Art. 16
Cooperación y reconocimiento mutuo
En vigor desde 13 feb 2025
Artículo 16
Cooperación y reconocimiento mutuo
1. A efectos de la realización de una prueba de penetración basada en amenazas en relación con una entidad financiera que preste servicios en más de un Estado miembro, incluso a través de una sucursal, su autoridad competente en relación con este tipo de pruebas:
a)
determinará qué autoridades competentes en relación con este tipo de pruebas deberán participar en la prueba en el Estado miembro de acogida, teniendo en cuenta si se ejerce o comparte una o varias funciones esenciales o importantes en los Estados miembros de acogida;
b)
informará a las autoridades competentes determinadas de conformidad con la letra a) de la decisión de someter a una prueba de penetración basada en amenazas a la entidad financiera;
c)
a menos que las autoridades competentes en relación con las pruebas de penetración basadas en amenazas acuerden otra cosa, la autoridad competente sobre la entidad financiera dirigirá la prueba.
En un plazo de veinte días hábiles a partir de la recepción de la información sobre la futura realización de una prueba de penetración basada en amenazas, las autoridades competentes de los Estados miembros de acogida podrán manifestar su interés en seguir la prueba en calidad de observadores o designar a un gestor de pruebas para que participe en la prueba. La autoridad principal competente proporcionará a todas las autoridades competentes que participen en calidad de observadores el documento de especificación del alcance de la prueba, el informe de síntesis de esta, el plan corrector y el informe de validación.
La autoridad principal competente en relación con las pruebas de penetración basadas en amenazas coordinará a todas las autoridades participantes a lo largo de toda la prueba y adoptará todas las decisiones necesarias para llevarla a cabo de manera adecuada y eficaz. La autoridad principal competente podrá fijar un número máximo de autoridades participantes en la prueba cuando, de no hacerlo, se pudiera poner en peligro la eficiencia de su realización.
2. Cuando una entidad financiera utilice el mismo proveedor intragrupo de servicios de TIC que entidades financieras establecidas en otros Estados miembros, o pertenezca a un grupo y comparta sistemas de TIC con entidades financieras del mismo grupo establecidas en otros Estados miembros, la autoridad competente sobre la entidad financiera se pondrá en contacto con las autoridades competentes sobre las demás entidades financieras que utilicen el mismo proveedor intragrupo de servicios de TIC o compartan sistemas de TIC como parte del grupo y evaluarán con ellas la viabilidad y la idoneidad de llevar a cabo una prueba de penetración basada en amenazas compartida. Será preferible realizar una prueba de penetración basada en amenazas compartida frente a una individual cuando pueda dar lugar a una reducción de costes y del consumo de recursos para las entidades financieras y para las autoridades competentes en relación con este tipo de pruebas, siempre que la solidez y eficacia de las pruebas no se vean perjudicadas por ello.
3. A efectos de la realización de una prueba de penetración basada en amenazas compartida:
a)
las autoridades competentes sobre las entidades financieras en relación con este tipo de pruebas acordarán qué entidad financiera será designada para llevarla a cabo, teniendo en cuenta la estructura del grupo y la eficiencia de la prueba;
b)
la autoridad competente sobre la entidad financiera designada de conformidad con la letra a) dirigirá la prueba, salvo acuerdo en contrario de las autoridades competentes sobre las entidades financieras que participen en la prueba compartida;
c)
las autoridades competentes sobre las entidades financieras distintas de la entidad financiera designada para dirigir la prueba compartida podrán manifestar su interés en seguir la prueba en calidad de observadores o asignar un gestor para dicha prueba.
La autoridad principal competente coordinará a todas las autoridades competentes que participen en la prueba compartida y adoptará todas las decisiones necesarias para llevarla a cabo de manera sólida y eficaz.
4. Cuando una entidad financiera tenga la intención de llevar a cabo una prueba de penetración basada en amenazas conjunta, tal como se contempla en el artículo 26, apartado 4, del Reglamento (UE) 2022/2554, en la que puedan participar entidades financieras establecidas en otros Estados miembros, su autoridad competente en relación con este tipo de pruebas se pondrá en contacto con las autoridades competentes sobre las demás entidades financieras y evaluará con ellas la viabilidad y la idoneidad de llevar a cabo una prueba conjunta de conformidad con el artículo 26, apartado 4, del Reglamento (UE) 2022/2554.
5. A efectos de la realización de una prueba de penetración basada en amenazas conjunta a que se refiere el artículo 26, apartado 4, del Reglamento (UE) 2022/2554:
a)
las autoridades competentes en relación con las pruebas de penetración basadas en amenazas de las entidades financieras acordarán qué entidad financiera será la designada para llevar a cabo la prueba conjunta de penetración basada en amenazas teniendo en cuenta los servicios de TIC prestados por el proveedor tercero de servicios de TIC a las entidades financieras y la eficiencia de la prueba;
b)
la autoridad competente sobre la entidad financiera designada de conformidad con la letra a) dirigirá la prueba, salvo acuerdo en contrario de las autoridades competentes sobre las entidades financieras que participen en la prueba conjunta;
c)
las autoridades competentes en relación con las pruebas de penetración basadas en amenazas sobre las entidades financieras distintas de la entidad financiera designada para dirigir la prueba conjunta podrán manifestar su interés en seguir la prueba en calidad de observadores o asignar un gestor para dicha prueba.
La autoridad principal competente coordinará a todas las autoridades competentes que participen en la prueba conjunta y adoptará todas las decisiones necesarias para llevarla a cabo de manera sólida y eficaz.
6. Cuando, en relación con una entidad financiera obligada a realizar una prueba de penetración basada en amenazas, su autoridad competente en relación con este tipo de pruebas difiera de la autoridad competente sobre ella a que se refiere el artículo 46 del Reglamento (UE) 2022/2554, dichas autoridades compartirán cualquier información pertinente con respecto a todas las cuestiones relacionadas con la prueba a efectos de llevar a cabo esta o de desempeñar sus funciones de conformidad con dicho Reglamento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-16