Art. 12
Fase de conclusión
En vigor desde 13 feb 2025
Artículo 12
Fase de conclusión
1. Una vez finalizada la fase activa de pruebas del equipo rojo, el responsable del equipo de control informará al equipo azul de que se ha llevado a cabo una prueba de penetración basada en amenazas.
2. En el plazo de cuatro semanas a contar desde la finalización de la fase activa de pruebas del equipo rojo, los probadores presentarán al equipo de control un informe de pruebas del equipo rojo, que contendrá la información establecida en el anexo V.
3. El equipo de control facilitará sin demora indebida el informe de pruebas del equipo rojo al equipo azul y a los gestores de la prueba.
Si así lo solicitan los gestores de la prueba, el informe a que se refiere el párrafo primero no contendrá información sensible.
4. Una vez recibido el informe de pruebas del equipo rojo, y en un plazo máximo de diez semanas a contar desde la finalización de la fase activa de pruebas del equipo rojo, el equipo azul presentará al equipo de control un informe de pruebas del equipo azul, que contendrá la información indicada en el anexo VI. El equipo de control facilitará sin demora indebida el informe de pruebas del equipo azul a los probadores y a los gestores de la prueba.
Si así lo solicitan los gestores de la prueba, el informe a que se refiere el párrafo primero no contendrá información sensible.
5. En un plazo máximo de diez semanas desde la finalización de la fase activa de pruebas del equipo rojo, el equipo azul y los probadores reproducirán las acciones ofensivas y defensivas llevadas a cabo durante la prueba de penetración basada en amenazas. El equipo de control también llevará a cabo un ejercicio de trabajo en equipo morado sobre los temas determinados conjuntamente por el equipo azul y los probadores, basado en las vulnerabilidades detectadas durante la prueba y, en su caso, en cuestiones que no pudieran probarse durante la fase activa de pruebas del equipo rojo.
6. Una vez concluidos los ejercicios de reproducción y trabajo en equipo morado, el equipo de control, el equipo azul, los probadores y los proveedores de inteligencia sobre amenazas se facilitarán mutuamente observaciones sobre el proceso de la prueba de penetración basada en amenazas. Los gestores de la prueba podrán formular observaciones.
7. Una vez que la autoridad competente en relación con la prueba de penetración basada en amenazas haya notificado al responsable del equipo de control que, a partir de su evaluación, ha concluido que el informe de pruebas del equipo azul y el informe de pruebas del equipo rojo contienen la información establecida en los anexos V y VI, la entidad financiera presentará a la autoridad competente, en un plazo de ocho semanas, el informe de síntesis de los hallazgos pertinentes de la prueba de penetración basada en amenazas a que se refiere el artículo 26, apartado 6, del Reglamento (UE) 2022/2554, que deberá contener los elementos establecidos en el anexo VII para su aprobación.
Si así lo solicita la autoridad competente, el informe a que se refiere el párrafo primero no contendrá información sensible.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-12