Art. 1
Definiciones
En vigor desde 13 feb 2025
Artículo 1
Definiciones
A efectos del presente Reglamento, se entenderá por:
1)
«equipo de control»: el equipo compuesto por personal de la entidad financiera sometida a prueba y, en su caso, teniendo en cuenta el alcance de la prueba de penetración basada en amenazas, el personal de sus proveedores terceros de servicios y cualquier otra parte que gestiona la prueba;
2)
«responsable del equipo de control»: el miembro del personal de la entidad financiera responsable de la realización de todas las actividades relacionadas con la prueba de penetración basada en amenazas en el contexto de una prueba determinada;
3)
«equipo azul»: el personal de la entidad financiera y, en su caso, el personal de los proveedores terceros de servicios de la entidad financiera y cualquier otra parte que se considere pertinente, teniendo en cuenta el alcance de la prueba de penetración basada en amenazas, de los proveedores terceros de servicios de la entidad financiera, que defiendan el uso de redes y sistemas de información por parte de una entidad financiera manteniendo su postura de seguridad frente a ataques simulados o reales y que no tenga conocimiento de la prueba de penetración basada en amenazas;
4)
«tareas del equipo azul»: tareas que normalmente lleva a cabo el equipo azul, como el centro de operaciones de seguridad (COS), los servicios de infraestructura de TIC, los servicios de asistencia y los servicios de gestión de incidentes a nivel operativo;
5)
«equipo rojo»: los probadores, internos o externos, contratados o asignados a una prueba de penetración basada en amenazas;
6)
«trabajo en equipo morado»: actividad de prueba colaborativa en la que participan tanto los probadores como el equipo azul;
7)
«autoridad competente en relación con las pruebas de penetración basadas en amenazas»: cualquiera de las siguientes:
a)
la autoridad pública única del sector financiero designada de conformidad con el artículo 26, apartado 9, del Reglamento (UE) 2022/2554;
b)
la autoridad del sector financiero en la que se delega el ejercicio de algunas o todas las tareas en relación con las pruebas de penetración basadas en amenazas, de conformidad con el artículo 26, apartado 10, del Reglamento (UE) 2022/2554;
c)
cualquiera de las autoridades competentes a que se refiere el artículo 46 del Reglamento (UE) 2022/2554;
8)
«equipo cibernético encargado de las pruebas de penetración basadas en amenazas» o «TCT» (por sus siglas en inglés): el personal de las autoridades competentes en relación con las pruebas de penetración basadas en amenazas que es responsable de las cuestiones relacionadas con dichas pruebas;
9)
«gestores de pruebas»: el personal designado para dirigir las actividades de la autoridad competente en relación con las pruebas de penetración basadas en amenazas en lo referente a una prueba de penetración basada en amenazas específica a fin de supervisar el cumplimiento del presente Reglamento;
10)
«proveedor de inteligencia sobre amenazas»: los expertos contratados por la entidad financiera para cada prueba de penetración basada en amenazas y externos a la entidad financiera y, en su caso, a los proveedores intragrupo de servicios de TIC, que recopilan y analizan información específica sobre amenazas pertinente para las entidades financieras incluidas en el ámbito de una prueba de penetración basada en amenazas específica y desarrollan escenarios de amenaza pertinentes y realistas;
11)
«proveedores de pruebas de penetración basadas en amenazas»: los probadores y los proveedores de inteligencia sobre amenazas;
12)
«asistencia»: ayuda o información facilitada por el equipo de control a los probadores para que estos puedan proseguir con la ejecución de una trayectoria de ataque cuando no puedan avanzar por sí solos y cuando no exista ninguna otra alternativa razonable, incluso debido a la falta de tiempo o recursos suficientes en una determinada prueba de penetración basada en amenazas;
13)
«trayectoria de ataque»: la ruta que siguen los probadores durante la fase activa de pruebas del equipo rojo, en el marco de la prueba de penetración basada en amenazas, para llegar a las banderas especificadas para dicha prueba;
14)
«banderas»: objetivos clave de los sistemas de TIC que sustenten funciones esenciales o importantes de una entidad financiera que los probadores intentan alcanzar a través de la prueba;
15)
«información sensible»: información que puede aprovecharse fácilmente para cometer ataques contra los sistemas de TIC de la entidad financiera, la propiedad intelectual, los datos empresariales confidenciales o los datos personales, que puede perjudicar de forma directa o indirecta a la entidad financiera y a su ecosistema si cae en manos de agentes malintencionados;
16)
«agrupación»: todas las entidades financieras que participan en una prueba de penetración basada en amenazas conjunta de conformidad con el artículo 26, apartado 4, del Reglamento (UE) 2022/2554;
17)
«Estado miembro de acogida»: el Estado miembro de acogida de conformidad con el Derecho sectorial de la Unión aplicable a cada entidad financiera;
18)
«prueba de penetración basada en amenazas compartida»: prueba de penetración basada en amenazas, distinta de las pruebas de penetración basadas en amenazas conjuntas a que se refiere el artículo 26, apartado 4, del Reglamento (UE) 2022/2554, en la que participan varias entidades financieras que utilizan el mismo proveedor intragrupo de servicios de TIC, o que pertenecen al mismo grupo y comparten sistemas de TIC.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-1