Art. 15 · Recurso a probadores internos

Art. 15

Recurso a probadores internos

En vigor desde 13 feb 2025
Artículo 15 Recurso a probadores internos 1.   Las entidades financieras establecerán todas las disposiciones siguientes para el recurso a probadores internos: a) el establecimiento y la aplicación de una política para la gestión de probadores internos en el marco de una prueba de penetración basada en amenazas; b) medidas para garantizar que el recurso a probadores internos para llevar a cabo una prueba de penetración basada en amenazas no afecte negativamente a las capacidades generales defensivas o de resiliencia de la entidad financiera frente a incidentes relacionados con las TIC ni afecte de manera significativa a la disponibilidad de recursos dedicados a tareas relacionadas con las TIC durante una prueba de esta naturaleza; c) medidas para garantizar que los probadores internos dispongan de recursos y capacidades suficientes para llevar a cabo una prueba de penetración basada en amenazas. La política a que se refiere la letra a): a) contendrá criterios para evaluar la idoneidad, la competencia y los posibles conflictos de intereses de los probadores internos, así como para especificar las responsabilidades de gestión en el proceso de la prueba; b) se documentará y será objeto de revisiones periódicas; c) dispondrá que el equipo de pruebas interno incluya un responsable y al menos dos miembros adicionales; d) exigirá que todos los miembros del equipo de pruebas hayan sido contratados por la entidad financiera o por un proveedor intragrupo de servicios de TIC durante los 12 meses anteriores; e) incluirá disposiciones relativas a la formación sobre cómo los probadores internos han de realizar pruebas de penetración y pruebas de equipo rojo. 2.   Cuando una autoridad competente en relación con las pruebas de penetración basadas en amenazas apruebe el recurso a probadores internos de conformidad con el artículo 27, apartado 2, letra a), del Reglamento (UE) 2022/2554, dicha autoridad tendrá en cuenta los requisitos establecidos en el artículo 7, apartado 1, del presente Reglamento. 3.   Cuando se recurra a probadores internos, la entidad financiera se asegurará de que dicha medida se mencione en los documentos siguientes: a) la información relativa al inicio de la prueba a que se refiere el artículo 9; b) el informe de pruebas del equipo rojo a que se refiere el artículo 12, apartado 2; c) el informe de síntesis de los hallazgos pertinentes de la prueba de penetración basada en amenazas a que se refiere el artículo 26, apartado 6, del Reglamento (UE) 2022/2554. 4.   Los probadores a los que recurra un proveedor intragrupo de servicios de TIC se considerarán probadores internos de la entidad financiera.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2025:1190:oj#art-15