TEXTO PAGINA: 39
39 NORMAS LEGALES Martes 23 de febrero de 2021 El Peruano / g) Empresa de Transporte, Custodia y Administración de Numerario; h) Administradora Privada de Fondos de Pensiones;i) Empresa Emisora de Tarjetas de Crédito y/o de Débito; j) Empresa Emisora de Dinero Electrónico; yk) El Banco de la Nación. 4.3. Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simpli fi cado): a) Banco de Inversión; b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4; c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME; d) Empresa de Transferencia de Fondos;e) Derrama y Caja de Bene fi cios bajo control de la Superintendencia; f) La Corporación Financiera de Desarrollo –COFIDE;g) El Fondo MIVIVIENDA S.A.;h) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI; i) El Banco Agropecuario; y,j) Almacenes Generales. 4.4. Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el Régimen General del presente Reglamento. 4.5. Las empresas señaladas en el Artículo 1, no listadas en los párrafos 4.2 o 4.3 anteriores del presente Reglamento, podrán establecer un sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) conforme a las disposiciones de este Reglamento. 4.6. En caso las empresas del Sistema Financiero listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simpli fi cado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles. 4.7. Las disposiciones descritas en el Capítulo II, Subcapítulo VI (Régimen Reforzado) del presente Reglamento son de aplicación obligatoria a las empresas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo con lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado por la Resolución SBS Nº 8425-2011 y sus normas modi fi catorias. Artículo 5. Responsabilidades del directorio El directorio es responsable de aprobar y facilitar las acciones requeridas para contar con un SGSI-C apropiado a las necesidades de la empresa y su per fi l de riesgo, entre ellas: a) Aprobar políticas y lineamientos para la implementación del SGSI-C y su mejora continua. b) Asignar los recursos técnicos, de personal, fi nancieros requeridos para su implementación y adecuado funcionamiento. c) Aprobar la organización, roles y responsabilidades para el SGSI-C, incluyendo los lineamientos de difusión y capacitación que contribuyan a un mejor conocimiento de los riesgos involucrados. Artículo 6. Responsabilidades de la gerencia6.1 La gerencia general es responsable de tomar las medidas necesarias para implementar el SGSI-C de acuerdo a las disposiciones del directorio y lo dispuesto en este Reglamento. 6.2 Los gerentes de las unidades de negocios y de apoyo son responsables de apoyar el buen funcionamiento del SGSI-C y gestionar los riesgos asociados a la seguridad de la información y Ciberseguridad en el marco de sus funciones. Artículo 7. Funciones del comité de riesgos7.1 Adicionalmente a las funciones que se han dispuesto que el Comité de Riesgos de las empresas asuman por parte de la normativa de la Superintendencia, se encuentran las siguientes vinculadas a la seguridad de la información y ciberseguridad: a) Aprobar el plan estratégico del SGSI-C y recomendar acciones a seguir. b) Aprobar el plan de capacitación a fi n de garantizar que el personal, la plana gerencial y el directorio cuenten con competencias necesarias en seguridad de la información y Ciberseguridad. c) Fomentar la cultura de riesgo y conciencia de la necesidad de medidas apropiadas para su prevención. 7.2. Para el cumplimiento de las funciones indicadas en el párrafo 7.1, la empresa puede constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC). Para las empresas comprendidas en el régimen simpli fi cado, que no cuenten con un Comité de Riesgos o un CSIC, las funciones antes indicadas son asignadas a la Gerencia General. Artículo 8. Función de Seguridad de Información y Ciberseguridad 8.1. Son responsabilidades de la función de seguridad de la información y ciberseguridad: a) Proponer el Plan estratégico del SGSI-C y desarrollar los planes operativos. b) Implementar y manejar las operaciones diarias necesarias para el funcionamiento efectivo del SGSI-C. c) Implementar procesos de autenticación para controlar el acceso a la información y sistema que utilice la empresa, y a los servicios que provea. d) Informar al Comité de Riesgos periódicamente sobre los riesgos que enfrenta la empresa en materia de seguridad de información y ciberseguridad. e) Informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC, según los lineamientos que este establezca, y a las entidades gubernamentales que lo requieran de acuerdo con la normativa vigente. f) Evaluar las amenazas de seguridad en las estrategias de continuidad del negocio que la empresa defi na y proponer medidas de mitigación de riesgos, así como informar al Comité de Riesgos o CSIC. g) En general realizar lo necesario para dar debido cumplimiento a lo dispuesto en el presente Reglamento. 8.2. Las empresas deben implementar la función de seguridad de la información y ciberseguridad. Además deben contar con un equipo de trabajo multidisciplinario de manejo de incidentes de ciberseguridad, el cual debe estar capacitado para implementar el plan y los procedimientos para gestionarlos, conformado por representantes de las áreas que permitan prever en ellos los aspectos legales, técnicos y organizacionales, de forma consistente con los requerimientos del programa de ciberseguridad establecidos en este Reglamento. 8.3. Las empresas comprendidas en el régimen simpli fi cado, deben contar con una función de seguridad de la información y ciberseguridad, que cumpla por lo menos con los literales a), e), f) y g) del párrafo 8.1 del presente artículo. Artículo 9. Información a la Superintendencia Como parte de los informes periódicos sobre gestión del riesgo operacional requeridos por el Reglamento para la Gestión del Riesgo Operacional, las empresas deben incluir información sobre la gestión de la seguridad de la información y ciberseguridad.