Inicio
Articulo 26 Resiliencia o...financiero

Articulo 26 Resiliencia operativa digital del sector financiero

Resiliencia operativa digital del sector financiero
No hay nodos disponibles
Ver Indice
»

Artículo 26. Pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración basadas en amenazas

Vigente

Tiempo de lectura: 7 min

Tiempo de lectura: 7 min

1. Las entidades financieras distintas de las contempladas en el artículo 16, apartado 1, párrafo primero, y distintas de microempresas, determinadas de conformidad con el apartado 8, párrafo tercero, del presente artículo, llevarán a cabo al menos cada tres años pruebas avanzadas consistentes en pruebas de penetración basadas en amenazas. A partir del perfil de riesgo de la entidad financiera y teniendo en cuenta las circunstancias operativas, la autoridad competente podrá, en caso necesario, solicitar a la entidad financiera que reduzca o aumente esta frecuencia.

2. Cada una de las pruebas de penetración basadas en amenazas abarcará algunas o todas las funciones esenciales o importantes de una entidad financiera y se realizarán sobre los sistemas de producción activos que sustenten esas funciones.

Las entidades financieras determinarán todos los sistemas, procesos y tecnologías de TIC pertinentes subyacentes que sustenten funciones esenciales o importantes y servicios de TIC, incluidos aquellos que sustenten los servicios y funciones esenciales o importantes externalizados o contratados a proveedores terceros de servicios de TIC.

Las entidades financieras evaluarán qué funciones esenciales o importantes es necesario incluir en las pruebas de penetración basadas en amenazas. El resultado de esta evaluación determinará el alcance exacto de las pruebas de penetración basadas en amenazas y será validado por las autoridades competentes.

3. Cuando haya proveedores terceros de servicios de TIC incluidos en el ámbito de cobertura de las pruebas de penetración basadas en amenazas, la entidad financiera tomará las medidas y salvaguardias necesarias para asegurar la participación de estos proveedores terceros de servicios de TIC en las pruebas de penetración basadas en amenazas y mantendrá en todo momento la plena responsabilidad de garantizar el cumplimiento del presente Reglamento.

4. Sin perjuicio de lo dispuesto en el apartado 2, párrafos primero y segundo, cuando quepa esperar razonablemente que la participación de un proveedor tercero de servicios de TIC en las pruebas de penetración basadas en amenazas a que se refiere el apartado 3 tenga una repercusión negativa en la calidad o la seguridad de los servicios prestados por el proveedor tercero de servicios de TIC a clientes que sean entidades excluidas del ámbito de aplicación del presente Reglamento, o en la confidencialidad de los datos relacionados con dichos servicios, la entidad financiera y el proveedor tercero de servicios de TIC podrán acordar por escrito que el proveedor tercero de servicios de TIC celebre directamente un acuerdo contractual con un probador externo, a efectos de llevar a cabo, bajo la dirección de una entidad financiera designada, una prueba de penetración basada en amenazas conjunta en la que participen varias entidades financieras (prueba conjunta) a las que el proveedor tercero de servicios de TIC preste servicios de TIC.

Dicha prueba conjunta abarcará la gama pertinente de servicios de TIC que sustenten funciones esenciales o importantes contratadas por las entidades financieras al proveedor tercero de servicios de TIC en cuestión. Se considerará que la prueba conjunta es una prueba de penetración basada en amenazas realizada por las entidades financieras que participen en ella.

El número de entidades financieras que participen en la prueba conjunta se calibrará debidamente teniendo en cuenta la complejidad y los tipos de servicios de que se trate.

5. Las entidades financieras, con la cooperación de los proveedores terceros de servicios de TIC y otras partes involucradas, incluidos los probadores pero con exclusión de las autoridades competentes, aplicarán controles efectivos de gestión del riesgo para mitigar los riesgos de cualquier posible repercusión en los datos, daño de los activos y perturbación de funciones, servicios u operaciones esenciales o importantes en la propia entidad financiera, en sus contrapartes o en el sector financiero.

6. Al finalizar la prueba, y una vez que se hayan aprobado los informes y los planes correctores, la entidad financiera y, en su caso, los probadores externos facilitarán a la autoridad, designada de conformidad con los apartados 9 o 10, un resumen de los hallazgos pertinentes, los planes correctores y la documentación que demuestre que la prueba de penetración basada en amenazas se ha realizado conforme a los requisitos.

7. Las autoridades proporcionarán a las entidades financieras un informe de validación que confirme que la prueba se efectuó de conformidad con los requisitos según constan en la documentación, con el fin de permitir el reconocimiento mutuo de las pruebas de penetración basadas en amenazas entre las autoridades competentes. La entidad financiera notificará a la autoridad competente pertinente la validación, el resumen de los hallazgos pertinentes y los planes correctores.

Sin perjuicio de dicha validación, las entidades financieras seguirán siendo plenamente responsables en todo momento de las repercusiones de las pruebas a que se refiere el apartado 4.

8. Las entidades financieras contratarán, de conformidad con el artículo 27, a probadores a efectos de la realización de pruebas de penetración basadas en amenazas. Cuando las entidades financieras recurran a probadores internos para realizar pruebas de penetración basadas en amenazas, contratarán a probadores externos cada tres pruebas.

Las entidades de crédito clasificadas como significativas de conformidad con el artículo 6, apartado 4, del Reglamento (UE) n.º 1024/2013 solo recurrirán a probadores externos de conformidad con el artículo 27, apartado 1, letras a) a e), del presente Reglamento.

Las autoridades competentes determinarán qué entidades financieras deberán realizar pruebas de penetración basadas en amenazas teniendo en cuenta los criterios establecidos en el artículo 4, apartado 2, basándose en la evaluación de:

a) factores relacionados con la repercusión, en particular la medida en que los servicios prestados y las actividades realizadas por la entidad financiera repercuten en el sector financiero;

b) posibles problemas de estabilidad financiera, incluido el carácter sistémico de la entidad financiera a escala de la Unión o nacional, según proceda;

c) el perfil de riesgo relacionado con las TIC específico, el nivel de madurez de las TIC de la entidad financiera o las características tecnológicas presentes.

9. Los Estados miembros podrán designar a una única autoridad pública en el sector financiero responsable de las cuestiones relacionadas con las pruebas de penetración basadas en amenazas en el sector financiero a escala nacional y le confiarán todas las competencias y tareas a tal efecto.

10. A falta de designación de conformidad con el apartado 9 del presente artículo, y sin perjuicio de la competencia para determinar las entidades financieras que están obligadas a llevar a cabo pruebas de penetración basadas en amenazas, una autoridad competente podrá delegar el ejercicio de todas o algunas de las tareas a que se refieren el presente artículo y el artículo 27 en otra autoridad nacional del sector financiero.

11. Las Autoridades Europeas de Supervisión desarrollarán, de acuerdo con el BCE proyectos de normas técnicas de regulación comunes de conformidad con el marco TIBER-EU para especificar más detalladamente:

a) los criterios utilizados a efectos de la aplicación del apartado 8, párrafo segundo;

b) los requisitos y normas que rigen el recurso a probadores internos;

c) los requisitos en relación con:

i) el alcance de las pruebas de penetración basadas en amenazas a que se refiere el apartado 2,

ii) la metodología y el enfoque de realización de pruebas que deberán seguirse en cada fase específica del proceso de prueba,

iii) las fases de resultados, conclusión y adopción de medidas correctoras del proceso de prueba;

d) el tipo de cooperación en materia de supervisión y otros tipos de cooperación pertinente necesarios para llevar a cabo pruebas de penetración basadas en amenazas, así como la facilitación del reconocimiento mutuo de dichas pruebas, en el contexto de entidades financieras que operen en más de un Estado miembro, para permitir un nivel adecuado de participación de los supervisores y una ejecución flexible que tenga en cuenta las características específicas de subsectores financieros o mercados financieros locales.

Al elaborar dichos proyectos de normas técnicas de regulación, las Autoridades Europeas de Supervisión tendrán debidamente en cuenta cualquier característica específica derivada de la distinta naturaleza de las actividades en los distintos sectores de los servicios financieros.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación a más tardar el 17 de julio de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el párrafo primero de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.