Art. 10
Fase de prueba: inteligencia sobre amenazas
En vigor desde 13 feb 2025
Artículo 10
Fase de prueba: inteligencia sobre amenazas
1. Tras la aprobación del documento de especificación del alcance de la prueba por parte de la autoridad competente, el proveedor de inteligencia sobre amenazas analizará la inteligencia sobre amenazas genérica y sectorial pertinente para la entidad financiera. Cuando la autoridad competente en relación con la prueba haya facilitado un panorama genérico de amenazas para el sector financiero de un Estado miembro, el proveedor de inteligencia sobre amenazas podrá utilizar dicho panorama como base de referencia para el panorama nacional de amenazas. El proveedor de inteligencia sobre amenazas detectará las ciberamenazas y las vulnerabilidades existentes o potenciales que afecten a la entidad financiera. Además, el proveedor de inteligencia sobre amenazas recopilará información y analizará inteligencia concreta, ejecutable y contextualizada sobre los objetivos y amenazas relativos a la entidad financiera, consultando en particular al equipo de control y a los gestores de la prueba.
2. El proveedor de inteligencia sobre amenazas presentará las amenazas pertinentes y la inteligencia sobre amenazas específicas, y propondrá los escenarios necesarios al equipo de control, a los probadores y a los gestores de la prueba. Los escenarios propuestos diferirán en cuanto a los agentes de amenaza detectados y las tácticas, técnicas y procedimientos asociados, y se centrarán en cada función esencial o importante incluida en el alcance de la prueba de penetración basada en amenazas.
3. El responsable del equipo de control seleccionará al menos tres escenarios para llevar a cabo la prueba de penetración basada en amenazas, basándose en todos los elementos siguientes:
a)
la recomendación del proveedor de servicios de inteligencia sobre amenazas y la naturaleza de cada escenario provocado por la amenaza;
b)
los datos aportados por los gestores de la prueba;
c)
la viabilidad de los escenarios propuestos para la ejecución, sobre la base del criterio experto de los probadores;
d)
el tamaño, la complejidad y el perfil de riesgo general de la entidad financiera y la naturaleza, escala y complejidad de sus servicios, actividades y operaciones.
4. Como máximo uno de los escenarios seleccionados podrá no estar provocado por amenazas y basarse en una amenaza prospectiva y potencialmente ficticia con un elevado valor predictivo, anticipativo, oportunista o prospectivo, habida cuenta de la evolución prevista del panorama de amenazas que afecten a la entidad financiera.
En el caso de las pruebas de penetración basadas en amenazas conjuntas, sin perjuicio de los escenarios dirigidos directamente contra funciones esenciales o importantes de las entidades financieras que participen en las pruebas, al menos un escenario incluirá los sistemas, procesos y tecnologías de TIC subyacentes pertinentes del proveedor tercero de servicios de TIC que sustenten las funciones esenciales o importantes de las entidades financieras incluidas en el alcance de la prueba.
Cuando la prueba sea una prueba de penetración basada en amenazas compartida en la que participe un proveedor intragrupo de servicios de TIC, sin perjuicio de los escenarios dirigidos directamente contra funciones esenciales o importantes de las entidades financieras que participen en la prueba, al menos un escenario incluirá los sistemas, procesos y tecnologías de TIC subyacentes pertinentes del proveedor intragrupo de servicios de TIC que sustenten las funciones esenciales o importantes de las entidades financieras incluidas en el alcance de la prueba.
5. El proveedor de inteligencia sobre amenazas facilitará el informe de inteligencia sobre amenazas específicas al equipo de control, incluidos los escenarios seleccionados de conformidad con los apartados 3 y 4. El informe de inteligencia sobre amenazas contendrá la información establecida en el anexo III.
6. El equipo de control presentará el informe de inteligencia sobre amenazas específicas al gestor de la prueba para su aprobación. Cuando el informe de inteligencia sobre amenazas específicas esté completo y garantice la realización de una prueba de penetración basada en amenazas eficaz, la autoridad competente aprobará el informe de inteligencia sobre amenazas específicas e informará de ello al responsable del equipo de control.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-10