La, dispuso que las empresas del sector financiero que cuenten con presencia en el ciberespacio, deben mantener con carácter permanente un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.
Para tal efecto, el órgano supervisor publicó la Resolución SBS N° 504-2021, en el boletín de Normas Legales del Diario Oficial El Peruano.
Este PG-C debe prever un diagnóstico y un plan de mejora sobre capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita la identificación de los activos de información y la protección frente a las amenazas a dichos activos de información.
Asimismo, la detección de incidentes de ciberseguridad, respuesta con medidas que reduzcan el impacto de los incidentes y la recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.
La empresa debe reportar a la SBS en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de: la pérdida o hurto de información de la empresa o de clientes, fraude interno o externo, impacto negativo en la imagen y reputación de la empresa, y la interrupción de operaciones.