Art. 9
Fase de preparación
En vigor desde 13 feb 2025
Artículo 9
Fase de preparación
1. Una entidad financiera determinada con arreglo al artículo 26, apartado 8, párrafo tercero, del Reglamento (UE) 2022/2554 iniciará una prueba de penetración basada en amenazas tras la notificación de la autoridad competente en la materia sobre la conveniencia de llevar a cabo ese tipo de prueba.
2. En el plazo de tres meses a partir de la recepción de la notificación a que se refiere el apartado 1, la entidad financiera presentará a los gestores de la prueba de penetración basada en amenazas toda la información siguiente relativa a la puesta en marcha de la prueba:
a)
una carta del proyecto que incluya un plan general del proyecto, en el que se recoja la información que figura en el anexo I;
b)
los datos de contacto de la persona responsable del equipo de control;
c)
información sobre el recurso previsto a probadores internos o externos, o a ambos, cuando proceda, tal como se detalla en el artículo 15;
d)
información sobre los canales de comunicación que deben utilizarse durante la prueba de penetración basada en amenazas;
e)
el nombre clave de la prueba.
3. Cuando la información a que se refiere el apartado 2, letras a) a e), sea completa y garantice la idoneidad y la eficaz realización de la prueba de penetración basada en amenazas, la autoridad competente en relación con la prueba validará la información de puesta en marcha y se lo notificará a la entidad financiera.
4. Tras la validación de la información de inicio de la prueba por parte de la autoridad competente, la entidad financiera creará un equipo de control para ayudar al responsable de dicho equipo a dirigir sus tareas de:
a)
especificación de los canales y procesos de comunicación en el seno del equipo de control con los probadores y los proveedores de inteligencia sobre amenazas en todos los asuntos relacionados con la prueba;
b)
información al órgano de dirección de la entidad financiera sobre el avance de la prueba de penetración basada en amenazas y los riesgos asociados;
c)
toma de decisiones basadas en conocimientos especializados a lo largo de toda la prueba;
d)
ejecución de la prueba de penetración basada en amenazas de acuerdo con lo dispuesto en el presente Reglamento;
e)
selección del proveedor de inteligencia sobre amenazas para la prueba;
f)
selección de probadores externos, internos o ambos;
g)
elaboración del documento de especificación del alcance de la prueba.
5. Cuando la autoridad competente en relación con la prueba de penetración basada en amenazas considere que la composición inicial del equipo de control y cualquier modificación posterior de este son adecuadas para la realización de las tareas a que se refiere el apartado 4, dicha autoridad validará el equipo de control y lo notificará al responsable de este.
6. La entidad financiera presentará a los gestores de la prueba un documento de especificación del alcance de esta que contendrá toda la información establecida en el anexo II en un plazo de seis meses a partir de la recepción de la notificación de la autoridad competente en relación con la prueba a que se refiere el apartado 1. El órgano de dirección de la entidad financiera aprobará el documento de especificación del alcance de la prueba.
7. Las entidades financieras tendrán en cuenta los criterios siguientes para la inclusión de funciones esenciales o importantes en el ámbito de aplicación de la prueba de penetración basada en amenazas:
a)
el carácter esencial o la importancia de la función y su posible repercusión en el sector financiero y en la estabilidad financiera a escala nacional y de la Unión;
b)
la importancia de la función para las operaciones comerciales cotidianas de la entidad financiera;
c)
la intercambiabilidad de la función;
d)
la interconexión con otras funciones;
e)
la ubicación geográfica de la función;
f)
la dependencia sectorial de la función por parte de otras entidades;
g)
inteligencia sobre amenazas relacionadas con la función, cuando se disponga de ella.
8. El equipo de control compartirá la información de inicio de la prueba de penetración basada en amenazas y el documento de especificación del alcance de la prueba con los probadores y los proveedores de inteligencia sobre amenazas una vez contratados. El equipo de control informará a los probadores y a los proveedores de inteligencia sobre amenazas acerca del proceso de prueba que debe seguirse.
9. La entidad financiera velará por que la contratación o asignación de probadores y proveedores de inteligencia sobre amenazas finalice antes del inicio de la fase de prueba.
10. Antes de comenzar la fase de prueba, el equipo de control consultará a los gestores de la prueba sobre la evaluación del riesgo de la prueba y sobre las medidas de gestión de riesgos. El equipo de control revisará la evaluación del riesgo o las medidas de gestión de riesgos cuando la autoridad competente en relación con la prueba considere que no abordan adecuadamente los riesgos de esta prueba.
11. El equipo de control evaluará la conformidad de los proveedores de inteligencia sobre amenazas y de los probadores que consideren involucrados en la prueba de penetración basada en amenazas con los requisitos establecidos en el artículo 27 del Reglamento (UE) 2022/2554 y con el artículo 7, apartado 1, del presente Reglamento, y documentará el resultado de dicha evaluación. El equipo de control seleccionará a los proveedores de inteligencia sobre amenazas de conformidad con dicha evaluación y con sus prácticas de gestión de riesgos. Antes de contratar a los proveedores de inteligencia sobre amenazas y a los probadores externos seleccionados, el equipo de control proporcionará evidencias a los gestores de la prueba de que dichos proveedores de inteligencia sobre amenazas y probadores cumplen los requisitos establecidos en el artículo 27 del Reglamento (UE) 2022/2554 y el artículo 7, apartado 1, del presente Reglamento. El equipo de control no procederá a contratar a los proveedores de inteligencia sobre amenazas y los probadores externos seleccionados cuando la autoridad competente en relación con la prueba de penetración basada en amenazas considere que los proveedores de inteligencia sobre amenazas y los probadores externos seleccionados no cumplen los requisitos establecidos en el artículo 27 del Reglamento (UE) 2022/2554, los requisitos establecidos en el artículo 7, apartado 1, del presente Reglamento o los requisitos adicionales derivados de la legislación nacional en materia de seguridad de conformidad con el Derecho de la Unión, o cuando la entidad financiera no cumpla lo dispuesto en el artículo 7, apartado 2, párrafo primero, del presente Reglamento, o cuando no concurran las circunstancias a que se refiere el artículo 7, apartado 2, párrafo segundo, del presente Reglamento.
12. Cuando el documento de especificación del alcance de la prueba esté completo y garantice la realización de una prueba de penetración basada en amenazas adecuada y eficaz, la autoridad competente aprobará dicho documento e informará de ello al responsable del equipo de control.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:1190:oj#art-9