Articulo 308 Mercados de Valores y Servicios de Inversión
Artículo 308. Infracciones por incumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.
1. Se considerarán infracciones muy graves el incumplimiento de las obligaciones recogidas en los siguientes artículos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011:
a) El artículo 5 sobre gobernanza y organización en caso de ausencia o grave deficiencia de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente de todos los riesgos de las tecnologías digitales o de la información y la comunicación.
b) El artículo 6 sobre el marco de gestión del riesgo de tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia de un marco de gestión del riesgo sólido, completo y bien documentado.
c) El artículo 7 sobre sistemas, protocolos y herramientas de tecnologías digitales o de la información y la comunicación en caso de falta de actualización que los haga inoperativos.
d) El artículo 17 sobre procesos de gestión de incidentes relacionados con las tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia del proceso.
e) El artículo 19 sobre la notificación de los incidentes graves relacionados con las tecnologías digitales o de la información y la comunicación.
2. Se considerarán infracciones graves el incumplimiento de las obligaciones recogidas en los siguientes artículos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011:
a) Los artículos citados en el apartado primero en caso de inadecuación de los marcos, sistemas, protocolos, herramientas y procesos.
b) El artículo 8 en caso de falta de identificación, clasificación y documentación adecuada de todas las funciones empresariales relacionadas con las tecnologías digitales o de la información y la comunicación, así como una falta de identificación de forma continua de todas las fuentes de riesgo derivadas de las tecnologías digitales o de la información y la comunicación.
c) El artículo 9 en caso de falta de control continuo del funcionamiento de los sistemas y herramientas de tecnologías digitales o de la información y la comunicación.
d) El artículo 10 en caso de ausencia de mecanismos para detectar rápidamente las actividades anómalas.
e) El artículo 11 en caso de falta de una política de continuidad de las actividades de tecnologías digitales o de la información y la comunicación.
f) El artículo 14 en caso de falta de un plan de comunicación que permita la divulgación responsable de incidentes relacionados con las tecnologías digitales o de la información y la comunicación o vulnerabilidades importantes a clientes y contrapartes, así como al público, según proceda.