
        upon the occurrence of major ICT-related incidents in compliance with supervisory
        instructions. It shall be continuously improved on the basis of lessons derived
        from implementation and monitoring. A report on the review of the ICT risk
        management framework shall be submitted to the competent authority upon its
        request.
      translations:
        es:
          name: null
          description: "El marco de gesti\xF3n del riesgo relacionado con las TIC\
            \ a que se refiere el apartado 1, p\xE1rrafo segundo, letra a), se documentar\xE1\
            \ y revisar\xE1 peri\xF3dicamente y cuando se produzcan incidentes graves\
            \ relacionados con las TIC, de conformidad con las instrucciones de supervisi\xF3\
            n. Se mejorar\xE1 continuamente sobre la base de las ense\xF1anzas derivadas\
            \ de la aplicaci\xF3n y el seguimiento. Se presentar\xE1 a la autoridad\
            \ competente cuando esta lo solicite un informe sobre la revisi\xF3n del\
            \ marco de gesti\xF3n del riesgo relacionado con las TIC."
    - urn: urn:intuitem:risk:req_node:dora:16.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node322
      ref_id: '16.3'
      description: "The ESAs shall, through the Joint Committee, in consultation with\
        \ the ENISA, develop common draft regulatory technical standards in order\
        \ to:\n(a)\tspecify further the elements to be included in the ICT risk management\
        \ framework referred to in paragraph 1, second subparagraph, point (a);\n\
        (b)\tspecify further the elements in relation to systems, protocols and tools\
        \ to minimise the impact of ICT risk referred to in paragraph 1, second subparagraph,\
        \ point (c), with a view to ensuring the security of networks, enabling adequate\
        \ safeguards against intrusions and data misuse and preserving the availability,\
        \ authenticity, integrity and confidentiality of data;\n(c)\tspecify further\
        \ the components of the ICT business continuity plans referred to in paragraph\
        \ 1, second subparagraph, point (f);\n(d)\tspecify further the rules on the\
        \ testing of business continuity plans and ensure the effectiveness of the\
        \ controls referred to in paragraph 1, second subparagraph, point (g) and\
        \ ensure that such testing duly takes into account scenarios in which the\
        \ quality of the provision of a critical or important function deteriorates\
        \ to an unacceptable level or fails;\n(e)\tspecify further the content and\
        \ format of the report on the review of the ICT risk management framework\
        \ referred to in paragraph 2.\nWhen developing those draft regulatory technical\
        \ standards, the ESAs shall take into account the size and the overall risk\
        \ profile of the financial entity, and the nature, scale and complexity of\
        \ its services, activities and operations.\nThe ESAs shall submit those draft\
        \ regulatory technical standards to the Commission by 17 January 2024.\nPower\
        \ is delegated to the Commission to supplement this Regulation by adopting\
        \ the regulatory technical standards referred to in the first subparagraph\
        \ in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU)\
        \ No 1094/2010 and (EU) No 1095/2010."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en consulta con la ENISA, desarrollar\xE1n proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n comunes a fin de:\n\na) especificar\
            \ m\xE1s detalladamente los elementos que deben incluirse en el marco\
            \ de gesti\xF3n del riesgo relacionado con las TIC a que se refiere el\
            \ apartado 1, p\xE1rrafo segundo, letra a);\n\nb) especificar m\xE1s detalladamente\
            \ los elementos en relaci\xF3n con los sistemas, protocolos y herramientas\
            \ para minimizar las consecuencias del riesgo relacionado con las TIC\
            \ a que se refiere el apartado 1, p\xE1rrafo segundo, letra c), con el\
            \ fin de garantizar la seguridad de las redes, permitir el establecimiento\
            \ de salvaguardias adecuadas contra las intrusiones y el uso indebido\
            \ de los datos y preservar la disponibilidad, autenticidad, integridad\
            \ y confidencialidad de los datos;\n\nc) especificar m\xE1s detalladamente\
            \ los componentes de los planes de continuidad de la actividad en materia\
            \ de TIC a que se refiere el apartado 1, p\xE1rrafo segundo, letra f);\n\
            \nd) especificar m\xE1s detalladamente las normas sobre las pruebas de\
            \ los planes de continuidad de la actividad y garantizar la efectividad\
            \ de los controles a que se refiere el apartado 1, p\xE1rrafo segundo,\
            \ letra g), y asegurar que estas pruebas tengan debidamente en cuenta\
            \ escenarios en los que la calidad de la ejecuci\xF3n de una funci\xF3\
            n esencial o importante se deteriore hasta un nivel inaceptable o falle;\n\
            \ne) especificar m\xE1s detalladamente el contenido y el formato del informe\
            \ sobre la revisi\xF3n del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el apartado 2.\n\nA la hora de elaborar\
            \ dichos proyectos de normas t\xE9cnicas de regulaci\xF3n, las Autoridades\
            \ Europeas de Supervisi\xF3n tendr\xE1n en cuenta el tama\xF1o y el perfil\
            \ de riesgo general de la entidad financiera, as\xED como la naturaleza,\
            \ escala y complejidad de sus servicios, actividades y operaciones.\n\n\
            Las Autoridades Europeas de Supervisi\xF3n presentar\xE1n a la Comisi\xF3\
            n dichos proyectos de normas t\xE9cnicas de regulaci\xF3n a m\xE1s tardar\
            \ el 17 de enero de 2024.\n\nSe delegan en la Comisi\xF3n los poderes\
            \ para completar el presente Reglamento mediante la adopci\xF3n de las\
            \ normas t\xE9cnicas de regulaci\xF3n a que se refiere el p\xE1rrafo primero\
            \ de conformidad con los art\xEDculos 10 a 14 del Reglamento (UE) n.o\
            \ 1093/2010, los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1094/2010\
            \ y los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node335
      assessable: false
      depth: 1
      name: CHAPTER III
      description: ICT-related incident management, classification and reporting
      translations:
        es:
          name: "CAP\xCDTULO III"
          description: "Gesti\xF3n, clasificaci\xF3n y notificaci\xF3n de incidentes\
            \ relacionados con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:node336
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 17
      description: ICT-related incident management process
      translations:
        es:
          name: "Art\xEDculo 17"
          description: "Proceso de gesti\xF3n de incidentes relacionados con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node336
      ref_id: '17.1'
      description: Financial entities shall define, establish and implement an ICT-related
        incident management process to detect, manage and notify ICT-related incidents.
      translations:
        es:
          name: null
          description: "Las entidades financieras definir\xE1n, establecer\xE1n y\
            \ aplicar\xE1n un proceso de gesti\xF3n de incidentes relacionados con\
            \ las TIC para detectar, gestionar y notificar dichos incidentes."
    - urn: urn:intuitem:risk:req_node:dora:17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node336
      ref_id: '17.2'
      description: Financial entities shall record all ICT-related incidents and significant
        cyber threats. Financial entities shall establish appropriate procedures and
        processes to ensure a consistent and integrated monitoring, handling and follow-up
        of ICT- related incidents, to ensure that root causes are identified, documented
        and addressed in order to prevent the occurrence of such incidents.
      translations:
        es:
          name: null
          description: "Las entidades financieras registrar\xE1n todos los incidentes\
            \ relacionados con las TIC y las ciberamenazas importantes. Las entidades\
            \ financieras establecer\xE1n los procedimientos y procesos adecuados\
            \ para que los incidentes relacionados con las TIC sean objeto de un seguimiento,\
            \ un tratamiento y una respuesta coherentes e integrados, a fin de asegurarse\
            \ de que se identifiquen, se documenten y se aborden las causas subyacentes\
            \ para evitar que se produzcan."
    - urn: urn:intuitem:risk:req_node:dora:17.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node336
      ref_id: '17.3'
      description: 'The ICT-related incident management process referred to in paragraph
        1 shall:'
      translations:
        es:
          name: null
          description: "El proceso de gesti\xF3n de incidentes relacionados con las\
            \ TIC mencionado en el apartado 1:"
    - urn: urn:intuitem:risk:req_node:dora:17.3.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.a
      description: put in place early warning indicators;
      translations:
        es:
          name: null
          description: "establecer\xE1 indicadores de alerta temprana;"
    - urn: urn:intuitem:risk:req_node:dora:17.3.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.b
      description: establish procedures to identify, track, log, categorise and classify
        ICT-related incidents according to their priority and severity and according
        to the criticality of the services impacted, in accordance with the criteria
        set out in Article 18(1);
      translations:
        es:
          name: null
          description: "establecer\xE1 procedimientos para identificar, rastrear,\
            \ registrar, categorizar y clasificar los incidentes relacionados con\
            \ las TIC en funci\xF3n de su prioridad y gravedad y en funci\xF3n del\
            \ car\xE1cter esencial de los servicios perjudicados, conforme a los criterios\
            \ establecidos en el art\xEDculo 18, apartado 1;"
    - urn: urn:intuitem:risk:req_node:dora:17.3.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.c
      description: assign roles and responsibilities that need to be activated for
        different ICT-related incident types and scenarios;
      translations:
        es:
          name: null
          description: "asignar\xE1 funciones y responsabilidades que deban activarse\
            \ para los diferentes tipos y escenarios de incidentes relacionados con\
            \ las TIC;"
    - urn: urn:intuitem:risk:req_node:dora:17.3.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.d
      description: set out plans for communication to staff, external stakeholders
        and media in accordance with Article 14 and for notification to clients, for
        internal escalation procedures, including ICT-related customer complaints,
        as well as for the provision of information to financial entities that act
        as counterparts, as appropriate;
      translations:
        es:
          name: null
          description: "expondr\xE1 planes para la comunicaci\xF3n con el personal,\
            \ las partes interesadas externas y los medios de comunicaci\xF3n de conformidad\
            \ con el art\xEDculo 14, para la notificaci\xF3n a los clientes, para\
            \ los procedimientos internos de traslado a la instancia jer\xE1rquica\
            \ superior, que abarquen tambi\xE9n las reclamaciones de los clientes\
            \ relacionadas con las TIC, as\xED como para el suministro de informaci\xF3\
            n a las entidades financieras que act\xFAen como contraparte, seg\xFA\
            n proceda;"
    - urn: urn:intuitem:risk:req_node:dora:17.3.e
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.e
      description: ensure that at least major ICT-related incidents are reported to
        relevant senior management and inform the management body of at least major
        ICT-related incidents, explaining the impact, response and additional controls
        to be established as a result of such ICT-related incidents;
      translations:
        es:
          name: null
          description: "garantizar\xE1 que al menos los incidentes graves relacionados\
            \ con las TIC se pongan en conocimiento de los altos directivos pertinentes\
            \ y que se informe de ellos al \xF3rgano de direcci\xF3n, explicando sus\
            \ repercusiones, las medidas adoptadas como respuesta y los controles\
            \ adicionales que se prev\xE9 implantar como resultado de estos incidentes\
            \ graves relacionados con las TIC;"
    - urn: urn:intuitem:risk:req_node:dora:17.3.f
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:17.3
      ref_id: 17.3.f
      description: establish ICT-related incident response procedures to mitigate
        impacts and ensure that services become operational and secure in a timely
        manner.
      translations:
        es:
          name: null
          description: "establecer\xE1 procedimientos de respuesta a los incidentes\
            \ relacionados con las TIC para mitigar sus repercusiones y garantizar\
            \ que los servicios sean nuevamente operativos y seguros de manera oportuna."
    - urn: urn:intuitem:risk:req_node:dora:node346
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 18
      description: Classification of ICT-related incidents and cyber threats
      translations:
        es:
          name: "Art\xEDculo 18"
          description: "Clasificaci\xF3n de los incidentes relacionados con las TIC\
            \ y las ciberamenazas"
    - urn: urn:intuitem:risk:req_node:dora:18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node346
      ref_id: '18.1'
      description: 'Financial entities shall classify ICT-related incidents and shall
        determine their impact based on the following criteria:'
      translations:
        es:
          name: null
          description: "Las entidades financieras clasificar\xE1n los incidentes relacionados\
            \ con las TIC y determinar\xE1n su repercusi\xF3n con arreglo a los siguientes\
            \ criterios:"
    - urn: urn:intuitem:risk:req_node:dora:18.1.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.a
      description: the number and/or relevance of clients or financial counterparts
        affected and, where applicable, the amount or number of transactions affected
        by the ICT-related incident, and whether the ICT-related incident has caused
        reputational impact;
      translations:
        es:
          name: null
          description: "n\xFAmero y/o pertinencia de los clientes o las contrapartes\
            \ financieras afectados y, cuando proceda, la cantidad o el n\xFAmero\
            \ de transacciones afectadas por el incidente relacionado con las TIC,\
            \ y si dicho incidente ha repercutido en la reputaci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:18.1.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.b
      description: the duration of the ICT-related incident, including the service
        downtime;
      translations:
        es:
          name: null
          description: "duraci\xF3n del incidente relacionado con las TIC, incluida\
            \ la duraci\xF3n de la interrupci\xF3n del servicio;"
    - urn: urn:intuitem:risk:req_node:dora:18.1.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.c
      description: the geographical spread with regard to the areas affected by the
        ICT-related incident, particularly if it affects more than two Member States;
      translations:
        es:
          name: null
          description: "extensi\xF3n geogr\xE1fica de las zonas afectadas por el incidente\
            \ relacionado con las TIC, en especial si afecta a m\xE1s de dos Estados\
            \ miembros;"
    - urn: urn:intuitem:risk:req_node:dora:18.1.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.d
      description: the data losses that the ICT-related incident entails, in relation
        to availability, authenticity, integrity or confidentiality of data;
      translations:
        es:
          name: null
          description: "p\xE9rdidas de datos que el incidente relacionado con las\
            \ TIC acarree, en relaci\xF3n con la disponibilidad, la autenticidad,\
            \ la integridad o la confidencialidad de los datos;"
    - urn: urn:intuitem:risk:req_node:dora:18.1.e
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.e
      description: "the criticality of the services affected, including the financial\
        \ entity\u2019s transactions and operations;"
      translations:
        es:
          name: null
          description: "car\xE1cter esencial de los servicios afectados, incluidas\
            \ las transacciones y operaciones de la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:18.1.f
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:18.1
      ref_id: 18.1.f
      description: the economic impact, in particular direct and indirect costs and
        losses, of the ICT-related incident in both absolute and relative terms.
      translations:
        es:
          name: null
          description: "las consecuencias econ\xF3micas, en particular los costes\
            \ y las p\xE9rdidas directos e indirectos, del incidente relacionado con\
            \ las TIC, tanto en t\xE9rminos absolutos como relativos."
    - urn: urn:intuitem:risk:req_node:dora:18.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node346
      ref_id: '18.2'
      description: "Financial entities shall classify cyber threats as significant\
        \ based on the criticality of the services at risk, including the financial\
        \ entity\u2019s transactions and operations, number and/or relevance of clients\
        \ or financial counterparts targeted and the geographical spread of the areas\
        \ at risk."
      translations:
        es:
          name: null
          description: "Las entidades financieras clasificar\xE1n las ciberamenazas\
            \ como importantes en funci\xF3n del car\xE1cter esencial de los servicios\
            \ en situaci\xF3n de riesgo, incluidas las transacciones y operaciones\
            \ de la entidad financiera, el n\xFAmero y/o la pertinencia de los clientes\
            \ o de las contrapartes financieras a las que se dirigen las amenazas\
            \ y la extensi\xF3n geogr\xE1fica de las zonas de riesgo."
    - urn: urn:intuitem:risk:req_node:dora:18.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node346
      ref_id: '18.3'
      description: "The ESAs shall, through the Joint Committee and in consultation\
        \ with the ECB and ENISA, develop common draft regulatory technical standards\
        \ further specifying the following:\n(a)\tthe criteria set out in paragraph\
        \ 1, including materiality thresholds for determining major ICT-related incidents\
        \ or, as applicable, major operational or security payment-related incidents,\
        \ that are subject to the reporting obligation laid down in Article 19(1);\n\
        (b)\tthe criteria to be applied by competent authorities for the purpose of\
        \ assessing the relevance of major ICT-related incidents or, as applicable,\
        \ major operational or security payment-related incidents, to relevant competent\
        \ authorities in other Member States\u2019, and the details of reports of\
        \ major ICT-related incidents or, as applicable, major operational or security\
        \ payment-related incidents, to be shared with other competent authorities\
        \ pursuant to Article 19(6) and (7);\n(c)\tthe criteria set out in paragraph\
        \ 2 of this Article, including high materiality thresholds for determining\
        \ significant cyber threats."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en consulta con el BCE y la ENISA, elaborar\xE1n proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n comunes en las que se especificar\xE1\
            \ m\xE1s detalladamente lo siguiente:\n\na) los criterios expuestos en\
            \ el apartado 1, y en concreto los umbrales de importancia relativa para\
            \ determinar los incidentes graves relacionados con las TIC o, seg\xFA\
            n corresponda, los incidentes operativos o de seguridad graves relacionados\
            \ con los pagos que son de obligada notificaci\xF3n con arreglo al art\xED\
            culo 19, apartado 1;\n\nb) los criterios que deber\xE1n aplicar las autoridades\
            \ competentes para evaluar la relevancia de los incidentes graves relacionados\
            \ con las TIC o, seg\xFAn corresponda, los incidentes operativos o de\
            \ seguridad graves relacionados con los pagos, para las autoridades competentes\
            \ pertinentes de otros Estados miembros, y los detalles de las notificaciones\
            \ de incidentes graves relacionados con las TIC o, seg\xFAn corresponda,\
            \ incidentes operativos o de seguridad graves relacionados con los pagos,\
            \ que deber\xE1n compartirse con otras autoridades competentes en virtud\
            \ del art\xEDculo 19, apartados 6 y 7;\n\nc) los criterios establecidos\
            \ en el apartado 2 del presente art\xEDculo, incluidos umbrales de importancia\
            \ relativa elevados para determinar las ciberamenazas importantes."
    - urn: urn:intuitem:risk:req_node:dora:18.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node346
      ref_id: '18.4'
      description: 'When developing the common draft regulatory technical standards
        referred to in paragraph 3 of this Article, the ESAs shall take into account
        the criteria set out in Article 4(2), as well as international standards,
        guidance and specifications developed and published by ENISA, including, where
        appropriate, specifications for other economic sectors. For the purposes of
        applying the criteria set out in Article 4(2), the ESAs shall duly consider
        the need for microenterprises and small and medium-sized enterprises to mobilise
        sufficient resources and capabilities to ensure that ICT-related incidents
        are managed swiftly.

        The ESAs shall submit those common draft regulatory technical standards to
        the Commission by 17 January 2024.

        Power is delegated to the Commission to supplement this Regulation by adopting
        the regulatory technical standards referred to in paragraph 3 in accordance
        with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No 1094/2010
        and (EU) No 1095/2010.'
      translations:
        es:
          name: null
          description: "Cuando elaboren los proyectos de normas t\xE9cnicas de regulaci\xF3\
            n comunes a que se refiere el apartado 3 del presente art\xEDculo, las\
            \ Autoridades Europeas de Supervisi\xF3n tendr\xE1n en cuenta los criterios\
            \ establecidos en el art\xEDculo 4, apartado 2, as\xED como las normas\
            \ internacionales, las orientaciones y las especificaciones elaboradas\
            \ y publicadas por la ENISA, incluidas, cuando proceda, las especificaciones\
            \ para otros sectores econ\xF3micos. A efectos de la aplicaci\xF3n de\
            \ los criterios establecidos en el art\xEDculo 4, apartado 2, las Autoridades\
            \ Europeas de Supervisi\xF3n tendr\xE1n debidamente en cuenta la necesidad\
            \ de que las microempresas y las peque\xF1as y medianas empresas movilicen\
            \ recursos y capacidades suficientes para garantizar una gesti\xF3n r\xE1\
            pida de los incidentes relacionado con las TIC.\n\nLas Autoridades Europeas\
            \ de Supervisi\xF3n presentar\xE1n a la Comisi\xF3n dichos proyectos de\
            \ normas t\xE9cnicas de regulaci\xF3n comunes a m\xE1s tardar el 17 de\
            \ enero de 2024.\n\nSe delegan en la Comisi\xF3n los poderes para completar\
            \ el presente Reglamento mediante la adopci\xF3n de las normas t\xE9cnicas\
            \ de regulaci\xF3n a que se refiere el apartado 3 de conformidad con los\
            \ art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xEDculos 10\
            \ a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node357
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 19
      description: Reporting of major ICT-related incidents and voluntary notification
        of significant cyber threats
      translations:
        es:
          name: "Art\xEDculo 19"
          description: "Notificaci\xF3n de los incidentes graves relacionados con\
            \ las TIC y notificaci\xF3n voluntaria de las ciberamenazas importantes"
    - urn: urn:intuitem:risk:req_node:dora:19.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.1'
      description: Financial entities shall report major ICT-related incidents to
        the relevant competent authority as referred to in Article 46 in accordance
        with paragraph 4 of this Article.
      translations:
        es:
          name: null
          description: "Las entidades financieras notificar\xE1n los incidentes graves\
            \ relacionados con las TIC a la autoridad competente pertinente a que\
            \ se refiere el art\xEDculo 46, de conformidad con el apartado 4 del presente\
            \ art\xEDculo."
    - urn: urn:intuitem:risk:req_node:dora:node359
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: Where a financial entity is subject to supervision by more than
        one national competent authority referred to in Article 46, Member States
        shall designate a single competent authority as the relevant competent authority
        responsible for carrying out the functions and duties provided for in this
        Article.
      translations:
        es:
          name: null
          description: "Cuando una entidad financiera sea supervisada por m\xE1s de\
            \ una autoridad nacional competente contemplada en el art\xEDculo 46,\
            \ los Estados miembros designar\xE1n a una \xFAnica autoridad competente\
            \ autoridad competente pertinente responsable del desempe\xF1o de las\
            \ funciones y tareas establecidas en el presente art\xEDculo."
    - urn: urn:intuitem:risk:req_node:dora:node360
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: Credit institutions classified as significant, in accordance with
        Article 6(4) of Regulation (EU) No 1024/2013, shall report major ICT-related
        incidents to the relevant national competent authority designated in accordance
        with Article 4 of Directive 2013/36/EU, which shall immediately transmit that
        report to the ECB.
      translations:
        es:
          name: null
          description: "Las entidades de cr\xE9dito clasificadas como significativas\
            \ de conformidad con el art\xEDculo 6, apartado 4, del Reglamento (UE)\
            \ n.o 1024/2013 notificar\xE1n los incidentes graves relacionados con\
            \ las TIC a la autoridad nacional competente pertinente designada con\
            \ arreglo al art\xEDculo 4 de la Directiva 2013/36/UE, que transmitir\xE1\
            \ dicho informe de forma inmediata al BCE."
    - urn: urn:intuitem:risk:req_node:dora:node361
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: For the purpose of the first subparagraph, financial entities shall
        produce, after collecting and analysing all relevant information, the initial
        notification and reports referred to in paragraph 4 of this Article using
        the templates referred to in Article 20 and submit them to the competent authority.
        In the event that a technical impossibility prevents the submission of the
        initial notification using the template, financial entities shall notify the
        competent authority about it via alternative means.
      translations:
        es:
          name: null
          description: "A los efectos del p\xE1rrafo primero, tras recopilar y analizar\
            \ toda la informaci\xF3n pertinente, las entidades financieras elaborar\xE1\
            n la notificaci\xF3n inicial y los informes a que se refiere el apartado\
            \ 4 del presente art\xEDculo mediante la plantilla a que se refiere el\
            \ art\xEDculo 20 y los presentar\xE1n a la autoridad competente. En caso\
            \ de que un impedimento t\xE9cnico haga imposible la presentaci\xF3n de\
            \ la notificaci\xF3n inicial mediante la plantilla, las entidades financieras\
            \ presentar\xE1n la notificaci\xF3n a la autoridad competente por medios\
            \ alternativos."
    - urn: urn:intuitem:risk:req_node:dora:node362
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: The initial notification and reports referred to in paragraph 4
        shall include all information necessary for the competent authority to determine
        the significance of the major ICT-related incident and assess possible cross-border
        impacts.
      translations:
        es:
          name: null
          description: "La notificaci\xF3n inicial y los informes a que hace referencia\
            \ el apartado 4 incluir\xE1n toda la informaci\xF3n necesaria para que\
            \ la autoridad competente pueda determinar la importancia del incidente\
            \ grave relacionado con las TIC y evaluar sus posibles efectos transfronterizos."
    - urn: urn:intuitem:risk:req_node:dora:node363
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: Without prejudice to the reporting pursuant to the first subparagraph
        by the financial entity to the relevant competent authority, Member States
        may additionally determine that some or all financial entities shall also
        provide the initial notification and each report referred to in paragraph
        4 of this Article using the templates referred to in Article 20 to the competent
        authorities or the computer security incident response teams (CSIRTs) designated
        or established in accordance with Directive (EU) 2022/2555.
      translations:
        es:
          name: null
          description: "Sin perjuicio de la notificaci\xF3n en virtud del p\xE1rrafo\
            \ primero por parte de la entidad financiera a la autoridad competente\
            \ pertinente, los Estados miembros podr\xE1n determinar de manera adicional\
            \ que algunas entidades financieras, o todas ellas, presenten tambi\xE9\
            n la notificaci\xF3n inicial y cada uno de los informes a que se refiere\
            \ el apartado 4 del presente art\xEDculo, utilizando las plantillas mencionadas\
            \ en el art\xEDculo 20, a las autoridades competentes o a los equipos\
            \ de respuesta a incidentes de seguridad inform\xE1tica (CSIRT), designados\
            \ o establecidos de conformidad con la Directiva (UE) 2022/2555."
    - urn: urn:intuitem:risk:req_node:dora:19.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.2'
      description: Financial entities may, on a voluntary basis, notify significant
        cyber threats to the relevant competent authority when they deem the threat
        to be of relevance to the financial system, service users or clients. The
        relevant competent authority may provide such information to other relevant
        authorities referred to in paragraph 6.
      translations:
        es:
          name: null
          description: "Las entidades financieras podr\xE1n notificar, de manera voluntaria,\
            \ ciberamenazas importantes a la autoridad competente pertinente cuando\
            \ consideren que la amenaza es pertinente para el sistema financiero,\
            \ los usuarios del servicio o los clientes. La autoridad competente pertinente\
            \ podr\xE1 transmitir esta informaci\xF3n a otras autoridades pertinentes\
            \ mencionadas en el apartado 6."
    - urn: urn:intuitem:risk:req_node:dora:node365
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: Credit institutions classified as significant, in accordance with
        Article 6(4) of Regulation (EU) No 1024/2013, may, on a voluntary basis, notify
        significant cyber threats to relevant national competent authority, designated
        in accordance with Article 4 of Directive 2013/36/EU, which shall immediately
        transmit the notification to the ECB.
      translations:
        es:
          name: null
          description: "Las entidades de cr\xE9dito clasificadas como significativas\
            \ de conformidad con el art\xEDculo 6, apartado 4, del Reglamento (UE)\
            \ n.o 1024/2013 podr\xE1n, de manera voluntaria, notificar las ciberamenazas\
            \ importantes a la autoridad nacional competente pertinente designada\
            \ con arreglo al art\xEDculo 4 de la Directiva 2013/36/UE, que transmitir\xE1\
            \ dicho informe de forma inmediata al BCE."
    - urn: urn:intuitem:risk:req_node:dora:node366
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: Member States may determine that those financial entities that
        on a voluntary basis notify in accordance with the first subparagraph may
        also transmit that notification to the CSIRTs designated or established in
        accordance with Directive (EU) 2022/2555.
      translations:
        es:
          name: null
          description: "Los Estados miembros podr\xE1n determinar que las entidades\
            \ financieras que notifiquen voluntariamente de conformidad con el p\xE1\
            rrafo primero puedan tambi\xE9n transmitir dicha notificaci\xF3n a los\
            \ CSIRT designados o establecidos de conformidad con la Directiva (UE)\
            \ 2022/2555."
    - urn: urn:intuitem:risk:req_node:dora:19.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.3'
      description: Where a major ICT-related incident occurs and has an impact on
        the financial interests of clients, financial entities shall, without undue
        delay as soon as they become aware of it, inform their clients about the major
        ICT-related incident and about the measures that have been taken to mitigate
        the adverse effects of such incident.
      translations:
        es:
          name: null
          description: "Cuando se produzca un incidente grave relacionado con las\
            \ TIC y tenga consecuencias para los intereses financieros de los clientes,\
            \ las entidades financieras informar\xE1n sin demora indebida de dicho\
            \ incidente tan pronto como tengan conocimiento del mismo, a sus clientes\
            \ y les comunicar\xE1n todas las medidas que se hayan adoptado para mitigar\
            \ sus efectos adversos."
    - urn: urn:intuitem:risk:req_node:dora:node368
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      description: In the case of a significant cyber threat, financial entities shall,
        where applicable, inform their clients that are potentially affected of any
        appropriate protection measures which the latter may consider taking.
      translations:
        es:
          name: null
          description: "En caso de ciberamenaza importante, las entidades financieras\
            \ informar\xE1n, cuando proceda, a aquellos de sus clientes que pudieran\
            \ verse afectados de cualquier medida de protecci\xF3n adecuada que estos\
            \ consideren oportuno adoptar."
    - urn: urn:intuitem:risk:req_node:dora:19.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.4'
      description: 'Financial entities shall, within the time limits to be laid down
        in accordance with Article 20, first paragraph, point (a), point (ii), submit
        the following to the relevant competent authority:'
      translations:
        es:
          name: null
          description: "Las entidades financieras presentar\xE1n a la autoridad competente\
            \ pertinente, dentro de los plazos que se establezcan de conformidad con\
            \ el art\xEDculo 20, p\xE1rrafo primero, letra a), inciso ii), la siguiente\
            \ informaci\xF3n:"
    - urn: urn:intuitem:risk:req_node:dora:19.4.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:19.4
      ref_id: 19.4.a
      description: an initial notification;
      translations:
        es:
          name: null
          description: "una notificaci\xF3n inicial;"
    - urn: urn:intuitem:risk:req_node:dora:19.4.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:19.4
      ref_id: 19.4.b
      description: an intermediate report after the initial notification referred
        to in point (a), as soon as the status of the original incident has changed
        significantly or the handling of the major ICT-related incident has changed
        based on new information available, followed, as appropriate, by updated notifications
        every time a relevant status update is available, as well as upon a specific
        request of the competent authority;
      translations:
        es:
          name: null
          description: "un informe intermedio posterior a la notificaci\xF3n inicial\
            \ a que se refiere la letra a), tan pronto como la situaci\xF3n del incidente\
            \ original haya cambiado considerablemente o la gesti\xF3n del incidente\
            \ grave relacionado con las TIC haya cambiado en funci\xF3n de las \xFA\
            ltimas informaciones disponibles, seguido, cuando sea necesario, de notificaciones\
            \ actualizadas cada vez que se disponga de una actualizaci\xF3n pertinente\
            \ de la situaci\xF3n, y siempre que lo solicite expresamente la autoridad\
            \ competente;"
    - urn: urn:intuitem:risk:req_node:dora:19.4.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:19.4
      ref_id: 19.4.c
      description: a final report, when the root cause analysis has been completed,
        regardless of whether mitigation measures have already been implemented, and
        when the actual impact figures are available to replace estimates.
      translations:
        es:
          name: null
          description: "un informe final, cuando haya concluido el an\xE1lisis de\
            \ la causa subyacente, con independencia de que ya se hayan aplicado medidas\
            \ paliativas, y cuando se disponga de las cifras reales de incidencia\
            \ para sustituir a las estimaciones."
    - urn: urn:intuitem:risk:req_node:dora:19.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.5'
      description: Financial entities may outsource, in accordance with Union and
        national sectoral law, the reporting obligations under this Article to a third-party
        service provider. In case of such outsourcing, the financial entity remains
        fully responsible for the fulfilment of the incident reporting requirements.
      translations:
        es:
          name: null
          description: "Las entidades financieras podr\xE1n externalizar, de conformidad\
            \ con el Derecho sectorial de la Uni\xF3n y nacional, las obligaciones\
            \ de informaci\xF3n establecidas en el presente art\xEDculo a un proveedor\
            \ tercero de servicios. En el caso de tal externalizaci\xF3n, la entidad\
            \ financiera seguir\xE1 siendo plenamente responsable del cumplimiento\
            \ de los requisitos en materia de notificaci\xF3n de incidentes."
    - urn: urn:intuitem:risk:req_node:dora:19.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.6'
      description: "Upon receipt of the initial notification and of each report referred\
        \ to in paragraph 4, the competent authority shall, in a timely manner, provide\
        \ details of the major ICT-related incident to the following recipients based,\
        \ as applicable, on their respective competences:\n(a)\tEBA, ESMA or EIOPA;\n\
        (b)\tthe ECB, in the case of financial entities referred to in Article 2(1),\
        \ points (a), (b) and (d);\n(c)\tthe competent authorities, single points\
        \ of contact or CSIRTs designated or established in accordance with Directive\
        \ (EU) 2022/2555;\n(d)\tthe resolution authorities, as referred to in Article\
        \ 3 of Directive 2014/59/EU, and the Single Resolution Board (SRB) with respect\
        \ to entities referred to in Article 7(2) of Regulation (EU) No 806/2014 of\
        \ the European Parliament and of the Council (37), and with respect to entities\
        \ and groups referred to in Article 7(4)(b) and (5) of Regulation (EU) No\
        \ 806/2014 if such details concern incidents that pose a risk to ensuring\
        \ critical functions within the meaning of Article 2(1), point (35), of Directive\
        \ 2014/59/EU; and\n(e)\tother relevant public authorities under national law."
      translations:
        es:
          name: null
          description: "Una vez reciba la notificaci\xF3n inicial y de cada uno de\
            \ los informes a que se refiere el apartado 4, la autoridad competente\
            \ facilitar\xE1 oportunamente informaci\xF3n detallada sobre el incidente\
            \ grave relacionado con las TIC a los siguientes destinatarios en funci\xF3\
            n, seg\xFAn proceda, de sus competencias respectivas:\n\na) la ABE, la\
            \ AEVM o la AESPJ;\n\nb) el BCE en el caso de las entidades financieras\
            \ a que se refiere el art\xEDculo 2, apartado 1, letras a), b) y d);\n\
            \nc) las autoridades competentes, los puntos de contacto \xFAnicos o los\
            \ CSIRT designados o establecidos de conformidad con la Directiva (UE)\
            \ 2022/2555;\n\nd) las autoridades de resoluci\xF3n a que se refiere el\
            \ art\xEDculo 3 de la Directiva 2014/59/UE, y la Junta \xDAnica de Resoluci\xF3\
            n con respecto a las entidades a que se refiere el art\xEDculo 7, apartado\
            \ 2, del Reglamento (UE) n.o 806/2014 del Parlamento Europeo y del Consejo\
            \ (37) y con respecto a las entidades y grupos a que se refiere el art\xED\
            culo 7, apartado 4, letra b), y apartado 5, del Reglamento (UE) n.o 806/2014\
            \ en caso de que dicha informaci\xF3n detallada haga referencia a incidentes\
            \ que suponen un riesgo para garantizar funciones esenciales en el sentido\
            \ del art\xEDculo 2, apartado 1, punto 35, de la Directiva 2014/59/UE,\
            \ y\n\ne) otras autoridades p\xFAblicas pertinentes con arreglo al Derecho\
            \ nacional."
    - urn: urn:intuitem:risk:req_node:dora:19.7
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.7'
      description: Following receipt of information in accordance with paragraph 6,
        EBA, ESMA or EIOPA and the ECB, in consultation with ENISA and in cooperation
        with the relevant competent authority, shall assess whether the major ICT-related
        incident is relevant for competent authorities in other Member States. Following
        that assessment, EBA, ESMA or EIOPA shall, as soon as possible, notify relevant
        competent authorities in other Member States accordingly. The ECB shall notify
        the members of the European System of Central Banks on issues relevant to
        the payment system. Based on that notification, the competent authorities
        shall, where appropriate, take all of the necessary measures to protect the
        immediate stability of the financial system.
      translations:
        es:
          name: null
          description: "Una vez recibida la informaci\xF3n de conformidad con el apartado\
            \ 6, la ABE, la AEVM o la AESPJ y el BCE, en consulta con la ENISA y en\
            \ cooperaci\xF3n con la autoridad competente pertinente, evaluar\xE1n\
            \ si el incidente grave relacionado con las TIC es pertinente para las\
            \ autoridades competentes de otros Estados miembros. Tras esta evaluaci\xF3\
            n, la ABE, la AEVM o la AESPJ notificar\xE1n en consecuencia lo antes\
            \ posible a las autoridades competentes pertinentes de otros Estados miembros.\
            \ El BCE notificar\xE1 las cuestiones pertinentes para el sistema de pagos\
            \ a los miembros del Sistema Europeo de Bancos Centrales. Bas\xE1ndose\
            \ en dicha notificaci\xF3n, las autoridades competentes tomar\xE1n, en\
            \ su caso, las medidas necesarias para proteger la estabilidad inmediata\
            \ del sistema financiero."
    - urn: urn:intuitem:risk:req_node:dora:node375-2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node357
      ref_id: '19.8'
      description: The notification to be done by ESMA pursuant to paragraph 7 of
        this Article shall be without prejudice to the responsibility of the competent
        authority to urgently transmit the details of the major ICT-related incident
        to the relevant authority in the host Member State, where a central securities
        depository has significant cross-border activity in the host Member State,
        the major ICT-related incident is likely to have severe consequences for the
        financial markets of the host Member State and where there are cooperation
        arrangements among competent authorities related to the supervision of financial
        entities.
      translations:
        es:
          name: null
          description: "La notificaci\xF3n que debe efectuar la AEVM en virtud del\
            \ apartado 7 del presente art\xEDculo se entiende sin perjuicio de la\
            \ responsabilidad de la autoridad competente de transmitir urgentemente\
            \ la informaci\xF3n detallada sobre el incidente grave relacionado con\
            \ las TIC a la autoridad pertinente del Estado miembro de acogida cuando\
            \ un depositario central de valores tenga una actividad transfronteriza\
            \ significativa en el Estado miembro de acogida, cuando el incidente grave\
            \ relacionado con las TIC pueda tener consecuencias graves para los mercados\
            \ financieros del Estado miembro de acogida y cuando existan acuerdos\
            \ de cooperaci\xF3n entre las autoridades competentes en relaci\xF3n con\
            \ la supervisi\xF3n de las entidades financieras."
    - urn: urn:intuitem:risk:req_node:dora:node376
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 20
      description: Harmonisation of reporting content and templates
      translations:
        es:
          name: "Art\xEDculo 20"
          description: "Armonizaci\xF3n del contenido de la informaci\xF3n y las plantillas\
            \ para presentarla"
    - urn: urn:intuitem:risk:req_node:dora:20.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node376
      ref_id: '20.1'
      description: "The ESAs, through the Joint Committee, and in consultation with\
        \ ENISA and the ECB, shall develop:\n(a)\tcommon draft regulatory technical\
        \ standards in order to:\n(i) establish the content of the reports for major\
        \ ICT-related incidents in order to reflect the criteria laid down in Article\
        \ 18(1) and incorporate further elements, such as details for establishing\
        \ the relevance of the reporting for other Member States and whether it constitutes\
        \ a major operational or security payment-related incident or not; (ii) determine\
        \ the time limits for the initial notification and for each report referred\
        \ to in Article 19(4);\n(iii) establish the content of the notification for\
        \ significant cyber threats.\nWhen developing those draft regulatory technical\
        \ standards, the ESAs shall take into account the size and the overall risk\
        \ profile of the financial entity, and the nature, scale and complexity of\
        \ its services, activities and operations, and in particular, with a view\
        \ to ensuring that, for the purposes of this paragraph, point (a), point (ii),\
        \ different time limits may reflect, as appropriate, specificities of financial\
        \ sectors, without prejudice to maintaining a consistent approach to ICT-related\
        \ incident reporting pursuant to this Regulation and to Directive (EU) 2022/2555.\
        \ The ESAs shall, as applicable, provide justification when deviating from\
        \ the approaches taken in the context of that Directive;\n(b)\tcommon draft\
        \ implementing technical standards in order to establish the standard forms,\
        \ templates and procedures for financial entities to report a major ICT-related\
        \ incident and to notify a significant cyber threat.\nThe ESAs shall submit\
        \ the common draft regulatory technical standards referred to in the first\
        \ paragraph, point (a), and the common draft implementing technical standards\
        \ referred to in the first paragraph, point (b), to the Commission by 17 July\
        \ 2024.\nPower is delegated to the Commission to supplement this Regulation\
        \ by adopting the common regulatory technical standards referred to in the\
        \ first paragraph, point (a), in accordance with Articles 10 to 14 of Regulations\
        \ (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010.\nPower is conferred\
        \ on the Commission to adopt the common implementing technical standards referred\
        \ to in the first paragraph, point (b), in accordance with Article 15 of Regulations\
        \ (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en consulta con la ENISA y el BCE, elaborar\xE1n:\n\
            \na) proyectos de normas t\xE9cnicas de regulaci\xF3n comunes a fin de:\n\
            \n  i) establecer el contenido de los informes respecto de incidentes\
            \ graves relacionados con las TIC, a fin de reflejar los criterios establecidos\
            \ en el art\xEDculo 18, apartado 1, e incorporar elementos adicionales,\
            \ como informaci\xF3n detallada para determinar la pertinencia de la informaci\xF3\
            n para otros Estados miembros y si constituye o no un incidente operativo\
            \ o de seguridad grave relacionado con los pagos,\n\n  ii) determinar\
            \ los plazos para la notificaci\xF3n inicial y para cada uno de los informes\
            \ a que se refiere el art\xEDculo 19, apartado 4,\n\n  iii) establecer\
            \ el contenido de la notificaci\xF3n en el caso de las ciberamenazas importantes.\n\
            \n  Al elaborar dichos proyectos de normas t\xE9cnicas de regulaci\xF3\
            n, las Autoridades Europeas de Supervisi\xF3n tendr\xE1n en cuenta el\
            \ tama\xF1o y el perfil de riesgo general de la entidad financiera, as\xED\
            \ como la naturaleza, escala y complejidad de sus servicios, actividades\
            \ y operaciones, en particular con el fin de garantizar que, a los efectos\
            \ de la letra a), inciso ii), del presente p\xE1rrafo, se puedan reflejar\
            \ con plazos diferentes, en su caso, las particularidades de los sectores\
            \ financieros, sin perjuicio del mantenimiento de un enfoque coherente\
            \ de la notificaci\xF3n de incidentes relacionados con las TIC en virtud\
            \ del presente Reglamento y de la Directiva (UE) 2022/2555. Las Autoridades\
            \ Europeas de Supervisi\xF3n justificar\xE1n, en su caso, las desviaciones\
            \ de los enfoques adoptados en el contexto de dicha Directiva;\n\nb) proyectos\
            \ de normas t\xE9cnicas de ejecuci\xF3n comunes para establecer los formularios,\
            \ las plantillas y los procedimientos normalizados que deber\xE1n aplicar\
            \ las entidades financieras para informar de un incidente grave relacionado\
            \ con las TIC y para notificar una ciberamenaza importante.\n\nLas Autoridades\
            \ Europeas de Supervisi\xF3n presentar\xE1n a la Comisi\xF3n los proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n comunes a que se refiere el p\xE1\
            rrafo primero, letra a), y los proyectos de normas t\xE9cnicas de ejecuci\xF3\
            n comunes a que se refiere el p\xE1rrafo primero, letra b), a m\xE1s tardar\
            \ el 17 de julio de 2024.\n\nSe delegan en la Comisi\xF3n los poderes\
            \ para completar el presente Reglamento mediante la adopci\xF3n de las\
            \ normas t\xE9cnicas de regulaci\xF3n a que se refiere el p\xE1rrafo primero,\
            \ letra a), del presente art\xEDculo de conformidad con los art\xEDculos\
            \ 10 a 14 del Reglamento (UE) n.o 1093/2010, los art\xEDculos 10 a 14\
            \ del Reglamento (UE) n.o 1094/2010 y los art\xEDculos 10 a 14 del Reglamento\
            \ (UE) n.o 1095/2010.\n\nSe otorgan a la Comisi\xF3n competencias para\
            \ adoptar las normas t\xE9cnicas de ejecuci\xF3n a que se refiere el p\xE1\
            rrafo primero, letra b), del presente art\xEDculo de conformidad con el\
            \ art\xEDculo 15 del Reglamento (UE) n.o 1093/2010, el art\xEDculo 15\
            \ del Reglamento (UE) n.o 1094/2010 y el art\xEDculo 15 del Reglamento\
            \ (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node378
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 21
      description: Centralisation of reporting of major ICT-related incidents
      translations:
        es:
          name: "Art\xEDculo 21"
          description: "Centralizaci\xF3n de la informaci\xF3n sobre los incidentes\
            \ graves relacionados con las TIC"
    - urn: urn:intuitem:risk:req_node:dora:21.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node378
      ref_id: '21.1'
      description: The ESAs, through the Joint Committee, and in consultation with
        the ECB and ENISA, shall prepare a joint report assessing the feasibility
        of further centralisation of incident reporting through the establishment
        of a single EU Hub for major ICT-related incident reporting by financial entities.
        The joint report shall explore ways to facilitate the flow of ICT- related
        incident reporting, reduce associated costs and underpin thematic analyses
        with a view to enhancing supervisory convergence.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en consulta con el BCE y la ENISA, preparar\xE1n un\
            \ informe conjunto en el que se evaluar\xE1 la viabilidad de centralizar\
            \ m\xE1s la informaci\xF3n sobre incidentes mediante la creaci\xF3n de\
            \ un centro \xFAnico de la UE para la presentaci\xF3n de informaci\xF3\
            n sobre incidentes graves relacionados con las TIC por las entidades financieras.\
            \ En el informe conjunto se estudiar\xE1n maneras de facilitar la circulaci\xF3\
            n de la informaci\xF3n sobre incidentes graves relacionados con las TIC,\
            \ reducir los costes asociados y sustentar an\xE1lisis tem\xE1ticos con\
            \ el fin de mejorar la convergencia de la supervisi\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:21.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node378
      ref_id: '21.2'
      description: "The joint report referred to in paragraph 1 shall comprise at\
        \ least the following elements:\n(a)\tprerequisites for the establishment\
        \ of a single EU Hub;\n(b)\tbenefits, limitations and risks, including risks\
        \ associated with the high concentration of sensitive information;\n(c)\t\
        the necessary capability to ensure interoperability with regard to other relevant\
        \ reporting schemes;\n(d)\telements of operational management;\n(e)\tconditions\
        \ of membership;\n(f)\ttechnical arrangements for financial entities and national\
        \ competent authorities to access the single EU Hub;\n(g)\ta preliminary assessment\
        \ of financial costs incurred by setting-up the operational platform supporting\
        \ the single EU Hub, including the requisite expertise."
      translations:
        es:
          name: null
          description: "El informe conjunto al que se refiere el apartado 1 incluir\xE1\
            \ al menos los siguientes elementos:\n\na) requisitos indispensables para\
            \ la creaci\xF3n de un centro \xFAnico de la UE;\nb) ventajas, limitaciones\
            \ y riesgos, incluidos los riesgos asociados a la elevada concentraci\xF3\
            n de informaci\xF3n sensible;\nc) la capacidad necesaria para garantizar\
            \ la interoperabilidad con respecto a otros sistemas de notificaci\xF3\
            n pertinentes;\nd) elementos de gesti\xF3n operativa;\ne) condiciones\
            \ de participaci\xF3n;\nf) modalidades t\xE9cnicas de acceso al centro\
            \ \xFAnico de la UE para las entidades financieras y las autoridades nacionales\
            \ competentes;\ng) evaluaci\xF3n preliminar de los costes financieros\
            \ que conllevar\xEDa la creaci\xF3n de la plataforma operativa que sustentar\xED\
            a el centro \xFAnico de la UE, incluidos los conocimientos especializados\
            \ necesarios."
    - urn: urn:intuitem:risk:req_node:dora:21.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node378
      ref_id: '21.3'
      description: The ESAs shall submit the report referred to in paragraph 1 to
        the European Parliament, to the Council and to the Commission by 17 January
        2025.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n presentar\xE1n\
            \ el informe a que se refiere el apartado 1 al Parlamento Europeo, al\
            \ Consejo y a la Comisi\xF3n a m\xE1s tardar el 17 de enero de 2025."
    - urn: urn:intuitem:risk:req_node:dora:node382
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 22
      description: Supervisory feedback
      translations:
        es:
          name: "Art\xEDculo 22"
          description: "Observaciones de las autoridades de supervisi\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:22.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node382
      ref_id: '22.1'
      description: Without prejudice to the technical input, advice or remedies and
        subsequent follow-up which may be provided, where applicable, in accordance
        with national law, by the CSIRTs under Directive (EU) 2022/2555, the competent
        authority shall, upon receipt of the initial notification and of each report
        as referred to in Article 19(4), acknowledge receipt and may, where feasible,
        provide in a timely manner relevant and proportionate feedback or high-level
        guidance to the financial entity, in particular by making available any relevant
        anonymised information and intelligence on similar threats, and may discuss
        remedies applied at the level of the financial entity and ways to minimise
        and mitigate adverse impact across the financial sector. Without prejudice
        to the supervisory feedback received, financial entities shall remain fully
        responsible for the handling and for consequences of the ICT-related incidents
        reported pursuant to Article 19(1).
      translations:
        es:
          name: null
          description: "Sin perjuicio de las aportaciones t\xE9cnicas, el asesoramiento\
            \ o las medidas correctoras y el seguimiento posterior que puedan facilitar,\
            \ cuando proceda y de conformidad con el Derecho nacional, los CSIRT con\
            \ arreglo a la Directiva (UE) 2022/2555, la autoridad competente, tras\
            \ recibirlos, deber\xE1 acusar recibo de la notificaci\xF3n inicial y\
            \ de cada uno de los informes a que se refiere el art\xEDculo 19, apartado\
            \ 4, podr\xE1, cuando sea posible, proporcionar de forma oportuna a la\
            \ entidad financiera observaciones pertinentes y proporcionadas u orientaci\xF3\
            n de alto nivel, en particular poniendo a su disposici\xF3n cualquier\
            \ informaci\xF3n o inteligencia anonimizadas pertinentes relativas a amenazas\
            \ similares, y podr\xE1 abordar las medidas correctoras aplicadas a nivel\
            \ de la entidad financiera y las formas de minimizar y mitigar las repercusiones\
            \ negativas en el sector financiero. Sin perjuicio de las observaciones\
            \ de las autoridades de supervisi\xF3n, las entidades financieras seguir\xE1\
            n siendo plenamente responsables de la gesti\xF3n de los incidentes relacionados\
            \ con las TIC notificados en virtud del art\xEDculo 19, apartado 1, as\xED\
            \ como de sus consecuencias."
    - urn: urn:intuitem:risk:req_node:dora:22.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node382
      ref_id: '22.2'
      description: The ESAs shall, through the Joint Committee, on an anonymised and
        aggregated basis, report yearly on major ICT- related incidents, the details
        of which shall be provided by competent authorities in accordance with Article
        19(6), setting out at least the number of major ICT-related incidents, their
        nature and their impact on the operations of financial entities or clients,
        remedial actions taken and costs incurred.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, informar\xE1n anualmente, utilizando datos anonimizados\
            \ y agregados, sobre los incidentes graves relacionados con las TIC, a\
            \ cuyo respecto las autoridades competentes facilitar\xE1n informaci\xF3\
            n detallada de conformidad con el art\xEDculo 19, apartado 6, indicando\
            \ al menos el n\xFAmero de incidentes graves relacionados con las TIC,\
            \ su naturaleza y su repercusi\xF3n en las operaciones de las entidades\
            \ financieras o de los clientes, las medidas correctoras tomadas y los\
            \ costes soportados."
    - urn: urn:intuitem:risk:req_node:dora:22.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node382
      ref_id: '22.3'
      description: The ESAs shall issue warnings and produce high-level statistics
        to support ICT threat and vulnerability assessments.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n emitir\xE1n advertencias\
            \ y elaborar\xE1n estad\xEDsticas de alto nivel para apoyar las evaluaciones\
            \ de las amenazas y las vulnerabilidades que afecten a las TIC."
    - urn: urn:intuitem:risk:req_node:dora:node386
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node335
      name: Article 23
      description: Operational or security payment-related incidents concerning credit
        institutions, payment institutions, account information service providers,
        and electronic money institutions
      translations:
        es:
          name: "Art\xEDculo 23"
          description: "Incidentes operativos o de seguridad relacionados con los\
            \ pagos que ata\xF1en a entidades de cr\xE9dito, entidades de pago, proveedores\
            \ de servicios de informaci\xF3n sobre cuentas y entidades de dinero electr\xF3\
            nico"
    - urn: urn:intuitem:risk:req_node:dora:node387
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node386
      description: The requirements laid down in this Chapter shall also apply to
        operational or security payment-related incidents and to major operational
        or security payment-related incidents, where they concern credit institutions,
        payment institutions, account information service providers, and electronic
        money institutions.
      translations:
        es:
          name: null
          description: "Los requisitos establecidos en el presente cap\xEDtulo se\
            \ aplicar\xE1n tambi\xE9n a los incidentes operativos o de seguridad,\
            \ graves o no, relacionados con los pagos cuando ata\xF1an a entidades\
            \ de cr\xE9dito, entidades de pago, proveedores de servicios de informaci\xF3\
            n sobre cuentas y entidades de dinero electr\xF3nico."
    - urn: urn:intuitem:risk:req_node:dora:node388
      assessable: false
      depth: 1
      name: Chapter IV
      description: Digital operational resilience testing
      translations:
        es:
          name: "CAP\xCDTULO IV"
          description: Pruebas de resiliencia operativa digital
    - urn: urn:intuitem:risk:req_node:dora:node389
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node388
      name: Article 24
      description: General requirements for the performance of digital operational
        resilience testing
      translations:
        es:
          name: "Art\xEDculo 24"
          description: "Requisitos generales para la realizaci\xF3n de pruebas de\
            \ resiliencia operativa digital"
    - urn: urn:intuitem:risk:req_node:dora:24.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.1'
      description: For the purpose of assessing preparedness for handling ICT-related
        incidents, of identifying weaknesses, deficiencies and gaps in digital operational
        resilience, and of promptly implementing corrective measures, financial entities,
        other than microenterprises, shall, taking into account the criteria set out
        in Article 4(2), establish, maintain and review a sound and comprehensive
        digital operational resilience testing programme as an integral part of the
        ICT risk-management framework referred to in Article 6.
      translations:
        es:
          name: null
          description: "A fin de evaluar el estado de preparaci\xF3n para gestionar\
            \ incidentes relacionados con las TIC, o de detectar debilidades, deficiencias\
            \ y carencias en materia de resiliencia operativa digital y de aplicar\
            \ sin demora medidas correctoras, las entidades financieras que no sean\
            \ microempresas establecer\xE1n, mantendr\xE1n y revisar\xE1n, teniendo\
            \ en cuenta los criterios establecidos en el art\xEDculo 4, apartado 2,\
            \ un programa de pruebas de resiliencia operativa digital s\xF3lido y\
            \ completo que forme parte del marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC a que se refiere el art\xEDculo 6."
    - urn: urn:intuitem:risk:req_node:dora:24.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.2'
      description: The digital operational resilience testing programme shall include
        a range of assessments, tests, methodologies, practices and tools to be applied
        in accordance with Articles 25 and 26.
      translations:
        es:
          name: null
          description: "El programa de pruebas de resiliencia operativa digital incluir\xE1\
            \ una serie de evaluaciones, pruebas, m\xE9todos, pr\xE1cticas y herramientas\
            \ que se aplicar\xE1n de conformidad con los art\xEDculos 25 y 26."
    - urn: urn:intuitem:risk:req_node:dora:24.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.3'
      description: When conducting the digital operational resilience testing programme
        referred to in paragraph 1 of this Article, financial entities, other than
        microenterprises, shall follow a risk-based approach taking into account the
        criteria set out in Article 4(2) duly considering the evolving landscape of
        ICT risk, any specific risks to which the financial entity concerned is or
        might be exposed, the criticality of information assets and of services provided,
        as well as any other factor the financial entity deems appropriate.
      translations:
        es:
          name: null
          description: "Al llevar a cabo el programa de pruebas de resiliencia operativa\
            \ digital a que se refiere el apartado 1 del presente art\xEDculo, las\
            \ entidades financieras que no sean microempresas seguir\xE1n un enfoque\
            \ basado en el riesgo que tengan en cuenta los criterios establecidos\
            \ en el art\xEDculo 4, apartado 2, considerando debidamente el panorama\
            \ cambiante del riesgo relacionado con las TIC, todo riesgo espec\xED\
            fico al que la entidad financiera de que se trate est\xE9 o pueda estar\
            \ expuesta, el car\xE1cter esencial de los activos de informaci\xF3n y\
            \ de los servicios prestados, as\xED como cualquier otro factor que la\
            \ entidad financiera considere apropiado."
    - urn: urn:intuitem:risk:req_node:dora:24.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.4'
      description: Financial entities, other than microenterprises, shall ensure that
        tests are undertaken by independent parties, whether internal or external.
        Where tests are undertaken by an internal tester, financial entities shall
        dedicate sufficient resources and ensure that conflicts of interest are avoided
        throughout the design and execution phases of the test.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas garantizar\xE1\
            n que las pruebas sean realizadas por partes independientes, ya sean internas\
            \ o externas. Cuando un probador interno se encargue de realizar las pruebas,\
            \ las entidades financieras dedicar\xE1n recursos suficientes y garantizar\xE1\
            n que se evitan los conflictos de intereses durante todas las fases de\
            \ constituci\xF3n y ejecuci\xF3n de las pruebas."
    - urn: urn:intuitem:risk:req_node:dora:24.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.5'
      description: Financial entities, other than microenterprises, shall establish
        procedures and policies to prioritise, classify and remedy all issues revealed
        throughout the performance of the tests and shall establish internal validation
        methodologies to ascertain that all identified weaknesses, deficiencies or
        gaps are fully addressed.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas establecer\xE1\
            n procedimientos y pol\xEDticas para ordenar por prioridades, clasificar\
            \ y corregir todos los problemas descubiertos durante la realizaci\xF3\
            n de las pruebas y establecer\xE1n m\xE9todos de validaci\xF3n internos\
            \ para asegurarse de que todas las debilidades, deficiencias o carencias\
            \ sean tratadas de manera exhaustiva."
    - urn: urn:intuitem:risk:req_node:dora:24.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node389
      ref_id: '24.6'
      description: Financial entities, other than microenterprises, shall ensure,
        at least yearly, that appropriate tests are conducted on all ICT systems and
        applications supporting critical or important functions.
      translations:
        es:
          name: null
          description: "Las entidades financieras que no sean microempresas garantizar\xE1\
            n, al menos una vez al a\xF1o, que se efect\xFAen las pruebas apropiadas\
            \ de todos los sistemas y aplicaciones de TIC que sustenten funciones\
            \ esenciales o importantes."
    - urn: urn:intuitem:risk:req_node:dora:node396
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node388
      name: Article 25
      description: Testing of ICT tools and systems
      translations:
        es:
          name: "Art\xEDculo 25"
          description: Pruebas de las herramientas y los sistemas de TIC
    - urn: urn:intuitem:risk:req_node:dora:25.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node396
      ref_id: '25.1'
      description: The digital operational resilience testing programme referred to
        in Article 24 shall provide, in accordance with the criteria set out in Article
        4(2), for the execution of appropriate tests, such as vulnerability assessments
        and scans, open source analyses, network security assessments, gap analyses,
        physical security reviews, questionnaires and scanning software solutions,
        source code reviews where feasible, scenario-based tests, compatibility testing,
        performance testing, end-to-end testing and penetration testing.
      translations:
        es:
          name: null
          description: "El programa de pruebas de resiliencia operativa digital a\
            \ que se refiere el art\xEDculo 24 dispondr\xE1, de conformidad con los\
            \ criterios establecidos en el art\xEDculo 4, apartado 2, la ejecuci\xF3\
            n de las pruebas adecuadas, como evaluaciones y exploraciones de vulnerabilidad,\
            \ an\xE1lisis del software de c\xF3digo abierto, evaluaciones de seguridad\
            \ de la red, an\xE1lisis de carencias, ex\xE1menes de la seguridad f\xED\
            sica, cuestionarios y soluciones de software de detecci\xF3n, revisiones\
            \ del c\xF3digo fuente cuando sea posible, pruebas basadas en escenarios,\
            \ pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo\
            \ a extremo y pruebas de penetraci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:25.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node396
      ref_id: '25.2'
      description: Central securities depositories and central counterparties shall
        perform vulnerability assessments before any deployment or redeployment of
        new or existing applications and infrastructure components, and ICT services
        supporting critical or important functions of the financial entity.
      translations:
        es:
          name: null
          description: "Los depositarios centrales de valores y las entidades de contrapartida\
            \ central realizar\xE1n evaluaciones de vulnerabilidad antes de implantar\
            \ o reimplantar aplicaciones y componentes de infraestructuras y servicios\
            \ de TIC que sustenten funciones esenciales o importantes de la entidad\
            \ financiera nuevos o ya existentes."
    - urn: urn:intuitem:risk:req_node:dora:25.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node396
      ref_id: '25.3'
      description: "Microenterprises shall perform the tests referred to in paragraph\
        \ 1 by combining a risk-based approach with a strategic planning of ICT testing,\
        \ by duly considering the need to maintain a balanced approach between the\
        \ scale of resources and the time to be allocated to the ICT testing provided\
        \ for in this Article, on the one hand, and the urgency, type of risk, criticality\
        \ of information assets and of services provided, as well as any other relevant\
        \ factor, including the financial entity\u2019s ability to take calculated\
        \ risks, on the other hand."
      translations:
        es:
          name: null
          description: "Las microempresas realizar\xE1n las pruebas a que se refiere\
            \ el apartado 1 mediante la combinaci\xF3n de un enfoque basado en el\
            \ riesgo con una planificaci\xF3n estrat\xE9gica de las pruebas de TIC,\
            \ teniendo debidamente en cuenta la necesidad de mantener un planteamiento\
            \ equilibrado entre la dimensi\xF3n de los recursos y el tiempo que se\
            \ asigne a las pruebas de TIC previstas en el presente art\xEDculo, por\
            \ una parte, y la urgencia, el tipo de riesgo, el car\xE1cter esencial\
            \ de los activos de informaci\xF3n y de los servicios prestados, as\xED\
            \ como cualquier otro factor pertinente, incluida la capacidad de la entidad\
            \ financiera para asumir riesgos calculados, por otra."
    - urn: urn:intuitem:risk:req_node:dora:node400
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node388
      name: Article 26
      description: Advanced testing of ICT tools, systems and processes based on TLPT
      translations:
        es:
          name: "Art\xEDculo 26"
          description: "Pruebas avanzadas de las herramientas, los sistemas y los\
            \ procesos de TIC basadas en pruebas de penetraci\xF3n basadas en amenazas"
    - urn: urn:intuitem:risk:req_node:dora:26.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.1'
      description: Financial entities, other than entities referred to in Article
        16(1), first subparagraph, and other than microenterprises, which are identified
        in accordance with paragraph 8, third subparagraph, of this Article, shall
        carry out at least every 3 years advanced testing by means of TLPT. Based
        on the risk profile of the financial entity and taking into account operational
        circumstances, the competent authority may, where necessary, request the financial
        entity to reduce or increase this frequency.
      translations:
        es:
          name: null
          description: "Las entidades financieras distintas de las contempladas en\
            \ el art\xEDculo 16, apartado 1, p\xE1rrafo primero, y distintas de microempresas,\
            \ determinadas de conformidad con el apartado 8, p\xE1rrafo tercero, del\
            \ presente art\xEDculo, llevar\xE1n a cabo al menos cada tres a\xF1os\
            \ pruebas avanzadas consistentes en pruebas de penetraci\xF3n basadas\
            \ en amenazas. A partir del perfil de riesgo de la entidad financiera\
            \ y teniendo en cuenta las circunstancias operativas, la autoridad competente\
            \ podr\xE1, en caso necesario, solicitar a la entidad financiera que reduzca\
            \ o aumente esta frecuencia."
    - urn: urn:intuitem:risk:req_node:dora:26.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.2'
      description: Each threat-led penetration test shall cover several or all critical
        or important functions of a financial entity, and shall be performed on live
        production systems supporting such functions.
      translations:
        es:
          name: null
          description: "Cada una de las pruebas de penetraci\xF3n basadas en amenazas\
            \ abarcar\xE1 algunas o todas las funciones esenciales o importantes de\
            \ una entidad financiera y se realizar\xE1n sobre los sistemas de producci\xF3\
            n activos que sustenten esas funciones."
    - urn: urn:intuitem:risk:req_node:dora:node403
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: Financial entities shall identify all relevant underlying ICT systems,
        processes and technologies supporting critical or important functions and
        ICT services, including those supporting the critical or important functions
        which have been outsourced or contracted to ICT third-party service providers.
      translations:
        es:
          name: null
          description: "Las entidades financieras determinar\xE1n todos los sistemas,\
            \ procesos y tecnolog\xEDas de TIC pertinentes subyacentes que sustenten\
            \ funciones esenciales o importantes y servicios de TIC, incluidos aquellos\
            \ que sustenten los servicios y funciones esenciales o importantes externalizados\
            \ o contratados a proveedores terceros de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:node404
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: Financial entities shall assess which critical or important functions
        need to be covered by the TLPT. The result of this assessment shall determine
        the precise scope of TLPT and shall be validated by the competent authorities.
      translations:
        es:
          name: null
          description: "Las entidades financieras evaluar\xE1n qu\xE9 funciones esenciales\
            \ o importantes es necesario incluir en las pruebas de penetraci\xF3n\
            \ basadas en amenazas. El resultado de esta evaluaci\xF3n determinar\xE1\
            \ el alcance exacto de las pruebas de penetraci\xF3n basadas en amenazas\
            \ y ser\xE1 validado por las autoridades competentes."
    - urn: urn:intuitem:risk:req_node:dora:26.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.3'
      description: Where ICT third-party service providers are included in the scope
        of TLPT, the financial entity shall take the necessary measures and safeguards
        to ensure the participation of such ICT third-party service providers in the
        TLPT and shall retain at all times full responsibility for ensuring compliance
        with this Regulation.
      translations:
        es:
          name: null
          description: "Cuando haya proveedores terceros de servicios de TIC incluidos\
            \ en el \xE1mbito de cobertura de las pruebas de penetraci\xF3n basadas\
            \ en amenazas, la entidad financiera tomar\xE1 las medidas y salvaguardias\
            \ necesarias para asegurar la participaci\xF3n de estos proveedores terceros\
            \ de servicios de TIC en las pruebas de penetraci\xF3n basadas en amenazas\
            \ y mantendr\xE1 en todo momento la plena responsabilidad de garantizar\
            \ el cumplimiento del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:26.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.4'
      description: Without prejudice to paragraph 2, first and second subparagraphs,
        where the participation of an ICT third-party service provider in the TLPT,
        referred to in paragraph 3, is reasonably expected to have an adverse impact
        on the quality or security of services delivered by the ICT third-party service
        provider to customers that are entities falling outside the scope of this
        Regulation, or on the confidentiality of the data related to such services,
        the financial entity and the ICT third-party service provider may agree in
        writing that the ICT third-party service provider directly enters into contractual
        arrangements with an external tester, for the purpose of conducting, under
        the direction of one designated financial entity, a pooled TLPT involving
        several financial entities (pooled testing) to which the ICT third-party service
        provider provides ICT services.
      translations:
        es:
          name: null
          description: "Sin perjuicio de lo dispuesto en el apartado 2, p\xE1rrafos\
            \ primero y segundo, cuando quepa esperar razonablemente que la participaci\xF3\
            n de un proveedor tercero de servicios de TIC en las pruebas de penetraci\xF3\
            n basadas en amenazas a que se refiere el apartado 3 tenga una repercusi\xF3\
            n negativa en la calidad o la seguridad de los servicios prestados por\
            \ el proveedor tercero de servicios de TIC a clientes que sean entidades\
            \ excluidas del \xE1mbito de aplicaci\xF3n del presente Reglamento, o\
            \ en la confidencialidad de los datos relacionados con dichos servicios,\
            \ la entidad financiera y el proveedor tercero de servicios de TIC podr\xE1\
            n acordar por escrito que el proveedor tercero de servicios de TIC celebre\
            \ directamente un acuerdo contractual con un probador externo, a efectos\
            \ de llevar a cabo, bajo la direcci\xF3n de una entidad financiera designada,\
            \ una prueba de penetraci\xF3n basada en amenazas conjunta en la que participen\
            \ varias entidades financieras (prueba conjunta) a las que el proveedor\
            \ tercero de servicios de TIC preste servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:node407
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: That pooled testing shall cover the relevant range of ICT services
        supporting critical or important functions contracted to the respective ICT
        third-party service provider by the financial entities. The pooled testing
        shall be considered TLPT carried out by the financial entities participating
        in the pooled testing.
      translations:
        es:
          name: null
          description: "Dicha prueba conjunta abarcar\xE1 la gama pertinente de servicios\
            \ de TIC que sustenten funciones esenciales o importantes contratadas\
            \ por las entidades financieras al proveedor tercero de servicios de TIC\
            \ en cuesti\xF3n. Se considerar\xE1 que la prueba conjunta es una prueba\
            \ de penetraci\xF3n basada en amenazas realizada por las entidades financieras\
            \ que participen en ella."
    - urn: urn:intuitem:risk:req_node:dora:node408
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: The number of financial entities participating in the pooled testing
        shall be duly calibrated taking into account the complexity and types of services
        involved.
      translations:
        es:
          name: null
          description: "El n\xFAmero de entidades financieras que participen en la\
            \ prueba conjunta se calibrar\xE1 debidamente teniendo en cuenta la complejidad\
            \ y los tipos de servicios de que se trate."
    - urn: urn:intuitem:risk:req_node:dora:26.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.5'
      description: Financial entities shall, with the cooperation of ICT third-party
        service providers and other parties involved, including the testers but excluding
        the competent authorities, apply effective risk management controls to mitigate
        the risks of any potential impact on data, damage to assets, and disruption
        to critical or important functions, services or operations at the financial
        entity itself, its counterparts or to the financial sector.
      translations:
        es:
          name: null
          description: "Las entidades financieras, con la cooperaci\xF3n de los proveedores\
            \ terceros de servicios de TIC y otras partes involucradas, incluidos\
            \ los probadores pero con exclusi\xF3n de las autoridades competentes,\
            \ aplicar\xE1n controles efectivos de gesti\xF3n del riesgo para mitigar\
            \ los riesgos de cualquier posible repercusi\xF3n en los datos, da\xF1\
            o de los activos y perturbaci\xF3n de funciones, servicios u operaciones\
            \ esenciales o importantes en la propia entidad financiera, en sus contrapartes\
            \ o en el sector financiero."
    - urn: urn:intuitem:risk:req_node:dora:26.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.6'
      description: At the end of the testing, after reports and remediation plans
        have been agreed, the financial entity and, where applicable, the external
        testers shall provide to the authority, designated in accordance with paragraph
        9 or 10, a summary of the relevant findings, the remediation plans and the
        documentation demonstrating that the TLPT has been conducted in accordance
        with the requirements.
      translations:
        es:
          name: null
          description: "Al finalizar la prueba, y una vez que se hayan aprobado los\
            \ informes y los planes correctores, la entidad financiera y, en su caso,\
            \ los probadores externos facilitar\xE1n a la autoridad, designada de\
            \ conformidad con los apartados 9 o 10, un resumen de los hallazgos pertinentes,\
            \ los planes correctores y la documentaci\xF3n que demuestre que la prueba\
            \ de penetraci\xF3n basada en amenazas se ha realizado conforme a los\
            \ requisitos."
    - urn: urn:intuitem:risk:req_node:dora:26.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.7'
      description: Authorities shall provide financial entities with an attestation
        confirming that the test was performed in accordance with the requirements
        as evidenced in the documentation in order to allow for mutual recognition
        of threat led penetration tests between competent authorities. The financial
        entity shall notify the relevant competent authority of the attestation, the
        summary of the relevant findings and the remediation plans.
      translations:
        es:
          name: null
          description: "Las autoridades proporcionar\xE1n a las entidades financieras\
            \ un informe de validaci\xF3n que confirme que la prueba se efectu\xF3\
            \ de conformidad con los requisitos seg\xFAn constan en la documentaci\xF3\
            n, con el fin de permitir el reconocimiento mutuo de las pruebas de penetraci\xF3\
            n basadas en amenazas entre las autoridades competentes. La entidad financiera\
            \ notificar\xE1 a la autoridad competente pertinente la validaci\xF3n,\
            \ el resumen de los hallazgos pertinentes y los planes correctores."
    - urn: urn:intuitem:risk:req_node:dora:node412
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: Without prejudice to such attestation, financial entities shall
        remain at all times fully responsible for the impact of the tests referred
        to in paragraph 4.
      translations:
        es:
          name: null
          description: "Sin perjuicio de dicha validaci\xF3n, las entidades financieras\
            \ seguir\xE1n siendo plenamente responsables en todo momento de las repercusiones\
            \ de las pruebas a que se refiere el apartado 4."
    - urn: urn:intuitem:risk:req_node:dora:26.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.8'
      description: Financial entities shall contract testers for the purposes of undertaking
        TLPT in accordance with Article 27. When financial entities use internal testers
        for the purposes of undertaking TLPT, they shall contract external testers
        every three tests.
      translations:
        es:
          name: null
          description: "Las entidades financieras contratar\xE1n, de conformidad con\
            \ el art\xEDculo\_27, a probadores a efectos de la realizaci\xF3n de pruebas\
            \ de penetraci\xF3n basadas en amenazas. Cuando las entidades financieras\
            \ recurran a probadores internos para realizar pruebas de penetraci\xF3\
            n basadas en amenazas, contratar\xE1n a probadores externos cada tres\
            \ pruebas."
    - urn: urn:intuitem:risk:req_node:dora:node414
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: Credit institutions that are classified as significant in accordance
        with Article 6(4) of Regulation (EU) No 1024/2013, shall only use external
        testers in accordance with Article 27(1), points (a) to (e).
      translations:
        es:
          name: null
          description: "Las entidades de cr\xE9dito clasificadas como significativas\
            \ de conformidad con el art\xEDculo\_6, apartado 4, del Reglamento (UE)\
            \ n.o\_1024/2013 solo recurrir\xE1n a probadores externos de conformidad\
            \ con el art\xEDculo\_27, apartado 1, letras a) a e), del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:node415
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      description: "Competent authorities shall identify financial entities that are\
        \ required to perform TLPT taking into account the criteria set out in Article\
        \ 4(2), based on an assessment of the following:\n(a)\timpact-related factors,\
        \ in particular the extent to which the services provided and activities undertaken\
        \ by the financial entity impact the financial sector;\n(b)\tpossible financial\
        \ stability concerns, including the systemic character of the financial entity\
        \ at Union or national level, as applicable;\n(c)\tspecific ICT risk profile,\
        \ level of ICT maturity of the financial entity or technology features involved."
      translations:
        es:
          name: null
          description: "Las autoridades competentes determinar\xE1n qu\xE9 entidades\
            \ financieras deber\xE1n realizar pruebas de penetraci\xF3n basadas en\
            \ amenazas teniendo en cuenta los criterios establecidos en el art\xED\
            culo 4, apartado 2, bas\xE1ndose en la evaluaci\xF3n de:\n\na) factores\
            \ relacionados con la repercusi\xF3n, en particular la medida en que los\
            \ servicios prestados y las actividades realizadas por la entidad financiera\
            \ repercuten en el sector financiero;\nb) posibles problemas de estabilidad\
            \ financiera, incluido el car\xE1cter sist\xE9mico de la entidad financiera\
            \ a escala de la Uni\xF3n o nacional, seg\xFAn proceda;\nc) el perfil\
            \ de riesgo relacionado con las TIC espec\xEDfico, el nivel de madurez\
            \ de las TIC de la entidad financiera o las caracter\xEDsticas tecnol\xF3\
            gicas presentes."
    - urn: urn:intuitem:risk:req_node:dora:26.9
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.9'
      description: Member States may designate a single public authority in the financial
        sector to be responsible for TLPT-related matters in the financial sector
        at national level and shall entrust it with all competences and tasks to that
        effect.
      translations:
        es:
          name: null
          description: "Los Estados miembros podr\xE1n designar a una \xFAnica autoridad\
            \ p\xFAblica en el sector financiero responsable de las cuestiones relacionadas\
            \ con las pruebas de penetraci\xF3n basadas en amenazas en el sector financiero\
            \ a escala nacional y le confiar\xE1n todas las competencias y tareas\
            \ a tal efecto."
    - urn: urn:intuitem:risk:req_node:dora:26.10
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.10'
      description: In the absence of a designation in accordance with paragraph 9
        of this Article, and without prejudice to the power to identify the financial
        entities that are required to perform TLPT, a competent authority may delegate
        the exercise of some or all of the tasks referred to in this Article and Article
        27 to another national authority in the financial sector.
      translations:
        es:
          name: null
          description: "A falta de designaci\xF3n de conformidad con el apartado 9\
            \ del presente art\xEDculo, y sin perjuicio de la competencia para determinar\
            \ las entidades financieras que est\xE1n obligadas a llevar a cabo pruebas\
            \ de penetraci\xF3n basadas en amenazas, una autoridad competente podr\xE1\
            \ delegar el ejercicio de todas o algunas de las tareas a que se refieren\
            \ el presente art\xEDculo y el art\xEDculo\_27 en otra autoridad nacional\
            \ del sector financiero."
    - urn: urn:intuitem:risk:req_node:dora:26.11
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node400
      ref_id: '26.11'
      description: "The ESAs shall, in agreement with the ECB, develop joint draft\
        \ regulatory technical standards in accordance with the TIBER-EU framework\
        \ in order to specify further:\n(a)\tthe criteria used for the purpose of\
        \ the application of paragraph 8, second subparagraph;\n(b)\tthe requirements\
        \ and standards governing the use of internal testers;\n(c)\tthe requirements\
        \ in relation to:\n(i)\tthe scope of TLPT referred to in paragraph 2;\n(ii)\t\
        the testing methodology and approach to be followed for each specific phase\
        \ of the testing process;\n(iii)\tthe results, closure and remediation stages\
        \ of the testing;\n(d)\tthe type of supervisory and other relevant cooperation\
        \ which are needed for the implementation of TLPT, and for the facilitation\
        \ of mutual recognition of that testing, in the context of financial entities\
        \ that operate in more than one Member State, to allow an appropriate level\
        \ of supervisory involvement and a flexible implementation to cater for specificities\
        \ of financial sub-sectors or local financial markets.\nWhen developing those\
        \ draft regulatory technical standards, the ESAs shall give due consideration\
        \ to any specific feature arising from the distinct nature of activities across\
        \ different financial services sectors.\nThe ESAs shall submit those draft\
        \ regulatory technical standards to the Commission by 17 July 2024.\nPower\
        \ is delegated to the Commission to supplement this Regulation by adopting\
        \ the regulatory technical standards referred to in the first subparagraph\
        \ in accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU)\
        \ No 1094/2010 and (EU) No 1095/2010."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n desarrollar\xE1\
            n, de acuerdo con el BCE proyectos de normas t\xE9cnicas de regulaci\xF3\
            n comunes de conformidad con el marco TIBER-EU para especificar m\xE1\
            s detalladamente:\n\na) los criterios utilizados a efectos de la aplicaci\xF3\
            n del apartado 8, p\xE1rrafo segundo;\n\nb) los requisitos y normas que\
            \ rigen el recurso a probadores internos;\n\nc) los requisitos en relaci\xF3\
            n con:\n i) el alcance de las pruebas de penetraci\xF3n basadas en amenazas\
            \ a que se refiere el apartado 2,\n ii) la metodolog\xEDa y el enfoque\
            \ de realizaci\xF3n de pruebas que deber\xE1n seguirse en cada fase espec\xED\
            fica del proceso de prueba,\n iii) las fases de resultados, conclusi\xF3\
            n y adopci\xF3n de medidas correctoras del proceso de prueba;\n\nd) el\
            \ tipo de cooperaci\xF3n en materia de supervisi\xF3n y otros tipos de\
            \ cooperaci\xF3n pertinente necesarios para llevar a cabo pruebas de penetraci\xF3\
            n basadas en amenazas, as\xED como la facilitaci\xF3n del reconocimiento\
            \ mutuo de dichas pruebas, en el contexto de entidades financieras que\
            \ operen en m\xE1s de un Estado miembro, para permitir un nivel adecuado\
            \ de participaci\xF3n de los supervisores y una ejecuci\xF3n flexible\
            \ que tenga en cuenta las caracter\xEDsticas espec\xEDficas de subsectores\
            \ financieros o mercados financieros locales.\n\nAl elaborar dichos proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n, las Autoridades Europeas de\
            \ Supervisi\xF3n tendr\xE1n debidamente en cuenta cualquier caracter\xED\
            stica espec\xEDfica derivada de la distinta naturaleza de las actividades\
            \ en los distintos sectores de los servicios financieros.\n\nLas Autoridades\
            \ Europeas de Supervisi\xF3n presentar\xE1n a la Comisi\xF3n dichos proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n a m\xE1s tardar el 17 de julio\
            \ de 2024.\n\nSe delegan en la Comisi\xF3n los poderes para completar\
            \ el presente Reglamento mediante la adopci\xF3n de las normas t\xE9cnicas\
            \ de regulaci\xF3n a que se refiere el p\xE1rrafo primero de conformidad\
            \ con los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los\
            \ art\xEDculos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node419
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node388
      name: Article 27
      description: Requirements for testers for the carrying out of TLPT
      translations:
        es:
          name: "Art\xEDculo 27"
          description: "Requisitos aplicables a los probadores para la realizaci\xF3\
            n de pruebas de penetraci\xF3n basadas en amenazas"
    - urn: urn:intuitem:risk:req_node:dora:27.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node419
      ref_id: '27.1'
      description: 'Financial entities shall only use testers for the carrying out
        of TLPT, that:'
      translations:
        es:
          name: null
          description: "Para la realizaci\xF3n de pruebas de penetraci\xF3n basadas\
            \ en amenazas, las entidades financieras solo recurrir\xE1n a probadores\
            \ que:"
    - urn: urn:intuitem:risk:req_node:dora:27.1.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.1
      ref_id: 27.1.a
      description: are of the highest suitability and reputability;
      translations:
        es:
          name: null
          description: "tengan el m\xE1s alto grado de idoneidad y prestigio;"
    - urn: urn:intuitem:risk:req_node:dora:27.1.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.1
      ref_id: 27.1.b
      description: possess technical and organisational capabilities and demonstrate
        specific expertise in threat intelligence, penetration testing and red team
        testing;
      translations:
        es:
          name: null
          description: "posean capacidades t\xE9cnicas y organizativas y demuestren\
            \ conocimientos especializados en inteligencia sobre amenazas, pruebas\
            \ de penetraci\xF3n y pruebas de equipo rojo;"
    - urn: urn:intuitem:risk:req_node:dora:27.1.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.1
      ref_id: 27.1.c
      description: are certified by an accreditation body in a Member State or adhere
        to formal codes of conduct or ethical frameworks;
      translations:
        es:
          name: null
          description: "est\xE9n acreditados por un \xF3rgano de certificaci\xF3n\
            \ de un Estado miembro o se adhieran a c\xF3digos de conducta o marcos\
            \ \xE9ticos oficiales;"
    - urn: urn:intuitem:risk:req_node:dora:27.1.d
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.1
      ref_id: 27.1.d
      description: "provide an independent assurance, or an audit report, in relation\
        \ to the sound management of risks associated with the carrying out of TLPT,\
        \ including the due protection of the financial entity\u2019s confidential\
        \ information and redress for the business risks of the financial entity;"
      translations:
        es:
          name: null
          description: "proporcionen una garant\xEDa independiente o un informe de\
            \ auditor\xEDa que acrediten la buena gesti\xF3n de los riesgos asociados\
            \ con la realizaci\xF3n de pruebas de penetraci\xF3n basadas en amenazas,\
            \ incluidas la protecci\xF3n debida de la informaci\xF3n confidencial\
            \ de la entidad financiera y medidas de reparaci\xF3n en caso de riesgos\
            \ empresariales para ella;"
    - urn: urn:intuitem:risk:req_node:dora:27.1.e
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.1
      ref_id: 27.1.e
      description: are duly and fully covered by relevant professional indemnity insurances,
        including against risks of misconduct and negligence.
      translations:
        es:
          name: null
          description: "est\xE9n debida y completamente cubiertos por los seguros\
            \ pertinentes de responsabilidad civil profesional, tambi\xE9n frente\
            \ a los riesgos de falta intencionada y negligencia."
    - urn: urn:intuitem:risk:req_node:dora:27.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node419
      ref_id: '27.2'
      description: 'When using internal testers, financial entities shall ensure that,
        in addition to the requirements in paragraph 1, the following conditions are
        met:'
      translations:
        es:
          name: null
          description: "En caso de recurrir a probadores internos, las entidades financieras\
            \ garantizar\xE1n que se cumplan, adem\xE1s de todos los requisitos establecidos\
            \ en el apartado 1, todas las condiciones siguientes:"
    - urn: urn:intuitem:risk:req_node:dora:27.2.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.2
      ref_id: 27.2.a
      description: such use has been approved by the relevant competent authority
        or by the single public authority designated in accordance with Article 26(9)
        and (10);
      translations:
        es:
          name: null
          description: "el recurso a los probadores ha sido autorizado por la autoridad\
            \ competente correspondiente o por la autoridad p\xFAblica \xFAnica designada\
            \ de conformidad con el art\xEDculo 26, apartados 9 y 10;"
    - urn: urn:intuitem:risk:req_node:dora:27.2.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.2
      ref_id: 27.2.b
      description: the relevant competent authority has verified that the financial
        entity has sufficient dedicated resources and ensured that conflicts of interest
        are avoided throughout the design and execution phases of the test; and
      translations:
        es:
          name: null
          description: "la autoridad competente correspondiente ha verificado que\
            \ la entidad financiera dispone de recursos espec\xEDficos suficientes\
            \ y ha garantizado que se eviten los conflictos de intereses durante todas\
            \ las fases de constituci\xF3n y ejecuci\xF3n de las pruebas, y"
    - urn: urn:intuitem:risk:req_node:dora:27.2.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:27.2
      ref_id: 27.2.c
      description: the threat intelligence provider is external to the financial entity.
      translations:
        es:
          name: null
          description: el proveedor de inteligencia sobre amenazas es externo con
            respecto a la entidad financiera.
    - urn: urn:intuitem:risk:req_node:dora:27.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node419
      ref_id: '27.3'
      description: Financial entities shall ensure that contracts concluded with external
        testers require a sound management of the TLPT results and that any data processing
        thereof, including any generation, store, aggregation, draft, report, communication
        or destruction, do not create risks to the financial entity.
      translations:
        es:
          name: null
          description: "Las entidades financieras se asegurar\xE1n de que los contratos\
            \ con probadores externos exijan una buena gesti\xF3n de los resultados\
            \ de las pruebas de penetraci\xF3n basadas en amenazas y de que ning\xFA\
            n tratamiento de datos del que sean objeto, incluido cualquier proceso\
            \ de generaci\xF3n, almacenamiento, agregaci\xF3n, redacci\xF3n, notificaci\xF3\
            n, comunicaci\xF3n o destrucci\xF3n cree riesgos para la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:node431
      assessable: false
      depth: 1
      name: Chapter V
      description: Managing of ICT third-party risk
      translations:
        es:
          name: "CAP\xCDTULO V"
          description: "Gesti\xF3n del riesgo relacionado con las TIC derivado de\
            \ terceros"
    - urn: urn:intuitem:risk:req_node:dora:node432
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node431
      name: Section I
      description: Key principles for a sound management of ICT third-party risk
      translations:
        es:
          name: "Secci\xF3n I"
          description: "Principios fundamentales de una buena gesti\xF3n del riesgo\
            \ relacionado con las TIC derivado de terceros"
    - urn: urn:intuitem:risk:req_node:dora:node433
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node432
      name: Article 28
      description: General principles
      translations:
        es:
          name: "Art\xEDculo 28"
          description: Principios generales
    - urn: urn:intuitem:risk:req_node:dora:28.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.1'
      description: 'Financial entities shall manage ICT third-party risk as an integral
        component of ICT risk within their ICT risk management framework as referred
        to in Article 6(1), and in accordance with the following principles:'
      translations:
        es:
          name: null
          description: "Las entidades financieras gestionar\xE1n el riesgo relacionado\
            \ con las TIC derivado de terceros como un elemento integrante del riesgo\
            \ relacionado con las TIC dentro de su marco de gesti\xF3n del riesgo\
            \ relacionado con las TIC a que se refiere el art\xEDculo 6, apartado\
            \ 1, y de conformidad con los principios siguientes:"
    - urn: urn:intuitem:risk:req_node:dora:28.1.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.1
      ref_id: 28.1.a
      description: financial entities that have in place contractual arrangements
        for the use of ICT services to run their business operations shall, at all
        times, remain fully responsible for compliance with, and the discharge of,
        all obligations under this Regulation and applicable financial services law;
      translations:
        es:
          name: null
          description: "as entidades financieras que tengan acuerdos contractuales\
            \ en vigor para utilizar servicios de TIC en el funcionamiento de sus\
            \ operaciones comerciales ser\xE1n, en todo momento, plenamente responsables\
            \ del cumplimiento y observancia de todas las obligaciones con arreglo\
            \ al presente Reglamento y al Derecho aplicable en materia de servicios\
            \ financieros;"
    - urn: urn:intuitem:risk:req_node:dora:28.1.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.1
      ref_id: 28.1.b
      description: "financial entities\u2019 management of ICT third-party risk shall\
        \ be implemented in light of the principle of proportionality, taking into\
        \ account:"
      translations:
        es:
          name: null
          description: "las entidades financieras gestionar\xE1n el riesgo relacionado\
            \ con las TIC derivado de terceros con arreglo al principio de proporcionalidad,\
            \ teniendo en cuenta:"
    - urn: urn:intuitem:risk:req_node:dora:28.1.b.i
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:28.1.b
      ref_id: 28.1.b.i
      description: the nature, scale, complexity and importance of ICT-related dependencies,
      translations:
        es:
          name: null
          description: la naturaleza, la escala, la complejidad y la importancia de
            las dependencias con respecto a las TIC,
    - urn: urn:intuitem:risk:req_node:dora:28.1.b.ii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:28.1.b
      ref_id: 28.1.b.ii
      description: the risks arising from contractual arrangements on the use of ICT
        services concluded with ICT third-party service providers, taking into account
        the criticality or importance of the respective service, process or function,
        and the potential impact on the continuity and availability of financial services
        and activities, at individual and at group level.
      translations:
        es:
          name: null
          description: "los riesgos derivados de los acuerdos contractuales sobre\
            \ el uso de servicios de TIC celebrados con proveedores terceros de servicios\
            \ de TIC, teniendo en cuenta el car\xE1cter esencial o la importancia\
            \ del servicio, el proceso o la funci\xF3n de que se trate, y la repercusi\xF3\
            n potencial en la continuidad y la disponibilidad de las actividades y\
            \ los servicios financieros, a escala particular y de grupo."
    - urn: urn:intuitem:risk:req_node:dora:28.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.2'
      description: As part of their ICT risk management framework, financial entities,
        other than entities referred to in Article 16(1), first subparagraph, and
        other than microenterprises, shall adopt, and regularly review, a strategy
        on ICT third-party risk, taking into account the multi-vendor strategy referred
        to in Article 6(9), where applicable. The strategy on ICT third-party risk
        shall include a policy on the use of ICT services supporting critical or important
        functions provided by ICT third-party service providers and shall apply on
        an individual basis and, where relevant, on a sub-consolidated and consolidated
        basis. The management body shall, on the basis of an assessment of the overall
        risk profile of the financial entity and the scale and complexity of the business
        services, regularly review the risks identified in respect to contractual
        arrangements on the use of ICT services supporting critical or important functions.
      translations:
        es:
          name: null
          description: "Como parte de su marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC, las entidades financieras distintas de las entidades contempladas\
            \ en el art\xEDculo 16, apartado 1, p\xE1rrafo primero, y distintas de\
            \ microempresas adoptar\xE1n una estrategia, que revisar\xE1n peri\xF3\
            dicamente, sobre el riesgo relacionado con las TIC derivado de terceros,\
            \ teniendo en cuenta la estrategia de m\xFAltiples proveedores a que se\
            \ refiere el art\xEDculo 6, apartado 9, cuando proceda. Esa estrategia\
            \ relativa al riesgo relacionado con las TIC derivado de terceros incluir\xE1\
            \ una pol\xEDtica sobre el uso de servicios de TIC que sustenten funciones\
            \ esenciales o importantes prestados por proveedores terceros de servicios\
            \ de TIC y se aplicar\xE1 a t\xEDtulo particular y, cuando proceda, de\
            \ forma subconsolidada y consolidada. El \xF3rgano de direcci\xF3n, a\
            \ partir de una evaluaci\xF3n del perfil de riesgo general de la entidad\
            \ financiera y la escala y la complejidad de los servicios empresariales,\
            \ revisar\xE1 peri\xF3dicamente los riesgos detectados por lo que respecta\
            \ a los acuerdos contractuales relativos al uso de servicios de TIC que\
            \ sustenten funciones esenciales o importantes."
    - urn: urn:intuitem:risk:req_node:dora:28.3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.3'
      description: As part of their ICT risk management framework, financial entities
        shall maintain and update at entity level, and at sub-consolidated and consolidated
        levels, a register of information in relation to all contractual arrangements
        on the use of ICT services provided by ICT third-party service providers.
      translations:
        es:
          name: null
          description: "Como parte de su marco de gesti\xF3n del riesgo relacionado\
            \ con las TIC, las entidades financieras mantendr\xE1n y actualizar\xE1\
            n a nivel de la entidad, y a nivel subconsolidado y consolidado, un registro\
            \ de informaci\xF3n en relaci\xF3n con todos los acuerdos contractuales\
            \ sobre el uso de servicios de TIC prestados por proveedores terceros\
            \ de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:node441
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: The contractual arrangements referred to in the first subparagraph
        shall be appropriately documented, distinguishing between those that cover
        ICT services supporting critical or important functions and those that do
        not.
      translations:
        es:
          name: null
          description: "Los acuerdos contractuales a que se refiere el p\xE1rrafo\
            \ primero se documentar\xE1n adecuadamente, distinguiendo entre los que\
            \ comprendan servicios de TIC que sustentan funciones esenciales o importantes\
            \ y los que no."
    - urn: urn:intuitem:risk:req_node:dora:node442
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Financial entities shall report at least yearly to the competent
        authorities on the number of new arrangements on the use of ICT services,
        the categories of ICT third-party service providers, the type of contractual
        arrangements and the ICT services and functions which are being provided.
      translations:
        es:
          name: null
          description: "Las entidades financieras comunicar\xE1n al menos una vez\
            \ al a\xF1o a las autoridades competentes informaci\xF3n sobre el n\xFA\
            mero de nuevos acuerdos relativos al uso de servicios de TIC, las categor\xED\
            as de proveedores terceros de servicios de TIC, el tipo de acuerdos contractuales\
            \ y los servicios y funciones prestados en materia de TIC."
    - urn: urn:intuitem:risk:req_node:dora:node443
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Financial entities shall make available to the competent authority,
        upon its request, the full register of information or, as requested, specified
        sections thereof, along with any information deemed necessary to enable the
        effective supervision of the financial entity.
      translations:
        es:
          name: null
          description: "Las entidades financieras pondr\xE1n a disposici\xF3n de la\
            \ autoridad competente que lo solicite el registro completo de informaci\xF3\
            n o, cuando as\xED se solicite, secciones espec\xEDficas de este, junto\
            \ con toda informaci\xF3n que se considere necesaria para permitir la\
            \ supervisi\xF3n efectiva de la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:node444
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Financial entities shall inform the competent authority in a timely
        manner about any planned contractual arrangement on the use of ICT services
        supporting critical or important functions as well as when a function has
        become critical or important.
      translations:
        es:
          name: null
          description: "Las entidades financieras informar\xE1n oportunamente a la\
            \ autoridad competente cuando se propongan celebrar cualquier acuerdo\
            \ contractual para el uso de servicios de TIC que sustenten funciones\
            \ esenciales o importantes y cuando una funci\xF3n se haya convertido\
            \ en esencial o importante."
    - urn: urn:intuitem:risk:req_node:dora:28.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.4'
      description: 'Before entering into a contractual arrangement on the use of ICT
        services, financial entities shall:'
      translations:
        es:
          name: null
          description: 'Antes de celebrar un acuerdo contractual sobre el uso de servicios
            de TIC, las entidades financieras:'
    - urn: urn:intuitem:risk:req_node:dora:28.4.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.4
      ref_id: 28.4.a
      description: assess whether the contractual arrangement covers the use of ICT
        services supporting a critical or important function;
      translations:
        es:
          name: null
          description: "evaluar\xE1n si el acuerdo contractual se refiere al uso de\
            \ servicios de TIC que sustenten una funci\xF3n esencial o importante;"
    - urn: urn:intuitem:risk:req_node:dora:28.4.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.4
      ref_id: 28.4.b
      description: assess if supervisory conditions for contracting are met;
      translations:
        es:
          name: null
          description: "evaluar\xE1n si se cumplen las condiciones de supervisi\xF3\
            n para la contrataci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:28.4.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.4
      ref_id: 28.4.c
      description: identify and assess all relevant risks in relation to the contractual
        arrangement, including the possibility that such contractual arrangement may
        contribute to reinforcing ICT concentration risk as referred to in Article
        29;
      translations:
        es:
          name: null
          description: "determinar\xE1n y evaluar\xE1n todos los riesgos pertinentes\
            \ en relaci\xF3n con el acuerdo contractual, incluida la posibilidad de\
            \ que dicho acuerdo pueda contribuir a reforzar el riesgo de concentraci\xF3\
            n de TIC a que se refiere el art\xEDculo 29;"
    - urn: urn:intuitem:risk:req_node:dora:28.4.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.4
      ref_id: 28.4.d
      description: undertake all due diligence on prospective ICT third-party service
        providers and ensure throughout the selection and assessment processes that
        the ICT third-party service provider is suitable;
      translations:
        es:
          name: null
          description: "llevar\xE1n a cabo todas las comprobaciones debidas con respecto\
            \ a los posibles proveedores terceros de servicios de TIC y se asegurar\xE1\
            n, a trav\xE9s de los procesos de selecci\xF3n y evaluaci\xF3n, de la\
            \ idoneidad de dichos proveedores;"
    - urn: urn:intuitem:risk:req_node:dora:28.4.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.4
      ref_id: 28.4.e
      description: identify and assess conflicts of interest that the contractual
        arrangement may cause.
      translations:
        es:
          name: null
          description: "determinar\xE1n y evaluar\xE1n los conflictos de intereses\
            \ que el acuerdo contractual pueda causar."
    - urn: urn:intuitem:risk:req_node:dora:28.5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.5'
      description: Financial entities may only enter into contractual arrangements
        with ICT third-party service providers that comply with appropriate information
        security standards. When those contractual arrangements concern critical or
        important functions, financial entities shall, prior to concluding the arrangements,
        take due consideration of the use, by ICT third- party service providers,
        of the most up-to-date and highest quality information security standards.
      translations:
        es:
          name: null
          description: "Las entidades financieras \xFAnicamente podr\xE1n celebrar\
            \ acuerdos contractuales con proveedores terceros de servicios de TIC\
            \ que cumplan est\xE1ndares adecuados en materia de seguridad de la informaci\xF3\
            n. Cuando tales acuerdos contractuales se refieran a funciones esenciales\
            \ o importantes, las entidades financieras, antes de celebrarlos, prestar\xE1\
            n la debida consideraci\xF3n a la aplicaci\xF3n, por parte de proveedores\
            \ terceros de servicios de TIC, de los est\xE1ndares en materia de seguridad\
            \ de la informaci\xF3n m\xE1s actualizados y m\xE1s estrictos en t\xE9\
            rminos de calidad."
    - urn: urn:intuitem:risk:req_node:dora:28.6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.6'
      description: In exercising access, inspection and audit rights over the ICT
        third-party service provider, financial entities shall, on the basis of a
        risk-based approach, pre-determine the frequency of audits and inspections
        as well as the areas to be audited through adhering to commonly accepted audit
        standards in line with any supervisory instruction on the use and incorporation
        of such audit standards.
      translations:
        es:
          name: null
          description: "Al ejercer los derechos de acceso, inspecci\xF3n y auditor\xED\
            a sobre el proveedor tercero de servicios de TIC, las entidades financieras\
            \ determinar\xE1n previamente, con arreglo a un enfoque basado en el riesgo,\
            \ la frecuencia de las auditor\xEDas e inspecciones y los \xE1mbitos que\
            \ deben auditarse, seg\xFAn normas de auditor\xEDa com\xFAnmente aceptadas\
            \ en consonancia con las instrucciones de supervisi\xF3n sobre el uso\
            \ y la incorporaci\xF3n de dichas normas de auditor\xEDa."
    - urn: urn:intuitem:risk:req_node:dora:node453
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Where contractual arrangements concluded with ICT third-party service
        providers on the use of ICT services entail high technical complexity, the
        financial entity shall verify that auditors, whether internal or external,
        or a pool of auditors, possess appropriate skills and knowledge to effectively
        perform the relevant audits and assessments.
      translations:
        es:
          name: null
          description: "Cuando los acuerdos contractuales relativos al uso de servicios\
            \ de TIC celebrados con proveedores terceros de servicios de TIC impliquen\
            \ una gran complejidad t\xE9cnica, la entidad financiera verificar\xE1\
            \ que los auditores, ya sean internos, externos o un grupo de auditores,\
            \ posean las capacidades y los conocimientos adecuados para llevar a cabo\
            \ efectivamente las auditor\xEDas y evaluaciones pertinentes."
    - urn: urn:intuitem:risk:req_node:dora:28.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.7'
      description: 'Financial entities shall ensure that contractual arrangements
        on the use of ICT services may be terminated in any of the following circumstances:'
      translations:
        es:
          name: null
          description: "Las entidades financieras garantizar\xE1n la posibilidad de\
            \ terminar los acuerdos contractuales sobre el uso de servicios de TIC\
            \ en cualquiera de los siguientes casos:"
    - urn: urn:intuitem:risk:req_node:dora:28.7.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.7
      ref_id: 28.7.a
      description: significant breach by the ICT third-party service provider of applicable
        laws, regulations or contractual terms;
      translations:
        es:
          name: null
          description: "incumplimiento importante por parte del proveedor tercero\
            \ de servicios de TIC de las disposiciones legales o reglamentarias o\
            \ las cl\xE1usulas contractuales aplicables;"
    - urn: urn:intuitem:risk:req_node:dora:28.7.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.7
      ref_id: 28.7.b
      description: circumstances identified throughout the monitoring of ICT third-party
        risk that are deemed capable of altering the performance of the functions
        provided through the contractual arrangement, including material changes that
        affect the arrangement or the situation of the ICT third-party service provider;
      translations:
        es:
          name: null
          description: "circunstancias observadas durante el seguimiento del riesgo\
            \ relacionado con las TIC derivado de terceros que se considere que pueden\
            \ alterar el desempe\xF1o de las funciones prestadas en virtud del acuerdo\
            \ contractual, incluidos cambios importantes que afecten al acuerdo o\
            \ a la situaci\xF3n del proveedor tercero de servicios de TIC;"
    - urn: urn:intuitem:risk:req_node:dora:28.7.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.7
      ref_id: 28.7.c
      description: "ICT third-party service provider\u2019s evidenced weaknesses pertaining\
        \ to its overall ICT risk management and in particular in the way it ensures\
        \ the availability, authenticity, integrity and, confidentiality, of data,\
        \ whether personal or otherwise sensitive data, or non-personal data;"
      translations:
        es:
          name: null
          description: "debilidades manifiestas del proveedor tercero de servicios\
            \ de TIC en cuanto a su gesti\xF3n global del riesgo relacionado con las\
            \ TIC y, en particular, a la forma en que garantiza la disponibilidad,\
            \ la autenticidad, la integridad y la confidencialidad de los datos, ya\
            \ sean personales o sensibles en cualquier otro sentido, o no personales;"
    - urn: urn:intuitem:risk:req_node:dora:28.7.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:28.7
      ref_id: 28.7.d
      description: where the competent authority can no longer effectively supervise
        the financial entity as a result of the conditions of, or circumstances related
        to, the respective contractual arrangement.
      translations:
        es:
          name: null
          description: "cuando la autoridad competente haya dejado de poder supervisar\
            \ efectivamente a la entidad financiera como resultado de las condiciones\
            \ del acuerdo contractual de que se trate o las circunstancias relacionadas\
            \ con \xE9l."
    - urn: urn:intuitem:risk:req_node:dora:28.8
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.8'
      description: For ICT services supporting critical or important functions, financial
        entities shall put in place exit strategies. The exit strategies shall take
        into account risks that may emerge at the level of ICT third-party service
        providers, in particular a possible failure on their part, a deterioration
        of the quality of the ICT services provided, any business disruption due to
        inappropriate or failed provision of ICT services or any material risk arising
        in relation to the appropriate and continuous deployment of the respective
        ICT service, or the termination of contractual arrangements with ICT third-party
        service providers under any of the circumstances listed in paragraph 7.
      translations:
        es:
          name: null
          description: "En el caso de los servicios de TIC que sustenten funciones\
            \ esenciales o importantes, las entidades financieras establecer\xE1n\
            \ estrategias de salida. Las estrategias de salida tendr\xE1n en cuenta\
            \ los riesgos que puedan surgir en relaci\xF3n con los proveedores terceros\
            \ de servicios de TIC, en particular un posible fallo por su parte, un\
            \ deterioro de la calidad de los servicios de TIC prestados, cualquier\
            \ perturbaci\xF3n de la actividad debida a una falta de prestaci\xF3n\
            \ de servicios de TIC o a una prestaci\xF3n inadecuada, o cualquier riesgo\
            \ sustancial que pueda plantearse en relaci\xF3n con el ejercicio adecuado\
            \ y continuo del servicio de TIC correspondiente, o la terminaci\xF3n\
            \ de los acuerdos contractuales con proveedores terceros de servicios\
            \ de TIC en cualquiera de las circunstancias enumeradas en el apartado\
            \ 7."
    - urn: urn:intuitem:risk:req_node:dora:node460
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: 'Financial entities shall ensure that they are able to exit contractual
        arrangements without:'
      translations:
        es:
          name: null
          description: "Las entidades financieras se asegurar\xE1n de poder abandonar\
            \ los acuerdos contractuales sin:"
    - urn: urn:intuitem:risk:req_node:dora:28.8.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node460
      ref_id: 28.8.a
      description: disruption to their business activities,
      translations:
        es:
          name: null
          description: "perturbaci\xF3n de sus operaciones comerciales;"
    - urn: urn:intuitem:risk:req_node:dora:28.8.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node460
      ref_id: 28.8.b
      description: limiting compliance with regulatory requirements,
      translations:
        es:
          name: null
          description: "limitaci\xF3n del cumplimiento de los requisitos reglamentarios;"
    - urn: urn:intuitem:risk:req_node:dora:28.8.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:node460
      ref_id: 28.8.c
      description: detriment to the continuity and quality of services provided to
        clients.
      translations:
        es:
          name: null
          description: perjuicio para la continuidad y la calidad de los servicios
            prestados a los clientes.
    - urn: urn:intuitem:risk:req_node:dora:node464
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Exit plans shall be comprehensive, documented and, in accordance
        with the criteria set out in Article 4(2), shall be sufficiently tested and
        reviewed periodically.
      translations:
        es:
          name: null
          description: "Los planes de salida ser\xE1n globales, estar\xE1n documentados\
            \ y, de conformidad con los criterios establecidos en el art\xEDculo 4,\
            \ apartado 2, se someter\xE1n a suficientes pruebas y se revisar\xE1n\
            \ peri\xF3dicamente."
    - urn: urn:intuitem:risk:req_node:dora:node465
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Financial entities shall identify alternative solutions and develop
        transition plans enabling them to remove the contracted ICT services and the
        relevant data from the ICT third-party service provider and to securely and
        integrally transfer them to alternative providers or reincorporate them in-house.
      translations:
        es:
          name: null
          description: "Las entidades financieras hallar\xE1n soluciones alternativas\
            \ y elaborar\xE1n planes de transici\xF3n que les permitan recuperar los\
            \ servicios de TIC contratados y los datos pertinentes del proveedor tercero\
            \ de servicios de TIC y transferirlos de forma segura e \xEDntegra a proveedores\
            \ alternativos o reincorporarlos internamente."
    - urn: urn:intuitem:risk:req_node:dora:node466
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      description: Financial entities shall have appropriate contingency measures
        in place to maintain business continuity in the event of the circumstances
        referred to in the first subparagraph.
      translations:
        es:
          name: null
          description: "Las entidades financieras dispondr\xE1n de medidas de contingencia\
            \ adecuadas para mantener la continuidad de la actividad en caso de que\
            \ se den las circunstancias mencionadas en el p\xE1rrafo primero."
    - urn: urn:intuitem:risk:req_node:dora:28.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.9'
      description: 'The ESAs shall, through the Joint Committee, develop draft implementing
        technical standards to establish the standard templates for the purposes of
        the register of information referred to in paragraph 3, including information
        that is common to all contractual arrangements on the use of ICT services.
        The ESAs shall submit those draft implementing technical standards to the
        Commission by 17 January 2024.

        Power is conferred on the Commission to adopt the implementing technical standards
        referred to in the first subparagraph in accordance with Article 15 of Regulations
        (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010.'
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, elaborar\xE1n proyectos de normas t\xE9cnicas de ejecuci\xF3\
            n a fin de establecer las plantillas normalizadas para el registro de\
            \ informaci\xF3n a que se refiere el apartado 3, incluyendo la informaci\xF3\
            n com\xFAn a todos los acuerdos contractuales relativa al uso de servicios\
            \ de TIC. Las Autoridades Europeas de Supervisi\xF3n presentar\xE1n a\
            \ la Comisi\xF3n dichos proyectos de normas t\xE9cnicas de ejecuci\xF3\
            n a m\xE1s tardar el 17 de enero de 2024.\n\nSe otorgan a la Comisi\xF3\
            n competencias para adoptar las normas t\xE9cnicas de ejecuci\xF3n a que\
            \ se refiere el p\xE1rrafo primero de conformidad con el art\xEDculo 15\
            \ del Reglamento (UE) n.o 1093/2010, el art\xEDculo 15 del Reglamento\
            \ (UE) n.o 1094/2010 y el art\xEDculo 15 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:28.10
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node433
      ref_id: '28.10'
      description: 'The ESAs shall, through the Joint Committee, develop draft regulatory
        technical standards to further specify the detailed content of the policy
        referred to in paragraph 2 in relation to the contractual arrangements on
        the use of ICT services supporting critical or important functions provided
        by ICT third-party service providers.

        When developing those draft regulatory technical standards, the ESAs shall
        take into account the size and the overall risk profile of the financial entity,
        and the nature, scale and complexity of its services, activities and operations.
        The ESAs shall submit those draft regulatory technical standards to the Commission
        by 17 January 2024.

        Power is delegated to the Commission to supplement this Regulation by adopting
        the regulatory technical standards referred to in the first subparagraph in
        accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No
        1094/2010 and (EU) No 1095/2010.'
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, elaborar\xE1n proyectos de normas t\xE9cnicas de regulaci\xF3\
            n a fin de especificar en m\xE1s profundidad el contenido detallado de\
            \ la pol\xEDtica a que se refiere el apartado 2 en relaci\xF3n con los\
            \ acuerdos contractuales sobre el uso de servicios de TIC que sustenten\
            \ funciones esenciales o importantes prestados por proveedores terceros\
            \ de servicios de TIC.\n\nA la hora de elaborar dichos proyectos de normas\
            \ t\xE9cnicas de regulaci\xF3n, las Autoridades Europeas de Supervisi\xF3\
            n tendr\xE1n en cuenta el tama\xF1o y el perfil de riesgo general de la\
            \ entidad financiera, as\xED como la naturaleza, escala y complejidad\
            \ de sus servicios, actividades y operaciones. Las Autoridades Europeas\
            \ de Supervisi\xF3n presentar\xE1n a la Comisi\xF3n dichos proyectos de\
            \ normas t\xE9cnicas de regulaci\xF3n a m\xE1s tardar el 17 de enero de\
            \ 2024.\n\nSe delegan en la Comisi\xF3n los poderes para completar el\
            \ presente Reglamento mediante la adopci\xF3n de las normas t\xE9cnicas\
            \ de regulaci\xF3n a que se refiere el p\xE1rrafo primero de conformidad\
            \ con los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los\
            \ art\xEDculos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node469
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node432
      name: Article 29
      description: Preliminary assessment of ICT concentration risk at entity level
      translations:
        es:
          name: "Art\xEDculo 29"
          description: "Evaluaci\xF3n preliminar del riesgo de concentraci\xF3n de\
            \ TIC a nivel de la entidad"
    - urn: urn:intuitem:risk:req_node:dora:29.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      ref_id: '29.1'
      description: 'When performing the identification and assessment of risks referred
        to in Article 28(4), point (c), financial entities shall also take into account
        whether the envisaged conclusion of a contractual arrangement in relation
        to ICT services supporting critical or important functions would lead to any
        of the following:'
      translations:
        es:
          name: null
          description: "Al llevar a cabo la determinaci\xF3n y evaluaci\xF3n de los\
            \ riesgos a que se refiere el art\xEDculo 28, apartado 4, letra c), las\
            \ entidades financieras tambi\xE9n tendr\xE1n en cuenta si la celebraci\xF3\
            n prevista de un acuerdo contractual en relaci\xF3n con los servicios\
            \ de TIC que sustenten funciones esenciales o importantes podr\xEDa dar\
            \ lugar a alguna de las siguientes circunstancias:"
    - urn: urn:intuitem:risk:req_node:dora:29.1.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:29.1
      ref_id: 29.1.a
      description: contracting an ICT third-party service provider that is not easily
        substitutable; or
      translations:
        es:
          name: null
          description: "la celebraci\xF3n de un contrato con un proveedor tercero\
            \ de servicios de TIC que no sea f\xE1cilmente sustituible, o"
    - urn: urn:intuitem:risk:req_node:dora:29.1.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:29.1
      ref_id: 29.1.b
      description: having in place multiple contractual arrangements in relation to
        the provision of ICT services supporting critical or important functions with
        the same ICT third-party service provider or with closely connected ICT third-party
        service providers.
      translations:
        es:
          name: null
          description: "la coexistencia de m\xFAltiples acuerdos contractuales en\
            \ relaci\xF3n con la prestaci\xF3n de servicios de TIC que sustenten funciones\
            \ esenciales o importantes con el mismo proveedor tercero de servicios\
            \ de TIC o con proveedores terceros de servicios de TIC estrechamente\
            \ relacionados."
    - urn: urn:intuitem:risk:req_node:dora:node473
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      description: Financial entities shall weigh the benefits and costs of alternative
        solutions, such as the use of different ICT third-party service providers,
        taking into account if and how envisaged solutions match the business needs
        and objectives set out in their digital resilience strategy.
      translations:
        es:
          name: null
          description: "Las entidades financieras ponderar\xE1n los beneficios y los\
            \ costes de soluciones alternativas, como el recurso a distintos proveedores\
            \ terceros de servicios de TIC, considerando si las soluciones contempladas\
            \ se ajustan a las necesidades y objetivos empresariales establecidos\
            \ en su estrategia de resiliencia digital y de qu\xE9 manera."
    - urn: urn:intuitem:risk:req_node:dora:29.2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      ref_id: '29.2'
      description: Where the contractual arrangements on the use of ICT services supporting
        critical or important functions include the possibility that an ICT third-party
        service provider further subcontracts ICT services supporting a critical or
        important function to other ICT third-party service providers, financial entities
        shall weigh benefits and risks that may arise in connection with such subcontracting,
        in particular in the case of an ICT subcontractor established in a third-country.
      translations:
        es:
          name: null
          description: "Cuando el acuerdo contractual sobre el uso de servicios de\
            \ TIC que sustenten funciones esenciales o importantes incluya la posibilidad\
            \ de que un proveedor tercero de servicios de TIC subcontrate a su vez\
            \ servicios de TIC que sustenten una funci\xF3n esencial o importante\
            \ a otros proveedores terceros de servicios de TIC, las entidades financieras\
            \ ponderar\xE1n los beneficios y los riesgos que puedan derivarse de esa\
            \ posible subcontrataci\xF3n, en particular cuando se trate de un subcontratista\
            \ de TIC establecido en un tercer pa\xEDs."
    - urn: urn:intuitem:risk:req_node:dora:node475
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      description: "Where contractual arrangements concern ICT services supporting\
        \ critical or important functions, financial entities shall duly consider\
        \ the insolvency law provisions that would apply in the event of the ICT third-party\
        \ service provider\u2019s bankruptcy as well as any constraint that may arise\
        \ in respect to the urgent recovery of the financial entity\u2019s data."
      translations:
        es:
          name: null
          description: "Cuando el acuerdo contractual afecte a servicios de TIC que\
            \ sustenten funciones esenciales o importantes, las entidades financieras\
            \ ponderar\xE1n debidamente las disposiciones legislativas en materia\
            \ de insolvencia que se aplicar\xEDan en caso de quiebra del proveedor\
            \ tercero de servicios de TIC, as\xED como cualquier restricci\xF3n que\
            \ pueda surgir y que afecte a la recuperaci\xF3n urgente de los datos\
            \ de la entidad financiera."
    - urn: urn:intuitem:risk:req_node:dora:node476
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      description: Where contractual arrangements on the use of ICT services supporting
        critical or important functions are concluded with an ICT third-party service
        provider established in a third country, financial entities shall, in addition
        to the considerations referred to in the second subparagraph, also consider
        the compliance with Union data protection rules and the effective enforcement
        of the law in that third country.
      translations:
        es:
          name: null
          description: "Cuando se celebren acuerdos contractuales sobre el uso de\
            \ servicios de TIC que sustenten funciones esenciales o importantes con\
            \ un proveedor tercero de servicios de TIC establecido en un tercer pa\xED\
            s, las entidades financieras tendr\xE1n en consideraci\xF3n, adem\xE1\
            s de lo mencionado el p\xE1rrafo segundo, el cumplimiento de la normativa\
            \ en materia de protecci\xF3n de datos de la Uni\xF3n y la aplicaci\xF3\
            n efectiva del Derecho en ese tercer pa\xEDs."
    - urn: urn:intuitem:risk:req_node:dora:node477
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node469
      description: Where the contractual arrangements on the use of ICT services supporting
        critical or important functions provide for subcontracting, financial entities
        shall assess whether and how potentially long or complex chains of subcontracting
        may impact their ability to fully monitor the contracted functions and the
        ability of the competent authority to effectively supervise the financial
        entity in that respect.
      translations:
        es:
          name: null
          description: "Cuando el acuerdo contractual sobre el uso de servicios de\
            \ TIC que sustenten funciones esenciales o importantes contemple la subcontrataci\xF3\
            n, las entidades financieras evaluar\xE1n si las cadenas de subcontrataci\xF3\
            n potencialmente largas o complejas pueden afectar a su capacidad para\
            \ efectuar un seguimiento completo de las funciones contratadas y a la\
            \ capacidad de la autoridad competente para supervisar efectivamente a\
            \ la entidad financiera a este respecto, y de qu\xE9 manera."
    - urn: urn:intuitem:risk:req_node:dora:node478
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node432
      name: Article 30
      description: Key contractual provision
      translations:
        es:
          name: "Art\xEDculo 30"
          description: "Cl\xE1usulas contractuales fundamentales"
    - urn: urn:intuitem:risk:req_node:dora:30.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      ref_id: '30.1'
      description: The rights and obligations of the financial entity and of the ICT
        third-party service provider shall be clearly allocated and set out in writing.
        The full contract shall include the service level agreements and be documented
        in one written document which shall be available to the parties on paper,
        or in a document with another downloadable, durable and accessible format.
      translations:
        es:
          name: null
          description: "Los derechos y obligaciones de la entidad financiera y del\
            \ proveedor tercero de servicios de TIC estar\xE1n claramente asignados\
            \ y establecidos por escrito. El contrato completo incluir\xE1 los acuerdos\
            \ de nivel de servicio y se formalizar\xE1 en un documento escrito que\
            \ estar\xE1 a disposici\xF3n de las partes en papel, o en un documento\
            \ en otro formato descargable, duradero y accesible."
    - urn: urn:intuitem:risk:req_node:dora:30.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      ref_id: '30.2'
      description: 'The contractual arrangements on the use of ICT services shall
        include at least the following elements:'
      translations:
        es:
          name: null
          description: "Los acuerdos contractuales sobre el uso de servicios de TIC\
            \ incluir\xE1n, como m\xEDnimo, los elementos siguientes:"
    - urn: urn:intuitem:risk:req_node:dora:30.2.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.a
      description: a clear and complete description of all functions and ICT services
        to be provided by the ICT third-party service provider, indicating whether
        subcontracting of an ICT service supporting a critical or important function,
        or material parts thereof, is permitted and, when that is the case, the conditions
        applying to such subcontracting;
      translations:
        es:
          name: null
          description: "una descripci\xF3n clara y completa de todas las funciones\
            \ y los servicios de TIC que deba prestar el proveedor tercero de servicios\
            \ de TIC en la que se indique si est\xE1 permitida la subcontrataci\xF3\
            n de un servicio de TIC que sustente una funci\xF3n esencial o importante,\
            \ o partes sustanciales de ellas, y, en caso afirmativo, las condiciones\
            \ aplicables a dicha subcontrataci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.b
      description: the locations, namely the regions or countries, where the contracted
        or subcontracted functions and ICT services are to be provided and where data
        is to be processed, including the storage location, and the requirement for
        the ICT third- party service provider to notify the financial entity in advance
        if it envisages changing such locations;
      translations:
        es:
          name: null
          description: "los lugares, en concreto, las regiones o pa\xEDses, en los\
            \ que deber\xE1n proporcionarse las funciones y los servicios de TIC contratados\
            \ o subcontratados y en los que deber\xE1n tratarse los datos, incluido\
            \ el lugar de almacenamiento, y el requisito de que el proveedor tercero\
            \ de servicios de TIC notifique por adelantado a la entidad financiera\
            \ cualquier cambio previsto de dichos lugares;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.c
      description: provisions on availability, authenticity, integrity and confidentiality
        in relation to the protection of data, including personal data;
      translations:
        es:
          name: null
          description: "disposiciones sobre disponibilidad, autenticidad, integridad\
            \ y confidencialidad en relaci\xF3n con la protecci\xF3n de los datos,\
            \ incluidos los datos personales;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.d
      description: provisions on ensuring access, recovery and return in an easily
        accessible format of personal and non-personal data processed by the financial
        entity in the event of the insolvency, resolution or discontinuation of the
        business operations of the ICT third-party service provider, or in the event
        of the termination of the contractual arrangements;
      translations:
        es:
          name: null
          description: "disposiciones sobre las garant\xEDas de la entidad financiera\
            \ de poder acceder a los datos personales y no personales tratados y de\
            \ poder recuperarlos y que le sean devueltos en un formato f\xE1cilmente\
            \ accesible en caso de insolvencia, resoluci\xF3n o interrupci\xF3n de\
            \ las operaciones comerciales del proveedor tercero de servicios de TIC\
            \ o en caso de terminaci\xF3n de los acuerdos contractuales;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.e
      description: service level descriptions, including updates and revisions thereof;
      translations:
        es:
          name: null
          description: descripciones del nivel de servicio, incluidas sus actualizaciones
            y revisiones;
    - urn: urn:intuitem:risk:req_node:dora:30.2.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.f
      description: the obligation of the ICT third-party service provider to provide
        assistance to the financial entity at no additional cost, or at a cost that
        is determined ex-ante, when an ICT incident that is related to the ICT service
        provided to the financial entity occurs;
      translations:
        es:
          name: null
          description: "la obligaci\xF3n del proveedor tercero de servicios de TIC\
            \ de prestar asistencia a la entidad financiera sin coste adicional, o\
            \ a un coste determinado con anterioridad, cuando se produzca un incidente\
            \ de TIC relacionado con el servicio de TIC prestado a la entidad financiera;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.g
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.g
      description: the obligation of the ICT third-party service provider to fully
        cooperate with the competent authorities and the resolution authorities of
        the financial entity, including persons appointed by them;
      translations:
        es:
          name: null
          description: "la obligaci\xF3n del proveedor tercero de servicios de TIC\
            \ de cooperar plenamente con las autoridades competentes y las autoridades\
            \ de resoluci\xF3n de la entidad financiera, incluidas las personas nombradas\
            \ por ellas;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.h
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.h
      description: termination rights and related minimum notice periods for the termination
        of the contractual arrangements, in accordance with the expectations of competent
        authorities and resolution authorities;
      translations:
        es:
          name: null
          description: "los derechos de terminaci\xF3n y los correspondientes plazos\
            \ m\xEDnimos de notificaci\xF3n para la terminaci\xF3n de los acuerdos\
            \ contractuales, conforme a las expectativas de las autoridades competentes\
            \ y las autoridades de resoluci\xF3n;"
    - urn: urn:intuitem:risk:req_node:dora:30.2.i
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.2
      ref_id: 30.2.i
      description: "the conditions for the participation of ICT third-party service\
        \ providers in the financial entities\u2019 ICT security awareness programmes\
        \ and digital operational resilience training in accordance with Article 13(6)."
      translations:
        es:
          name: null
          description: "las condiciones para la participaci\xF3n de proveedores terceros\
            \ de servicios de TIC en los programas de sensibilizaci\xF3n en materia\
            \ de seguridad de las TIC y en las actividades de formaci\xF3n sobre resiliencia\
            \ operativa digital de las entidades financieras, de conformidad con el\
            \ art\xEDculo 13, apartado 6."
    - urn: urn:intuitem:risk:req_node:dora:30.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      ref_id: '30.3'
      description: 'The contractual arrangements on the use of ICT services supporting
        critical or important functions shall include, in addition to the elements
        referred to in paragraph 2, at least the following:'
      translations:
        es:
          name: null
          description: "Adem\xE1s de los elementos a que se refiere el apartado 2,\
            \ los acuerdos contractuales sobre el uso de servicios de TIC que sustenten\
            \ funciones esenciales o importantes incluir\xE1n por lo menos lo siguiente:"
    - urn: urn:intuitem:risk:req_node:dora:30.3.a
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.a
      description: full service level descriptions, including updates and revisions
        thereof with precise quantitative and qualitative performance targets within
        the agreed service levels to allow effective monitoring by the financial entity
        of ICT services and enable appropriate corrective actions to be taken, without
        undue delay, when agreed service levels are not met;
      translations:
        es:
          name: null
          description: descripciones completas del nivel de servicio, incluidas sus
            actualizaciones y revisiones, con objetivos precisos de rendimiento cuantitativos
            y cualitativos dentro de los niveles de servicio acordados, de modo que
            la entidad financiera pueda realizar un seguimiento efectivo de los servicios
            de TIC y que se puedan adoptar sin demora indebida las medidas correctoras
            adecuadas cuando no se alcancen los niveles de servicio acordados;
    - urn: urn:intuitem:risk:req_node:dora:30.3.b
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.b
      description: "notice periods and reporting obligations of the ICT third-party\
        \ service provider to the financial entity, including notification of any\
        \ development that might have a material impact on the ICT third-party service\
        \ provider\u2019s ability to effectively provide the ICT services supporting\
        \ critical or important functions in line with agreed service levels;"
      translations:
        es:
          name: null
          description: "plazos de notificaci\xF3n y obligaciones de informaci\xF3\
            n del proveedor tercero de servicios de TIC a la entidad financiera, incluida\
            \ la notificaci\xF3n de cualquier hecho que pueda afectar considerablemente\
            \ a la capacidad del proveedor tercero de servicios de TIC para prestar\
            \ de forma efectiva los servicios de TIC que sustentan funciones esenciales\
            \ o importantes de conformidad con los niveles de servicio acordados;"
    - urn: urn:intuitem:risk:req_node:dora:30.3.c
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.c
      description: requirements for the ICT third-party service provider to implement
        and test business contingency plans and to have in place ICT security measures,
        tools and policies that provide an appropriate level of security for the provision
        of services by the financial entity in line with its regulatory framework;
      translations:
        es:
          name: null
          description: "requisitos para que el proveedor tercero de servicios de TIC\
            \ aplique y someta apruebe los planes de contingencia empresarial y disponga\
            \ de medidas, herramientas y pol\xEDticas de seguridad de las TIC que\
            \ proporcionen un nivel adecuado de seguridad para la prestaci\xF3n de\
            \ servicios por parte de la entidad financiera en consonancia con su marco\
            \ regulador;"
    - urn: urn:intuitem:risk:req_node:dora:30.3.d
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.d
      description: "the obligation of the ICT third-party service provider to participate\
        \ and fully cooperate in the financial entity\u2019s TLPT as referred to in\
        \ Articles 26 and 27;"
      translations:
        es:
          name: null
          description: "la obligaci\xF3n de que el proveedor tercero de servicios\
            \ de TIC participe y coopere plenamente en las pruebas de penetraci\xF3\
            n basadas en amenazas de la entidad financiera a que se refieren los art\xED\
            culos 26 y 27;"
    - urn: urn:intuitem:risk:req_node:dora:30.3.e
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.e
      description: "the right to monitor, on an ongoing basis, the ICT third-party\
        \ service provider\u2019s performance, which entails the following:"
      translations:
        es:
          name: null
          description: "el derecho a realizar un seguimiento continuo de la actuaci\xF3\
            n del proveedor tercero de servicios de TIC, lo que implica lo siguiente:"
    - urn: urn:intuitem:risk:req_node:dora:30.3.e.i
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.e
      ref_id: 30.3.e.i
      description: unrestricted rights of access, inspection and audit by the financial
        entity, or an appointed third party, and by the competent authority, and the
        right to take copies of relevant documentation on-site if they are critical
        to the operations of the ICT third-party service provider, the effective exercise
        of which is not impeded or limited by other contractual arrangements or implementation
        policies;
      translations:
        es:
          name: null
          description: "derechos ilimitados de acceso, inspecci\xF3n y auditor\xED\
            a por la entidad financiera o un tercero designado, y por la autoridad\
            \ competente, y el derecho a hacer copias de la documentaci\xF3n pertinente\
            \ in situ si son esenciales para las operaciones del proveedor tercero\
            \ de servicios de TIC, cuyo ejercicio efectivo no se vea obstaculizado\
            \ o limitado por otros acuerdos contractuales o pol\xEDticas de aplicaci\xF3\
            n,"
    - urn: urn:intuitem:risk:req_node:dora:30.3.e.ii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.e
      ref_id: 30.3.e.ii
      description: "the right to agree on alternative assurance levels if other clients\u2019\
        \ rights are affected;"
      translations:
        es:
          name: null
          description: "el derecho a pactar niveles de garant\xEDa alternativos si\
            \ se ven afectados los derechos de otros clientes,"
    - urn: urn:intuitem:risk:req_node:dora:30.3.e.iii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.e
      ref_id: 30.3.e.iii
      description: the obligation of the ICT third-party service provider to fully
        cooperate during the onsite inspections and audits performed by the competent
        authorities, the Lead Overseer, financial entity or an appointed third party;
        and
      translations:
        es:
          name: null
          description: "la obligaci\xF3n de que el proveedor tercero de servicios\
            \ de TIC coopere plenamente durante las inspecciones y las auditor\xED\
            as in situ realizadas por las autoridades competentes, el supervisor principal,\
            \ la entidad financiera o un tercero designado, y"
    - urn: urn:intuitem:risk:req_node:dora:30.3.e.iv
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.e
      ref_id: 30.3.e.iv
      description: the obligation to provide details on the scope, procedures to be
        followed and frequency of such inspections and audits;
      translations:
        es:
          name: null
          description: "la obligaci\xF3n de proporcionar detalles sobre el alcance,\
            \ los procedimientos que deben seguirse y la frecuencia de tales inspecciones\
            \ y auditor\xEDas;"
    - urn: urn:intuitem:risk:req_node:dora:30.3.f
      assessable: true
      depth: 5
      parent_urn: urn:intuitem:risk:req_node:dora:30.3
      ref_id: 30.3.f
      description: 'exit strategies, in particular the establishment of a mandatory
        adequate transition period:'
      translations:
        es:
          name: null
          description: "estrategias de salida, en particular el establecimiento de\
            \ un per\xEDodo transitorio suficiente obligatorio:"
    - urn: urn:intuitem:risk:req_node:dora:30.3.f.i
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.f
      ref_id: 30.3.f.i
      description: during which the ICT third-party service provider will continue
        providing the respective functions, or ICT services, with a view to reducing
        the risk of disruption at the financial entity or to ensure its effective
        resolution and restructuring;
      translations:
        es:
          name: null
          description: "durante el cual el proveedor tercero de servicios de TIC seguir\xE1\
            \ proporcionando las funciones o los servicios de TIC de que se trate\
            \ con el fin de reducir el riesgo de perturbaci\xF3n en la entidad financiera\
            \ o de garantizar su resoluci\xF3n y reestructuraci\xF3n efectivas,"
    - urn: urn:intuitem:risk:req_node:dora:30.3.f.ii
      assessable: true
      depth: 6
      parent_urn: urn:intuitem:risk:req_node:dora:30.3.f
      ref_id: 30.3.f.ii
      description: allowing the financial entity to migrate to another ICT third-party
        service provider or change to in-house solutions consistent with the complexity
        of the service provided.
      translations:
        es:
          name: null
          description: que permita a la entidad financiera migrar a otro proveedor
            tercero de servicios de TIC o adoptar soluciones internas coherentes con
            la complejidad del servicio prestado.
    - urn: urn:intuitem:risk:req_node:dora:node503
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      description: "By way of derogation from point (e), the ICT third-party service\
        \ provider and the financial entity that is a microenterprise may agree that\
        \ the financial entity\u2019s rights of access, inspection and audit can be\
        \ delegated to an independent third party, appointed by the ICT third-party\
        \ service provider, and that the financial entity is able to request information\
        \ and assurance on the ICT third-party service provider\u2019s performance\
        \ from the third party at any time."
      translations:
        es:
          name: null
          description: "Como excepci\xF3n a lo dispuesto en la letra e), el proveedor\
            \ tercero de servicios de TIC y la entidad financiera que sea una microempresa\
            \ podr\xE1n acordar que se puedan delegar los derechos de acceso, inspecci\xF3\
            n y auditor\xEDa de la entidad financiera en un tercero independiente,\
            \ designado por el proveedor tercero de servicios de TIC, y que la entidad\
            \ financiera pueda solicitar al tercero en cualquier momento informaci\xF3\
            n y garant\xEDas sobre la actuaci\xF3n del proveedor tercero de servicios\
            \ de TIC."
    - urn: urn:intuitem:risk:req_node:dora:30.4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      ref_id: '30.4'
      description: When negotiating contractual arrangements, financial entities and
        ICT third-party service providers shall consider the use of standard contractual
        clauses developed by public authorities for specific services.
      translations:
        es:
          name: null
          description: "Al negociar acuerdos contractuales, las entidades financieras\
            \ y los proveedores terceros de servicios de TIC considerar\xE1n el uso\
            \ de cl\xE1usulas contractuales tipo elaboradas por las autoridades p\xFA\
            blicas para servicios espec\xEDficos."
    - urn: urn:intuitem:risk:req_node:dora:30.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node478
      ref_id: '30.5'
      description: 'The ESAs shall, through the Joint Committee, develop draft regulatory
        technical standards to specify further the elements referred to in paragraph
        2, point (a), which a financial entity needs to determine and assess when
        subcontracting ICT services supporting critical or important functions.

        When developing those draft regulatory technical standards, the ESAs shall
        take into consideration the size and overall risk profile of the financial
        entity, and the nature, scale and complexity of its services, activities and
        operations.

        The ESAs shall submit those draft regulatory technical standards to the Commission
        by 17 July 2024.

        Power is delegated to the Commission to supplement this Regulation by adopting
        the regulatory technical standards referred to in the first subparagraph in
        accordance with Articles 10 to 14 of Regulations (EU) No 1093/2010, (EU) No
        1094/2010 and (EU) No 1095/2010.'
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, elaborar\xE1n proyectos de normas t\xE9cnicas de regulaci\xF3\
            n para especificar m\xE1s detalladamente los elementos a que se refiere\
            \ el apartado 2, letra a), que una entidad financiera debe determinar\
            \ y evaluar a la hora de subcontratar servicios de TIC que sustenten funciones\
            \ esenciales o importantes.\n\nA la hora de elaborar dichos proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n, las Autoridades Europeas de\
            \ Supervisi\xF3n tendr\xE1n en cuenta el tama\xF1o y el perfil de riesgo\
            \ general de la entidad financiera, as\xED como la naturaleza, escala\
            \ y complejidad de sus servicios, actividades y operaciones.\n\nLas Autoridades\
            \ Europeas de Supervisi\xF3n presentar\xE1n a la Comisi\xF3n dichos proyectos\
            \ de normas t\xE9cnicas de regulaci\xF3n a m\xE1s tardar el 17 de julio\
            \ de 2024.\n\nSe delegan en la Comisi\xF3n los poderes para completar\
            \ el presente Reglamento mediante la adopci\xF3n de las normas t\xE9cnicas\
            \ de regulaci\xF3n a que se refiere el p\xE1rrafo primero de conformidad\
            \ con los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los\
            \ art\xEDculos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node506
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node431
      name: Section II
      description: Oversight Framework of critical ICT third-party service providers
      translations:
        es:
          name: "Secci\xF3n II"
          description: "Marco de supervisi\xF3n de los proveedores terceros esenciales\
            \ de servicios de TIC"
    - urn: urn:intuitem:risk:req_node:dora:node507
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 31
      description: Designation of critical ICT third-party service providers
      translations:
        es:
          name: "Art\xEDculo 31"
          description: "Designaci\xF3n de proveedores terceros esenciales de servicios\
            \ de TIC"
    - urn: urn:intuitem:risk:req_node:dora:31.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.1'
      description: "The ESAs, through the Joint Committee and upon recommendation\
        \ from the Oversight Forum established pursuant to Article 32(1), shall:\n\
        (a)\tdesignate the ICT third-party service providers that are critical for\
        \ financial entities, following an assessment that takes into account the\
        \ criteria specified in paragraph 2;\n(b)\tappoint as Lead Overseer for each\
        \ critical ICT third-party service provider the ESA that is responsible, in\
        \ accordance with Regulations (EU) No 1093/2010, (EU) No 1094/2010 or (EU)\
        \ No 1095/2010, for the financial entities having together the largest share\
        \ of total assets out of the value of total assets of all financial entities\
        \ using the services of the relevant critical ICT third-party service provider,\
        \ as evidenced by the sum of the individual balance sheets of those financial\
        \ entities."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y por recomendaci\xF3n del Foro de Supervisi\xF3n establecido\
            \ en virtud del art\xEDculo 32, apartado 1, deber\xE1n:\n\na) designar\
            \ a los proveedores terceros de servicios de TIC que sean esenciales para\
            \ las entidades financieras, tras una evaluaci\xF3n que tenga en cuenta\
            \ los criterios especificados en el apartado 2;\n\nb) nombrar como supervisor\
            \ principal para cada proveedor tercero esencial de servicios de TIC a\
            \ la Autoridad Europea de Supervisi\xF3n que sea responsable, de conformidad\
            \ con los Reglamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 o (UE) n.o\
            \ 1095/2010, para las entidades financieras que tengan conjuntamente la\
            \ parte m\xE1s grande de activos totales del valor de activos totales\
            \ de todas las entidades financieras que utilizan los servicios del proveedor\
            \ tercero esencial de servicios de TIC pertinente, seg\xFAn conste en\
            \ la suma de los balances particulares de dichas entidades financieras."
    - urn: urn:intuitem:risk:req_node:dora:31.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.2'
      description: "The designation referred to in paragraph 1, point (a), shall be\
        \ based on all of the following criteria in relation to ICT services provided\
        \ by the ICT third-party service provider:\n(a)\tthe systemic impact on the\
        \ stability, continuity or quality of the provision of financial services\
        \ in the event that the relevant ICT third-party service provider would face\
        \ a large scale operational failure to provide its services, taking into account\
        \ the number of financial entities and the total value of assets of financial\
        \ entities to which the relevant ICT third-party service provider provides\
        \ services;\n(b)\tthe systemic character or importance of the financial entities\
        \ that rely on the relevant ICT third-party service provider, assessed in\
        \ accordance with the following parameters:\n(i)\tthe number of global systemically\
        \ important institutions (G-SIIs) or other systemically important institutions\
        \ (O-SIIs) that rely on the respective ICT third-party service provider;\n\
        (ii)\tthe interdependence between the G-SIIs or O-SIIs referred to in point\
        \ (i) and other financial entities, including situations where the G-SIIs\
        \ or O-SIIs provide financial infrastructure services to other financial entities;\n\
        (c)\tthe reliance of financial entities on the services provided by the relevant\
        \ ICT third-party service provider in relation to critical or important functions\
        \ of financial entities that ultimately involve the same ICT third-party service\
        \ provider, irrespective of whether financial entities rely on those services\
        \ directly or indirectly, through subcontracting arrangements;\n(d)\tthe degree\
        \ of substitutability of the ICT third-party service provider, taking into\
        \ account the following parameters:\n(i)\tthe lack of real alternatives, even\
        \ partial, due to the limited number of ICT third-party service providers\
        \ active on a specific market, or the market share of the relevant ICT third-party\
        \ service provider, or the technical complexity or sophistication involved,\
        \ including in relation to any proprietary technology, or the specific features\
        \ of the ICT third-party service provider\u2019s organisation or activity;\n\
        (ii)\tdifficulties in relation to partially or fully migrating the relevant\
        \ data and workloads from the relevant ICT third- party service provider to\
        \ another ICT third-party service provider, due either to significant financial\
        \ costs, time or other resources that the migration process may entail, or\
        \ to increased ICT risk or other operational risks to which the financial\
        \ entity may be exposed through such migration."
      translations:
        es:
          name: null
          description: "La designaci\xF3n a que se refiere el apartado 1, letra a),\
            \ se basar\xE1 en todos los criterios siguientes en relaci\xF3n con los\
            \ servicios de TIC prestados por el proveedor tercero de servicios de\
            \ TIC:\n\na) el impacto sist\xE9mico en la estabilidad, la continuidad\
            \ o la calidad de la prestaci\xF3n de servicios financieros en caso de\
            \ un posible fallo operativo a gran escala del proveedor tercero de servicios\
            \ de TIC de que se trate que afecte a la prestaci\xF3n de sus servicios,\
            \ teniendo en cuenta el n\xFAmero de entidades financieras y el valor\
            \ total de los activos de las entidades financieras a las que presta servicios\
            \ el proveedor tercero de servicios de TIC de que se trate;\n\nb) el car\xE1\
            cter o la importancia sist\xE9micos de las entidades financieras que dependen\
            \ del proveedor tercero de servicios de TIC de que se trate, evaluados\
            \ con arreglo a los par\xE1metros siguientes:\n\n i) el n\xFAmero de entidades\
            \ de importancia sist\xE9mica mundial (EISM) u otras entidades de importancia\
            \ sist\xE9mica (OEIS) que dependen del proveedor tercero de servicios\
            \ de TIC correspondiente,\n\n ii) la interdependencia entre las EISM u\
            \ OEIS a que se refiere el inciso i) y otras entidades financieras, incluidas\
            \ las situaciones en las que las EISM u OEIS prestan servicios de infraestructura\
            \ financiera a otras entidades financieras;\n\nc) la dependencia de las\
            \ entidades financieras respecto de los servicios prestados por el proveedor\
            \ tercero de servicios de TIC pertinente en relaci\xF3n con funciones\
            \ esenciales o importantes de entidades financieras que, en \xFAltima\
            \ instancia, impliquen al mismo proveedor tercero de servicios de TIC,\
            \ con independencia de que las entidades financieras recurran a dichos\
            \ servicios directa o indirectamente, a trav\xE9s de acuerdos de subcontrataci\xF3\
            n;\n\nd) el grado de sustituibilidad del proveedor tercero de servicios\
            \ de TIC, teniendo en cuenta los par\xE1metros siguientes:\n\n i) la falta\
            \ de alternativas reales, siquiera parciales, debido al n\xFAmero limitado\
            \ de proveedores terceros de servicios de TIC activos en un mercado espec\xED\
            fico, o a la cuota de mercado del proveedor tercero de servicios de TIC\
            \ de que se trate, o a la complejidad o dificultad t\xE9cnica existente,\
            \ entre otras cosas en relaci\xF3n con tecnolog\xEDas protegidas por derechos,\
            \ o a las caracter\xEDsticas espec\xEDficas de la organizaci\xF3n o la\
            \ actividad del proveedor tercero de servicios de TIC,\n\n ii) las dificultades\
            \ relacionadas con la migraci\xF3n parcial o total de los datos y cargas\
            \ de trabajo pertinentes del proveedor tercero de servicios de TIC en\
            \ cuesti\xF3n a otro, al ser considerables los costes financieros, el\
            \ tiempo u otros recursos que el proceso de migraci\xF3n podr\xEDa implicar,\
            \ o debido al aumento del riesgo de TIC o de otros riesgos operativos\
            \ a los que podr\xEDa verse expuesta la entidad financiera a trav\xE9\
            s de dicha migraci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:31.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.3'
      description: Where the ICT third-party service provider belongs to a group,
        the criteria referred to in paragraph 2 shall be considered in relation to
        the ICT services provided by the group as a whole.
      translations:
        es:
          name: null
          description: "Cuando el proveedor tercero de servicios de TIC pertenezca\
            \ a un grupo, los criterios a que se refiere el apartado 2 se tendr\xE1\
            n en cuenta en relaci\xF3n con los servicios de TIC prestados por el grupo\
            \ en su conjunto."
    - urn: urn:intuitem:risk:req_node:dora:31.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.4'
      description: Critical ICT third-party service providers which are part of a
        group shall designate one legal person as a coordination point to ensure adequate
        representation and communication with the Lead Overseer.
      translations:
        es:
          name: null
          description: "Los proveedores terceros esenciales de servicios de TIC que\
            \ formen parte de un grupo designar\xE1n a una persona jur\xEDdica como\
            \ punto de coordinaci\xF3n para garantizar una representaci\xF3n y una\
            \ comunicaci\xF3n adecuadas con el supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:31.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.5'
      description: 'The Lead Overseer shall notify the ICT third-party service provider
        of the outcome of the assessment leading to the designation referred in paragraph
        1, point (a). Within 6 weeks from the date of the notification, the ICT third-party
        service provider may submit to the Lead Overseer a reasoned statement with
        any relevant information for the purposes of the assessment. The Lead Overseer
        shall consider the reasoned statement and may request additional information
        to be submitted within 30 calendar days of the receipt of such statement.

        After designating an ICT third-party service provider as critical, the ESAs,
        through the Joint Committee, shall notify the ICT third-party service provider
        of such designation and the starting date as from which they will effectively
        be subject to oversight activities. That starting date shall be no later than
        one month after the notification. The ICT third-party service provider shall
        notify the financial entities to which they provide services of their designation
        as critical.'
      translations:
        es:
          name: null
          description: "El supervisor principal notificar\xE1 al proveedor tercero\
            \ de servicios de TIC el resultado de la evaluaci\xF3n previa a la designaci\xF3\
            n a que se refiere el apartado 1, letra a). En el plazo de seis semanas\
            \ a partir de la fecha de la notificaci\xF3n, el proveedor tercero de\
            \ servicios de TIC podr\xE1 presentar al supervisor principal una declaraci\xF3\
            n motivada con cualquier informaci\xF3n pertinente a efectos de la evaluaci\xF3\
            n. El supervisor principal considerar\xE1 la declaraci\xF3n motivada y\
            \ podr\xE1 solicitar que se presente informaci\xF3n adicional en un plazo\
            \ de treinta d\xEDas naturales a partir de la recepci\xF3n de dicha declaraci\xF3\
            n.\n\nTras designar a un proveedor tercero de servicios de TIC como esencial,\
            \ las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del Comit\xE9\
            \ Mixto, notificar\xE1n al proveedor tercero de servicios de TIC dicha\
            \ designaci\xF3n y la fecha de inicio a partir de la cual ser\xE1 efectivamente\
            \ objeto de actividades de supervisi\xF3n. Dicha fecha de inicio no ser\xE1\
            \ posterior en m\xE1s de un mes a la notificaci\xF3n. El proveedor tercero\
            \ de servicios de TIC notificar\xE1 a las entidades financieras a las\
            \ que presta servicios su designaci\xF3n como esencial."
    - urn: urn:intuitem:risk:req_node:dora:31.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.6'
      description: The Commission is empowered to adopt a delegated act in accordance
        with Article 57 to supplement this Regulation by specifying further the criteria
        referred to in paragraph 2 of this Article, by 17 July 2024.
      translations:
        es:
          name: null
          description: "Se otorgan a la Comisi\xF3n los poderes para adoptar un acto\
            \ delegado, de conformidad con el art\xEDculo 57, para completar el presente\
            \ Reglamento especificando con m\xE1s detalle los criterios mencionados\
            \ en el apartado 2 del presente art\xEDculo, a m\xE1s tardar el 17 de\
            \ julio de 2024."
    - urn: urn:intuitem:risk:req_node:dora:31.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.7'
      description: The designation referred to in paragraph 1, point (a), shall not
        be used until the Commission has adopted a delegated act in accordance with
        paragraph 6.
      translations:
        es:
          name: null
          description: "La designaci\xF3n a que se refiere el apartado 1, letra a),\
            \ no se utilizar\xE1 hasta que la Comisi\xF3n haya adoptado un acto delegado\
            \ de conformidad con el apartado 6."
    - urn: urn:intuitem:risk:req_node:dora:31.8
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.8'
      description: "The designation referred to in paragraph 1, point (a), shall not\
        \ apply to the following:\n(i)\tfinancial entities providing ICT services\
        \ to other financial entities;\n(ii)\tICT third-party service providers that\
        \ are subject to oversight frameworks established for the purposes of supporting\
        \ the tasks referred to in Article 127(2) of the Treaty on the Functioning\
        \ of the European Union;\n(iii)\tICT intra-group service providers;\n(iv)\t\
        ICT third-party service providers providing ICT services solely in one Member\
        \ State to financial entities that are only active in that Member State."
      translations:
        es:
          name: null
          description: "La designaci\xF3n a que se refiere el apartado 1, letra a),\
            \ no se aplicar\xE1 a:\n\ni) las entidades financieras que presten servicios\
            \ de TIC a otras entidades financieras,\nii) los proveedores terceros\
            \ de servicios de TIC que est\xE9n sujetos a marcos de supervisi\xF3n\
            \ establecidos en apoyo de las tareas a que se refiere el art\xEDculo\
            \ 127, apartado 2, del TFUE,\niii) los proveedores intragrupo de servicios\
            \ de TIC,\niv) los proveedores terceros de servicios de TIC que presten\
            \ servicios de TIC \xFAnicamente en un Estado miembro a entidades financieras\
            \ que operan exclusivamente en ese Estado miembro."
    - urn: urn:intuitem:risk:req_node:dora:31.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.9'
      description: The ESAs, through the Joint Committee, shall establish, publish
        and update yearly the list of critical ICT third-party service providers at
        Union level.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, establecer\xE1n, publicar\xE1n y actualizar\xE1n anualmente\
            \ la lista de proveedores terceros esenciales de servicios de TIC a escala\
            \ de la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:31.10
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.10'
      description: For the purposes of paragraph 1, point (a), competent authorities
        shall, on a yearly and aggregated basis, transmit the reports referred to
        in Article 28(3), third subparagraph, to the Oversight Forum established pursuant
        to Article 32. The Oversight Forum shall assess the ICT third-party dependencies
        of financial entities based on the information received from the competent
        authorities.
      translations:
        es:
          name: null
          description: "A efectos de lo dispuesto en el apartado 1, letra a), las\
            \ autoridades competentes transmitir\xE1n anualmente y de forma agregada\
            \ los informes a que se refiere el art\xEDculo 28, apartado 3, p\xE1rrafo\
            \ tercero, al Foro de Supervisi\xF3n establecido en virtud del art\xED\
            culo 32. El Foro de Supervisi\xF3n evaluar\xE1 las dependencias de terceros\
            \ en el \xE1mbito de las TIC de las entidades financieras bas\xE1ndose\
            \ en la informaci\xF3n recibida de las autoridades competentes."
    - urn: urn:intuitem:risk:req_node:dora:31.11
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.11'
      description: 'The ICT third-party service providers that are not included in
        the list referred to in paragraph 9 may request to be designated as critical
        in accordance with paragraph 1, point (a).

        For the purpose of the first subparagraph, the ICT third-party service provider
        shall submit a reasoned application to EBA, ESMA or EIOPA, which, through
        the Joint Committee, shall decide whether to designate that ICT third-party
        service provider as critical in accordance with paragraph 1, point (a).

        The decision referred to in the second subparagraph shall be adopted and notified
        to the ICT third-party service provider within 6 months of receipt of the
        application.'
      translations:
        es:
          name: null
          description: "Los proveedores terceros de servicios de TIC que no est\xE9\
            n incluidos en la lista a que se refiere el apartado 9 podr\xE1n solicitar\
            \ ser designados como esenciales de conformidad con el apartado 1, letra\
            \ a).\n\nA efectos de lo dispuesto en el p\xE1rrafo primero, el proveedor\
            \ tercero de servicios de TIC presentar\xE1 una solicitud motivada a la\
            \ ABE, la AEVM o la AESPJ que, a trav\xE9s del Comit\xE9 Mixto, decidir\xE1\
            n si lo designan o no como esencial de conformidad con el apartado 1,\
            \ letra a).\n\nLa decisi\xF3n a que se refiere el p\xE1rrafo segundo se\
            \ adoptar\xE1 y notificar\xE1 al proveedor tercero de servicios de TIC\
            \ en un plazo de seis meses a partir de la recepci\xF3n de la solicitud."
    - urn: urn:intuitem:risk:req_node:dora:31.12
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.12'
      description: Financial entities shall only make use of the services of an ICT
        third-party service provider established in a third country and which has
        been designated as critical in accordance with paragraph 1, point (a), if
        the latter has established a subsidiary in the Union within the 12 months
        following the designation.
      translations:
        es:
          name: null
          description: "Las entidades financieras solo recurrir\xE1n a los servicios\
            \ de un proveedor tercero de servicios de TIC establecido en un tercer\
            \ pa\xEDs y que haya sido designado como esencial de conformidad con el\
            \ apartado 1, letra a), si este \xFAltimo ha establecido una filial en\
            \ la Uni\xF3n en los 12 meses siguientes a la designaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:31.13
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node507
      ref_id: '31.13'
      description: The critical ICT third-party service provider referred to in paragraph
        12 shall notify the Lead Overseer of any changes to the structure of the management
        of the subsidiary established in the Union.
      translations:
        es:
          name: null
          description: "El proveedor tercero esencial de servicios de TIC a que se\
            \ refiere el apartado 12 notificar\xE1 al supervisor principal cualquier\
            \ cambio en la estructura de la direcci\xF3n de la filial establecida\
            \ en la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:node521
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 32
      description: Structure of the Oversight Framework
      translations:
        es:
          name: "Art\xEDculo 32"
          description: "Estructura del marco de supervisi\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:32.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.1'
      description: 'The Joint Committee, in accordance with Article 57(1) of Regulations
        (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, shall establish
        the Oversight Forum as a sub-committee for the purposes of supporting the
        work of the Joint Committee and of the Lead Overseer referred to in Article
        31(1), point (b), in the area of ICT third-party risk across financial sectors.
        The Oversight Forum shall prepare the draft joint positions and the draft
        common acts of the Joint Committee in that area.

        The Oversight Forum shall regularly discuss relevant developments on ICT risk
        and vulnerabilities and promote a consistent approach in the monitoring of
        ICT third-party risk at Union level.'
      translations:
        es:
          name: null
          description: "El Comit\xE9 Mixto, de conformidad con el art\xEDculo 57,\
            \ apartado 1, del Reglamento (UE) n.o 1093/2010, el art\xEDculo 57, apartado\
            \ 1, del Reglamento (UE) n.o 1094/2010 y el art\xEDculo 57, apartado 1,\
            \ del Reglamento (UE) n.o 1095/2010, establecer\xE1 el Foro de Supervisi\xF3\
            n como subcomit\xE9 encargado de apoyar el trabajo del Comit\xE9 Mixto\
            \ y del supervisor principal a que se refiere el art\xEDculo 31, apartado\
            \ 1, letra b), en materia de riesgo relacionado con las TIC derivado de\
            \ terceros en los distintos sectores financieros. El Foro de Supervisi\xF3\
            n elaborar\xE1 los proyectos de posiciones conjuntas y de actos comunes\
            \ del Comit\xE9 Mixto en este \xE1mbito.\n\nEl Foro de Supervisi\xF3n\
            \ debatir\xE1 peri\xF3dicamente las novedades pertinentes en materia de\
            \ riesgos y vulnerabilidades en materia de TIC y promover\xE1 un enfoque\
            \ coherente de seguimiento de los riesgos relacionados con las TIC derivados\
            \ de terceros a escala de la Uni\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:32.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.2'
      description: The Oversight Forum shall, on a yearly basis, undertake a collective
        assessment of the results and findings of the oversight activities conducted
        for all critical ICT third-party service providers and promote coordination
        measures to increase the digital operational resilience of financial entities,
        foster best practices on addressing ICT concentration risk and explore mitigants
        for cross-sector risk transfers.
      translations:
        es:
          name: null
          description: "El Foro de Supervisi\xF3n llevar\xE1 a cabo anualmente una\
            \ evaluaci\xF3n colectiva de los resultados y las conclusiones de las\
            \ actividades de supervisi\xF3n realizadas para todos los proveedores\
            \ terceros esenciales de servicios de TIC y promover\xE1 medidas de coordinaci\xF3\
            n para incrementar la resiliencia operativa digital de las entidades financieras,\
            \ fomentar buenas pr\xE1cticas para hacer frente al riesgo de concentraci\xF3\
            n de TIC y estudiar medidas de mitigaci\xF3n de la transferencia de riesgos\
            \ entre sectores."
    - urn: urn:intuitem:risk:req_node:dora:32.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.3'
      description: The Oversight Forum shall submit comprehensive benchmarks for critical
        ICT third-party service providers to be adopted by the Joint Committee as
        joint positions of the ESAs in accordance with Article 56(1) of Regulations
        (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010.
      translations:
        es:
          name: null
          description: "El Foro de Supervisi\xF3n presentar\xE1 \xEDndices de referencia\
            \ exhaustivos para los proveedores terceros esenciales de servicios de\
            \ TIC, que el Comit\xE9 Mixto adoptar\xE1 como posiciones conjuntas de\
            \ las Autoridades Europeas de Supervisi\xF3n de conformidad con el art\xED\
            culo 56, apartado 1, del Reglamento (UE) n.o 1093/2010, el art\xEDculo\
            \ 56, apartado 1, del Reglamento (UE) n.o 1094/2010 y el art\xEDculo 56,\
            \ apartado 1, del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:32.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.4'
      description: "The Oversight Forum shall be composed of:\n(a)\tthe Chairpersons\
        \ of the ESAs;\n(b)\tone high-level representative from the current staff\
        \ of the relevant competent authority referred to in Article 46 from each\
        \ Member State;\n(c)\tthe Executive Directors of each ESA and one representative\
        \ from the Commission, from the ESRB, from ECB and from ENISA as observers;\n\
        (d)\twhere appropriate, one additional representative of a competent authority\
        \ referred to in Article 46 from each Member State as observer;\n(e)\twhere\
        \ applicable, one representative of the competent authorities designated or\
        \ established in accordance with Directive (EU) 2022/2555 responsible for\
        \ the supervision of an essential or important entity subject to that Directive,\
        \ which has been designated as a critical ICT third-party service provider,\
        \ as observer.\nThe Oversight Forum may, where appropriate, seek the advice\
        \ of independent experts appointed in accordance with paragraph 6."
      translations:
        es:
          name: null
          description: "El Foro de Supervisi\xF3n estar\xE1 integrado por:\n\na) los\
            \ presidentes de las Autoridades Europeas de Supervisi\xF3n;\nb) un representante\
            \ de alto nivel del personal en plantilla de la autoridad competente pertinente\
            \ a que se refiere el art\xEDculo 46 de cada Estado miembro;\nc) los respectivos\
            \ directores ejecutivos de cada Autoridad Europea de Supervisi\xF3n y\
            \ un representante de la Comisi\xF3n, de la JERS, del BCE y de la ENISA\
            \ en calidad de observadores;\nd) en su caso, un representante adicional\
            \ de una autoridad competente a que se refiere el art\xEDculo 46 de cada\
            \ Estado miembro, en calidad de observador;\ne) cuando proceda, un representante\
            \ de las autoridades competentes designadas o establecidas de conformidad\
            \ con la Directiva (UE) 2022/2555 responsable, en calidad de observador,\
            \ de la supervisi\xF3n de una entidad esencial o importante sujeta a dicha\
            \ Directiva, que haya sido designada proveedor tercero esencial de servicios\
            \ de TIC.\n\nCuando proceda, el Foro de Supervisi\xF3n podr\xE1 solicitar\
            \ el asesoramiento de expertos independientes nombrados de conformidad\
            \ con el apartado 6."
    - urn: urn:intuitem:risk:req_node:dora:32.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.5'
      description: 'Each Member State shall designate the relevant competent authority
        whose staff member shall be the high-level representative referred in paragraph
        4, first subparagraph, point (b), and shall inform the Lead Overseer thereof.

        The ESAs shall publish on their website the list of high-level representatives
        from the current staff of the relevant competent authority designated by Member
        States.'
      translations:
        es:
          name: null
          description: "Cada Estado miembro designar\xE1 a la autoridad competente\
            \ pertinente a cuyo personal pertenecer\xE1 el representante de alto nivel\
            \ a que se refiere el apartado 4, p\xE1rrafo primero, letra b), e informar\xE1\
            \ de ello al supervisor principal.\n\nLas Autoridades Europeas de Supervisi\xF3\
            n publicar\xE1n en su sitio web la lista de representantes de alto nivel\
            \ del personal en plantilla de la autoridad competente pertinente, designados\
            \ por los Estados miembros."
    - urn: urn:intuitem:risk:req_node:dora:32.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.6'
      description: 'The independent experts referred to in paragraph 4, second subparagraph,
        shall be appointed by the Oversight Forum from a pool of experts selected
        following a public and transparent application process.

        The independent experts shall be appointed on the basis of their expertise
        in financial stability, digital operational resilience and ICT security matters.
        They shall act independently and objectively in the sole interest of the Union
        as a whole and shall neither seek nor take instructions from Union institutions
        or bodies, from any government of a Member State or from any other public
        or private body.'
      translations:
        es:
          name: null
          description: "Los expertos independientes a que se refiere el apartado 4,\
            \ p\xE1rrafo segundo, ser\xE1n nombrados por el Foro de Supervisi\xF3\
            n, que los elegir\xE1 de entre un grupo de expertos seleccionados tras\
            \ un proceso de presentaci\xF3n de candidaturas p\xFAblico y transparente.\n\
            \nLos expertos independientes ser\xE1n nombrados en atenci\xF3n a sus\
            \ conocimientos especializados en materia de estabilidad financiera, resiliencia\
            \ operativa digital y seguridad de las TIC. Actuar\xE1n con independencia\
            \ y objetividad en inter\xE9s exclusivo del conjunto de la Uni\xF3n y\
            \ no pedir\xE1n ni aceptar\xE1n instrucci\xF3n alguna de las instituciones\
            \ u \xF3rganos de la Uni\xF3n, de ning\xFAn Gobierno de un Estado miembro\
            \ ni de ninguna otra entidad p\xFAblica o privada."
    - urn: urn:intuitem:risk:req_node:dora:32.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.7'
      description: In accordance with Article 16 of Regulations (EU) No 1093/2010,
        (EU) No 1094/2010 and (EU) No 1095/2010, the ESAs shall by 17 July 2024 issue,
        for the purposes of this Section, guidelines on the cooperation between the
        ESAs and the competent authorities covering the detailed procedures and conditions
        for the allocation and execution of tasks between competent authorities and
        the ESAs and the details on the exchanges of information which are necessary
        for competent authorities to ensure the follow-up of recommendations pursuant
        to Article 35(1), point (d), addressed to critical ICT third-party service
        providers.
      translations:
        es:
          name: null
          description: "De conformidad con el art\xEDculo 16 del Reglamento (UE) n.o\
            \ 1093/2010, el art\xEDculo 16 del Reglamento (UE) n.o 1094/2010 y el\
            \ art\xEDculo 16 del Reglamento (UE) n.o 1095/2010, las Autoridades Europeas\
            \ de Supervisi\xF3n emitir\xE1n, a m\xE1s tardar el 17 de julio de 2024,\
            \ a efectos de lo dispuesto en la presente secci\xF3n, directrices sobre\
            \ la cooperaci\xF3n entre ellas y las autoridades competentes que incluyan\
            \ procedimientos y condiciones detallados de distribuci\xF3n y ejecuci\xF3\
            n de tareas entre las autoridades competentes y las Autoridades Europeas\
            \ de Supervisi\xF3n, as\xED como los pormenores sobre los intercambios\
            \ de informaci\xF3n necesarios para que las autoridades competentes garanticen\
            \ el seguimiento de las recomendaciones formuladas en virtud del art\xED\
            culo 35, apartado 1, letra d), dirigidas a los proveedores terceros esenciales\
            \ de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:32.8
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.8'
      description: The requirements set out in this Section shall be without prejudice
        to the application of Directive (EU) 2022/2555 and of other Union rules on
        oversight applicable to providers of cloud computing services.
      translations:
        es:
          name: null
          description: "Los requisitos establecidos en la presente secci\xF3n se entender\xE1\
            n sin perjuicio de la aplicaci\xF3n de la Directiva (UE) 2022/2555 y de\
            \ otras normas de la Uni\xF3n sobre supervisi\xF3n aplicables a los proveedores\
            \ de servicios de computaci\xF3n en nube."
    - urn: urn:intuitem:risk:req_node:dora:32.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node521
      ref_id: '32.9'
      description: The ESAs, through the Joint Committee and based on preparatory
        work conducted by the Oversight Forum, shall, on yearly basis, submit a report
        on the application of this Section to the European Parliament, the Council
        and the Commission.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y bas\xE1ndose en los trabajos preparatorios realizados\
            \ por el Foro de Supervisi\xF3n, presentar\xE1n anualmente al Parlamento\
            \ Europeo, al Consejo y a la Comisi\xF3n un informe sobre la aplicaci\xF3\
            n de la presente secci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:node531
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 33
      description: Tasks of the Lead Overseer
      translations:
        es:
          name: "Art\xEDculo 33"
          description: Tareas del supervisor principal
    - urn: urn:intuitem:risk:req_node:dora:33.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node531
      ref_id: '33.1'
      description: The Lead Overseer, appointed in accordance with Article 31(1),
        point (b), shall conduct the oversight of the assigned critical ICT third-party
        service providers and shall be, for the purposes of all matters related to
        the oversight, the primary point of contact for those critical ICT third-party
        service providers.
      translations:
        es:
          name: null
          description: "El supervisor principal, nombrado de conformidad con el art\xED\
            culo 31, apartado 1, letra b), llevar\xE1 a cabo la supervisi\xF3n de\
            \ los proveedores terceros esenciales de servicios de TIC asignados y\
            \ ser\xE1, a efectos de todos los asuntos relacionados con la supervisi\xF3\
            n, el punto de contacto principal para dichos proveedores terceros esenciales\
            \ de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:33.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node531
      ref_id: '33.2'
      description: 'For the purposes of paragraph 1, the Lead Overseer shall assess
        whether each critical ICT third-party service provider has in place comprehensive,
        sound and effective rules, procedures, mechanisms and arrangements to manage
        the ICT risk which it may pose to financial entities.

        The assessment referred to in the first subparagraph shall focus mainly on
        ICT services provided by the critical ICT third- party service provider supporting
        the critical or important functions of financial entities. Where necessary
        to address all relevant risks, that assessment shall extend to ICT services
        supporting functions other than those that are critical or important.'
      translations:
        es:
          name: null
          description: "A efectos de lo dispuesto en el apartado 1, el supervisor\
            \ principal evaluar\xE1 si cada proveedor tercero esencial de servicios\
            \ de TIC ha establecido normas, procedimientos, mecanismos y disposiciones\
            \ completos, s\xF3lidos y efectivos para gestionar el riesgo relacionado\
            \ con las TIC que pueda plantear a las entidades financieras.\n\nLa evaluaci\xF3\
            n a que se refiere el p\xE1rrafo primero se centrar\xE1 principalmente\
            \ en los servicios de TIC prestados por el proveedor tercero esencial\
            \ de servicios de TIC que sustenten funciones esenciales o importantes\
            \ de las entidades financieras. Cuando sea necesario para abordar todos\
            \ los riesgos pertinentes, dicha evaluaci\xF3n abarcar\xE1 adem\xE1s los\
            \ servicios de TIC que sustenten funciones distintas de aquellas que son\
            \ esenciales o importantes."
    - urn: urn:intuitem:risk:req_node:dora:33.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node531
      ref_id: '33.3'
      description: "The assessment referred to in paragraph 2 shall cover:\n(a)\t\
        ICT requirements to ensure, in particular, the security, availability, continuity,\
        \ scalability and quality of services which the critical ICT third-party service\
        \ provider provides to financial entities, as well as the ability to maintain\
        \ at all times high standards of availability, authenticity, integrity or\
        \ confidentiality of data;\n(b)\tthe physical security contributing to ensuring\
        \ the ICT security, including the security of premises, facilities, data centres;\n\
        (c)\tthe risk management processes, including ICT risk management policies,\
        \ ICT business continuity policy and ICT response and recovery plans;\n(d)\t\
        the governance arrangements, including an organisational structure with clear,\
        \ transparent and consistent lines of responsibility and accountability rules\
        \ enabling effective ICT risk management;\n(e)\tthe identification, monitoring\
        \ and prompt reporting of material ICT-related incidents to financial entities,\
        \ the management and resolution of those incidents, in particular cyber-attacks;\n\
        (f)\tthe mechanisms for data portability, application portability and interoperability,\
        \ which ensure an effective exercise of termination rights by the financial\
        \ entities;\n(g)\tthe testing of ICT systems, infrastructure and controls;\n\
        (h)\tthe ICT audits;\n(i)\tthe use of relevant national and international\
        \ standards applicable to the provision of its ICT services to the financial\
        \ entities."
      translations:
        es:
          name: null
          description: "La evaluaci\xF3n a la que se refiere el apartado 2 abarcar\xE1\
            :\n\na) los requisitos en materia de TIC para garantizar, en particular,\
            \ la seguridad, la disponibilidad, la continuidad, la escalabilidad y\
            \ la calidad de los servicios que el proveedor tercero esencial de servicios\
            \ de TIC presta a las entidades financieras, as\xED como la capacidad\
            \ para mantener en todo momento unos niveles elevados de disponibilidad,\
            \ autenticidad, integridad o confidencialidad de los datos;\nb) la seguridad\
            \ f\xEDsica que contribuye a garantizar la seguridad de las TIC, incluida\
            \ la seguridad de los locales, instalaciones y centros de datos;\nc) los\
            \ procesos de gesti\xF3n de riesgos, incluidas las pol\xEDticas de gesti\xF3\
            n del riesgo relacionado con las TIC, la pol\xEDtica de continuidad de\
            \ la actividad en materia de TIC y los planes de respuesta y recuperaci\xF3\
            n en materia de TIC;\nd) los mecanismos de gobernanza, incluida una estructura\
            \ organizativa con l\xEDneas de responsabilidad claras, transparentes\
            \ y coherentes y normas de rendici\xF3n de cuentas que permitan la gesti\xF3\
            n eficaz del riesgo relacionado con las TIC;\ne) la determinaci\xF3n,\
            \ el seguimiento y la r\xE1pida notificaci\xF3n a las entidades financieras\
            \ de los incidentes importantes relacionados con las TIC, la gesti\xF3\
            n y la resoluci\xF3n de dichos incidentes, en particular de los ciberataques;\n\
            f) los mecanismos para la portabilidad de los datos y la portabilidad\
            \ e interoperabilidad de las aplicaciones, que garanticen el ejercicio\
            \ efectivo de los derechos de terminaci\xF3n por las entidades financieras;\n\
            g) la prueba de los sistemas, las infraestructuras y los controles de\
            \ TIC;\nh) las auditor\xEDas de TIC;\ni) la aplicaci\xF3n de las normas\
            \ nacionales e internacionales pertinentes en materia de prestaci\xF3\
            n de sus servicios de TIC a las entidades financieras."
    - urn: urn:intuitem:risk:req_node:dora:33.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node531
      ref_id: '33.4'
      description: 'Based on the assessment referred to in paragraph 2, and in coordination
        with the Joint Oversight Network (JON) referred to in Article 34(1), the Lead
        Overseer shall adopt a clear, detailed and reasoned individual oversight plan
        describing the annual oversight objectives and the main oversight actions
        planned for each critical ICT third-party service provider. That plan shall
        be communicated yearly to the critical ICT third-party service provider.

        Prior to the adoption of the oversight plan, the Lead Overseer shall communicate
        the draft oversight plan to the critical ICT third-party service provider.

        Upon receipt of the draft oversight plan, the critical ICT third-party service
        provider may submit a reasoned statement within 15 calendar days evidencing
        the expected impact on customers which are entities falling outside of the
        scope of this Regulation and where appropriate, formulating solutions to mitigate
        risks.'
      translations:
        es:
          name: null
          description: "Sobre la base de la evaluaci\xF3n a que se refiere el apartado\
            \ 2, y en coordinaci\xF3n con la Red de Supervisi\xF3n Conjunta a que\
            \ se refiere el art\xEDculo 34, apartado 1, el supervisor principal adoptar\xE1\
            \ un plan de supervisi\xF3n particular claro, detallado y motivado en\
            \ el que se describan los objetivos anuales de supervisi\xF3n y las principales\
            \ acciones de supervisi\xF3n previstas para cada proveedor tercero esencial\
            \ de servicios de TIC. Dicho plan se comunicar\xE1 cada a\xF1o al proveedor\
            \ tercero esencial de servicios de TIC.\n\nAntes de la adopci\xF3n del\
            \ plan de supervisi\xF3n, el supervisor principal comunicar\xE1 el proyecto\
            \ de plan de supervisi\xF3n al proveedor tercero esencial de servicios\
            \ de TIC.\n\nCuando reciba el proyecto de plan de supervisi\xF3n, el proveedor\
            \ tercero esencial de servicios de TIC podr\xE1 presentar una declaraci\xF3\
            n motivada en un plazo de quince d\xEDas naturales en la que se exponga\
            \ el efecto esperado en los clientes que sean entidades excluidas del\
            \ \xE1mbito de aplicaci\xF3n del presente Reglamento y en la que se planteen,\
            \ en su caso, soluciones para mitigar los riesgos."
    - urn: urn:intuitem:risk:req_node:dora:33.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node531
      ref_id: '33.5'
      description: Once the annual oversight plans referred to in paragraph 4 have
        been adopted and notified to the critical ICT third- party service providers,
        competent authorities may take measures concerning such critical ICT third-party
        service providers only in agreement with the Lead Overseer.
      translations:
        es:
          name: null
          description: "Una vez que los planes de supervisi\xF3n anuales a que se\
            \ refiere el apartado 4 hayan sido adoptados y notificados a los proveedores\
            \ terceros esenciales de servicios de TIC, las autoridades competentes\
            \ podr\xE1n adoptar medidas en relaci\xF3n con dichos proveedores solo\
            \ de acuerdo con el supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:node537
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 34
      description: Operational coordination between Lead Overseers
      translations:
        es:
          name: "Art\xEDculo 34"
          description: "Coordinaci\xF3n operativa entre supervisores principales"
    - urn: urn:intuitem:risk:req_node:dora:34.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node537
      ref_id: '34.1'
      description: To ensure a consistent approach to oversight activities and with
        a view to enabling coordinated general oversight strategies and cohesive operational
        approaches and work methodologies, the three Lead Overseers appointed in accordance
        with Article 31(1), point (b), shall set up a JON to coordinate among themselves
        in the preparatory stages and to coordinate the conduct of oversight activities
        over their respective overseen critical ICT third-party service providers,
        as well as in the course of any action that may be needed pursuant to Article
        42.
      translations:
        es:
          name: null
          description: "A fin de garantizar un enfoque coherente de las actividades\
            \ de supervisi\xF3n y con vistas a posibilitar estrategias generales de\
            \ supervisi\xF3n coordinadas y enfoques operativos y metodolog\xEDas de\
            \ trabajo coherentes, los tres supervisores principales nombrados de conformidad\
            \ con el art\xEDculo 31, apartado 1, letra b), crear\xE1n una Red de Supervisi\xF3\
            n Conjunta a fin de coordinarse entre s\xED en las fases preparatorias\
            \ y de coordinar la realizaci\xF3n de las actividades de supervisi\xF3\
            n de sus proveedores terceros esenciales de servicios de TIC respectivos,\
            \ as\xED como en el curso de cualquier l\xEDnea de actuaci\xF3n que pueda\
            \ ser necesaria en virtud del art\xEDculo 42."
    - urn: urn:intuitem:risk:req_node:dora:34.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node537
      ref_id: '34.2'
      description: For the purposes of paragraph 1, the Lead Overseers shall draw
        up a common oversight protocol specifying the detailed procedures to be followed
        for carrying out the day-to-day coordination and for ensuring swift exchanges
        and reactions. The protocol shall be periodically revised to reflect operational
        needs, in particular the evolution of practical oversight arrangements.
      translations:
        es:
          name: null
          description: "A efectos del apartado 1, los supervisores principales elaborar\xE1\
            n un protocolo com\xFAn de supervisi\xF3n en el que se especifiquen los\
            \ procedimientos detallados que deber\xE1n seguirse para llevar a cabo\
            \ la coordinaci\xF3n cotidiana y para garantizar intercambios y reacciones\
            \ r\xE1pidos. El protocolo se revisar\xE1 peri\xF3dicamente para reflejar\
            \ las necesidades operativas, en particular la evoluci\xF3n de las disposiciones\
            \ pr\xE1cticas de supervisi\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:34.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node537
      ref_id: '34.3'
      description: The Lead Overseers may, on an ad-hoc basis, call on the ECB and
        ENISA to provide technical advice, share hands-on experience or join specific
        coordination meetings of the JON.
      translations:
        es:
          name: null
          description: "Los supervisores principales podr\xE1n, de forma ad hoc, pedir\
            \ al BCE y a la ENISA que proporcionen asesoramiento t\xE9cnico, compartan\
            \ experiencias pr\xE1cticas o se sumen a determinadas reuniones de coordinaci\xF3\
            n de la Red de Supervisi\xF3n Conjunta."
    - urn: urn:intuitem:risk:req_node:dora:node541
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 35
      description: Powers of the Lead Overseer
      translations:
        es:
          name: "Art\xEDculo 35"
          description: Facultades del supervisor principal
    - urn: urn:intuitem:risk:req_node:dora:35.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.1'
      description: "For the purposes of carrying out the duties laid down in this\
        \ Section, the Lead Overseer shall have the following powers in respect of\
        \ the critical ICT third-party service providers:\n(a)\tto request all relevant\
        \ information and documentation in accordance with Article 37;\n(b)\tto conduct\
        \ general investigations and inspections in accordance with Articles 38 and\
        \ 39, respectively;\n(c)\tto request, after the completion of the oversight\
        \ activities, reports specifying the actions that have been taken or the remedies\
        \ that have been implemented by the critical ICT third-party service providers\
        \ in relation to the recommendations referred to in point (d) of this paragraph;\n\
        (d)\tto issue recommendations on the areas referred to in Article 33(3), in\
        \ particular concerning the following:\n(i)\tthe use of specific ICT security\
        \ and quality requirements or processes, in particular in relation to the\
        \ roll-out of patches, updates, encryption and other security measures which\
        \ the Lead Overseer deems relevant for ensuring the ICT security of services\
        \ provided to financial entities;\n(ii)\tthe use of conditions and terms,\
        \ including their technical implementation, under which the critical ICT third-party\
        \ service providers provide ICT services to financial entities, which the\
        \ Lead Overseer deems relevant for preventing the generation of single points\
        \ of failure, the amplification thereof, or for minimising the possible systemic\
        \ impact across the Union\u2019s financial sector in the event of ICT concentration\
        \ risk;\n(iii)\tany planned subcontracting, where the Lead Overseer deems\
        \ that further subcontracting, including subcontracting arrangements which\
        \ the critical ICT third-party service providers plan to enter into with ICT\
        \ third-party service providers or with ICT subcontractors established in\
        \ a third country, may trigger risks for the provision of services by the\
        \ financial entity, or risks to the financial stability, based on the examination\
        \ of the information gathered in accordance with Articles 37 and 38;\n(iv)\t\
        refraining from entering into a further subcontracting arrangement, where\
        \ the following cumulative conditions are met:\n\u2014 the envisaged subcontractor\
        \ is an ICT third-party service provider or an ICT subcontractor established\
        \ in a third country;\n\u2014 the subcontracting concerns critical or important\
        \ functions of the financial entity; and\n\u2014 the Lead Overseer deems that\
        \ the use of such subcontracting poses a clear and serious risk to the financial\
        \ stability of the Union or to financial entities, including to the ability\
        \ of financial entities to comply with supervisory requirements.\nFor the\
        \ purpose of point (iv) of this point, ICT third-party service providers shall,\
        \ using the template referred to in Article 41(1), point (b), transmit the\
        \ information regarding subcontracting to the Lead Overseer."
      translations:
        es:
          name: null
          description: "A efectos del desempe\xF1o de las funciones establecidas en\
            \ la presente secci\xF3n, el supervisor principal dispondr\xE1 de las\
            \ siguientes facultades por lo que respecta a los proveedores terceros\
            \ esenciales de servicios de TIC:\n\na) solicitar toda la informaci\xF3\
            n y la documentaci\xF3n pertinentes de conformidad con el art\xEDculo\
            \ 37;\n\nb) llevar a cabo investigaciones generales e inspecciones de\
            \ conformidad con los art\xEDculos 38 y 39, respectivamente;\n\nc) una\
            \ vez finalizadas las actividades de supervisi\xF3n, solicitar informes\
            \ en los que se especifiquen las medidas adoptadas o las medidas correctoras\
            \ aplicadas por los proveedores terceros esenciales de servicios de TIC\
            \ en relaci\xF3n con las recomendaciones a que se refiere la letra d)\
            \ del presente apartado;\n\nd) formular recomendaciones sobre los \xE1\
            mbitos a los que se refiere el art\xEDculo 33, apartado 3, en particular\
            \ en relaci\xF3n con lo siguiente:\n\n  i) la aplicaci\xF3n de requisitos\
            \ o procesos espec\xEDficos de seguridad y calidad de las TIC, en particular\
            \ en relaci\xF3n con la instalaci\xF3n de parches, actualizaciones, cifrado\
            \ y otras medidas de seguridad que el supervisor principal considere pertinentes\
            \ para garantizar la seguridad, desde el punto de vista de las TIC, de\
            \ los servicios prestados a las entidades financieras,\n\n  ii) la aplicaci\xF3\
            n de condiciones, incluida su ejecuci\xF3n t\xE9cnica, a las que deba\
            \ ajustarse la prestaci\xF3n de servicios de TIC a las entidades financieras\
            \ por los proveedores terceros esenciales de servicios de TIC, y que el\
            \ supervisor principal considere pertinentes para impedir que se generen\
            \ o se ampl\xEDen puntos \xFAnicos de fallo, o para minimizar el posible\
            \ impacto sist\xE9mico en el sector financiero de la Uni\xF3n en caso\
            \ de riesgo de concentraci\xF3n de TIC,\n\n  iii) cualquier subcontrataci\xF3\
            n prevista, en caso de que el supervisor principal considere que toda\
            \ ulterior subcontrataci\xF3n, incluidos los acuerdos de subcontrataci\xF3\
            n que los proveedores terceros esenciales de servicios de TIC prevean\
            \ celebrar con proveedores terceros de servicios de TIC o con subcontratistas\
            \ de TIC establecidos en un tercer pa\xEDs, puede ocasionar riesgos para\
            \ la prestaci\xF3n de servicios por la entidad financiera, o riesgos para\
            \ la estabilidad financiera, bas\xE1ndose en el examen de la informaci\xF3\
            n recabada de conformidad con los art\xEDculos 37 y 38,\n\n  iv) abstenerse\
            \ de celebrar un acuerdo adicional de subcontrataci\xF3n, cuando se cumplan\
            \ todas las condiciones siguientes:\n\n   \u2014que el subcontratista\
            \ previsto sea un proveedor tercero de servicios de TIC o un subcontratista\
            \ de TIC establecido en un tercer pa\xEDs,\n   \u2014que la subcontrataci\xF3\
            n se refiera a las funciones esenciales o importantes de la entidad financiera,\
            \ y\n   \u2014que el supervisor principal considere que el recurso a tal\
            \ subcontrataci\xF3n plantea un riesgo claro y grave para la estabilidad\
            \ financiera de la Uni\xF3n o para las entidades financieras, tambi\xE9\
            n para la capacidad de estas \xFAltimas de cumplir los requisitos de supervisi\xF3\
            n.\n\n  A efectos del inciso iv) de la presente letra, los proveedores\
            \ terceros de servicios de TIC, utilizando la plantilla a que se refiere\
            \ el art\xEDculo 41, apartado 1, letra b), transmitir\xE1n la informaci\xF3\
            n relativa a la subcontrataci\xF3n al supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:35.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.2'
      description: "When exercising the powers referred to in this Article, the Lead\
        \ Overseer shall:\n(a)\tensure regular coordination within the JON, and in\
        \ particular shall seek consistent approaches, as appropriate, with regard\
        \ to the oversight of critical ICT third-party service providers;\n(b)\ttake\
        \ due account of the framework established by Directive (EU) 2022/2555 and,\
        \ where necessary, consult the relevant competent authorities designated or\
        \ established in accordance with that Directive, in order to avoid duplication\
        \ of technical and organisational measures that might apply to critical ICT\
        \ third-party service providers pursuant to that \nDirective;\n(c)\tseek to\
        \ minimise, to the extent possible, the risk of disruption to services provided\
        \ by critical ICT third-party service providers to customers that are entities\
        \ falling outside the scope of this Regulation."
      translations:
        es:
          name: null
          description: " En el ejercicio de las facultades a que se refiere el presente\
            \ art\xEDculo, el supervisor principal:\n\na) garantizar\xE1 una coordinaci\xF3\
            n peri\xF3dica en el seno de la Red de Supervisi\xF3n Conjunta y, en particular,\
            \ perseguir\xE1 enfoques coherentes, seg\xFAn proceda, por lo que respecta\
            \ a la supervisi\xF3n de los proveedores terceros esenciales de servicios\
            \ de TIC;\n\nb) tendr\xE1 debidamente en cuenta el marco establecido por\
            \ la Directiva (UE) 2022/2555 y, cuando sea necesario, consultar\xE1 a\
            \ las autoridades competentes pertinentes designadas o establecidas de\
            \ conformidad con dicha Directiva, con el fin de evitar la duplicaci\xF3\
            n de medidas t\xE9cnicas y organizativas que podr\xEDan aplicarse a los\
            \ proveedores terceros esenciales de servicios de TIC en virtud de dicha\
            \ Directiva;\n\nc) tratar\xE1 de minimizar, en la medida de lo posible,\
            \ el riesgo de perturbaci\xF3n de los servicios prestados por proveedores\
            \ terceros esenciales de servicios de TIC a clientes que sean entidades\
            \ excluidas del \xE1mbito de aplicaci\xF3n del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:35.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.3'
      description: 'The Lead Overseer shall consult the Oversight Forum before exercising
        the powers referred to in paragraph 1.

        Before issuing recommendations in accordance with paragraph 1, point (d),
        the Lead Overseer shall give the opportunity to the ICT third-party service
        provider to provide, within 30 calendar days, relevant information evidencing
        the expected impact on customers that are entities falling outside the scope
        of this Regulation and, where appropriate, formulating solutions to mitigate
        risks.'
      translations:
        es:
          name: null
          description: "El supervisor principal consultar\xE1 al Foro de Supervisi\xF3\
            n antes de ejercer las facultades a que se refiere el apartado 1.\n\n\
            Antes de formular recomendaciones de conformidad con el apartado 1, letra\
            \ d), el supervisor principal brindar\xE1 al proveedor tercero de servicios\
            \ de TIC la oportunidad de facilitar, en un plazo de treinta d\xEDas naturales,\
            \ informaci\xF3n pertinente que exponga el efecto previsto en los clientes\
            \ que sean entidades excluidas del \xE1mbito de aplicaci\xF3n del presente\
            \ Reglamento y, cuando proceda, que plantee soluciones para mitigar los\
            \ riesgos."
    - urn: urn:intuitem:risk:req_node:dora:35.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.4'
      description: The Lead Overseer shall inform the JON of the outcome of the exercise
        of the powers referred to in paragraph 1, points (a) and (b). The Lead Overseer
        shall, without undue delay, transmit the reports referred to in paragraph
        1, point (c), to the JON and to the competent authorities of the financial
        entities using the ICT services of that critical ICT third-party service provider.
      translations:
        es:
          name: null
          description: "El supervisor principal informar\xE1 a la Red de Supervisi\xF3\
            n Conjunta del resultado del ejercicio de las facultades a que se refiere\
            \ el apartado 1, letras a) y b). El supervisor principal transmitir\xE1\
            , sin demora indebida, los informes a que se refiere el apartado 1, letra\
            \ c), a la Red de Supervisi\xF3n Conjunta y a las autoridades competentes\
            \ de las entidades financieras que utilicen los servicios de TIC de dicho\
            \ proveedor tercero esencial de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:35.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.5'
      description: Critical ICT third-party service providers shall cooperate in good
        faith with the Lead Overseer, and assist it in the fulfilment of its tasks.
      translations:
        es:
          name: null
          description: "Los proveedores terceros esenciales de servicios de TIC cooperar\xE1\
            n de buena fe con el supervisor principal y lo asistir\xE1n en el desempe\xF1\
            o de sus tareas."
    - urn: urn:intuitem:risk:req_node:dora:35.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.6'
      description: In the event of whole or partial non-compliance with the measures
        required to be taken pursuant to the exercise of the powers under paragraph
        1, points (a), (b) and (c), and after the expiry of a period of at least 30
        calendar days from the date on which the critical ICT third-party service
        provider received notification of the respective measures, the Lead Overseer
        shall adopt a decision imposing a periodic penalty payment to compel the critical
        ICT third-party service provider to comply with those measures.
      translations:
        es:
          name: null
          description: "En caso de incumplimiento total o parcial de las medidas cuya\
            \ adopci\xF3n se exigi\xF3 en virtud del ejercicio de las facultades con\
            \ arreglo al apartado 1, letras a), b) y c), y tras la expiraci\xF3n de\
            \ un plazo de al menos treinta d\xEDas naturales a partir de la fecha\
            \ en que el proveedor tercero esencial de servicios de TIC haya recibido\
            \ la notificaci\xF3n de las medidas de que se trate, el supervisor principal\
            \ adoptar\xE1 una decisi\xF3n por la que se imponga una multa coercitiva\
            \ para empujar al proveedor tercero esencial de servicios de TIC a cumplir\
            \ dichas medidas."
    - urn: urn:intuitem:risk:req_node:dora:35.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.7'
      description: The periodic penalty payment referred to in paragraph 6 shall be
        imposed on a daily basis until compliance is achieved and for no more than
        a period of six months following the notification of the decision to impose
        a periodic penalty payment to the critical ICT third-party service provider.
      translations:
        es:
          name: null
          description: "La multa coercitiva a que se refiere el apartado 6 se impondr\xE1\
            \ diariamente hasta que se logre el cumplimiento y por un per\xEDodo m\xE1\
            ximo de seis meses a partir de la notificaci\xF3n de la decisi\xF3n de\
            \ imponer una multa coercitiva al proveedor tercero esencial de servicios\
            \ de TIC."
    - urn: urn:intuitem:risk:req_node:dora:35.8
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.8'
      description: "The amount of the periodic penalty payment, calculated from the\
        \ date stipulated in the decision imposing the periodic penalty payment, shall\
        \ be up to 1 % of the average daily worldwide turnover of the critical ICT\
        \ third-party service provider in the preceding business year. When determining\
        \ the amount of the penalty payment, the Lead Overseer shall take into account\
        \ the following criteria regarding non-compliance with the measures referred\
        \ to in paragraph 6:\n(a)\tthe gravity and the duration of non-compliance;\n\
        (b)\twhether non-compliance has been committed intentionally or negligently;\n\
        (c)\tthe level of cooperation of the ICT third-party service provider with\
        \ the Lead Overseer.\nFor the purposes of the first subparagraph, in order\
        \ to ensure a consistent approach, the Lead Overseer shall engage in consultation\
        \ within the JON."
      translations:
        es:
          name: null
          description: "El importe de la multa coercitiva, calculado a partir de la\
            \ fecha establecida en la decisi\xF3n por la que se imponga dicha multa,\
            \ ser\xE1 de hasta un 1 % del volumen de negocios diario medio a escala\
            \ mundial del proveedor tercero esencial de servicios de TIC en el ejercicio\
            \ precedente. Al determinar el importe de la multa coercitiva, el supervisor\
            \ principal tendr\xE1 en cuenta los siguientes criterios en relaci\xF3\
            n con el incumplimiento de las medidas a que se refiere el apartado 6:\n\
            \na) la gravedad y la duraci\xF3n del incumplimiento;\nb) si el incumplimiento\
            \ ha sido cometido intencionadamente o por negligencia;\nc) el nivel de\
            \ cooperaci\xF3n del proveedor tercero de servicios de TIC con el supervisor\
            \ principal.\n\nA efectos del p\xE1rrafo primero el supervisor principal\
            \ entablar\xE1 consultas en el seno de la Red de Supervisi\xF3n Conjunta\
            \ a fin de garantizar un enfoque coherente."
    - urn: urn:intuitem:risk:req_node:dora:35.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.9'
      description: Penalty payments shall be of an administrative nature and shall
        be enforceable. Enforcement shall be governed by the rules of civil procedure
        in force in the Member State on the territory of which inspections and access
        shall be carried out. Courts of the Member State concerned shall have jurisdiction
        over complaints related to irregular conduct of enforcement. The amounts of
        the penalty payments shall be allocated to the general budget of the European
        Union.
      translations:
        es:
          name: null
          description: "Las multas coercitivas ser\xE1n de car\xE1cter administrativo\
            \ y tendr\xE1n fuerza ejecutiva. La ejecuci\xF3n forzosa se regir\xE1\
            \ por las normas de procedimiento civil vigentes en el Estado miembro\
            \ en cuyo territorio se lleven a cabo las inspecciones y el acceso. Los\
            \ \xF3rganos jurisdiccionales del Estado miembro de que se trate ser\xE1\
            n competentes para conocer de las denuncias relacionadas con irregularidades\
            \ en la ejecuci\xF3n. Los importes de las multas coercitivas se asignar\xE1\
            n al presupuesto general de la Uni\xF3n Europea."
    - urn: urn:intuitem:risk:req_node:dora:35.10
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.10'
      description: The Lead Overseer shall disclose to the public every periodic penalty
        payment that has been imposed, unless such disclosure would seriously jeopardise
        the financial markets or cause disproportionate damage to the parties involved.
      translations:
        es:
          name: null
          description: "El supervisor principal har\xE1 p\xFAblicas todas las multas\
            \ coercitivas que se impongan, a menos que dicha divulgaci\xF3n ponga\
            \ en grave riesgo los mercados financieros o cause un perjuicio desproporcionado\
            \ a las partes implicadas."
    - urn: urn:intuitem:risk:req_node:dora:35.11
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node541
      ref_id: '35.11'
      description: "Before imposing a periodic penalty payment under paragraph 6,\
        \ the Lead Overseer shall give the representatives of the critical ICT third-party\
        \ service provider subject to the proceedings the opportunity to be heard\
        \ on the findings and shall base its decisions only on findings on which the\
        \ critical ICT third-party service provider subject to the proceedings has\
        \ had an opportunity to comment.\nThe rights of the defence of the persons\
        \ subject to the proceedings shall be fully respected in the proceedings.\
        \ The critical ICT third-party service provider subject to the proceedings\
        \ shall be entitled to have access to the file, subject to the legitimate\
        \ interest of other persons in the protection of their business secrets. The\
        \ right of access to the file shall not extend to confidential information\
        \ or to the Lead Overseer\u2019s internal preparatory documents."
      translations:
        es:
          name: null
          description: "Antes de imponer una multa coercitiva de conformidad con el\
            \ apartado 6, el supervisor principal ofrecer\xE1 a los representantes\
            \ del proveedor tercero esencial de servicios de TIC objeto del procedimiento\
            \ la oportunidad de ser o\xEDdos en relaci\xF3n con las conclusiones y\
            \ basar\xE1 sus decisiones \xFAnicamente en las conclusiones acerca de\
            \ las cuales el proveedor tercero esencial de servicios de TIC objeto\
            \ del procedimiento haya tenido la oportunidad de formular observaciones.\n\
            \nLos derechos de defensa de las personas objeto del procedimiento estar\xE1\
            n garantizados plenamente en el curso del procedimiento. El proveedor\
            \ tercero esencial de servicios de TIC objeto del procedimiento tendr\xE1\
            \ derecho a acceder al expediente, a reserva del inter\xE9s leg\xEDtimo\
            \ de otras personas por lo que respecta a la protecci\xF3n de sus secretos\
            \ comerciales. El derecho de acceso al expediente no se extender\xE1 a\
            \ la informaci\xF3n confidencial ni a los documentos preparatorios internos\
            \ del supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:node553
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 36
      description: Exercise of the powers of the Lead Overseer outside the Union
      translations:
        es:
          name: "Art\xEDculo 36"
          description: "Ejercicio de las facultades del supervisor principal fuera\
            \ de la Uni\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:36.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node553
      ref_id: '36.1'
      description: "When oversight objectives cannot be attained by means of interacting\
        \ with the subsidiary set up for the purpose of Article 31(12), or by exercising\
        \ oversight activities on premises located in the Union, the Lead Overseer\
        \ may exercise the powers, referred to in the following provisions, on any\
        \ premises located in a third-country which is owned, or used in any way,\
        \ for the purposes of providing services to Union financial entities, by a\
        \ critical ICT third-party service provider, in connection with its business\
        \ operations, functions or services, including any administrative, business\
        \ or operational offices, premises, lands, buildings or other properties:\
        \ (a) in Article 35(1), point (a); and\n(b) in Article 35(1), point (b), in\
        \ accordance with Article 38(2), points (a), (b) and (d), and in Article 39(1)\
        \ and (2), point (a).\nThe powers referred to in the first subparagraph may\
        \ be exercised subject to all of the following conditions:\n(i)\tthe conduct\
        \ of an inspection in a third-country is deemed necessary by the Lead Overseer\
        \ to allow it to fully and effectively perform its duties under this Regulation;\n\
        (ii)\tthe inspection in a third-country is directly related to the provision\
        \ of ICT services to financial entities in the Union;\n(iii)\tthe critical\
        \ ICT third-party service provider concerned consents to the conduct of an\
        \ inspection in a third-country; and\n(iv)\tthe relevant authority of the\
        \ third-country concerned has been officially notified by the Lead Overseer\
        \ and raised no objection thereto."
      translations:
        es:
          name: null
          description: "Cuando los objetivos de supervisi\xF3n no puedan alcanzarse\
            \ mediante una interacci\xF3n con la filial establecida a efectos del\
            \ art\xEDculo 31, apartado 12, o mediante el ejercicio de actividades\
            \ de supervisi\xF3n en locales situados en la Uni\xF3n, el supervisor\
            \ principal podr\xE1 ejercer las facultades a que se refieren las disposiciones\
            \ siguientes en cualquier local situado en un tercer pa\xEDs que sea propiedad\
            \ de un proveedor tercero esencial de servicios de TIC o este utilice\
            \ de cualquier modo para prestar servicios a entidades financieras de\
            \ la Uni\xF3n, en relaci\xF3n con sus operaciones, funciones o servicios\
            \ comerciales, incluidos cualquier oficina, local, terreno, edificio u\
            \ otra propiedad, de naturaleza administrativa comercial u operativa:\n\
            \na) el art\xEDculo 35, apartado 1, letra a), y\nb) el art\xEDculo 35,\
            \ apartado 1, letra b), de conformidad con el art\xEDculo 38, apartado\
            \ 2, letras a), b) y d), y el art\xEDculo 39, apartado 1 y apartado 2,\
            \ letra a).\n\nLas facultades a que se refiere el p\xE1rrafo primero podr\xE1\
            n ejercerse siempre que se cumplan todas las condiciones siguientes:\n\
            \ni) el supervisor principal considera necesaria la realizaci\xF3n de\
            \ una inspecci\xF3n en un tercer pa\xEDs para poder desempe\xF1ar plena\
            \ y eficazmente sus funciones con arreglo al presente Reglamento,\nii)\
            \ la inspecci\xF3n en un tercer pa\xEDs est\xE1 directamente relacionada\
            \ con la prestaci\xF3n de servicios de TIC a entidades financieras de\
            \ la Uni\xF3n,\niii) el proveedor tercero esencial de servicios de TIC\
            \ afectado consiente en que se lleve a cabo una inspecci\xF3n en un tercer\
            \ pa\xEDs, y\niv) la autoridad pertinente del tercer pa\xEDs de que se\
            \ trate ha sido oficialmente informada por el supervisor principal y no\
            \ ha formulado objeciones al respecto."
    - urn: urn:intuitem:risk:req_node:dora:36.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node553
      ref_id: '36.2'
      description: "Without prejudice to the respective competences of the Union institutions\
        \ and of Member States, for the purposes of paragraph 1, EBA, ESMA or EIOPA\
        \ shall conclude administrative cooperation arrangements with the relevant\
        \ authority of the third country in order to enable the smooth conduct of\
        \ inspections in the third country concerned by the Lead Overseer and its\
        \ designated team for its mission in that third country. Those cooperation\
        \ arrangements shall not create legal obligations in respect of the Union\
        \ and its Member States nor shall they prevent Member States and their competent\
        \ authorities from concluding bilateral or multilateral arrangements with\
        \ those third countries and their relevant authorities.\nThose cooperation\
        \ arrangements shall specify at least the following elements:\n(a)\tthe procedures\
        \ for the coordination of oversight activities carried out under this Regulation\
        \ and any analogous monitoring of ICT third-party risk in the financial sector\
        \ exercised by the relevant authority of the third country concerned, including\
        \ details for transmitting the agreement of the latter to allow the conduct,\
        \ by the Lead Overseer and its designated team, of general investigations\
        \ and on-site inspections as referred to in paragraph 1, first subparagraph,\
        \ on the territory under its jurisdiction;\n(b)\tthe mechanism for the transmission\
        \ of any relevant information between EBA, ESMA or EIOPA and the relevant\
        \ authority of the third country concerned, in particular in connection with\
        \ information that may be requested by the Lead Overseer pursuant to Article\
        \ 37;\n(c)\tthe mechanisms for the prompt notification by the relevant authority\
        \ of the third-country concerned to EBA, ESMA or EIOPA of cases where an ICT\
        \ third-party service provider established in a third country and designated\
        \ as critical in accordance with Article 31(1), point (a), is deemed to have\
        \ infringed the requirements to which it is obliged to adhere pursuant to\
        \ the applicable law of the third country concerned when providing services\
        \ to financial institutions in that third country, as well as the remedies\
        \ and penalties applied;\n(d)\tthe regular transmission of updates on regulatory\
        \ or supervisory developments on the monitoring of ICT third-party risk of\
        \ financial institutions in the third country concerned;\n(e)\tthe details\
        \ for allowing, if needed, the participation of one representative of the\
        \ relevant third-country authority in the inspections conducted by the Lead\
        \ Overseer and the designated team."
      translations:
        es:
          name: null
          description: "Sin perjuicio de las competencias respectivas de las instituciones\
            \ de la Uni\xF3n y de los Estados miembros, a efectos del apartado 1,\
            \ la ABE, la AEVM o la AESPJ, celebrar\xE1n acuerdos de cooperaci\xF3\
            n administrativa con la autoridad pertinente del tercer pa\xEDs a fin\
            \ de que las inspecciones en el tercer pa\xEDs de que se trate por parte\
            \ del supervisor principal y su equipo designado para su misi\xF3n en\
            \ ese tercer pa\xEDs se puedan realizar de manera fluida. Dichos acuerdos\
            \ de cooperaci\xF3n no crear\xE1n obligaciones jur\xEDdicas para la Uni\xF3\
            n y sus Estados miembros ni impedir\xE1n a los Estados miembros y a sus\
            \ autoridades competentes celebrar acuerdos bilaterales o multilaterales\
            \ con dichos terceros pa\xEDses y sus autoridades pertinentes.\n\nEn dichos\
            \ acuerdos de cooperaci\xF3n se especificar\xE1n, como m\xEDnimo, los\
            \ siguientes elementos:\n\na) los procedimientos para la coordinaci\xF3\
            n de las actividades de supervisi\xF3n llevadas a cabo con arreglo al\
            \ presente Reglamento y de cualquier seguimiento an\xE1logo del riesgo\
            \ de terceros relacionado con las TIC en el sector financiero efectuado\
            \ por la autoridad pertinente del tercer pa\xEDs de que se trate, incluidos\
            \ los detalles para transmitir el acuerdo de esta \xFAltima que permita\
            \ la realizaci\xF3n, por parte del supervisor principal y su equipo designado,\
            \ de las investigaciones generales y las inspecciones in situ a que se\
            \ refiere el apartado 1, p\xE1rrafo primero, en el territorio bajo su\
            \ jurisdicci\xF3n;\n\nb) el mecanismo para la transmisi\xF3n de cualquier\
            \ informaci\xF3n pertinente entre la ABE, la AEVM o la AESPJ y la autoridad\
            \ pertinente del tercer pa\xEDs de que se trate, en particular en relaci\xF3\
            n con la informaci\xF3n que el supervisor principal puede solicitar en\
            \ virtud del art\xEDculo 37;\n\nc) los mecanismos para la r\xE1pida notificaci\xF3\
            n, por parte de la autoridad pertinente del tercer pa\xEDs de que se trate,\
            \ a la ABE, la AEVM o la AESPJ, de los casos en que se considere que un\
            \ proveedor tercero de servicios de TIC establecido en un tercer pa\xED\
            s y designado como esencial de conformidad con el art\xEDculo 31, apartado\
            \ 1, letra a), ha incumplido los requisitos que est\xE1 obligado a cumplir\
            \ en virtud del Derecho aplicable del tercer pa\xEDs de que se trate a\
            \ la hora de prestar servicios a entidades financieras de dicho tercer\
            \ pa\xEDs, as\xED como de las medidas correctoras y las sanciones aplicadas;\n\
            \nd) la transmisi\xF3n peri\xF3dica de informaci\xF3n actualizada sobre\
            \ la evoluci\xF3n en materia de regulaci\xF3n o supervisi\xF3n en relaci\xF3\
            n con el seguimiento del riesgo de terceros relacionado con las TIC de\
            \ las entidades financieras del tercer pa\xEDs de que se trate;\n\ne)\
            \ los detalles para permitir, en caso necesario, la participaci\xF3n de\
            \ un representante de la autoridad pertinente del tercer pa\xEDs en las\
            \ inspecciones realizadas por el supervisor principal y el equipo designado."
    - urn: urn:intuitem:risk:req_node:dora:36.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node553
      ref_id: '36.3'
      description: "When the Lead Overseer is not able to conduct oversight activities\
        \ outside the Union, referred to in paragraphs 1 and 2, the Lead Overseer\
        \ shall:\n(a)\texercise its powers under Article 35 on the basis of all facts\
        \ and documents available to it;\n(b)\tdocument and explain any consequence\
        \ of its inability to conduct the envisaged oversight activities as referred\
        \ to in this Article.\nThe potential consequences referred to in point (b)\
        \ of this paragraph shall be taken into consideration in the Lead Overseer\u2019\
        s recommendations issued pursuant to Article 35(1), point (d)."
      translations:
        es:
          name: null
          description: "Cuando no pueda llevar a cabo fuera de la Uni\xF3n las actividades\
            \ de supervisi\xF3n a que se refieren los apartados 1 y 2, el supervisor\
            \ principal deber\xE1:\n\na) ejercer sus facultades con arreglo al art\xED\
            culo 35 bas\xE1ndose en todos los datos y documentos de que disponga;\n\
            b) documentar y explicar cualquier consecuencia de su incapacidad para\
            \ llevar a cabo las actividades de supervisi\xF3n previstas a que se refiere\
            \ el presente art\xEDculo.\n\nEn las recomendaciones del supervisor principal\
            \ formuladas en virtud del art\xEDculo 35, apartado 1, letra d), se tendr\xE1\
            n en cuenta las posibles consecuencias a que se refiere la letra b) del\
            \ presente apartado."
    - urn: urn:intuitem:risk:req_node:dora:node557
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 37
      description: Request for information
      translations:
        es:
          name: "Art\xEDculo 37"
          description: "Solicitud de informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:37.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node557
      ref_id: '37.1'
      description: The Lead Overseer may, by simple request or by decision, require
        critical ICT third-party service providers to provide all information that
        is necessary for the Lead Overseer to carry out its duties under this Regulation,
        including all relevant business or operational documents, contracts, policies,
        documentation, ICT security audit reports, ICT-related incident reports, as
        well as any information relating to parties to whom the critical ICT third-party
        service provider has outsourced operational functions or activities.
      translations:
        es:
          name: null
          description: "El supervisor principal, mediante simple solicitud o mediante\
            \ decisi\xF3n, podr\xE1 exigir a los proveedores terceros esenciales de\
            \ servicios de TIC que faciliten cuanta informaci\xF3n le sea necesaria\
            \ para desempe\xF1ar sus funciones con arreglo al presente Reglamento,\
            \ incluidos todos los documentos comerciales u operativos, contratos,\
            \ p\xF3lizas, documentaci\xF3n, informes de auditor\xEDas de seguridad\
            \ de las TIC e informes sobre incidentes relacionados con las TIC pertinentes,\
            \ as\xED como cualquier informaci\xF3n relativa a las partes a las que\
            \ el proveedor tercero esencial de servicios de TIC haya externalizado\
            \ funciones o actividades operativas."
    - urn: urn:intuitem:risk:req_node:dora:37.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node557
      ref_id: '37.2'
      description: "When sending a simple request for information under paragraph\
        \ 1, the Lead Overseer shall:\n(a)\trefer to this Article as the legal basis\
        \ of the request;\n(b)\tstate the purpose of the request;\n(c)\tspecify what\
        \ information is required;\n(d)\tset a time limit within which the information\
        \ is to be provided;\n(e)\tinform the representative of the critical ICT third-party\
        \ service provider from whom the information is requested that he or she is\
        \ not obliged to provide the information, but in the event of a voluntary\
        \ reply to the request the information provided must not be incorrect or misleading."
      translations:
        es:
          name: null
          description: "Cuando env\xEDe una simple solicitud de informaci\xF3n con\
            \ arreglo al apartado 1, el supervisor principal:\n\na) har\xE1 referencia\
            \ al presente art\xEDculo como base jur\xEDdica de la solicitud;\nb) indicar\xE1\
            \ el prop\xF3sito de la solicitud;\nc) especificar\xE1 la informaci\xF3\
            n requerida;\nd) fijar\xE1 el plazo en el que habr\xE1 de serle facilitada\
            \ la informaci\xF3n;\ne) informar\xE1 al representante del proveedor tercero\
            \ esencial de servicios de TIC a quien se solicite la informaci\xF3n de\
            \ que, si bien no est\xE1 obligado a facilitar esa informaci\xF3n, en\
            \ caso de que responda voluntariamente a la solicitud, la informaci\xF3\
            n que facilite no deber\xE1 ser incorrecta ni enga\xF1osa."
    - urn: urn:intuitem:risk:req_node:dora:37.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node557
      ref_id: '37.3'
      description: "When requiring by decision to supply information under paragraph\
        \ 1, the Lead Overseer shall:\n(a)\trefer to this Article as the legal basis\
        \ of the request;\n(b)\tstate the purpose of the request;\n(c)\tspecify what\
        \ information is required;\n(d)\tset a time limit within which the information\
        \ is to be provided;\n(e)\tindicate the periodic penalty payments provided\
        \ for in Article 35(6) where the production of the required information is\
        \ incomplete or when such information is not provided within the time limit\
        \ referred to in point (d) of this paragraph;\n(f)\tindicate the right to\
        \ appeal the decision to ESA\u2019s Board of Appeal and to have the decision\
        \ reviewed by the Court of Justice of the European Union (Court of Justice)\
        \ in accordance with Articles 60 and 61 of Regulations (EU) No 1093/2010,\
        \ (EU) No 1094/2010 and (EU) No 1095/2010."
      translations:
        es:
          name: null
          description: "Cuando exija mediante decisi\xF3n que se facilite informaci\xF3\
            n con arreglo al apartado 1, el supervisor principal:\n\na) har\xE1 referencia\
            \ al presente art\xEDculo como base jur\xEDdica de la solicitud;\nb) indicar\xE1\
            \ el prop\xF3sito de la solicitud;\nc) especificar\xE1 la informaci\xF3\
            n requerida;\nd) fijar\xE1 el plazo en el que habr\xE1 de serle facilitada\
            \ la informaci\xF3n;\ne) indicar\xE1 las multas coercitivas previstas\
            \ en el art\xEDculo 35, apartado 6, en caso de que no se facilite toda\
            \ la informaci\xF3n exigida o de que tal informaci\xF3n no se facilite\
            \ en el plazo a que se refiere la letra d) del presente apartado;\nf)\
            \ har\xE1 constar el derecho de recurrir la decisi\xF3n ante la Sala de\
            \ Recurso de la Autoridad Europea de Supervisi\xF3n y ante el Tribunal\
            \ de Justicia de la Uni\xF3n Europea (en lo sucesivo, \xABTribunal de\
            \ Justicia\xBB), de conformidad con los art\xEDculos 60 y 61 del Reglamento\
            \ (UE) n.o 1093/2010, los art\xEDculos 60 y 61 del Reglamento (UE) n.o\
            \ 1094/2010 y los art\xEDculos 60 y 61 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:37.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node557
      ref_id: '37.4'
      description: The representatives of the critical ICT third-party service providers
        shall supply the information requested. Lawyers duly authorised to act may
        supply the information on behalf of their clients. The critical ICT third-party
        service provider shall remain fully responsible if the information supplied
        is incomplete, incorrect or misleading.
      translations:
        es:
          name: null
          description: "Los representantes de los proveedores terceros esenciales\
            \ de servicios de TIC facilitar\xE1n la informaci\xF3n solicitada. Los\
            \ abogados debidamente habilitados podr\xE1n facilitar la informaci\xF3\
            n en nombre de sus representados. El proveedor tercero esencial de servicios\
            \ de TIC seguir\xE1 siendo plenamente responsable si la informaci\xF3\
            n suministrada es incompleta, incorrecta o enga\xF1osa."
    - urn: urn:intuitem:risk:req_node:dora:37.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node557
      ref_id: '37.5'
      description: The Lead Overseer shall, without delay, transmit a copy of the
        decision to supply information to the competent authorities of the financial
        entities using the services of the relevant critical ICT third-party service
        providers and to the JON.
      translations:
        es:
          name: null
          description: "El supervisor principal remitir\xE1 sin demora una copia de\
            \ la decisi\xF3n de facilitar informaci\xF3n a las autoridades competentes\
            \ de las entidades financieras que utilicen los servicios de los proveedores\
            \ terceros esenciales de servicios de TIC pertinentes y a la Red de Supervisi\xF3\
            n Conjunta."
    - urn: urn:intuitem:risk:req_node:dora:node563
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 38
      description: General investigations
      translations:
        es:
          name: "Art\xEDculo 38"
          description: Investigaciones generales
    - urn: urn:intuitem:risk:req_node:dora:38.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node563
      ref_id: '38.1'
      description: In order to carry out its duties under this Regulation, the Lead
        Overseer, assisted by the joint examination team referred to in Article 40(1),
        may, where necessary, conduct investigations of critical ICT third-party service
        providers.
      translations:
        es:
          name: null
          description: "A fin de desempe\xF1ar sus funciones con arreglo al presente\
            \ Reglamento, el supervisor principal, asistido por el equipo conjunto\
            \ de examinadores a que se refiere el art\xEDculo 40, apartado 1, podr\xE1\
            , cuando sea necesario, llevar a cabo investigaciones de proveedores terceros\
            \ esenciales de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:38.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node563
      ref_id: '38.2'
      description: "The Lead Overseer shall have the power to:\n(a)\texamine records,\
        \ data, procedures and any other material relevant to the execution of its\
        \ tasks, irrespective of the medium on which they are stored;\n(b)\ttake or\
        \ obtain certified copies of, or extracts from, such records, data, documented\
        \ procedures and any other material;\n(c)\tsummon representatives of the critical\
        \ ICT third-party service provider for oral or written explanations on facts\
        \ or documents relating to the subject matter and purpose of the investigation\
        \ and to record the answers;\n(d)\tinterview any other natural or legal person\
        \ who consents to be interviewed for the purpose of collecting information\
        \ relating to the subject matter of an investigation;\n(e)\trequest records\
        \ of telephone and data traffic."
      translations:
        es:
          name: null
          description: "El supervisor principal estar\xE1 facultado para:\n\na) examinar\
            \ los registros, datos, procedimientos y cualquier otra documentaci\xF3\
            n pertinente para la realizaci\xF3n de su cometido, independientemente\
            \ del medio utilizado para almacenarlos;\n\nb) hacer u obtener copias\
            \ certificadas o extractos de dichos registros, datos, procedimientos\
            \ documentados y cualquier otra documentaci\xF3n;\n\nc) convocar a los\
            \ representantes del proveedor tercero esencial de servicios de TIC para\
            \ que den explicaciones orales o escritas sobre los hechos o documentos\
            \ que guarden relaci\xF3n con el objeto y el prop\xF3sito de la investigaci\xF3\
            n, y registrar las respuestas;\n\nd) entrevistar a cualquier otra persona\
            \ f\xEDsica o jur\xEDdica que acepte ser entrevistada a fin de recabar\
            \ informaci\xF3n relacionada con el objeto de una investigaci\xF3n;\n\n\
            e) requerir una relaci\xF3n de comunicaciones telef\xF3nicas y tr\xE1\
            fico de datos."
    - urn: urn:intuitem:risk:req_node:dora:38.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node563
      ref_id: '38.3'
      description: 'The officials and other persons authorised by the Lead Overseer
        for the purposes of the investigation referred to in paragraph 1 shall exercise
        their powers upon production of a written authorisation specifying the subject
        matter and purpose of the investigation.

        That authorisation shall also indicate the periodic penalty payments provided
        for in Article 35(6) where the production of the required records, data, documented
        procedures or any other material, or the answers to questions asked to representatives
        of the ICT third-party service provider are not provided or are incomplete.'
      translations:
        es:
          name: null
          description: "Los agentes y dem\xE1s personas acreditadas por el supervisor\
            \ principal para realizar la investigaci\xF3n a que se refiere el apartado\
            \ 1 ejercer\xE1n sus facultades previa presentaci\xF3n de una autorizaci\xF3\
            n escrita que especifique el objeto y el prop\xF3sito de la investigaci\xF3\
            n.\n\nDicha autorizaci\xF3n indicar\xE1 asimismo las multas coercitivas\
            \ previstas en el art\xEDculo 35, apartado 6, cuando los registros, datos,\
            \ procedimientos documentados o cualquier otra documentaci\xF3n exigida,\
            \ o las respuestas a las preguntas formuladas a los representantes del\
            \ proveedor tercero de servicios de TIC, no se faciliten o sean incompletos."
    - urn: urn:intuitem:risk:req_node:dora:38.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node563
      ref_id: '38.4'
      description: The representatives of the critical ICT third-party service providers
        are required to submit to the investigations on the basis of a decision of
        the Lead Overseer. The decision shall specify the subject matter and purpose
        of the investigation, the periodic penalty payments provided for in Article
        35(6), the legal remedies available under Regulations (EU) No 1093/2010, (EU)
        No 1094/2010 and (EU) No 1095/2010, and the right to have the decision reviewed
        by the Court of Justice.
      translations:
        es:
          name: null
          description: "Los representantes de los proveedores terceros esenciales\
            \ de servicios de TIC estar\xE1n obligados a someterse a las investigaciones\
            \ sobre la base de una decisi\xF3n del supervisor principal. La decisi\xF3\
            n precisar\xE1 el objeto y el prop\xF3sito de la investigaci\xF3n, las\
            \ multas coercitivas previstas en el art\xEDculo 35, apartado 6, las v\xED\
            as de recurso posibles con arreglo a los Reglamentos (UE) n.o 1093/2010,\
            \ (UE) n.o 1094/2010 y (UE) n.o 1095/2010, as\xED como el derecho a recurrir\
            \ la decisi\xF3n ante el Tribunal de Justicia."
    - urn: urn:intuitem:risk:req_node:dora:38.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node563
      ref_id: '38.5'
      description: 'In good time before the start of the investigation, the Lead Overseer
        shall inform competent authorities of the financial entities using the ICT
        services of that critical ICT third-party service provider of the envisaged
        investigation and of the identity of the authorised persons.

        The Lead Overseer shall communicate to the JON all information transmitted
        pursuant to the first subparagraph.'
      translations:
        es:
          name: null
          description: "Con suficiente antelaci\xF3n antes del comienzo de la investigaci\xF3\
            n, el supervisor principal informar\xE1 de la investigaci\xF3n prevista\
            \ y de la identidad de las personas acreditadas a las autoridades competentes\
            \ de las entidades financieras que utilicen los servicios de TIC de dicho\
            \ proveedor tercero esencial de servicios de TIC.\n\nEl supervisor principal\
            \ comunicar\xE1 a la Red de Supervisi\xF3n Conjunta toda la informaci\xF3\
            n transmitida en virtud del p\xE1rrafo primero."
    - urn: urn:intuitem:risk:req_node:dora:node569
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 39
      description: Inspections
      translations:
        es:
          name: null
          description: Inspecciones
    - urn: urn:intuitem:risk:req_node:dora:39.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.1'
      description: 'In order to carry out its duties under this Regulation, the Lead
        Overseer, assisted by the joint examination teams referred to in Article 40(1),
        may enter in, and conduct all necessary onsite inspections on, any business
        premises, land or property of the ICT third-party service providers, such
        as head offices, operation centres, secondary premises, as well as to conduct
        off-site inspections.

        For the purposes of exercising the powers referred to in the first subparagraph,
        the Lead Overseer shall consult the JON.'
      translations:
        es:
          name: null
          description: "A efectos del desempe\xF1o de sus funciones de conformidad\
            \ con el presente Reglamento, el supervisor principal, asistido por los\
            \ equipos conjuntos de examinadores a que se refiere el art\xEDculo 40,\
            \ apartado 1, podr\xE1 acceder a cualesquiera locales de uso profesional,\
            \ terrenos o propiedades de los proveedores terceros de servicios de TIC,\
            \ como sedes centrales, centros de operaciones y locales secundarios,\
            \ y realizar en ellos, como fuera de ellos, cuantas inspecciones sean\
            \ necesarias.\n\nA efectos del ejercicio de las facultades a que se refiere\
            \ el p\xE1rrafo primero, el supervisor principal consultar\xE1 a la Red\
            \ de Supervisi\xF3n Conjunta."
    - urn: urn:intuitem:risk:req_node:dora:39.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.2'
      description: "The officials and other persons authorised by the Lead Overseer\
        \ to conduct an on-site inspection shall have the power to:\n(a)\tenter any\
        \ such business premises, land or property; and\n(b)\tseal any such business\
        \ premises, books or records, for the period of, and to the extent necessary\
        \ for, the inspection.\nThe officials and other persons authorised by the\
        \ Lead Overseer shall exercise their powers upon production of a written authorisation\
        \ specifying the subject matter and the purpose of the inspection, and the\
        \ periodic penalty payments provided for in Article 35(6) where the representatives\
        \ of the critical ICT third-party service providers concerned do not submit\
        \ to the inspection"
      translations:
        es:
          name: null
          description: "Los agentes del supervisor principal y dem\xE1s personas acreditadas\
            \ por \xE9l para llevar a cabo una inspecci\xF3n in situ estar\xE1n facultados\
            \ para:\n\na) acceder a cualquiera de dichos locales, terrenos o propiedades\
            \ de uso profesional, y\nb) precintar cualesquiera de dichos locales de\
            \ uso profesional, libros o registros durante el tiempo y en la medida\
            \ necesarios para la inspecci\xF3n.\n\nLos agentes y dem\xE1s personas\
            \ acreditadas por el supervisor principal ejercer\xE1n sus facultades\
            \ previa presentaci\xF3n de una autorizaci\xF3n escrita en la que se especifiquen\
            \ el objeto y el prop\xF3sito de la inspecci\xF3n, as\xED como las multas\
            \ coercitivas establecidas en el art\xEDculo 35, apartado 6, en el supuesto\
            \ de que los representantes de los proveedores terceros esenciales de\
            \ servicios de TIC de que se trate no se sometan a la inspecci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:39.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.3'
      description: In good time before the start of the inspection, the Lead Overseer
        shall inform the competent authorities of the financial entities using that
        ICT third-party service provider.
      translations:
        es:
          name: null
          description: "El supervisor principal informar\xE1 con suficiente antelaci\xF3\
            n antes del comienzo de la inspecci\xF3n a las autoridades competentes\
            \ de las entidades financieras que recurran a ese proveedor tercero de\
            \ servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:39.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.4'
      description: Inspections shall cover the full range of relevant ICT systems,
        networks, devices, information and data either used for, or contributing to,
        the provision of ICT services to financial entities.
      translations:
        es:
          name: null
          description: "Las inspecciones abarcar\xE1n todo el conjunto de sistemas,\
            \ redes, dispositivos, informaci\xF3n y datos de TIC pertinentes utilizados\
            \ para la prestaci\xF3n de servicios de TIC a las entidades financieras\
            \ o que contribuyan a ella."
    - urn: urn:intuitem:risk:req_node:dora:39.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.5'
      description: Before any planned on-site inspection, the Lead Overseer shall
        give reasonable notice to the critical ICT third-party service providers,
        unless such notice is not possible due to an emergency or crisis situation,
        or if it would lead to a situation where the inspection or audit would no
        longer be effective.
      translations:
        es:
          name: null
          description: "Antes de cualquier inspecci\xF3n in situ prevista, el supervisor\
            \ principal avisar\xE1 con antelaci\xF3n razonable a los proveedores terceros\
            \ esenciales de servicios de TIC, a menos que dicho aviso no sea posible\
            \ debido a una situaci\xF3n de emergencia o de crisis, o que conduzca\
            \ a una situaci\xF3n en la que la inspecci\xF3n o la auditor\xEDa dejar\xED\
            an de ser eficaces."
    - urn: urn:intuitem:risk:req_node:dora:39.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.6'
      description: The critical ICT third-party service provider shall submit to on-site
        inspections ordered by decision of the Lead Overseer. The decision shall specify
        the subject matter and purpose of the inspection, fix the date on which the
        inspection shall begin and shall indicate the periodic penalty payments provided
        for in Article 35(6), the legal remedies available under Regulations (EU)
        No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010, as well as the right
        to have the decision reviewed by the Court of Justice.
      translations:
        es:
          name: null
          description: "El proveedor tercero esencial de servicios de TIC se someter\xE1\
            \ a las inspecciones in situ ordenadas mediante decisi\xF3n del supervisor\
            \ principal. La decisi\xF3n especificar\xE1 el objeto y el prop\xF3sito\
            \ de la inspecci\xF3n, fijar\xE1 la fecha de comienzo de la inspecci\xF3\
            n e indicar\xE1 las multas coercitivas previstas en el art\xEDculo 35,\
            \ apartado 6, las v\xEDas de recurso posibles con arreglo a los Reglamentos\
            \ (UE) n.o 1093/2010, (UE) n.o 1094/2010 y (UE) n.o 1095/2010, as\xED\
            \ como el derecho a recurrir la decisi\xF3n ante el Tribunal de Justicia."
    - urn: urn:intuitem:risk:req_node:dora:39.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node569
      ref_id: '39.7'
      description: Where the officials and other persons authorised by the Lead Overseer
        find that a critical ICT third-party service provider opposes an inspection
        ordered pursuant to this Article, the Lead Overseer shall inform the critical
        ICT third-party service provider of the consequences of such opposition, including
        the possibility for competent authorities of the relevant financial entities
        to require financial entities to terminate the contractual arrangements concluded
        with that critical ICT third-party service provider.
      translations:
        es:
          name: null
          description: "En caso de que los agentes y dem\xE1s personas acreditadas\
            \ por el supervisor principal constaten que un proveedor tercero esencial\
            \ de servicios de TIC se opone a una inspecci\xF3n ordenada en virtud\
            \ del presente art\xEDculo, el supervisor principal informar\xE1 al proveedor\
            \ tercero esencial de servicios de TIC de las consecuencias de dicha oposici\xF3\
            n, entre ellas la posibilidad de que las autoridades competentes de las\
            \ entidades financieras pertinentes obliguen a las entidades financieras\
            \ a poner fin a los acuerdos contractuales celebrados con dicho proveedor."
    - urn: urn:intuitem:risk:req_node:dora:node577
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 40
      description: Ongoing oversight
      translations:
        es:
          name: "Art\xEDculo 40"
          description: "Supervisi\xF3n permanente"
    - urn: urn:intuitem:risk:req_node:dora:40.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node577
      ref_id: '40.1'
      description: When conducting oversight activities, in particular general investigations
        or inspections, the Lead Overseer shall be assisted by a joint examination
        team established for each critical ICT third-party service provider.
      translations:
        es:
          name: null
          description: "Cuando lleve a cabo actividades de supervisi\xF3n, en particular\
            \ investigaciones generales o inspecciones, el supervisor principal estar\xE1\
            \ asistido por un equipo conjunto de examinadores establecido para cada\
            \ proveedor tercero esencial de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:40.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node577
      ref_id: '40.2'
      description: "The joint examination team referred to in paragraph 1 shall be\
        \ composed of staff members from:\n(a)\tthe ESAs;\n(b)\tthe relevant competent\
        \ authorities supervising the financial entities to which the critical ICT\
        \ third-party service provider provides ICT services;\n(c)\tthe national competent\
        \ authority referred to in Article 32(4), point (e), on a voluntary basis;\n\
        (d)\tone national competent authority from the Member State where the critical\
        \ ICT third-party service provider is established, on a voluntary basis.\n\
        Members of the joint examination team shall have expertise in ICT matters\
        \ and in operational risk. The joint examination team shall work under the\
        \ coordination of a designated Lead Overseer staff member (the \u2018Lead\
        \ Overseer coordinator\u2019)."
      translations:
        es:
          name: null
          description: "El equipo conjunto de examinadores a que se refiere el apartado\
            \ 1 estar\xE1 compuesto por miembros del personal de:\n\na) las Autoridades\
            \ Europeas de Supervisi\xF3n;\n\nb) las autoridades competentes pertinentes\
            \ que supervisen a las entidades financieras a las que preste servicios\
            \ de TIC el proveedor tercero esencial de servicios de TIC;\n\nc) con\
            \ car\xE1cter voluntario, la autoridad nacional competente a que se refiere\
            \ el art\xEDculo 32, apartado 4, letra e);\n\nd) con car\xE1cter voluntario,\
            \ una autoridad nacional competente del Estado miembro en el que est\xE9\
            \ establecido el proveedor tercero esencial de servicios de TIC.\n\nLos\
            \ miembros del equipo conjunto de examinadores deber\xE1n tener conocimientos\
            \ especializados en cuestiones del \xE1mbito de las TIC y en materia de\
            \ riesgo operativo. El equipo conjunto de examinadores trabajar\xE1 bajo\
            \ la coordinaci\xF3n de un miembro designado del personal del supervisor\
            \ principal (\xABcoordinador del supervisor principal\xBB)."
    - urn: urn:intuitem:risk:req_node:dora:40.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node577
      ref_id: '40.3'
      description: Within 3 months of the completion of an investigation or inspection,
        the Lead Overseer, after consulting the Oversight Forum, shall adopt recommendations
        to be addressed to the critical ICT third-party service provider pursuant
        to the powers referred to in Article 35.
      translations:
        es:
          name: null
          description: "En los tres meses siguientes a la conclusi\xF3n de una investigaci\xF3\
            n o una inspecci\xF3n, el supervisor principal, previa consulta al Foro\
            \ de Supervisi\xF3n, adoptar\xE1 las recomendaciones que se remitir\xE1\
            n al proveedor tercero esencial de servicios de TIC en virtud de las facultades\
            \ a que se refiere el art\xEDculo 35."
    - urn: urn:intuitem:risk:req_node:dora:40.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node577
      ref_id: '40.4'
      description: 'The recommendations referred to in paragraph 3 shall be immediately
        communicated to the critical ICT third-party service provider and to the competent
        authorities of the financial entities to which it provides ICT services.

        For the purposes of fulfilling the oversight activities, the Lead Overseer
        may take into consideration any relevant third-party certifications and ICT
        third-party internal or external audit reports made available by the critical
        ICT third-party service provider.'
      translations:
        es:
          name: null
          description: "Las recomendaciones a las que se refiere el apartado 3 se\
            \ comunicar\xE1n inmediatamente al proveedor tercero esencial de servicios\
            \ de TIC y a las autoridades competentes de las entidades financieras\
            \ a las que preste servicios de TIC.\n\nPara llevar a cabo las actividades\
            \ de supervisi\xF3n, el supervisor principal podr\xE1 tener en cuenta\
            \ cualesquiera certificaciones de terceros e informes de auditor\xEDa\
            \ interna o externa de proveedores terceros de TIC pertinentes facilitados\
            \ por el proveedor tercero esencial de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:node582
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 41
      description: Harmonisation of conditions enabling the conduct of the oversight
        activities
      translations:
        es:
          name: "Art\xEDculo 41"
          description: "Armonizaci\xF3n de las condiciones que permiten llevar a cabo\
            \ las actividades de supervisi\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:41.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node582
      ref_id: '41.1'
      description: "The ESAs shall, through the Joint Committee, develop draft regulatory\
        \ technical standards to specify:\n(a)\tthe information to be provided by\
        \ an ICT third-party service provider in the application for a voluntary request\
        \ to be designated as critical under Article 31(11);\n(b)\tthe content, structure\
        \ and format of the information to be submitted, disclosed or reported by\
        \ the ICT third-party service providers pursuant to Article 35(1), including\
        \ the template for providing information on subcontracting arrangements;\n\
        (c)\tthe criteria for determining the composition of the joint examination\
        \ team ensuring a balanced participation of staff members from the ESAs and\
        \ from the relevant competent authorities, their designation, tasks, and working\
        \ arrangements.\n(d)\tthe details of the competent authorities\u2019 assessment\
        \ of the measures taken by critical ICT third-party service providers based\
        \ on the recommendations of the Lead Overseer pursuant to Article 42(3)."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, elaborar\xE1n proyectos de normas t\xE9cnicas de regulaci\xF3\
            n para especificar:\n\na) la informaci\xF3n que debe facilitar un proveedor\
            \ tercero de servicios de TIC en la solicitud de inclusi\xF3n voluntaria\
            \ para ser designado como esencial con arreglo al art\xEDculo 31, apartado\
            \ 11;\n\nb) el contenido, la estructura y el formato de la informaci\xF3\
            n que los proveedores terceros de servicios de TIC deben presentar, divulgar\
            \ o notificar en virtud del art\xEDculo 35, apartado 1, incluida la plantilla\
            \ para informar sobre los acuerdos de subcontrataci\xF3n;\n\nc) los criterios\
            \ para determinar la composici\xF3n del equipo conjunto de examinadores,\
            \ garantizando una participaci\xF3n equilibrada de los miembros del personal\
            \ de las Autoridades Europeas de Supervisi\xF3n y de las autoridades competentes\
            \ pertinentes, as\xED como su designaci\xF3n, tareas y modalidades de\
            \ trabajo;\n\nd) los pormenores de la evaluaci\xF3n por las autoridades\
            \ competentes de las medidas adoptadas por los proveedores terceros esenciales\
            \ de servicios de TIC en aplicaci\xF3n de las recomendaciones del supervisor\
            \ principal en virtud del art\xEDculo 42, apartado 3."
    - urn: urn:intuitem:risk:req_node:dora:41.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node582
      ref_id: '41.2'
      description: 'The ESAs shall submit those draft regulatory technical standards
        to the Commission by 17 July 2024.


        Power is delegated to the Commission to supplement this Regulation by adopting
        the regulatory technical standards referred to in paragraph 1 in accordance
        with the procedure laid down in Articles 10 to 14 of Regulations (EU) No 1093/2010,
        (EU) No 1094/2010 and (EU) No 1095/2010.'
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n presentar\xE1n\
            \ a la Comisi\xF3n dichos proyectos de normas t\xE9cnicas de regulaci\xF3\
            n a m\xE1s tardar el 17 de julio de 2024.\n\nSe delegan en la Comisi\xF3\
            n los poderes para completar el presente Reglamento mediante la adopci\xF3\
            n de las normas t\xE9cnicas de regulaci\xF3n a que se refiere el apartado\
            \ 1 del presente art\xEDculo de conformidad con el procedimiento establecido\
            \ en los art\xEDculos 10 a 14 del Reglamento (UE) n.o 1093/2010, los art\xED\
            culos 10 a 14 del Reglamento (UE) n.o 1094/2010 y los art\xEDculos 10\
            \ a 14 del Reglamento (UE) n.o 1095/2010."
    - urn: urn:intuitem:risk:req_node:dora:node585
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 42
      description: Follow-up by competent authorities
      translations:
        es:
          name: "Art\xEDculo 42"
          description: Seguimiento por las autoridades competentes
    - urn: urn:intuitem:risk:req_node:dora:42.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.1'
      description: Within 60 calendar days of the receipt of the recommendations issued
        by the Lead Overseer pursuant to Article 35(1), point (d), critical ICT third-party
        service providers shall either notify the Lead Overseer of their intention
        to follow the recommendations or provide a reasoned explanation for not following
        such recommendations. The Lead Overseer shall immediately transmit this information
        to the competent authorities of the financial entities concerned.
      translations:
        es:
          name: null
          description: "En el plazo de sesenta d\xEDas naturales a partir de la recepci\xF3\
            n de las recomendaciones emitidas por el supervisor principal en virtud\
            \ del art\xEDculo 35, apartado 1, letra d), los proveedores terceros esenciales\
            \ de servicios de TIC notificar\xE1n al supervisor principal si tienen\
            \ intenci\xF3n de seguir dichas recomendaciones o facilitar\xE1n una explicaci\xF3\
            n razonada de los motivos por los que no lo van a hacer. El supervisor\
            \ principal transmitir\xE1 inmediatamente esta informaci\xF3n a las autoridades\
            \ competentes de las entidades financieras de que se trate."
    - urn: urn:intuitem:risk:req_node:dora:42.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.2'
      description: 'The Lead Overseer shall publicly disclose where a critical ICT
        third-party service provider fails to notify the Lead Overseer in accordance
        with paragraph 1 or where the explanation provided by the critical ICT third-party
        service provider is not deemed sufficient. The information published shall
        disclose the identity of the critical ICT third-party service provider as
        well as information on the type and nature of the non-compliance. Such information
        shall be limited to what is relevant and proportionate for the purpose of
        ensuring public awareness, unless such publication would cause disproportionate
        damage to the parties involved or could seriously jeopardise the orderly functioning
        and integrity of financial markets or the stability of the whole or part of
        the financial system of the Union.

        The Lead Overseer shall notify the ICT third-party service provider of that
        public disclosure.'
      translations:
        es:
          name: null
          description: "Cuando un proveedor tercero esencial de servicios de TIC no\
            \ presente su notificaci\xF3n al supervisor principal de conformidad con\
            \ el apartado 1 o cuando la explicaci\xF3n facilitada por el proveedor\
            \ tercero esencial de servicios de TIC no se considere suficiente, el\
            \ supervisor principal lo divulgar\xE1 p\xFAblicamente. La informaci\xF3\
            n publicada revelar\xE1 la identidad del proveedor tercero esencial de\
            \ servicios de TIC, as\xED como informaci\xF3n sobre el tipo y la naturaleza\
            \ del incumplimiento. Dicha informaci\xF3n se limitar\xE1 a lo que sea\
            \ pertinente y proporcionado para garantizar la concienciaci\xF3n del\
            \ p\xFAblico, a menos que dicha divulgaci\xF3n causare un perjuicio desproporcionado\
            \ a las partes implicadas o pueda comprometer gravemente el correcto funcionamiento\
            \ y la integridad de los mercados financieros o la estabilidad del conjunto\
            \ o de una parte del sistema financiero de la Uni\xF3n.\n\nEl supervisor\
            \ principal notificar\xE1 dicha divulgaci\xF3n p\xFAblica al proveedor\
            \ tercero de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:42.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.3'
      description: 'Competent authorities shall inform the relevant financial entities
        of the risks identified in the recommendations addressed to critical ICT third-party
        service providers in accordance with Article 35(1), point (d).

        When managing ICT third-party risk, financial entities shall take into account
        the risks referred to in the first subparagraph.'
      translations:
        es:
          name: null
          description: "Las autoridades competentes informar\xE1n a las entidades\
            \ financieras pertinentes acerca de los riesgos se\xF1alados en las recomendaciones\
            \ a los proveedores terceros esenciales de servicios de TIC de conformidad\
            \ con el art\xEDculo 35, apartado 1, letra d).\n\nAl gestionar el riesgo\
            \ de terceros relacionado con las TIC, las entidades financieras tendr\xE1\
            n en cuenta los riesgos a que se refiere el p\xE1rrafo primero."
    - urn: urn:intuitem:risk:req_node:dora:42.4
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.4'
      description: Where a competent authority deems that a financial entity fails
        to take into account or to sufficiently address within its management of ICT
        third-party risk the specific risks identified in the recommendations, it
        shall notify the financial entity of the possibility of a decision being taken,
        within 60 calendar days of the receipt of such notification, pursuant to paragraph
        6, in the absence of appropriate contractual arrangements aiming to address
        such risks.
      translations:
        es:
          name: null
          description: "Cuando una autoridad competente considere que una entidad\
            \ financiera no tiene en cuenta o no aborda suficientemente en su gesti\xF3\
            n del riesgo de terceros relacionado con las TIC los riesgos espec\xED\
            ficos se\xF1alados en las recomendaciones, notificar\xE1 a la entidad\
            \ financiera la posibilidad de adoptar una decisi\xF3n, en el plazo de\
            \ sesenta d\xEDas naturales a partir de la recepci\xF3n de dicha notificaci\xF3\
            n, en virtud del apartado 6, en ausencia de disposiciones contractuales\
            \ adecuadas destinadas a hacer frente a dichos riesgos."
    - urn: urn:intuitem:risk:req_node:dora:42.5
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.5'
      description: Upon receiving the reports referred to in Article 35(1), point
        (c), and prior to taking a decision as referred to in paragraph 6 of this
        Article, competent authorities may, on a voluntary basis, consult the competent
        authorities designated or established in accordance with Directive (EU) 2022/2555
        responsible for the supervision of an essential or important entity subject
        to that Directive, which has been designated as a critical ICT third-party
        service provider.
      translations:
        es:
          name: null
          description: "Cuando se reciban los informes a que se refiere el art\xED\
            culo 35, apartado 1, letra c), y antes de tomar la decisi\xF3n a que se\
            \ refiere el apartado 6 del presente art\xEDculo, las autoridades competentes\
            \ podr\xE1n, de forma voluntaria, consultar a las autoridades competentes\
            \ designadas o establecidas de conformidad con la Directiva (UE) 2022/2555,\
            \ responsables de la supervisi\xF3n de una entidad esencial o importante\
            \ sujeta a dicha Directiva, que haya sido designada como proveedor tercero\
            \ esencial de servicios de TIC."
    - urn: urn:intuitem:risk:req_node:dora:42.6
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.6'
      description: Competent authorities may, as a measure of last resort, following
        the notification and, if appropriate, the consultation as set out in paragraph
        4 and 5 of this Article, in accordance with Article 50, take a decision requiring
        financial entities to temporarily suspend, either in part or completely, the
        use or deployment of a service provided by the critical ICT third-party service
        provider until the risks identified in the recommendations addressed to critical
        ICT third-party service providers have been addressed. Where necessary, they
        may require financial entities to terminate, in part or completely, the relevant
        contractual arrangements concluded with the critical ICT third-party service
        providers.
      translations:
        es:
          name: null
          description: "Como \xFAltimo recurso, tras la notificaci\xF3n y, si procede,\
            \ tras la consulta establecidas en los apartados 4 y 5 del presente art\xED\
            culo, las autoridades competentes podr\xE1n, de conformidad con el art\xED\
            culo 50, tomar la decisi\xF3n de exigir a las entidades financieras que\
            \ suspendan temporalmente, de manera parcial o total, el uso o la implantaci\xF3\
            n de un servicio prestado por el proveedor tercero esencial de servicios\
            \ de TIC hasta que se hayan abordado los riesgos mencionados en las recomendaciones\
            \ dirigidas a los proveedores terceros esenciales de servicios de TIC.\
            \ En caso necesario, podr\xE1n exigir a las entidades financieras que\
            \ pongan fin, en parte o en su totalidad, a los acuerdos contractuales\
            \ pertinentes celebrados con los proveedores terceros esenciales de servicios\
            \ de TIC."
    - urn: urn:intuitem:risk:req_node:dora:42.7
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.7'
      description: Where a critical ICT third-party service provider refuses to endorse
        recommendations, based on a divergent approach from the one advised by the
        Lead Overseer, and such a divergent approach may adversely impact a large
        number of financial entities, or a significant part of the financial sector,
        and individual warnings issued by competent authorities have not resulted
        in consistent approaches mitigating the potential risk to financial stability,
        the Lead Overseer may, after consulting the Oversight Forum, issue non-binding
        and non-public opinions to competent authorities, in order to promote consistent
        and convergent supervisory follow-up measures, as appropriate.
      translations:
        es:
          name: null
          description: "Cuando un proveedor tercero esencial de servicios de TIC se\
            \ niegue a seguir las recomendaciones sobre la base de un enfoque distinto\
            \ del recomendado por el supervisor principal y dicho enfoque pueda repercutir\
            \ negativamente en un gran n\xFAmero de entidades financieras o en una\
            \ parte considerable del sector financiero, y las advertencias individuales\
            \ emitidas por las autoridades competentes no hayan dado lugar a enfoques\
            \ sistem\xE1ticos que mitiguen el posible riesgo para la estabilidad financiera,\
            \ el supervisor principal podr\xE1, previa consulta al Foro de Supervisi\xF3\
            n, emitir dict\xE1menes no vinculantes y no p\xFAblicos a las autoridades\
            \ competentes, a fin de promover medidas de seguimiento en materia de\
            \ supervisi\xF3n sistem\xE1ticas y convergentes, seg\xFAn proceda."
    - urn: urn:intuitem:risk:req_node:dora:42.8
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.8'
      description: "Upon receiving the reports referred to in Article 35(1), point\
        \ (c), competent authorities, when taking a decision as referred to in paragraph\
        \ 6 of this Article, shall take into account the type and magnitude of risk\
        \ that is not addressed by the critical ICT third-party service provider,\
        \ as well as the seriousness of the non-compliance, having regard to the following\
        \ criteria:\n(a)\tthe gravity and the duration of the non-compliance;\n(b)\t\
        whether the non-compliance has revealed serious weaknesses in the critical\
        \ ICT third-party service provider\u2019s procedures, management systems,\
        \ risk management and internal controls;\n(c)\twhether a financial crime was\
        \ facilitated, occasioned or is otherwise attributable to the non-compliance;\n\
        (d)\twhether the non-compliance has been intentional or negligent;\n(e)\t\
        whether the suspension or termination of the contractual arrangements introduces\
        \ a risk for continuity of the financial entity\u2019s business operations\
        \ notwithstanding the financial entity\u2019s efforts to avoid disruption\
        \ in the provision of its services;\n(f)\twhere applicable, the opinion of\
        \ the competent authorities designated or established in accordance with Directive\
        \ (EU) 2022/2555 responsible for the supervision of an essential or important\
        \ entity subject to that Directive, which has been designated as a critical\
        \ ICT third-party service provider, requested on a voluntary basis in accordance\
        \ with paragraph 5 of this Article.\nCompetent authorities shall grant financial\
        \ entities the necessary period of time to enable them to adjust the contractual\
        \ arrangements with critical ICT third-party service providers in order to\
        \ avoid detrimental effects on their digital operational resilience and to\
        \ allow them to deploy exit strategies and transition plans as referred to\
        \ in Article 28."
      translations:
        es:
          name: null
          description: "Cuando se reciban los informes a que se refiere el art\xED\
            culo 35, apartado 1, letra c), las autoridades competentes, al tomar la\
            \ decisi\xF3n a que se refiere el apartado 6 del presente art\xEDculo,\
            \ tendr\xE1n en cuenta el tipo y la magnitud del riesgo no abordado por\
            \ el proveedor tercero esencial de servicios de TIC, as\xED como la gravedad\
            \ del incumplimiento, considerando los siguientes criterios:\n\na) la\
            \ gravedad y la duraci\xF3n del incumplimiento;\n\nb) si el incumplimiento\
            \ ha puesto de manifiesto deficiencias graves en los procedimientos, los\
            \ sistemas de gesti\xF3n, la gesti\xF3n de riesgos y los controles internos\
            \ del proveedor tercero esencial de servicios de TIC;\n\nc) si el incumplimiento\
            \ ha facilitado o provocado la comisi\xF3n de un delito financiero o este\
            \ \xFAltimo le es imputable de cualquier otro modo;\n\nd) si el incumplimiento\
            \ ha sido cometido intencionadamente o por negligencia;\n\ne) si la suspensi\xF3\
            n o la terminaci\xF3n de los acuerdos contractuales supone un riesgo para\
            \ la continuidad de las operaciones comerciales de la entidad financiera,\
            \ pese a los esfuerzos de esta por evitar perturbaciones en la prestaci\xF3\
            n de sus servicios;\n\nf) cuando proceda, el dictamen, solicitado voluntariamente\
            \ de conformidad con el apartado 5 del presente art\xEDculo, de las autoridades\
            \ competentes designadas o establecidas de conformidad con la Directiva\
            \ (UE) 2022/2555, responsables de la supervisi\xF3n de una entidad esencial\
            \ o importante sujeta a dicha Directiva, que haya sido designada como\
            \ proveedor tercero esencial de servicios de TIC.\n\nLas autoridades competentes\
            \ conceder\xE1n a las entidades financieras el tiempo necesario para que\
            \ puedan adaptar los acuerdos contractuales con proveedores terceros esenciales\
            \ de servicios de TIC a fin de evitar efectos perjudiciales en su resiliencia\
            \ operativa digital y que puedan implantar las estrategias de salida y\
            \ los planes de transici\xF3n a que se refiere el art\xEDculo 28."
    - urn: urn:intuitem:risk:req_node:dora:42.9
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.9'
      description: 'The decision referred to in paragraph 6 of this Article shall
        be notified to the members of the Oversight Forum referred to in Article 32(4),
        points (a), (b) and (c), and to the JON.

        The critical ICT third-party service providers affected by the decisions provided
        for in paragraph 6 shall fully cooperate with the financial entities impacted,
        in particular in the context of the process of suspension or termination of
        their contractual arrangements.'
      translations:
        es:
          name: null
          description: "La decisi\xF3n a que se refiere el apartado 6 del presente\
            \ art\xEDculo se notificar\xE1 a los miembros del Foro de Supervisi\xF3\
            n a que se refiere el art\xEDculo 32, apartado 4, letras a), b) y c),\
            \ y a la Red de Supervisi\xF3n Conjunta.\n\nLos proveedores terceros esenciales\
            \ de servicios de TIC afectados por las decisiones establecidas en el\
            \ apartado 6 cooperar\xE1n plenamente con las entidades financieras perjudicadas,\
            \ en particular en el contexto del proceso de suspensi\xF3n o terminaci\xF3\
            n de sus acuerdos contractuales."
    - urn: urn:intuitem:risk:req_node:dora:42.10
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.10'
      description: Competent authorities shall regularly inform the Lead Overseer
        on the approaches and measures taken in their supervisory tasks in relation
        to financial entities as well as on the contractual arrangements concluded
        by financial entities where critical ICT third-party service providers have
        not endorsed in part or entirely recommendations addressed to them by the
        Lead Overseer.
      translations:
        es:
          name: null
          description: "Las autoridades competentes informar\xE1n peri\xF3dicamente\
            \ al supervisor principal sobre los enfoques y las medidas adoptados en\
            \ el desempe\xF1o de sus tareas de supervisi\xF3n en relaci\xF3n con las\
            \ entidades financieras, as\xED como sobre los acuerdos contractuales\
            \ celebrados por las entidades financieras cuando los proveedores terceros\
            \ esenciales de servicios de TIC no hayan refrendado en parte o en su\
            \ totalidad las recomendaciones que les hayan sido formuladas por el supervisor\
            \ principal."
    - urn: urn:intuitem:risk:req_node:dora:42.11
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node585
      ref_id: '42.11'
      description: The Lead Overseer may, upon request, provide further clarifications
        on the recommendations issued to guide the competent authorities on the follow-up
        measures.
      translations:
        es:
          name: null
          description: "El supervisor principal podr\xE1, previa solicitud, proporcionar\
            \ aclaraciones adicionales acerca de las recomendaciones formuladas para\
            \ orientar a las autoridades competentes sobre las medidas de seguimiento."
    - urn: urn:intuitem:risk:req_node:dora:node597
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 43
      description: Oversight fees
      translations:
        es:
          name: "Art\xEDculo 43"
          description: "Tasas de supervisi\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:43.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node597
      ref_id: '43.1'
      description: "The Lead Overseer shall, in accordance with the delegated act\
        \ referred to in paragraph 2 of this Article, charge critical ICT third-party\
        \ service providers fees that fully cover the Lead Overseer\u2019s necessary\
        \ expenditure in relation to the conduct of oversight tasks pursuant to this\
        \ Regulation, including the reimbursement of any costs which may be incurred\
        \ as a result of work carried out by the joint examination team referred to\
        \ in Article 40, as well as the costs of advice provided by the independent\
        \ experts as referred to in Article 32(4), second subparagraph, in relation\
        \ to matters falling under the remit of direct oversight activities.\nThe\
        \ amount of a fee charged to a critical ICT third-party service provider shall\
        \ cover all costs derived from the execution of the duties set out in this\
        \ Section and shall be proportionate to its turnover."
      translations:
        es:
          name: null
          description: "El supervisor principal, de conformidad con el acto delegado\
            \ a que se refiere el apartado 2 del presente art\xEDculo, cobrar\xE1\
            \ a los proveedores terceros esenciales de servicios de TIC unas tasas\
            \ que cubran por completo los gastos que deba asumir el supervisor principal\
            \ para la realizaci\xF3n de las tareas de supervisi\xF3n en virtud del\
            \ presente Reglamento, incluido el reembolso de cualquier coste que pueda\
            \ derivarse del trabajo realizado por el equipo conjunto de examinadores\
            \ a que se refiere el art\xEDculo 40, as\xED como los costes del asesoramiento\
            \ facilitado por los expertos independientes a que se refiere el art\xED\
            culo 32, apartado 4, p\xE1rrafo segundo, en relaci\xF3n con los asuntos\
            \ que forman parte del \xE1mbito de competencia de las actividades directas\
            \ de supervisi\xF3n.\n\nEl importe de las tasas cobradas a un proveedor\
            \ tercero esencial de servicios de TIC cubrir\xE1 todos los costes derivados\
            \ de la ejecuci\xF3n de las obligaciones establecidas en la presente secci\xF3\
            n y ser\xE1 proporcional a su volumen de negocios."
    - urn: urn:intuitem:risk:req_node:dora:43.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node597
      ref_id: '43.2'
      description: The Commission is empowered to adopt a delegated act in accordance
        with Article 57 to supplement this Regulation by determining the amount of
        the fees and the way in which they are to be paid by 17 July 2024.
      translations:
        es:
          name: null
          description: "Se otorgan a la Comisi\xF3n los poderes para adoptar un acto\
            \ delegado con arreglo al art\xEDculo 57 por el que se complete el presente\
            \ Reglamento mediante la determinaci\xF3n del importe de las tasas y las\
            \ modalidades de pago, a m\xE1s tardar el 17 de julio de 2024."
    - urn: urn:intuitem:risk:req_node:dora:node600
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node506
      name: Article 44
      description: International cooperation
      translations:
        es:
          name: "Art\xEDculo 44"
          description: "Cooperaci\xF3n internacional"
    - urn: urn:intuitem:risk:req_node:dora:44.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node600
      ref_id: '44.1'
      description: "1.\tWithout prejudice to Article 36, EBA, ESMA and EIOPA may,\
        \ in accordance with Article 33 of Regulations (EU) No 1093/2010, (EU) No\
        \ 1095/2010 and (EU) No 1094/2010, respectively, conclude administrative arrangements\
        \ with third-country regulatory and supervisory authorities to foster international\
        \ cooperation on ICT third-party risk across different financial sectors,\
        \ in particular by developing best practices for the review of ICT risk management\
        \ practices and controls, mitigation measures and incident responses."
      translations:
        es:
          name: null
          description: "Sin perjuicio de lo dispuesto en el art\xEDculo 36, la ABE,\
            \ la AEVM y la AESPJ podr\xE1n, de conformidad con el art\xEDculo 33 del\
            \ Reglamento (UE) n.o 1093/2010, el art\xEDculo 33 del Reglamento (UE)\
            \ n.o 1095/2010 y el art\xEDculo 33 del Reglamento (UE) n.o 1094/2010,\
            \ celebrar acuerdos administrativos con las autoridades de regulaci\xF3\
            n y supervisi\xF3n de terceros pa\xEDses para fomentar la cooperaci\xF3\
            n internacional en materia de riesgo de terceros relacionado con las TIC\
            \ en diferentes sectores financieros, en particular mediante el desarrollo\
            \ de buenas pr\xE1cticas para la evaluaci\xF3n de los procedimientos y\
            \ controles en materia de gesti\xF3n del riesgo relacionado con las TIC,\
            \ las medidas paliativas y las respuestas a los incidentes."
    - urn: urn:intuitem:risk:req_node:dora:44.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node600
      ref_id: '44.2'
      description: "2.\tThe ESAs shall, through the Joint Committee, submit every\
        \ five years a joint confidential report to the European Parliament, to the\
        \ Council and to the Commission, summarising the findings of relevant discussions\
        \ held with the third countries\u2019 authorities referred to in paragraph\
        \ 1, focusing on the evolution of ICT third-party risk and the implications\
        \ for financial stability, market integrity, investor protection and the functioning\
        \ of the internal market."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto, presentar\xE1n cada cinco a\xF1os al Parlamento Europeo,\
            \ al Consejo y a la Comisi\xF3n un informe confidencial conjunto en el\
            \ que se resuman las conclusiones de los debates pertinentes mantenidos\
            \ con las autoridades de terceros pa\xEDses a que se refiere el apartado\
            \ 1, centr\xE1ndose en la evoluci\xF3n del riesgo de terceros relacionado\
            \ con las TIC y sus implicaciones para la estabilidad financiera, la integridad\
            \ del mercado, la protecci\xF3n de los inversores y el funcionamiento\
            \ del mercado interior."
    - urn: urn:intuitem:risk:req_node:dora:node603
      assessable: false
      depth: 1
      name: CHAPTER VI
      description: Information-sharing arrangements
      translations:
        es:
          name: "CAP\xCDTULO VI"
          description: "Acuerdos de intercambio de informaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:node604
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node603
      name: Article 45
      description: Information-sharing arrangements on cyber threat information and
        intelligence
      translations:
        es:
          name: "Art\xEDculo 45"
          description: "Acuerdos de intercambio de informaci\xF3n en relaci\xF3n con\
            \ informaci\xF3n e inteligencia sobre ciberamenazas"
    - urn: urn:intuitem:risk:req_node:dora:45.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node604
      ref_id: '45.1'
      description: 'Financial entities may exchange amongst themselves cyber threat
        information and intelligence, including indicators of compromise, tactics,
        techniques, and procedures, cyber security alerts and configuration tools,
        to the extent that such information and intelligence sharing:'
      translations:
        es:
          name: null
          description: "Las entidades financieras podr\xE1n intercambiar entre s\xED\
            \ informaci\xF3n e inteligencia sobre ciberamenazas, incluidos indicadores\
            \ de compromiso, t\xE1cticas, t\xE9cnicas y procedimientos, alertas de\
            \ ciberseguridad y herramientas de configuraci\xF3n, en la medida en que\
            \ dicho intercambio de informaci\xF3n e inteligencia:"
    - urn: urn:intuitem:risk:req_node:dora:45.1.a
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:45.1
      ref_id: 45.1.a
      description: "aims to enhance the digital operational resilience of financial\
        \ entities, in particular through raising awareness in relation to cyber threats,\
        \ limiting or impeding the cyber threats\u2019 ability to spread, supporting\
        \ defence capabilities, threat detection techniques, mitigation strategies\
        \ or response and recovery stages;"
      translations:
        es:
          name: null
          description: "tenga por objeto mejorar la resiliencia operativa digital\
            \ de las entidades financieras, en particular mediante la concienciaci\xF3\
            n en relaci\xF3n con las ciberamenazas, la limitaci\xF3n o la desactivaci\xF3\
            n de la capacidad de propagaci\xF3n de las ciberamenazas, el apoyo a las\
            \ capacidades defensivas, las t\xE9cnicas de detecci\xF3n de amenazas,\
            \ las estrategias de mitigaci\xF3n o las fases de respuesta y recuperaci\xF3\
            n;"
    - urn: urn:intuitem:risk:req_node:dora:45.1.b
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:45.1
      ref_id: 45.1.b
      description: takes places within trusted communities of financial entities;
      translations:
        es:
          name: null
          description: tenga lugar dentro de comunidades de entidades financieras
            de confianza;
    - urn: urn:intuitem:risk:req_node:dora:45.1.c
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:45.1
      ref_id: 45.1.c
      description: is implemented through information-sharing arrangements that protect
        the potentially sensitive nature of the information shared, and that are governed
        by rules of conduct in full respect of business confidentiality, protection
        of personal data in accordance with Regulation (EU) 2016/679 and guidelines
        on competition policy.
      translations:
        es:
          name: null
          description: "se realice mediante acuerdos de intercambio de informaci\xF3\
            n que protejan el car\xE1cter potencialmente sensible de la informaci\xF3\
            n compartida y se rijan por normas de conducta que respeten plenamente\
            \ el secreto comercial, la protecci\xF3n de los datos personales de conformidad\
            \ con el Reglamento (UE) 2016/679 y las directrices sobre pol\xEDtica\
            \ de competencia."
    - urn: urn:intuitem:risk:req_node:dora:45.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node604
      ref_id: '45.2'
      description: For the purpose of paragraph 1, point (c), the information-sharing
        arrangements shall define the conditions for participation and, where appropriate,
        shall set out the details on the involvement of public authorities and the
        capacity in which they may be associated to the information-sharing arrangements,
        on the involvement of ICT third-party service providers, and on operational
        elements, including the use of dedicated IT platforms.
      translations:
        es:
          name: null
          description: "A efectos de lo dispuesto en el apartado 1, letra c), en los\
            \ acuerdos de intercambio de informaci\xF3n se definir\xE1n las condiciones\
            \ de participaci\xF3n y, en su caso, se establecer\xE1n los detalles relativos\
            \ a la participaci\xF3n de las autoridades p\xFAblicas y a la calidad\
            \ en la que estas podr\xE1n asociarse a dichos acuerdos, los detalles\
            \ relativos a la participaci\xF3n de los proveedores terceros de servicios\
            \ de TIC y los relativos a los elementos operativos, incluido el uso de\
            \ plataformas inform\xE1ticas especializadas."
    - urn: urn:intuitem:risk:req_node:dora:45.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node604
      ref_id: '45.3'
      description: Financial entities shall notify competent authorities of their
        participation in the information-sharing arrangements referred to in paragraph
        1, upon validation of their membership, or, as applicable, of the cessation
        of their membership, once it takes effect.
      translations:
        es:
          name: null
          description: "Las entidades financieras notificar\xE1n a las autoridades\
            \ competentes su participaci\xF3n en los acuerdos de intercambio de informaci\xF3\
            n a que se refiere el apartado 1 en el momento en que se valide su incorporaci\xF3\
            n a ellos o, en su caso, el cese de su participaci\xF3n, una vez que se\
            \ haga efectivo."
    - urn: urn:intuitem:risk:req_node:dora:node611
      assessable: false
      depth: 1
      name: CHAPTER VII
      description: Competent authorities
      translations:
        es:
          name: "CAP\xCDTULO VII"
          description: Autoridades competentes
    - urn: urn:intuitem:risk:req_node:dora:node612
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 46
      description: Competent authorities
      translations:
        es:
          name: "Art\xEDculo 46"
          description: Autoridades competentes
    - urn: urn:intuitem:risk:req_node:dora:46.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node612
      ref_id: '46.1'
      description: "Without prejudice to the provisions on the Oversight Framework\
        \ for critical ICT third-party service providers referred to in Chapter V,\
        \ Section II, of this Regulation, compliance with this Regulation shall be\
        \ ensured by the following competent authorities in accordance with the powers\
        \ granted by the respective legal acts:\n(a)\tfor credit institutions and\
        \ for institutions exempted pursuant to Directive 2013/36/EU, the competent\
        \ authority designated in accordance with Article 4 of that Directive, and\
        \ for credit institutions classified as significant in accordance with Article\
        \ 6(4) of Regulation (EU) No 1024/2013, the ECB in accordance with the powers\
        \ and tasks conferred by that Regulation;\n(b)\tfor payment institutions,\
        \ including payment institutions exempted pursuant to Directive (EU) 2015/2366,\
        \ electronic money institutions, including those exempted pursuant to Directive\
        \ 2009/110/EC, and account information service providers as referred to in\
        \ Article 33(1) of Directive (EU) 2015/2366, the competent authority designated\
        \ in accordance with Article 22 of Directive (EU) 2015/2366;\n(c)\tfor investment\
        \ firms, the competent authority designated in accordance with Article 4 of\
        \ Directive (EU) 2019/2034 of the European Parliament and of the Council (38);\n\
        (d)\tfor crypto-asset service providers as authorised under the Regulation\
        \ on markets in crypto-assets and issuers of asset- referenced tokens, the\
        \ competent authority designated in accordance with the relevant provision\
        \ of that Regulation;\n(e)\tfor central securities depositories, the competent\
        \ authority designated in accordance with Article 11 of Regulation (EU) No\
        \ 909/2014;\n(f)\tfor central counterparties, the competent authority designated\
        \ in accordance with Article 22 of Regulation (EU) No 648/2012;\n(g)\tfor\
        \ trading venues and data reporting service providers, the competent authority\
        \ designated in accordance with Article 67 of Directive 2014/65/EU, and the\
        \ competent authority as defined in Article 2(1), point (18), of Regulation\
        \ (EU) No 600/2014;\n(h)\tfor trade repositories, the competent authority\
        \ designated in accordance with Article 22 of Regulation (EU) No 648/2012;\n\
        (i)\tfor managers of alternative investment funds, the competent authority\
        \ designated in accordance with Article 44 of Directive 2011/61/EU;\n(j)\t\
        for management companies, the competent authority designated in accordance\
        \ with Article 97 of Directive 2009/65/EC;\n(k)\tfor insurance and reinsurance\
        \ undertakings, the competent authority designated in accordance with Article\
        \ 30 of Directive 2009/138/EC;\n(l)\tfor insurance intermediaries, reinsurance\
        \ intermediaries and ancillary insurance intermediaries, the competent authority\
        \ designated in accordance with Article 12 of Directive (EU) 2016/97;\n(m)\t\
        for institutions for occupational retirement provision, the competent authority\
        \ designated in accordance with Article 47 of Directive (EU) 2016/2341;\n\
        (n)\tfor credit rating agencies, the competent authority designated in accordance\
        \ with Article 21 of Regulation (EC) No 1060/2009;\n(o)\tfor administrators\
        \ of critical benchmarks, the competent authority designated in accordance\
        \ with Articles 40 and 41 of Regulation (EU) 2016/1011;\n \n(38) Directive\
        \ (EU) 2019/2034 of the European Parliament and of the Council of 27 November\
        \ 2019 on the prudential supervision of investment firms and amending Directives\
        \ 2002/87/EC, 2009/65/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU and 2014/65/EU\
        \ (OJ L 314, 5.12.2019, p. 64).\n(p)\tfor crowdfunding service providers,\
        \ the competent authority designated in accordance with Article 29 of Regulation\
        \ (EU) 2020/1503;\n(q)\tfor securitisation repositories, the competent authority\
        \ designated in accordance with Articles 10 and 14(1) of Regulation (EU) 2017/2402."
      translations:
        es:
          name: null
          description: "Sin perjuicio de las disposiciones relativas al marco de supervisi\xF3\
            n de los proveedores terceros esenciales de servicios de TIC a que se\
            \ refiere el cap\xEDtulo V, secci\xF3n II, del presente Reglamento, el\
            \ cumplimiento del presente Reglamento ser\xE1 garantizado por las siguientes\
            \ autoridades competentes de conformidad con las facultades otorgadas\
            \ por los respectivos actos jur\xEDdicos:\n\na) en lo que respecta a las\
            \ entidades de cr\xE9dito y a las entidades exentas en virtud de la Directiva\
            \ 2013/36/UE, la autoridad competente designada de conformidad con el\
            \ art\xEDculo 4 de dicha Directiva, y en lo que respecta a las entidades\
            \ de cr\xE9dito consideradas como significativas de conformidad con el\
            \ art\xEDculo 6, apartado 4, del Reglamento (UE) n.o 1024/2013, el BCE\
            \ de conformidad con las competencias y funciones conferidas por dicho\
            \ Reglamento;\nb) en lo que respecta a las entidades de pago, tambi\xE9\
            n las entidades de pago exentas en virtud de la Directiva (UE) 2015/2366,\
            \ las entidades de dinero electr\xF3nico, tambi\xE9n las exentas en virtud\
            \ de la Directiva 2009/110/CE y los proveedores de servicios de informaci\xF3\
            n sobre cuentas a que se refiere el art\xEDculo 33, apartado 1, de la\
            \ Directiva (UE) 2015/2366, la autoridad competente designada de conformidad\
            \ con el art\xEDculo 22 de la Directiva (UE) 2015/2366;\nc) en lo que\
            \ respecta a las empresas de servicios de inversi\xF3n, la autoridad competente\
            \ designada de conformidad con el art\xEDculo 4 de la Directiva (UE) 2019/2034\
            \ del Parlamento Europeo y del Consejo (38);\nd) en lo que respecta a\
            \ los proveedores de servicios de criptoactivos autorizados en virtud\
            \ del Reglamento relativo a los mercados de criptoactivos y los emisores\
            \ de fichas referenciadas a activos, la autoridad competente designada\
            \ de conformidad con las disposiciones pertinentes de dicho Reglamento;\n\
            e) en lo que respecta a los depositarios centrales de valores, la autoridad\
            \ competente designada de conformidad con el art\xEDculo 11 del Reglamento\
            \ (UE) n.o 909/2014;\nf) en lo que respecta a las entidades de contrapartida\
            \ central, la autoridad competente designada de conformidad con el art\xED\
            culo 22 del Reglamento (UE) n.o 648/2012;\ng) en lo que respecta a los\
            \ centros de negociaci\xF3n y los proveedores de servicios de suministro\
            \ de datos, la autoridad competente designada de conformidad con el art\xED\
            culo 67 de la Directiva 2014/65/UE y la autoridad competente seg\xFAn\
            \ se define en el art\xEDculo 2, apartado 1, punto 18, del Reglamento\
            \ (UE) n.o 600/2014;\nh) en lo que respecta a los registros de operaciones,\
            \ la autoridad competente designada de conformidad con el art\xEDculo\
            \ 22 del Reglamento (UE) n.o 648/2012;\ni) en lo que respecta a los gestores\
            \ de fondos de inversi\xF3n alternativos, la autoridad competente designada\
            \ de conformidad con el art\xEDculo 44 de la Directiva 2011/61/UE;\nj)\
            \ en lo que respecta a las sociedades de gesti\xF3n, la autoridad competente\
            \ designada de conformidad con el art\xEDculo 97 de la Directiva 2009/65/CE;\n\
            k) en lo que respecta a las empresas de seguros y de reaseguros, la autoridad\
            \ competente designada de conformidad con el art\xEDculo 30 de la Directiva\
            \ 2009/138/CE;\nl) en lo que respecta a los intermediarios de seguros,\
            \ de reaseguros y de seguros complementarios, la autoridad competente\
            \ designada de conformidad con el art\xEDculo 12 de la Directiva (UE)\
            \ 2016/97;\nm) en lo que respecta a los fondos de pensiones de empleo,\
            \ la autoridad competente designada de conformidad con el art\xEDculo\
            \ 47 de la Directiva (UE) 2016/2341;\nn) en lo que respecta a las agencias\
            \ de calificaci\xF3n crediticia, la autoridad competente designada de\
            \ conformidad con el art\xEDculo 21 del Reglamento (CE) n.o 1060/2009;\n\
            o) en lo que respecta a los administradores de \xEDndices de referencia\
            \ cruciales, la autoridad competente designada de conformidad con los\
            \ art\xEDculos 40 y 41 del Reglamento (UE) 2016/1011;\np) en lo que respecta\
            \ a los proveedores de servicios de financiaci\xF3n participativa, la\
            \ autoridad competente designada de conformidad con el art\xEDculo 29\
            \ del Reglamento (UE) 2020/1503;\nq) en lo que respecta a los registros\
            \ de titulizaciones, la autoridad competente designada de conformidad\
            \ con el art\xEDculo 10 y el art\xEDculo 14, apartado 1, del Reglamento\
            \ (UE) 2017/2402."
    - urn: urn:intuitem:risk:req_node:dora:node614
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 47
      description: Cooperation with structures and authorities established by Directive
        (EU) 2022/2555
      translations:
        es:
          name: "Art\xEDculo 47"
          description: "Cooperaci\xF3n con las estructuras y autoridades establecidas\
            \ por la Directiva (UE) 2022/2555"
    - urn: urn:intuitem:risk:req_node:dora:47.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node614
      ref_id: '47.1'
      description: To foster cooperation and enable supervisory exchanges between
        the competent authorities designated under this Regulation and the Cooperation
        Group established by Article 14 of Directive (EU) 2022/2555, the ESAs and
        the competent authorities may participate in the activities of the Cooperation
        Group for matters that concern their supervisory activities in relation to
        financial entities. The ESAs and the competent authorities may request to
        be invited to participate in the activities of the Cooperation Group for matters
        in relation to essential or important entities subject to Directive (EU) 2022/2555
        that have also been designated as critical ICT third-party service providers
        pursuant to Article 31 of this Regulation.
      translations:
        es:
          name: null
          description: "A fin de fomentar la cooperaci\xF3n y permitir los intercambios\
            \ en materia de supervisi\xF3n entre las autoridades competentes designadas\
            \ de conformidad con el presente Reglamento y el Grupo de Cooperaci\xF3\
            n establecido por el art\xEDculo 14 de la Directiva (UE) 2022/2555, las\
            \ Autoridades Europeas de Supervisi\xF3n y las autoridades competentes\
            \ podr\xE1n participar en las actividades del Grupo de Cooperaci\xF3n\
            \ en asuntos que ata\xF1an a sus actividades en materia de supervisi\xF3\
            n en relaci\xF3n con las entidades financieras. Las Autoridades Europeas\
            \ de Supervisi\xF3n y las autoridades competentes podr\xE1n solicitar\
            \ ser invitadas a participar en las actividades del Grupo de Cooperaci\xF3\
            n en asuntos relativos a las entidades esenciales o importantes sujetas\
            \ a la Directiva (UE) 2022/2555 que tambi\xE9n hayan sido designadas como\
            \ proveedores terceros esenciales de servicios de TIC en virtud del art\xED\
            culo 31 del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:47.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node614
      ref_id: '47.2'
      description: Where appropriate, competent authorities may consult and share
        information with the single points of contact and the CSIRTs designated or
        established in accordance with Directive (EU) 2022/2555.
      translations:
        es:
          name: null
          description: "En su caso, las autoridades competentes podr\xE1n consultar\
            \ y compartir informaci\xF3n con los puntos de contacto \xFAnicos y los\
            \ CSIRT designados o establecidos de conformidad con la Directiva (UE)\
            \ 2022/2555."
    - urn: urn:intuitem:risk:req_node:dora:47.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node614
      ref_id: '47.3'
      description: Where appropriate, competent authorities may request any relevant
        technical advice and assistance from the competent authorities designated
        or established in accordance with Directive (EU) 2022/2555 and establish cooperation
        arrangements to allow effective and fast-response coordination mechanisms
        to be set up.
      translations:
        es:
          name: null
          description: "En su caso, las autoridades competentes podr\xE1n solicitar\
            \ cualquier tipo de asesoramiento y asistencia t\xE9cnicos pertinentes\
            \ a las autoridades competentes designadas o establecidas de conformidad\
            \ con la Directiva (UE) 2022/2555 y establecer acuerdos de cooperaci\xF3\
            n para hacer posible el establecimiento de mecanismos de coordinaci\xF3\
            n eficaces y r\xE1pidos."
    - urn: urn:intuitem:risk:req_node:dora:47.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node614
      ref_id: '47.4'
      description: The arrangements referred to in paragraph 3 of this Article may,
        inter alia, specify the procedures for the coordination of supervisory and
        oversight activities in relation to essential or important entities subject
        to Directive (EU) 2022/2555 that have been designated as critical ICT third-party
        service providers pursuant to Article 31 of this Regulation, including for
        the conduct, in accordance with national law, of investigations and on-site
        inspections, as well as for mechanisms for the exchange of information between
        the competent authorities under this Regulation and the competent authorities
        designated or established in accordance with that Directive which includes
        access to information requested by the latter authorities.
      translations:
        es:
          name: null
          description: "Los acuerdos a que se refiere el apartado 3 del presente art\xED\
            culo podr\xE1n, entre otros aspectos, especificar los procedimientos para\
            \ la coordinaci\xF3n de las actividades de supervisi\xF3n y vigilancia\
            \ en relaci\xF3n con las entidades esenciales o importantes sujetas a\
            \ la Directiva (UE) 2022/2555 que hayan sido designadas proveedores terceros\
            \ esenciales de servicios de TIC en virtud del art\xEDculo 31 del presente\
            \ Reglamento, tambi\xE9n en lo relativo a la realizaci\xF3n, con arreglo\
            \ al Derecho nacional, de investigaciones e inspecciones in situ, as\xED\
            \ como a los mecanismos para el intercambio de informaci\xF3n entre las\
            \ autoridades competentes con arreglo al presente Reglamento y las autoridades\
            \ competentes designadas o establecidas de conformidad con dicha Directiva,\
            \ que incluye el acceso a la informaci\xF3n solicitada por estas \xFA\
            ltimas."
    - urn: urn:intuitem:risk:req_node:dora:node619
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 48
      description: Cooperation between authorities
      translations:
        es:
          name: "Art\xEDculo 48"
          description: "Cooperaci\xF3n entre autoridades"
    - urn: urn:intuitem:risk:req_node:dora:48.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node619
      ref_id: '48.1'
      description: Competent authorities shall cooperate closely among themselves
        and, where applicable, with the Lead Overseer.
      translations:
        es:
          name: null
          description: "Las autoridades competentes cooperar\xE1n estrechamente entre\
            \ ellas y, cuando proceda, con el supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:48.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node619
      ref_id: '48.2'
      description: "Competent authorities and the Lead Overseer shall, in a timely\
        \ manner, mutually exchange all relevant information concerning critical ICT\
        \ third-party service providers which is necessary for them to carry out their\
        \ respective duties under this Regulation, in particular in relation to identified\
        \ risks, approaches and measures taken as part of the Lead Overseer\u2019\
        s oversight tasks."
      translations:
        es:
          name: null
          description: "Las autoridades competentes y el supervisor principal compartir\xE1\
            n oportunamente toda la informaci\xF3n pertinente relativa a los proveedores\
            \ terceros esenciales de servicios de TIC que sea necesaria para el desempe\xF1\
            o de sus respectivas obligaciones con arreglo al presente Reglamento,\
            \ en particular en relaci\xF3n con los riesgos detectados, los enfoques\
            \ y las medidas adoptadas como parte de las tareas de supervisi\xF3n del\
            \ supervisor principal."
    - urn: urn:intuitem:risk:req_node:dora:node622
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 49
      description: Financial cross-sector exercises, communication and cooperation
      translations:
        es:
          name: "Art\xEDculo 49"
          description: "Ejercicios, comunicaci\xF3n y cooperaci\xF3n intersectoriales\
            \ en el \xE1mbito financiero"
    - urn: urn:intuitem:risk:req_node:dora:49.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node622
      ref_id: '49.1'
      description: "The ESAs, through the Joint Committee and in collaboration with\
        \ competent authorities, resolution authorities as referred to in Article\
        \ 3 of Directive 2014/59/EU, the ECB, the Single Resolution Board as regards\
        \ information relating to entities falling under the scope of Regulation (EU)\
        \ No 806/2014, the ESRB and ENISA, as appropriate, may establish mechanisms\
        \ to enable the sharing of effective practices across financial sectors to\
        \ enhance situational awareness and identify common cyber vulnerabilities\
        \ and risks across sectors.\nThey may develop crisis management and contingency\
        \ exercises involving cyber-attack scenarios with a view to developing communication\
        \ channels and gradually enabling an effective coordinated response at Union\
        \ level in the event of a major cross-border ICT-related incident or related\
        \ threat having a systemic impact on the Union\u2019s financial sector as\
        \ a whole.\nThose exercises may, as appropriate, also test the financial sector\u2019\
        s dependencies on other economic sectors."
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n, a trav\xE9s del\
            \ Comit\xE9 Mixto y en colaboraci\xF3n con las autoridades competentes,\
            \ las autoridades de resoluci\xF3n a que se refiere el art\xEDculo 3 de\
            \ la Directiva 2014/59/UE, el BCE, la Junta \xDAnica de Resoluci\xF3n\
            \ con respecto a la informaci\xF3n relativa a las entidades incluidas\
            \ en el \xE1mbito de aplicaci\xF3n del Reglamento (UE) n.o 806/2014, la\
            \ JERS y la ENISA, en su caso, podr\xE1n establecer mecanismos que permitan\
            \ compartir pr\xE1cticas eficaces entre todos los sectores financieros\
            \ a fin de mejorar la conciencia situacional y detectar las vulnerabilidades\
            \ y los riesgos cibern\xE9ticos comunes a los diversos sectores.\n\nPodr\xE1\
            n organizar ejercicios de gesti\xF3n de crisis y contingencia que incluyan\
            \ escenarios de ciberataques con el fin de desarrollar los canales de\
            \ comunicaci\xF3n y hacer posible gradualmente una respuesta coordinada\
            \ eficaz a escala de la Uni\xF3n en caso de que se produzca un incidente\
            \ grave relacionado con las TIC de alcance transfronterizo o una amenaza\
            \ conexa que tenga un impacto sist\xE9mico en el sector financiero de\
            \ la Uni\xF3n en su conjunto.\n\nDichos ejercicios tambi\xE9n podr\xE1\
            n someter a prueba, en su caso, las dependencias del sector financiero\
            \ con respecto a otros sectores econ\xF3micos."
    - urn: urn:intuitem:risk:req_node:dora:49.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node622
      ref_id: '49.2'
      description: Competent authorities, ESAs and the ECB shall cooperate closely
        with each other and exchange information to carry out their duties pursuant
        to Articles 47 to 54. They shall closely coordinate their supervision in order
        to identify and remedy breaches of this Regulation, develop and promote best
        practices, facilitate collaboration, foster consistency of interpretation
        and provide cross-jurisdictional assessments in the event of any disagreements.
      translations:
        es:
          name: null
          description: "Las autoridades competentes, las Autoridades Europeas de Supervisi\xF3\
            n y el BCE cooperar\xE1n estrechamente entre s\xED e intercambiar\xE1\
            n informaci\xF3n para el desempe\xF1o de sus obligaciones en virtud de\
            \ los art\xEDculos 47 a 54. Coordinar\xE1n estrechamente sus actividades\
            \ de supervisi\xF3n con el fin de detectar y reparar las infracciones\
            \ del presente Reglamento, establecer y promover buenas pr\xE1cticas,\
            \ facilitar la colaboraci\xF3n, fomentar la coherencia en la interpretaci\xF3\
            n y proporcionar evaluaciones entre pa\xEDses y territorios en caso de\
            \ desacuerdo."
    - urn: urn:intuitem:risk:req_node:dora:node625
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 50
      description: Administrative penalties and remedial measures
      translations:
        es:
          name: "Art\xEDculo 50"
          description: Sanciones administrativas y medidas correctoras
    - urn: urn:intuitem:risk:req_node:dora:50.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.1'
      description: Competent authorities shall have all supervisory, investigatory
        and sanctioning powers necessary to fulfil their duties under this Regulation.
      translations:
        es:
          name: null
          description: "Las autoridades competentes dispondr\xE1n de todas las facultades\
            \ de supervisi\xF3n, investigaci\xF3n y sanci\xF3n necesarias para cumplir\
            \ sus obligaciones con arreglo al presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:50.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.2'
      description: "The powers referred to in paragraph 1 shall include at least the\
        \ following powers to:\n(a)\thave access to any document or data held in any\
        \ form that the competent authority considers relevant for the performance\
        \ of its duties and receive or take a copy of it;\n(b)\tcarry out on-site\
        \ inspections or investigations, which shall include but shall not be limited\
        \ to;\n(i)\tsummoning representatives of the financial entities for oral or\
        \ written explanations on facts or documents relating to the subject matter\
        \ and purpose of the investigation and to record the answers;\n(ii)\tinterviewing\
        \ any other natural or legal person who consents to be interviewed for the\
        \ purpose of collecting information relating to the subject matter of an investigation;\n\
        (c)\trequire corrective and remedial measures for breaches of the requirements\
        \ of this Regulation."
      translations:
        es:
          name: null
          description: "Las facultades a que se refiere el apartado 1 incluir\xE1\
            n, como m\xEDnimo, las siguientes facultades para:\n\na) tener acceso\
            \ a cualquier documento o a los datos bajo cualquier forma que la autoridad\
            \ competente considere pertinentes para el ejercicio de sus funciones\
            \ y recibir o procurarse copia de los mismos;\n\nb) realizar investigaciones\
            \ o inspecciones in situ, en las que se llevar\xE1n a cabo, entre otras,\
            \ las siguientes actividades:\n\n  i) convocar a los representantes de\
            \ las entidades financieras para que den explicaciones orales o escritas\
            \ sobre los hechos o documentos que guarden relaci\xF3n con el objeto\
            \ y el prop\xF3sito de la investigaci\xF3n, y registrar las respuestas,\n\
            \n  ii) entrevistar a cualquier otra persona f\xEDsica o jur\xEDdica que\
            \ acepte ser entrevistada a fin de recabar informaci\xF3n relacionada\
            \ con el objeto de una investigaci\xF3n;\n\nc) exigir medidas correctoras\
            \ y reparadoras en caso de incumplimiento de los requisitos del presente\
            \ Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:50.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.3'
      description: 'Without prejudice to the right of Member States to impose criminal
        penalties in accordance with Article 52, Member States shall lay down rules
        establishing appropriate administrative penalties and remedial measures for
        breaches of this Regulation and shall ensure their effective implementation.

        Those penalties and measures shall be effective, proportionate and dissuasive.'
      translations:
        es:
          name: null
          description: "Sin perjuicio del derecho de los Estados miembros a imponer\
            \ sanciones penales de conformidad con el art\xEDculo 52, los Estados\
            \ miembros establecer\xE1n normas que prevean sanciones administrativas\
            \ y medidas correctoras adecuadas en caso de infracci\xF3n del presente\
            \ Reglamento y garantizar\xE1n su aplicaci\xF3n efectiva.\n\nDichas sanciones\
            \ y medidas ser\xE1n eficaces, proporcionadas y disuasorias."
    - urn: urn:intuitem:risk:req_node:dora:50.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.4'
      description: "Member States shall confer on competent authorities the power\
        \ to apply at least the following administrative penalties or remedial measures\
        \ for breaches of this Regulation:\n(a)\tissue an order requiring the natural\
        \ or legal person to cease conduct that is in breach of this Regulation and\
        \ to desist from a repetition of that conduct;\n(b)\trequire the temporary\
        \ or permanent cessation of any practice or conduct that the competent authority\
        \ considers to be contrary to the provisions of this Regulation and prevent\
        \ repetition of that practice or conduct;\n(c)\tadopt any type of measure,\
        \ including of pecuniary nature, to ensure that financial entities continue\
        \ to comply with legal requirements;\n(d)\trequire, insofar as permitted by\
        \ national law, existing data traffic records held by a telecommunication\
        \ operator, where there is a reasonable suspicion of a breach of this Regulation\
        \ and where such records may be relevant to an investigation into breaches\
        \ of this Regulation; and\n(e)\tissue public notices, including public statements\
        \ indicating the identity of the natural or legal person and the nature of\
        \ the breach."
      translations:
        es:
          name: null
          description: "Los Estados miembros conferir\xE1n a las autoridades competentes\
            \ la facultad de aplicar al menos las siguientes sanciones administrativas\
            \ o medidas correctoras en caso de infracci\xF3n del presente Reglamento:\n\
            \na) emitir un requerimiento dirigido a la persona f\xEDsica o jur\xED\
            dica que est\xE9 infringiendo el presente Reglamento para que ponga fin\
            \ a su conducta y se abstenga de repetirla;\n\nb) exigir el cese provisional\
            \ o definitivo de toda pr\xE1ctica o conducta que la autoridad competente\
            \ considere contraria a las disposiciones del presente Reglamento e impedir\
            \ la repetici\xF3n de dicha pr\xE1ctica o conducta;\n\nc) adoptar cualquier\
            \ tipo de medida, tambi\xE9n de car\xE1cter pecuniario, para garantizar\
            \ que las entidades financieras sigan cumpliendo los requisitos legales;\n\
            \nd) exigir, en la medida en que lo permita el Derecho nacional, los registros\
            \ de tr\xE1fico de datos existentes que obren en poder de un operador\
            \ de telecomunicaciones, cuando existan sospechas fundadas de infracci\xF3\
            n del presente Reglamento y cuando tales registros puedan ser pertinentes\
            \ para una investigaci\xF3n de infracciones del presente Reglamento, y\n\
            \ne) publicar avisos, incluidas declaraciones p\xFAblicas, en las que\
            \ se indique la identidad de la persona f\xEDsica o jur\xEDdica y la naturaleza\
            \ de la infracci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:50.5
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.5'
      description: Where paragraph 2, point (c), and paragraph 4 apply to legal persons,
        Member States shall confer on competent authorities the power to apply the
        administrative penalties and remedial measures, subject to the conditions
        provided for in national law, to members of the management body, and to other
        individuals who under national law are responsible for the breach.
      translations:
        es:
          name: null
          description: "Cuando el apartado 2, letra c), y el apartado 4 se apliquen\
            \ a personas jur\xEDdicas, los Estados miembros conferir\xE1n a las autoridades\
            \ competentes la facultad de aplicar las sanciones administrativas y las\
            \ medidas correctoras, seg\xFAn las condiciones que establezca el Derecho\
            \ nacional, a los miembros del \xF3rgano de direcci\xF3n y a las dem\xE1\
            s personas f\xEDsicas que, conforme al Derecho nacional, sean responsables\
            \ de la infracci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:50.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node625
      ref_id: '50.6'
      description: Member States shall ensure that any decision imposing administrative
        penalties or remedial measures set out in paragraph 2, point (c), is properly
        reasoned and is subject to a right of appeal.
      translations:
        es:
          name: null
          description: "Los Estados miembros garantizar\xE1 que cualquier decisi\xF3\
            n de imponer sanciones administrativas o medidas correctivas con arreglo\
            \ al apartado 2, letra c), est\xE9 debidamente motivada y pueda ser objeto\
            \ de recurso."
    - urn: urn:intuitem:risk:req_node:dora:node632
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 51
      description: Exercise of the power to impose administrative penalties and remedial
        measures
      translations:
        es:
          name: "Art\xEDculo 51"
          description: Ejercicio de la facultad de imponer sanciones administrativas
            y medidas correctoras
    - urn: urn:intuitem:risk:req_node:dora:51.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node632
      ref_id: '51.1'
      description: "Competent authorities shall exercise the powers to impose administrative\
        \ penalties and remedial measures referred to in Article 50 in accordance\
        \ with their national legal frameworks, where appropriate, as follows:\n(a)\t\
        directly;\n(b)\tin collaboration with other authorities;\n(c)\tunder their\
        \ responsibility by delegation to other authorities; or (d) by application\
        \ to the competent judicial authorities."
      translations:
        es:
          name: null
          description: "Las autoridades competentes ejercer\xE1n las facultades de\
            \ imponer las sanciones administrativas y las medidas correctoras a que\
            \ se refiere el art\xEDculo 50 de conformidad con sus ordenamientos jur\xED\
            dicos nacionales, en su caso, de la siguiente manera:\n\na) directamente;\n\
            b) en colaboraci\xF3n con otras autoridades;\nc) bajo su responsabilidad,\
            \ mediante delegaci\xF3n en otras autoridades, o\nd) mediante solicitud\
            \ dirigida a las autoridades judiciales competentes."
    - urn: urn:intuitem:risk:req_node:dora:51.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node632
      ref_id: '51.2'
      description: "Competent authorities, when determining the type and level of\
        \ an administrative penalty or remedial measure to be imposed under Article\
        \ 50, shall take into account the extent to which the breach is intentional\
        \ or results from negligence, and all other relevant circumstances, including\
        \ the following, where appropriate:\n(a)\tthe materiality, gravity and the\
        \ duration of the breach;\n(b)\tthe degree of responsibility of the natural\
        \ or legal person responsible for the breach;\n(c)\tthe financial strength\
        \ of the responsible natural or legal person;\n(d)\tthe importance of profits\
        \ gained or losses avoided by the responsible natural or legal person, insofar\
        \ as they can be determined;\n(e)\tthe losses for third parties caused by\
        \ the breach, insofar as they can be determined;\n(f)\tthe level of cooperation\
        \ of the responsible natural or legal person with the competent authority,\
        \ without prejudice to the need to ensure disgorgement of profits gained or\
        \ losses avoided by that natural or legal person;\n(g)\tprevious breaches\
        \ by the responsible natural or legal person."
      translations:
        es:
          name: null
          description: "Al determinar el tipo y el nivel de una sanci\xF3n administrativa\
            \ o medida correctora impuesta de conformidad con el art\xEDculo 50, las\
            \ autoridades competentes tendr\xE1n en cuenta si la infracci\xF3n es\
            \ intencionada o es consecuencia de una negligencia y cualesquiera otras\
            \ circunstancias pertinentes, entre ellas, en su caso, las siguientes:\n\
            \na) la importancia, la gravedad y la duraci\xF3n de la infracci\xF3n;\n\
            b) el grado de responsabilidad de la persona f\xEDsica o jur\xEDdica responsable\
            \ de la infracci\xF3n;\nc) la solidez financiera de la persona f\xEDsica\
            \ o jur\xEDdica responsable;\nd) la importancia de los beneficios obtenidos\
            \ o las p\xE9rdidas evitadas por la persona f\xEDsica o jur\xEDdica responsable,\
            \ en la medida en que puedan determinarse;\ne) las p\xE9rdidas causadas\
            \ a terceros por la infracci\xF3n, en la medida en que puedan determinarse;\n\
            f) el grado de cooperaci\xF3n de la persona f\xEDsica o jur\xEDdica responsable\
            \ con la autoridad competente, sin perjuicio de la obligaci\xF3n de que\
            \ dicha persona f\xEDsica o jur\xEDdica restituya las ganancias obtenidas\
            \ o las p\xE9rdidas evitadas;\ng) las infracciones anteriores de la persona\
            \ f\xEDsica o jur\xEDdica responsable."
    - urn: urn:intuitem:risk:req_node:dora:node635
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 52
      description: Criminal penalties
      translations:
        es:
          name: "Art\xEDculo 52"
          description: Sanciones penales
    - urn: urn:intuitem:risk:req_node:dora:52.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node635
      ref_id: '52.1'
      description: Member States may decide not to lay down rules for administrative
        penalties or remedial measures for breaches that are subject to criminal penalties
        under their national law.
      translations:
        es:
          name: null
          description: "Los Estados miembros podr\xE1n decidir no establecer normas\
            \ que prevean sanciones administrativas o medidas correctoras para las\
            \ infracciones que est\xE9n sujetas a sanciones penales con arreglo a\
            \ su Derecho nacional."
    - urn: urn:intuitem:risk:req_node:dora:52.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node635
      ref_id: '52.2'
      description: Where Member States have chosen to lay down criminal penalties
        for breaches of this Regulation, they shall ensure that appropriate measures
        are in place so that competent authorities have all the necessary powers to
        liaise with judicial, prosecuting, or criminal justice authorities within
        their jurisdiction to receive specific information related to criminal investigations
        or proceedings commenced for breaches of this Regulation, and to provide the
        same information to other competent authorities, as well as EBA, ESMA or EIOPA
        to fulfil their obligations to cooperate for the purposes of this Regulation.
      translations:
        es:
          name: null
          description: "Los Estados miembros que opten por establecer sanciones penales\
            \ por infracciones del presente Reglamento se asegurar\xE1n de que se\
            \ hayan adoptado las medidas adecuadas para que las autoridades competentes\
            \ dispongan de todas las facultades necesarias a fin de ponerse en contacto\
            \ con las autoridades judiciales o las responsables de la fiscal\xEDa\
            \ o de la justicia penal dentro de su jurisdicci\xF3n, con el fin de obtener\
            \ informaci\xF3n espec\xEDfica relacionada con las investigaciones o procesos\
            \ penales iniciados por infracciones del presente Reglamento, y de facilitar\
            \ informaci\xF3n del mismo tenor a otras autoridades competentes y a la\
            \ ABE, la AEVM o la AESPJ, en cumplimiento de su obligaci\xF3n de cooperar\
            \ a los efectos del presente Reglamento."
    - urn: urn:intuitem:risk:req_node:dora:node638
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 53
      description: Notification duties
      translations:
        es:
          name: "Art\xEDculo 53"
          description: "Obligaciones de notificaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:53.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node638
      ref_id: '53.1'
      description: Member States shall notify the laws, regulations and administrative
        provisions implementing this Chapter, including any relevant criminal law
        provisions, to the Commission, ESMA, the EBA and EIOPA by 17 January 2025.
        Member States shall notify the Commission, ESMA, the EBA and EIOPA without
        undue delay of any subsequent amendments thereto.
      translations:
        es:
          name: null
          description: "Los Estados miembros notificar\xE1n las disposiciones legales,\
            \ reglamentarias y administrativas de aplicaci\xF3n de lo dispuesto en\
            \ el presente cap\xEDtulo, incluidas cualesquiera disposiciones pertinentes\
            \ de Derecho penal, a la Comisi\xF3n, la AEVM, la ABE y la AESPJ a m\xE1\
            s tardar el 17 de enero de 2025. Los Estados miembros notificar\xE1n sin\
            \ demora indebida cualquier modificaci\xF3n ulterior de dichas disposiciones\
            \ a la Comisi\xF3n, la AEVM, la ABE y la AESPJ."
    - urn: urn:intuitem:risk:req_node:dora:node640
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 54
      description: Publication of administrative penalties
      translations:
        es:
          name: "Art\xEDculo 54"
          description: "Publicaci\xF3n de las sanciones administrativas"
    - urn: urn:intuitem:risk:req_node:dora:54.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.1'
      description: Competent authorities shall publish on their official websites,
        without undue delay, any decision imposing an administrative penalty against
        which there is no appeal after the addressee of the penalty has been notified
        of that decision.
      translations:
        es:
          name: null
          description: "Las autoridades competentes publicar\xE1n en sus sitios web\
            \ oficiales, sin demora indebida, toda decisi\xF3n por la que se imponga\
            \ una sanci\xF3n administrativa contra la que no haya lugar a recurso\
            \ tras la notificaci\xF3n de dicha decisi\xF3n al destinatario de la sanci\xF3\
            n."
    - urn: urn:intuitem:risk:req_node:dora:54.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.2'
      description: The publication referred to in paragraph 1 shall include information
        on the type and nature of the breach, the identity of the persons responsible
        and the penalties imposed.
      translations:
        es:
          name: null
          description: "La publicaci\xF3n a que se refiere el apartado 1 incluir\xE1\
            \ informaci\xF3n sobre el tipo y la naturaleza de la infracci\xF3n, la\
            \ identidad de las personas responsables y las sanciones impuestas."
    - urn: urn:intuitem:risk:req_node:dora:54.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.3'
      description: "Where the competent authority, following a case-by-case assessment,\
        \ considers that the publication of the identity, in the case of legal persons,\
        \ or of the identity and personal data, in the case of natural persons, would\
        \ be disproportionate, including risks in relation to the protection of personal\
        \ data, jeopardise the stability of financial markets or the pursuit of an\
        \ ongoing criminal investigation, or cause, insofar as these can be determined,\
        \ disproportionate damages to the person involved, it shall adopt one of the\
        \ following solutions in respect of the decision imposing an administrative\
        \ penalty:\n(a)\tdefer its publication until all reasons for non-publication\
        \ cease to exist;\n(b)\tpublish it on an anonymous basis, in accordance with\
        \ national law; or\n(c)\trefrain from publishing it, where the options set\
        \ out in points (a) and (b) are deemed either insufficient to guarantee a\
        \ lack of any danger for the stability of financial markets, or where such\
        \ a publication would not be proportionate to the leniency of the imposed\
        \ penalty."
      translations:
        es:
          name: null
          description: "Cuando la autoridad competente, tras una evaluaci\xF3n de\
            \ cada caso, considere que la publicaci\xF3n de la identidad, cuando se\
            \ trate de personas jur\xEDdicas, o de la identidad y los datos personales,\
            \ cuando se trate de personas f\xEDsicas, ser\xEDa desproporcionada, incluidos\
            \ los riesgos relacionados con la protecci\xF3n de los datos de car\xE1\
            cter personal, pondr\xEDa en peligro la estabilidad de los mercados financieros\
            \ o la continuaci\xF3n de una investigaci\xF3n penal en curso, o causar\xED\
            a a la persona afectada da\xF1os desproporcionados, en la medida en que\
            \ estos puedan determinarse, adoptar\xE1 una de las siguientes soluciones\
            \ con respecto a la decisi\xF3n por la que se imponga una sanci\xF3n administrativa:\n\
            \na) aplazar su publicaci\xF3n hasta que dejen de existir todos los motivos\
            \ para no publicarla;\nb) publicarla de forma an\xF3nima, de conformidad\
            \ con el Derecho nacional, o\nc) abstenerse de publicarla, si las opciones\
            \ enunciadas en las letras a) y b) se consideran insuficientes para garantizar\
            \ que la estabilidad de los mercados financieros no corra peligro, o cuando\
            \ dicha publicaci\xF3n no sea proporcionada con respecto a la moderaci\xF3\
            n de la sanci\xF3n impuesta."
    - urn: urn:intuitem:risk:req_node:dora:54.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.4'
      description: In the case of a decision to publish an administrative penalty
        on an anonymous basis in accordance with paragraph 3, point (b), the publication
        of the relevant data may be postponed.
      translations:
        es:
          name: null
          description: "En caso de que se decida publicar una sanci\xF3n administrativa\
            \ de forma an\xF3nima como se establece en el apartado 3, letra b), podr\xE1\
            \ aplazarse la publicaci\xF3n de los datos pertinentes."
    - urn: urn:intuitem:risk:req_node:dora:54.5
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.5'
      description: Where a competent authority publishes a decision imposing an administrative
        penalty against which there is an appeal before the relevant judicial authorities,
        competent authorities shall immediately add on their official website that
        information and, at later stages, any subsequent related information on the
        outcome of such appeal. Any judicial decision annulling a decision imposing
        an administrative penalty shall also be published.
      translations:
        es:
          name: null
          description: "Cuando una autoridad competente publique una decisi\xF3n que\
            \ imponga una sanci\xF3n administrativa que pueda recurrirse ante las\
            \ autoridades judiciales pertinentes, las autoridades competentes a\xF1\
            adir\xE1n de forma inmediata en su sitio web oficial dicha informaci\xF3\
            n y, con posterioridad, cualquier informaci\xF3n ulterior relacionada\
            \ sobre el resultado del recurso. Se publicar\xE1 asimismo cualquier resoluci\xF3\
            n judicial que anule una decisi\xF3n que imponga una sanci\xF3n administrativa."
    - urn: urn:intuitem:risk:req_node:dora:54.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node640
      ref_id: '54.6'
      description: Competent authorities shall ensure that any publication referred
        to in paragraphs 1 to 4 shall remain on their official website only for the
        period which is necessary to bring forth this Article. This period shall not
        exceed five years after its publication.
      translations:
        es:
          name: null
          description: "Las autoridades competentes garantizar\xE1n que toda publicaci\xF3\
            n a que se hace referencia en los apartados 1 a 4 permanezca en su sitio\
            \ web oficial \xFAnicamente durante el per\xEDodo de tiempo necesario\
            \ a los efectos del presente art\xEDculo. Este per\xEDodo no exceder\xE1\
            \ de cinco a\xF1os a partir de su publicaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:node647
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 55
      description: Professional secrecy
      translations:
        es:
          name: "Art\xEDculo 55"
          description: Secreto profesional
    - urn: urn:intuitem:risk:req_node:dora:55.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node647
      ref_id: '55.1'
      description: Any confidential information received, exchanged or transmitted
        pursuant to this Regulation shall be subject to the conditions of professional
        secrecy laid down in paragraph 2.
      translations:
        es:
          name: null
          description: "Toda informaci\xF3n confidencial recibida, intercambiada o\
            \ transmitida en virtud del presente Reglamento estar\xE1 sujeta a las\
            \ condiciones de secreto profesional establecidas en el apartado 2."
    - urn: urn:intuitem:risk:req_node:dora:55.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node647
      ref_id: '55.2'
      description: The obligation of professional secrecy applies to all persons who
        work, or who have worked, for the competent authorities pursuant to this Regulation,
        or for any authority or market undertaking or natural or legal person to whom
        those competent authorities have delegated their powers, including auditors
        and experts contracted by them.
      translations:
        es:
          name: null
          description: "La obligaci\xF3n de secreto profesional se aplicar\xE1 a todas\
            \ las personas que trabajen o hayan trabajado para las autoridades competentes\
            \ en virtud del presente Reglamento o para cualquier otra autoridad u\
            \ organismo del mercado o persona f\xEDsica o jur\xEDdica en los que aquellas\
            \ hayan delegado sus facultades, incluidos los auditores y expertos contratados\
            \ por ellas."
    - urn: urn:intuitem:risk:req_node:dora:55.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node647
      ref_id: '55.3'
      description: Information covered by professional secrecy, including the exchange
        of information among competent authorities under this Regulation and competent
        authorities designated or established in accordance with Directive (EU) 2022/2555,
        shall not be disclosed to any other person or authority except by virtue of
        provisions laid down by Union or national law;
      translations:
        es:
          name: null
          description: "La informaci\xF3n sujeta al secreto profesional, incluido\
            \ el intercambio de informaci\xF3n entre las autoridades competentes con\
            \ arreglo al presente Reglamento y las autoridades competentes designadas\
            \ o establecidas de conformidad con la Directiva (UE) 2022/2555, no se\
            \ divulgar\xE1 a ninguna otra persona o autoridad, salvo en virtud del\
            \ Derecho de la Uni\xF3n o nacional."
    - urn: urn:intuitem:risk:req_node:dora:55.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node647
      ref_id: '55.4'
      description: All information exchanged between the competent authorities pursuant
        to this Regulation that concerns business or operational conditions and other
        economic or personal affairs shall be considered confidential and shall be
        subject to the requirements of professional secrecy, except where the competent
        authority states, at the time of communication, that such information may
        be disclosed or where such disclosure is necessary for legal proceedings.
      translations:
        es:
          name: null
          description: "Toda la informaci\xF3n intercambiada por las autoridades competentes\
            \ en virtud del presente Reglamento y referida a las condiciones comerciales\
            \ u operativas, as\xED como a otros asuntos de tipo econ\xF3mico o personal,\
            \ se considerar\xE1 confidencial y estar\xE1 amparada por el secreto profesional,\
            \ salvo cuando la autoridad competente declare, en el momento de su comunicaci\xF3\
            n, que la informaci\xF3n puede ser revelada o esta revelaci\xF3n resulte\
            \ necesaria en el marco de un procedimiento judicial."
    - urn: urn:intuitem:risk:req_node:dora:node652
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node611
      name: Article 56
      description: Data Protection
      translations:
        es:
          name: "Art\xEDculo 56"
          description: "Protecci\xF3n de datos"
    - urn: urn:intuitem:risk:req_node:dora:56.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node652
      ref_id: '56.1'
      description: The ESAs and the competent authorities shall be allowed to process
        personal data only where necessary for the purpose of carrying out their respective
        obligations and duties pursuant to this Regulation, in particular for investigation,
        inspection, request for information, communication, publication, evaluation,
        verification, assessment and drafting of oversight plans. The personal data
        shall be processed in accordance with Regulation (EU) 2016/679 or Regulation
        (EU) 2018/1725, whichever is applicable.
      translations:
        es:
          name: null
          description: "Las Autoridades Europeas de Supervisi\xF3n y las autoridades\
            \ competentes solo estar\xE1n autorizadas a tratar datos personales cuando\
            \ sea necesario para el cumplimiento de sus respectivas obligaciones y\
            \ funciones en virtud del presente Reglamento, en particular en lo que\
            \ respecta a la investigaci\xF3n, inspecci\xF3n, solicitud de informaci\xF3\
            n, comunicaci\xF3n, publicaci\xF3n, evaluaci\xF3n, verificaci\xF3n, evaluaci\xF3\
            n y elaboraci\xF3n de planes de supervisi\xF3n. Los datos personales ser\xE1\
            n tratados de conformidad con el Reglamento (UE) 2016/679 o con el Reglamento\
            \ (UE) 2018/1725, seg\xFAn corresponda."
    - urn: urn:intuitem:risk:req_node:dora:56.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node652
      ref_id: '56.2'
      description: Except where otherwise provided in other sectoral acts, the personal
        data referred to in paragraph 1 shall be retained until the discharge of the
        applicable supervisory duties and in any case for a maximum period of 15 years,
        except in the event of pending court proceedings requiring further retention
        of such data.
      translations:
        es:
          name: null
          description: "Salvo cuando se disponga otra cosa en otros actos sectoriales,\
            \ los datos personales a que se refiere el apartado 1 se conservar\xE1\
            n hasta el cumplimiento de las obligaciones aplicables en materia de supervisi\xF3\
            n y, en cualquier caso, durante un per\xEDodo m\xE1ximo de quince a\xF1\
            os, salvo en caso de procedimientos judiciales pendientes que requieran\
            \ conservar dichos datos durante m\xE1s tiempo."
    - urn: urn:intuitem:risk:req_node:dora:node655
      assessable: false
      depth: 1
      name: Chapter VIII
      description: Delegated acts
      translations:
        es:
          name: "CAP\xCDTULO VIII"
          description: Actos delegados
    - urn: urn:intuitem:risk:req_node:dora:node656
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node655
      name: Article 57
      description: Exercise of the delegation
      translations:
        es:
          name: "Art\xEDculo 57"
          description: "Ejercicio de la delegaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:57.1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.1'
      description: The power to adopt delegated acts is conferred on the Commission
        subject to the conditions laid down in this Article.
      translations:
        es:
          name: null
          description: "Se otorgan a la Comisi\xF3n los poderes para adoptar actos\
            \ delegados en las condiciones establecidas en el presente art\xEDculo."
    - urn: urn:intuitem:risk:req_node:dora:57.2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.2'
      description: The power to adopt delegated acts referred to in Articles 31(6)
        and 43(2) shall be conferred on the Commission for a period of five years
        from 17 January 2024. The Commission shall draw up a report in respect of
        the delegation of power not later than nine months before the end of the five-year
        period. The delegation of power shall be tacitly extended for periods of an
        identical duration, unless the European Parliament or the Council opposes
        such extension not later than three months before the end of each period.
      translations:
        es:
          name: null
          description: "Los poderes para adoptar los actos delegados a que se refieren\
            \ el art\xEDculo 31, apartado 6, y el art\xEDculo 43, apartado 2, se otorgan\
            \ a la Comisi\xF3n por un per\xEDodo de cinco a\xF1os a partir del 17\
            \ de enero de 2024. La Comisi\xF3n elaborar\xE1 un informe sobre la delegaci\xF3\
            n de poderes a m\xE1s tardar nueve meses antes de que finalice el per\xED\
            odo de cinco a\xF1os. La delegaci\xF3n de poderes se prorrogar\xE1 t\xE1\
            citamente por per\xEDodos de id\xE9ntica duraci\xF3n, excepto si el Parlamento\
            \ Europeo o el Consejo se oponen a dicha pr\xF3rroga a m\xE1s tardar tres\
            \ meses antes del final de cada per\xEDodo."
    - urn: urn:intuitem:risk:req_node:dora:57.3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.3'
      description: The delegation of power referred to in Articles 31(6) and 43(2)
        may be revoked at any time by the European Parliament or by the Council. A
        decision to revoke shall put an end to the delegation of the power specified
        in that decision. It shall take effect the day following the publication of
        the decision in the Official Journal of the European Union or at a later date
        specified therein. It shall not affect the validity of any delegated acts
        already in force.
      translations:
        es:
          name: null
          description: "La delegaci\xF3n de poderes mencionada en el art\xEDculo 31,\
            \ apartado 6, y en el art\xEDculo 43, apartado 2, podr\xE1 ser revocada\
            \ en cualquier momento por el Parlamento Europeo o por el Consejo. La\
            \ decisi\xF3n de revocaci\xF3n pondr\xE1 t\xE9rmino a la delegaci\xF3\
            n de los poderes que en ella se especifiquen. La decisi\xF3n surtir\xE1\
            \ efecto el d\xEDa siguiente al de su publicaci\xF3n en el Diario Oficial\
            \ de la Uni\xF3n Europea o en una fecha posterior indicada en ella. No\
            \ afectar\xE1 a la validez de los actos delegados que ya est\xE9n en vigor."
    - urn: urn:intuitem:risk:req_node:dora:57.4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.4'
      description: Before adopting a delegated act, the Commission shall consult experts
        designated by each Member State in accordance with the principles laid down
        in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making.
      translations:
        es:
          name: null
          description: "Antes de la adopci\xF3n de un acto delegado, la Comisi\xF3\
            n consultar\xE1 a los expertos designados por cada Estado miembro de conformidad\
            \ con los principios establecidos en el Acuerdo interinstitucional de\
            \ 13 de abril de 2016 sobre la mejora de la legislaci\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:57.5
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.5'
      description: As soon as it adopts a delegated act, the Commission shall notify
        it simultaneously to the European Parliament and to the Council.
      translations:
        es:
          name: null
          description: "En cuanto la Comisi\xF3n adopte un acto delegado lo notificar\xE1\
            \ simult\xE1neamente al Parlamento Europeo y al Consejo."
    - urn: urn:intuitem:risk:req_node:dora:57.6
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node656
      ref_id: '57.6'
      description: A delegated act adopted pursuant to Articles 31(6) and 43(2) shall
        enter into force only if no objection has been expressed either by the European
        Parliament or by the Council within a period of three months of notification
        of that act to the European Parliament and the Council or if, before the expiry
        of that period, the European Parliament and the Council have both informed
        the Commission that they will not object. That period shall be extended by
        three months at the initiative of the European Parliament or of the Council.
      translations:
        es:
          name: null
          description: "Los actos delegados adoptados en virtud del art\xEDculo 31,\
            \ apartado 6, y del art\xEDculo 43, apartado 2, entrar\xE1n en vigor \xFA\
            nicamente si, en un plazo de tres meses a partir de su notificaci\xF3\
            n al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula\
            \ objeciones o si, antes del vencimiento de dicho plazo, ambas informan\
            \ a la Comisi\xF3n de que no las formular\xE1n. El plazo se prorrogar\xE1\
            \ tres meses a iniciativa del Parlamento Europeo o del Consejo."
    - urn: urn:intuitem:risk:req_node:dora:node663
      assessable: false
      depth: 1
      name: CHAPTER IX
      description: Transitional and final provisions
      translations:
        es:
          name: "CAP\xCDTULO IX"
          description: Disposiciones transitorias y finales
    - urn: urn:intuitem:risk:req_node:dora:node664
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node663
      name: Section I
      translations:
        es:
          name: "Secci\xF3n I"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:node665
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node664
      name: Article 58
      description: Review clause
      translations:
        es:
          name: "Art\xEDculo 58"
          description: "Cl\xE1usula de revisi\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:58.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node665
      ref_id: '58.1'
      description: "By 17 January 2028, the Commission shall, after consulting the\
        \ ESAs and the ESRB, as appropriate, carry out a review and submit a report\
        \ to the European Parliament and the Council, accompanied, where appropriate,\
        \ by a legislative proposal. The review shall include at least the following:\n\
        (a)\tthe criteria for the designation of critical ICT third-party service\
        \ providers in accordance with Article 31(2);\n(b)\tthe voluntary nature of\
        \ the notification of significant cyber threats referred to in Article 19;\n\
        (c)\tthe regime referred to in Article 31(12) and the powers of the Lead Overseer\
        \ provided for in Article 35(1), point (d), point (iv), first indent, with\
        \ a view to evaluating the effectiveness of those provisions with regard to\
        \ ensuring effective oversight of critical ICT third-party service providers\
        \ established in a third country, and the necessity to establish a subsidiary\
        \ in the Union.\nFor the purposes of the first subparagraph of this point,\
        \ the review shall include an analysis of the regime referred to in Article\
        \ 31(12), including in terms of access for Union financial entities to services\
        \ from third countries and availability of such services on the Union market\
        \ and it shall take into account further developments in the markets for the\
        \ services covered by this Regulation, the practical experience of financial\
        \ entities and financial supervisors with regard to the application and, respectively,\
        \ supervision of that regime, and any relevant regulatory and supervisory\
        \ developments taking place at international level.\n(d)\tthe appropriateness\
        \ of including in the scope of this Regulation financial entities referred\
        \ to in Article 2(3), point (e), making use of automated sales systems, in\
        \ light of future market developments on the use of such systems;\n(e)\tthe\
        \ functioning and effectiveness of the JON in supporting the consistency of\
        \ the oversight and the efficiency of the exchange of information within the\
        \ Oversight Framework."
      translations:
        es:
          name: null
          description: "A m\xE1s tardar el 17 de enero de 2028, la Comisi\xF3n, previa\
            \ consulta a las Autoridades Europeas de Supervisi\xF3n y la JERS, en\
            \ su caso, llevar\xE1 a cabo una revisi\xF3n y presentar\xE1 al Parlamento\
            \ Europeo y al Consejo un informe, acompa\xF1ado, en su caso, de una propuesta\
            \ legislativa. La revisi\xF3n incluir\xE1, como m\xEDnimo, lo siguiente:\n\
            \na) los criterios para la designaci\xF3n de proveedores terceros esenciales\
            \ de servicios de TIC de conformidad con el art\xEDculo 31, apartado 2;\n\
            b) el car\xE1cter voluntario de la notificaci\xF3n de ciberamenazas importantes\
            \ a que se refiere el art\xEDculo 19;\nc) el r\xE9gimen a que se refiere\
            \ el art\xEDculo 31, apartado 12, y las competencias del supervisor principal\
            \ previstas en el art\xEDculo 35, apartado 1, letra d), inciso iv), primer\
            \ guion, con vistas a evaluar la eficacia de dichas disposiciones en lo\
            \ que respecta a garantizar una supervisi\xF3n eficaz de los proveedores\
            \ terceros esenciales de servicios de TIC establecidos en un tercer pa\xED\
            s, y la necesidad de establecer una filial en la Uni\xF3n.\n\nA efectos\
            \ del p\xE1rrafo primero de la presente letra, la revisi\xF3n incluir\xE1\
            \ un an\xE1lisis del r\xE9gimen a que se refiere el art\xEDculo 31, apartado\
            \ 12, tambi\xE9n en t\xE9rminos de acceso de las entidades financieras\
            \ de la Uni\xF3n a los servicios de terceros pa\xEDses y la disponibilidad\
            \ de dichos servicios en el mercado de la Uni\xF3n, y tendr\xE1 en cuenta\
            \ la evoluci\xF3n ulterior de los mercados de los servicios cubiertos\
            \ por el presente Reglamento, la experiencia pr\xE1ctica de las entidades\
            \ financieras y los supervisores financieros en relaci\xF3n con la aplicaci\xF3\
            n y, en su caso, la supervisi\xF3n de dicho r\xE9gimen, as\xED como cualquier\
            \ novedad pertinente en materia de regulaci\xF3n y supervisi\xF3n que\
            \ se produzca a escala internacional;\n\nd) la conveniencia de incluir\
            \ en el \xE1mbito de aplicaci\xF3n del presente Reglamento a las entidades\
            \ financieras a que se refiere el art\xEDculo 2, apartado 3, letra e),\
            \ que hagan uso de sistemas automatizados de venta, a la luz de la futura\
            \ evoluci\xF3n del mercado en lo relativo al uso de dichos sistemas;\n\
            e) el funcionamiento y la eficacia de la Red de Supervisi\xF3n Conjunta\
            \ a la hora de apoyar la homogeneidad de la supervisi\xF3n y la eficiencia\
            \ del intercambio de informaci\xF3n en el marco de supervisi\xF3n."
    - urn: urn:intuitem:risk:req_node:dora:58.2
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node665
      ref_id: '58.2'
      description: 'In the context of the review of Directive (EU) 2015/2366, the
        Commission shall assess the need for increased cyber resilience of payment
        systems and payment-processing activities and the appropriateness of extending
        the scope of this Regulation to operators of payment systems and entities
        involved in payment-processing activities. In light of this assessment, the
        Commission shall submit, as part of the review of Directive (EU) 2015/2366,
        a report to the European Parliament and the Council no later than 17 July
        2023.

        Based on that review report, and after consulting ESAs, ECB and the ESRB,
        the Commission may submit, where appropriate and as part of the legislative
        proposal that it may adopt pursuant to Article 108, second paragraph, of Directive
        (EU) 2015/2366, a proposal to ensure that all operators of payment systems
        and entities involved in payment-processing activities are subject to an appropriate
        oversight, while taking into account existing oversight by the central bank.'
      translations:
        es:
          name: null
          description: "En el contexto de la revisi\xF3n de la Directiva (UE) 2015/2366,\
            \ la Comisi\xF3n evaluar\xE1 la necesidad de aumentar la ciberresiliencia\
            \ de los sistemas de pago y las actividades de procesamiento de pagos,\
            \ as\xED como la conveniencia de ampliar el \xE1mbito de aplicaci\xF3\
            n del presente Reglamento a los operadores de sistemas de pago y a las\
            \ entidades que participen en actividades de procesamiento de pagos. A\
            \ la luz de esta evaluaci\xF3n, la Comisi\xF3n presentar\xE1, como parte\
            \ de la revisi\xF3n de la Directiva (UE) 2015/2366, un informe al Parlamento\
            \ Europeo y al Consejo a m\xE1s tardar el 17 de julio de 2023.\n\nA partir\
            \ de dicho informe de revisi\xF3n, y previa consulta a las Autoridades\
            \ Europeas de Supervisi\xF3n, el BCE y la JERS, la Comisi\xF3n podr\xE1\
            \ presentar, en su caso y como parte de la propuesta legislativa que podr\xE1\
            \ adoptar en virtud del art\xEDculo 108, p\xE1rrafo segundo, de la Directiva\
            \ (UE) 2015/2366, una propuesta para garantizar que todos los operadores\
            \ de sistemas de pago y entidades que participen en actividades de procesamiento\
            \ de pagos est\xE9n sujetos a una supervisi\xF3n adecuada, teniendo en\
            \ cuenta al mismo tiempo la supervisi\xF3n existente por parte de los\
            \ bancos centrales."
    - urn: urn:intuitem:risk:req_node:dora:58.3
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node665
      ref_id: '58.3'
      description: By 17 January 2026, the Commission shall, after consulting the
        ESAs and the Committee of European Auditing Oversight Bodies, carry out a
        review and submit a report to the European Parliament and the Council, accompanied,
        where appropriate, by a legislative proposal, on the appropriateness of strengthened
        requirements for statutory auditors and audit firms as regards digital operational
        resilience, by means of the inclusion of statutory auditors and audit firms
        into the scope of this Regulation or by means of amendments to Directive 2006/43/EC
        of the European Parliament and of the Council (39).
      translations:
        es:
          name: null
          description: "A m\xE1s tardar el 17 de enero de 2026, la Comisi\xF3n, previa\
            \ consulta a las Autoridades Europeas de Supervisi\xF3n y a la Comisi\xF3\
            n de Organismos Europeos de Supervisi\xF3n de Auditores, llevar\xE1 a\
            \ cabo una revisi\xF3n y presentar\xE1 al Parlamento Europeo y al Consejo\
            \ un informe, acompa\xF1ado, en su caso, de una propuesta legislativa,\
            \ sobre la conveniencia de reforzar los requisitos para los auditores\
            \ legales y sociedades de auditor\xEDa en lo relativo a la resiliencia\
            \ operativa digital, mediante la inclusi\xF3n en el \xE1mbito de aplicaci\xF3\
            n del presente Reglamento de los auditores legales y las sociedades de\
            \ auditor\xEDa o mediante la modificaci\xF3n de la Directiva 2006/43/CE\
            \ del Parlamento Europeo y del Consejo."
    - urn: urn:intuitem:risk:req_node:dora:node669
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:dora:node663
      name: Section II
      translations:
        es:
          name: "Secci\xF3n II"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:node670
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 59
      description: Amendments to Regulation (EC) No 1060/2009
      translations:
        es:
          name: "Art\xEDculo 59"
          description: Modificaciones del Reglamento (CE) n.o 1060/2009
    - urn: urn:intuitem:risk:req_node:dora:59.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node670
      ref_id: '59.1'
      description: "Regulation (EC) No 1060/2009 is amended as follows:\n(1)\tin Annex\
        \ I, Section A, point 4, the first subparagraph is replaced by the following:\n\
        \u2018A credit rating agency shall have sound administrative and accounting\
        \ procedures, internal control mechanisms, effective procedures for risk assessment,\
        \ and effective control and safeguard arrangements for managing ICT systems\
        \ in accordance with Regulation (EU) 2022/2554 of the European Parliament\
        \ and of the Council (2)\tin Annex III, point 12 is replaced by the following:\n\
        \u201812. The credit rating agency infringes Article 6(2), in conjunction\
        \ with point 4 of Section A of Annex I, by not having sound administrative\
        \ or accounting procedures, internal control mechanisms, effective procedures\
        \ for risk assessment, or effective control or safeguard arrangements for\
        \ managing ICT systems in accordance with Regulation (EU) 2022/2554; or by\
        \ not implementing or maintaining decision-making procedures or organisational\
        \ structures as required by that point.\u2019."
      translations:
        es:
          name: null
          description: "El Reglamento (CE) n.o 1060/2009 se modifica como sigue:\n\
            \n1) En el anexo I, secci\xF3n A, punto 4, el p\xE1rrafo primero se sustituye\
            \ por el texto siguiente:\n\n[Las agencias de calificaci\xF3n crediticia\
            \ dispondr\xE1n de procedimientos administrativos y contables adecuados,\
            \ mecanismos de control interno, t\xE9cnicas eficaces de valoraci\xF3\
            n del riesgo y mecanismos eficaces de control y salvaguardia para gestionar\
            \ sus sistemas de TIC de conformidad con el Reglamento (UE) 2022/2554\
            \ del Parlamento Europeo y del Consejo.\n\nReglamento (UE) 2022/2554 del\
            \ Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre\
            \ la resiliencia operativa digital del sector financiero y por el que\
            \ se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012,\
            \ (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022,\
            \ p. 1).].\n\n2) En el anexo III, el punto 12 se sustituye por el texto\
            \ siguiente:\n\n[12. Infringe el art\xEDculo 6, apartado 2, le\xEDdo en\
            \ relaci\xF3n con el anexo I, secci\xF3n A, punto 4, la agencia de calificaci\xF3\
            n crediticia que no disponga de procedimientos administrativos o contables\
            \ adecuados, mecanismos de control interno, t\xE9cnicas eficaces de evaluaci\xF3\
            n del riesgo o mecanismos eficaces de control o salvaguardia para gestionar\
            \ sus sistemas de TIC de conformidad con el Reglamento (UE) 2022/2554,\
            \ o que no aplique o mantenga procedimientos de adopci\xF3n de decisiones\
            \ o estructuras organizativas seg\xFAn lo prescrito en dicho punto.]."
    - urn: urn:intuitem:risk:req_node:dora:node672
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 60
      description: Amendments to Regulation (EU) No 648/2012
      translations:
        es:
          name: "Art\xEDculo 60"
          description: Modificaciones del Reglamento (UE) n.o 648/2012
    - urn: urn:intuitem:risk:req_node:dora:60.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node672
      ref_id: '60.1'
      description: "Regulation (EU) No 648/2012 is amended as follows:\n(1) Article\
        \ 26 is amended as follows:\n\t(a)\tparagraph 3 is replaced by the following:\n\
        \u20183. A CCP shall maintain and operate an organisational structure that\
        \ ensures continuity and orderly functioning in the performance of its services\
        \ and activities. It shall employ appropriate and proportionate systems, resources\
        \ and procedures, including ICT systems managed in accordance with Regulation\
        \ (EU) 2022/ 2554 of the European Parliament and of the Council (*). \n(b)\
        \ paragraph 6 is deleted;\n(2)\tArticle 34 is amended as follows:\n(a)\tparagraph\
        \ 1 is replaced by the following:\n\u20181. A CCP shall establish, implement\
        \ and maintain an adequate business continuity policy and disaster recovery\
        \ plan, which shall include ICT business continuity policy and ICT response\
        \ and recovery plans put in place and implemented in accordance with Regulation\
        \ (EU) 2022/2554, aiming to ensure the preservation of its functions, the\
        \ timely recovery of operations and the fulfilment of the CCP\u2019s obligations.\u2019\
        ;\n(b)\tin paragraph 3, the first subparagraph is replaced by the following:\n\
        \u20183. In order to ensure consistent application of this Article, ESMA shall,\
        \ after consulting the members of the ESCB, develop draft regulatory technical\
        \ standards specifying the minimum content and requirements of the business\
        \ continuity policy and of the disaster recovery plan, excluding ICT business\
        \ continuity policy and disaster recovery plans.\u2019;\n(3)\tin Article 56(3),\
        \ the first subparagraph is replaced by the following:\n\u20183. In order\
        \ to ensure consistent application of this Article, ESMA shall develop draft\
        \ regulatory technical standards specifying the details, other than for requirements\
        \ related to ICT risk management, of the application for registration referred\
        \ to in paragraph 1.\u2019;\n(4)\tin Article 79, paragraphs 1 and 2 are replaced\
        \ by the following:\n\u20181. A trade repository shall identify sources of\
        \ operational risk and minimise them also through the development of appropriate\
        \ systems, controls and procedures, including ICT systems managed in accordance\
        \ with Regulation (EU) 2022/2554.\n2. A trade repository shall establish,\
        \ implement and maintain an adequate business continuity policy and disaster\
        \ recovery plan including ICT business continuity policy and ICT response\
        \ and recovery plans established in accordance with Regulation (EU) 2022/2554,\
        \ aiming to ensure the maintenance of its functions, the timely recovery of\
        \ operations and the fulfilment of the trade repository\u2019s obligations.\u2019\
        ;\n(5)\tin Article 80, paragraph 1 is deleted.\n(6)\tin Annex I, Section II\
        \ is amended as follows:\n(a)\tpoints (a) and (b) are replaced by the following:\n\
        \u2018(a) a trade repository infringes Article 79(1) by not identifying sources\
        \ of operational risk or by not minimising those risks through the development\
        \ of appropriate systems, controls and procedures including ICT systems managed\
        \ in accordance with Regulation (EU) 2022/2554;\n(b)\ta trade repository infringes\
        \ Article 79(2) by not establishing, implementing or maintaining an adequate\
        \ business continuity policy and disaster recovery plan established in accordance\
        \ with Regulation (EU) 2022/ 2554, aiming to ensure the maintenance of its\
        \ functions, the timely recovery of operations and the fulfilment of the trade\
        \ repository\u2019s obligations;\u2019;\n(b) point (c) is deleted.\n(7)\t\
        Annex III is amended as follows:\n(a)\tSection II is amended as follows:\n\
        (i)\tpoint (c) is replaced by the following:\n\u2018(c) a Tier 2 CCP infringes\
        \ Article 26(3) by not maintaining or operating an organisational structure\
        \ that ensures continuity and orderly functioning in the performance of its\
        \ services and activities or by not employing appropriate and proportionate\
        \ systems, resources or procedures including ICT systems managed in accordance\
        \ with Regulation (EU) 2022/2554;\u2019;\n(ii)\tpoint (f) is deleted.\n(b)\t\
        in Section III, point (a) is replaced by the following:\n\u2018(a) a Tier\
        \ 2 CCP infringes Article 34(1) by not establishing, implementing or maintaining\
        \ an adequate business continuity policy and response and recovery plan set\
        \ up in accordance with Regulation (EU) 2022/2554, aiming to ensure the preservation\
        \ of its functions, the timely recovery of operations and the fulfilment of\
        \ the CCP\u2019s obligations, which at least allows for the recovery of all\
        \ transactions at the time of disruption to allow the CCP to continue to operate\
        \ with certainty and to complete settlement on the scheduled date;\u2019."
      translations:
        es:
          name: null
          description: "El Reglamento (UE) n.o 648/2012 se modifica como sigue:\n\n\
            1) El art\xEDculo 26 se modifica como sigue:\n\na) el apartado 3 se sustituye\
            \ por el texto siguiente:\n\n3. Las ECC mantendr\xE1n y aplicar\xE1n una\
            \ estructura organizativa que garantice la continuidad y el correcto funcionamiento\
            \ de la prestaci\xF3n de sus servicios y la realizaci\xF3n de sus actividades.\
            \ Emplear\xE1n sistemas, recursos y procedimientos adecuados y proporcionados,\
            \ incluidos sistemas de TIC gestionados de conformidad con el Reglamento\
            \ (UE) 2022/2554 del Parlamento Europeo y del Consejo (*2).\n\nReglamento\
            \ (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre\
            \ de 2022, sobre la resiliencia operativa digital del sector financiero\
            \ y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o\
            \ 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO\
            \ L 333 de 27.12.2022, p. 1).\xBB;\"\n\nb) se suprime el apartado 6.\n\
            2) El art\xEDculo 34 se modifica como sigue:\na) el apartado 1 se sustituye\
            \ por el texto siguiente:\n\n\xAB1. Las ECC establecer\xE1n, aplicar\xE1\
            n y mantendr\xE1n una pol\xEDtica adecuada de continuidad de la actividad\
            \ y un plan de recuperaci\xF3n en caso de cat\xE1strofe, que incluir\xE1\
            n una pol\xEDtica de continuidad de la actividad en materia de TIC y planes\
            \ de respuesta y recuperaci\xF3n en materia de TIC establecidos e implantados\
            \ de conformidad con el Reglamento (UE) 2022/2554, destinados a garantizar\
            \ la preservaci\xF3n de sus funciones, la oportuna recuperaci\xF3n de\
            \ las operaciones y el cumplimiento de sus obligaciones.\xBB;\n\nb) en\
            \ el apartado 3, el p\xE1rrafo primero se sustituye por el texto siguiente:\n\
            \xAB3.A fin de garantizar la aplicaci\xF3n coherente del presente art\xED\
            culo, la AEVM, previa consulta a los miembros del SEBC, elaborar\xE1 proyectos\
            \ de normas t\xE9cnicas reglamentarias en las que se especifiquen el contenido\
            \ y los requisitos m\xEDnimos de la pol\xEDtica de continuidad de la actividad\
            \ y del plan de recuperaci\xF3n en caso de cat\xE1strofe, que excluir\xE1\
            n la pol\xEDtica de continuidad de la actividad y los planes de recuperaci\xF3\
            n en caso de cat\xE1strofe en materia de TIC.\xBB.\n\n3) En el art\xED\
            culo 56, apartado 3, el p\xE1rrafo primero se sustituye por el texto siguiente:\n\
            \xAB3. A fin de garantizar la aplicaci\xF3n coherente del presente art\xED\
            culo, la AEVM elaborar\xE1 proyectos de normas t\xE9cnicas de regulaci\xF3\
            n en las que se especifiquen los pormenores, que no sean los relativos\
            \ a los requisitos relacionados con la gesti\xF3n del riesgo relacionado\
            \ con las TIC, de la solicitud de inscripci\xF3n a que se refiere el apartado\
            \ 1.\xBB.\n\n4) En el art\xEDculo 79, los apartados 1 y 2 se sustituyen\
            \ por el texto siguiente:\n\n\xAB1. Los registros de operaciones detectar\xE1\
            n las fuentes de riesgo operativo y las reducir\xE1n al m\xEDnimo tambi\xE9\
            n mediante el desarrollo de sistemas, controles y procedimientos adecuados,\
            \ incluidos sistemas de TIC gestionados de conformidad con el Reglamento\
            \ (UE) 2022/2554.\n\n2. Los registros de operaciones establecer\xE1n,\
            \ aplicar\xE1n y mantendr\xE1n una pol\xEDtica adecuada de continuidad\
            \ de la actividad y un plan de recuperaci\xF3n en caso de cat\xE1strofe,\
            \ que incluir\xE1n una pol\xEDtica de continuidad de la actividad en materia\
            \ de TIC y planes de respuesta y recuperaci\xF3n en materia de TIC establecidos\
            \ de conformidad con el Reglamento (UE) 2022/2554, destinados a garantizar\
            \ el mantenimiento de sus funciones, la oportuna recuperaci\xF3n de las\
            \ operaciones y el cumplimiento de sus obligaciones.\xBB.\n\n5) En el\
            \ art\xEDculo 80, se suprime el apartado 1.\n6) En el anexo I, la secci\xF3\
            n II se modifica como sigue:\n\na) las letras a) y b) se sustituyen por\
            \ el texto siguiente:\n\n\xABa) infringe el art\xEDculo 79, apartado 1,\
            \ el registro de operaciones que no detecta las fuentes de riesgo operativo\
            \ o no reduce al m\xEDnimo dicho riesgo mediante el desarrollo de sistemas,\
            \ controles y procedimientos adecuados, incluidos sistemas de TIC gestionados\
            \ de conformidad con el Reglamento (UE) 2022/2554;\n\nb) infringe el art\xED\
            culo 79, apartado 2, el registro de operaciones que no establece, aplica\
            \ y mantiene una pol\xEDtica adecuada de continuidad de la actividad y\
            \ un plan de recuperaci\xF3n en caso de cat\xE1strofe establecidos de\
            \ conformidad con el Reglamento (UE) 2022/2554, destinados a garantizar\
            \ el mantenimiento de sus funciones, la oportuna recuperaci\xF3n de las\
            \ operaciones y el cumplimiento de sus obligaciones;\xBB;\n\nb) se suprime\
            \ la letra c).\n\n7) El anexo III se modifica como sigue:\n\na) la secci\xF3\
            n II se modifica como sigue:\n  i) la letra c) se sustituye por el texto\
            \ siguiente:\n  \xABc) infringe el art\xEDculo 26, apartado 3, la ECC\
            \ de nivel 2 que no mantiene o aplica una estructura organizativa que\
            \ garantice la continuidad y el correcto funcionamiento de la prestaci\xF3\
            n de sus servicios y la realizaci\xF3n de sus actividades, o que no utiliza\
            \ sistemas, recursos o procedimientos adecuados y proporcionados, incluidos\
            \ los sistemas de TIC gestionados de conformidad con el Reglamento (UE)\
            \ 2022/2554;\xBB,\n  ii) se suprime la letra f);\n\nb) en la secci\xF3\
            n III, la letra a) se sustituye por el texto siguiente:\n\n \xABa) infringe\
            \ el art\xEDculo 34, apartado 1, la ECC de nivel 2 que no establece, aplica\
            \ o mantiene una pol\xEDtica adecuada de continuidad de la actividad y\
            \ un plan de respuesta y recuperaci\xF3n establecidos con arreglo al Reglamento\
            \ (UE) 2022/2554, destinados a garantizar la preservaci\xF3n de sus funciones,\
            \ la oportuna recuperaci\xF3n de las operaciones y el cumplimiento de\
            \ sus obligaciones, y que permita como m\xEDnimo la recuperaci\xF3n de\
            \ todas las operaciones en el momento de la perturbaci\xF3n, con objeto\
            \ de que la ECC pueda seguir operando de manera segura y finalizar la\
            \ liquidaci\xF3n en la fecha programada;\xBB.\n"
    - urn: urn:intuitem:risk:req_node:dora:node674
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 61
      description: Amendments to Regulation (EU) No 909/2014
      translations:
        es:
          name: "Art\xEDculo 61"
          description: null
    - urn: urn:intuitem:risk:req_node:dora:61.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node674
      ref_id: '61.1'
      description: "Article 45 of Regulation (EU) No 909/2014 is amended as follows:\n\
        (1)\tparagraph 1 is replaced by the following:\n\u20181. A CSD shall identify\
        \ sources of operational risk, both internal and external, and minimise their\
        \ impact also through the deployment of appropriate ICT tools, processes and\
        \ policies set up and managed in accordance with Regulation (EU) 2022/2554\
        \ of the European Parliament and of the Council (*), as well as through any\
        \ other relevant appropriate tools, controls and procedures for other types\
        \ of operational risk, including for all the securities settlement systems\
        \ it operates.\n(2)\tparagraph 2 is deleted;\n(3)\tparagraphs 3 and 4 are\
        \ replaced by the following:\n\u20183. For services that it provides as well\
        \ as for each securities settlement system that it operates, a CSD shall establish,\
        \ implement and maintain an adequate business continuity policy and disaster\
        \ recovery plan, including ICT business continuity policy and ICT response\
        \ and recovery plans established in accordance with Regulation (EU) 2022/2554,\
        \ to ensure the preservation of its services, the timely recovery of operations\
        \ and the fulfilment of the CSD\u2019s obligations in the case of events that\
        \ pose a significant risk to disrupting operations.\n4. The plan referred\
        \ to in paragraph 3 shall provide for the recovery of all transactions and\
        \ participants\u2019 positions at the time of disruption to allow the participants\
        \ of a CSD to continue to operate with certainty and to complete settlement\
        \ on the scheduled date, including by ensuring that critical IT systems can\
        \ resume operations from the time of disruption as provided for in Article\
        \ 12(5) and (7) of Regulation (EU) 2022/2554.\u2019;\n(4)\tparagraph 6 is\
        \ replaced by the following:\n\u20186. A CSD shall identify, monitor and manage\
        \ the risks that key participants in the securities settlement systems it\
        \ operates, as well as service and utility providers, and other CSDs or other\
        \ market infrastructures might pose to its operations. It shall, upon request,\
        \ provide competent and relevant authorities with information on any such\
        \ risk identified. It shall also inform the competent authority and relevant\
        \ authorities without delay of any operational incidents, other than in relation\
        \ to ICT risk, resulting from such risks.\u2019;\n(5)\tin paragraph 7, the\
        \ first subparagraph is replaced by the following:\n\u20187. ESMA shall, in\
        \ close cooperation with the members of the ESCB, develop draft regulatory\
        \ technical standards to specify the operational risks referred to in paragraphs\
        \ 1 and 6, other than ICT risk, and the methods to test, to address or to\
        \ minimise those risks, including the business continuity policies and disaster\
        \ recovery plans referred to in paragraphs 3 and 4 and the methods of assessment\
        \ thereof.\u2019."
      translations:
        es:
          name: null
          description: "El art\xEDculo 45 del Reglamento (UE) n.o 909/2014 se modifica\
            \ como sigue:\n\n1) El apartado 1 se sustituye por el texto siguiente:\n\
            \xAB1.   Los DCV detectar\xE1n las fuentes de riesgo operativo, tanto\
            \ internas como externas, y minimizar\xE1n su repercusi\xF3n tambi\xE9\
            n mediante la implantaci\xF3n de herramientas, procesos y pol\xEDticas\
            \ en materia de TIC adecuados, establecidos y gestionados de conformidad\
            \ con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo\
            \ (*3), as\xED como mediante cualesquiera otros instrumentos, controles\
            \ y procedimientos adecuados y pertinentes para otros tipos de riesgo\
            \ operativo, asimismo en relaci\xF3n con todos los sistemas de liquidaci\xF3\
            n de valores que operen.\n\nReglamento (UE) 2022/2554 del Parlamento Europeo\
            \ y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa\
            \ digital del sector financiero y por el que se modifican los Reglamentos\
            \ (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014\
            \ y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).\xBB.\"\n\n2) Se suprime\
            \ el apartado 2.\n3) Los apartados 3 y 4 se sustituyen por el texto siguiente:\n\
            \n\xAB3.   En lo que respecta a los servicios que presten, y en relaci\xF3\
            n con cada sistema de liquidaci\xF3n de valores que exploten, los DCV\
            \ establecer\xE1n, aplicar\xE1n y mantendr\xE1n una pol\xEDtica adecuada\
            \ de continuidad de la actividad y un plan de recuperaci\xF3n en caso\
            \ de cat\xE1strofe, que incluir\xE1 una pol\xEDtica de continuidad de\
            \ la actividad en materia de TIC y planes de respuesta y recuperaci\xF3\
            n en materia de TIC, establecidos de conformidad con el Reglamento (UE)\
            \ 2022/2554, a fin de garantizar el mantenimiento de sus servicios, la\
            \ oportuna recuperaci\xF3n de las operaciones y el cumplimiento de las\
            \ obligaciones del DCV ante acontecimientos que supongan un riesgo importante\
            \ de perturbaci\xF3n de las operaciones.\n\n4.   El plan a que se refiere\
            \ el apartado 3 deber\xE1 prever la recuperaci\xF3n de todas las operaciones\
            \ y posiciones de los participantes en el momento de la perturbaci\xF3\
            n, con objeto de que los participantes del DCV puedan seguir operando\
            \ con certeza y finalizar la liquidaci\xF3n en la fecha programada, para\
            \ lo cual el plan deber\xE1 garantizar, en particular, que los sistemas\
            \ inform\xE1ticos esenciales puedan reanudar las operaciones a partir\
            \ del momento de la perturbaci\xF3n, seg\xFAn lo establecido en el art\xED\
            culo 12, apartados 5 y 7, del Reglamento (UE) 2022/2554.\xBB.\n\n4) El\
            \ apartado 6 se sustituye por el texto siguiente:\n\xAB6.   Los DCV determinar\xE1\
            n, controlar\xE1n y gestionar\xE1n los riesgos que los participantes m\xE1\
            s importantes de los sistemas de liquidaci\xF3n de valores que gestionan,\
            \ as\xED como los prestadores de servicios y otros DCV u otras infraestructuras\
            \ del mercado puedan suponer para su funcionamiento. Facilitar\xE1n a\
            \ las autoridades competentes y pertinentes, a petici\xF3n de estas, informaci\xF3\
            n sobre todo riesgo de este tipo que se detecte. Informar\xE1n asimismo\
            \ sin demora a las autoridades competentes y las autoridades pertinentes\
            \ de todo incidente operativo que no guarde relaci\xF3n con el riesgo\
            \ relacionado con las TIC, resultante de tales riesgos.\xBB.\n\n5) En\
            \ el apartado 7, el p\xE1rrafo primero se sustituye por el texto siguiente:\n\
            \xAB7.   La AEVM, en estrecha cooperaci\xF3n con los miembros del SEBC,\
            \ elaborar\xE1 proyectos de normas t\xE9cnicas de regulaci\xF3n que especifiquen\
            \ los riesgos operativos a que se refieren los apartados 1 y 6, que no\
            \ sean riesgos relacionados con las TIC, los m\xE9todos para someter a\
            \ prueba, afrontar o minimizar tales riesgos, incluidas las pol\xEDticas\
            \ de continuidad de la actividad y los planes de recuperaci\xF3n en caso\
            \ de cat\xE1strofe a que se refieren los apartados 3 y 4, y los correspondientes\
            \ m\xE9todos de evaluaci\xF3n.\xBB."
    - urn: urn:intuitem:risk:req_node:dora:node676
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 62
      description: Amendments to Regulation (EU) No 600/2014
      translations:
        es:
          name: "Art\xEDculo 62"
          description: Modificaciones del Reglamento (UE) n.o 600/2014
    - urn: urn:intuitem:risk:req_node:dora:62.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node676
      ref_id: '62.1'
      description: "Regulation (EU) No 600/2014 is amended as follows:\n(1)\tArticle\
        \ 27g is amended as follows:\n(a)\tparagraph 4 is replaced by the following:\n\
        \u20184. An APA shall comply with the requirements concerning the security\
        \ of network and information systems set out in Regulation (EU) 2022/2554\
        \ of the European Parliament and of the Council (*).\n(b)\tin paragraph 8,\
        \ point (c) is replaced by the following:\n\u2018(c) the concrete organisational\
        \ requirements laid down in paragraphs 3 and 5.\u2019;\n(2)\tArticle 27h is\
        \ amended as follows:\n(a)\tparagraph 5 is replaced by the following:\n\u2018\
        5. A CTP shall comply with the requirements concerning the security of network\
        \ and information systems set out in Regulation (EU) 2022/2554.\u2019.\n(b)\t\
        in paragraph 8, point (e) is replaced by the following:\n\u2018(e) the concrete\
        \ organisational requirements laid down in paragraph 4.\u2019;\n(3)\tArticle\
        \ 27i is amended as follows:\n(a)\tparagraph 3 is replaced by the following:\n\
        \u20183. An ARM shall comply with the requirements concerning the security\
        \ of network and information systems set out in Regulation (EU) 2022/2554.\u2019\
        ;\n(b)\tin paragraph 5, point (b) is replaced by the following:\n\u2018(b)\
        \ the concrete organisational requirements laid down in paragraphs 2 and 4.\u2019\
        ."
      translations:
        es:
          name: null
          description: "El Reglamento (UE) n.o 600/2014 se modifica como sigue:\n\n\
            1) El art\xEDculo 27 octies se modifica como sigue:\n\n  a) el apartado\
            \ 4 se sustituye por el texto siguiente:\n\n  [4. Los APA cumplir\xE1\
            n los requisitos relativos a la seguridad de las redes y los sistemas\
            \ de informaci\xF3n establecidos en el Reglamento (UE) 2022/2554 del Parlamento\
            \ Europeo y del Consejo.\n  Reglamento (UE) 2022/2554 del Parlamento Europeo\
            \ y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa\
            \ digital del sector financiero y por el que se modifican los Reglamentos\
            \ (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014\
            \ y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).];\n\n  b) en el apartado\
            \ 8, la letra c) se sustituye por el texto siguiente:\n  [c) los requisitos\
            \ concretos de organizaci\xF3n establecidos en los apartados 3 y 5.].\n\
            \n2) El art\xEDculo 27 nonies se modifica como sigue:\n  a) el apartado\
            \ 5 se sustituye por el texto siguiente:\n  [5. Los PIC cumplir\xE1n los\
            \ requisitos relativos a la seguridad de las redes y los sistemas de informaci\xF3\
            n establecidos en el Reglamento (UE) 2022/2554.];\n\n  b) en el apartado\
            \ 8, la letra e) se sustituye por el texto siguiente:\n  [e) los requisitos\
            \ concretos de organizaci\xF3n establecidos en el apartado 4.]\n\n3) El\
            \ art\xEDculo 27 decies se modifica como sigue:\n  a) el apartado 3 se\
            \ sustituye por el texto siguiente:\n  [3. Los SIA cumplir\xE1n los requisitos\
            \ relativos a la seguridad de las redes y los sistemas de informaci\xF3\
            n establecidos en el Reglamento (UE) 2022/2554.];\n\n  b) en el apartado\
            \ 5, la letra b) se sustituye por el texto siguiente:\n  [b) los requisitos\
            \ concretos de organizaci\xF3n establecidos en los apartados 2 y 4]"
    - urn: urn:intuitem:risk:req_node:dora:node678
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 63
      description: Amendment to Regulation (EU) 2016/1011
      translations:
        es:
          name: "Art\xEDculo 63"
          description: Modificaciones del Reglamento (UE) 2016/1011
    - urn: urn:intuitem:risk:req_node:dora:63.1
      assessable: false
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node678
      ref_id: '63.1'
      description: "In Article 6 of Regulation (EU) 2016/1011, the following paragraph\
        \ is added:\n\u20186. For critical benchmarks, an administrator shall have\
        \ sound administrative and accounting procedures, internal control mechanisms,\
        \ effective procedures for risk assessment, and effective control and safeguard\
        \ arrangements for managing ICT systems in accordance with Regulation (EU)\
        \ 2022/2554 of the European Parliament and of the Council (*)."
      translations:
        es:
          name: null
          description: "En el art\xEDculo 6 del Reglamento (UE) 2016/1011 se a\xF1\
            ade el apartado siguiente:\n6. En lo relativo a los \xEDndices de referencia\
            \ cruciales, el administrador dispondr\xE1 de procedimientos administrativos\
            \ y contables adecuados, mecanismos de control interno, t\xE9cnicas eficaces\
            \ de valoraci\xF3n del riesgo y mecanismos eficaces de control y salvaguardia\
            \ para gestionar sus sistemas de TIC de conformidad con el Reglamento\
            \ (UE) 2022/2554 del Parlamento Europeo y del Consejo."
    - urn: urn:intuitem:risk:req_node:dora:node680
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:dora:node669
      name: Article 64
      description: Entry into force and application
      translations:
        es:
          name: "Art\xEDculo 64"
          description: "Entrada en vigor y aplicaci\xF3n"
    - urn: urn:intuitem:risk:req_node:dora:64.1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:dora:node680
      ref_id: '64.1'
      description: 'This Regulation shall enter into force on the twentieth day following
        that of its publication in the Official Journal of the European Union.

        It shall apply from 17 January 2025.

        This Regulation shall be binding in its entirety and directly applicable in
        all Member States.'
      translations:
        es:
          name: null
          description: "El presente Reglamento entrar\xE1 en vigor a los veinte d\xED\
            as de su publicaci\xF3n en el Diario Oficial de la Uni\xF3n Europea.\n\
            Ser\xE1 aplicable a partir del 17 de enero de 2025.\nEl presente Reglamento\
            \ ser\xE1 obligatorio en todos sus elementos y directamente aplicable\
            \ en cada Estado miembro."