Un nuevo reglamento delegado determina las entidades obligadas a realizar «pruebas de penetración basadas en amenazas» y el método
24-06-2025 — AR/2025/071
Estas pruebas están previstas en el reglamento DORA y simulan un ataque general sobre grandes instituciones financieras para ayudar a prevenir vulnerabilidades de seguridad, y este reglamento delegado aporta los criterios para las entidades que tienen que pasarlas y el método para desarrollarlas.
- Compartir
- Correo electrónico
La Comisión Europea ha promovido el Reglamento Delegado 2025/1190,1 promulgado el 13-2-2025, que desarrolla el Reglamento 2022/2554,2 más conocido como reglamento DORA, por las siglas inglesas.
El nuevo reglamento determina las entidades financieras que deben realizar estas «pruebas de penetración basadas en amenazas», que son un ejercicio a gran escala, descrito ya en el reglamento DORA, que simula un ataque integral contra los activos, sistemas y procesos de una organización, para identificar y ayudar a corregir vulnerabilidades de seguridad.
Resumimos los principales aspectos del nuevo reglamento.
Entidades obligadas
Las siguientes entidades lo estarán, a menos que una evaluación integral indique lo contrario:
- Entidades de crédito:
- de importancia sistémica mundial,
- de importancia sistémica, o
- que formen parte de una de las anteriores.
- Entidades de pago:
- con un volumen anual de operaciones de pago mayor de 150.000 millones de euros en cada uno de los dos años anteriores.
- Entidades de dinero electrónico:
- con el mismo volumen anual que las anteriores, o
- que haya registrado dinero electrónico en circulación por más de 40.000 millones de euros en los dos años naturales anteriores a la evaluación.
- Depositarios centrales de valores.
- Entidades de contrapartida central.
- Centros de negociación electrónicos:
- que cumplan ciertos mínimos de cuota de mercado en su Estado o en la Unión Europea.
- Empresas de seguros y reaseguros:
- que cumplan criterios específicos de volumen de prima bruta suscrita, provisiones técnicas y activos totales.
Además las de las citadas, las autoridades competentes:
- evaluarán si otros tipos de entidades financieras deben estar sujetas a las pruebas, y
- pueden decidir pruebas para el conjunto de grupos económicos, aunque sus miembros no encajen en los casos anteriores, o porque compartan el mismo proveedor de servicios tecnológicos.
Requisitos de elaboración de las pruebas
El reglamento se basa en el marco conocido como TIBER-EU, que promovió el Banco Central Europeo para este tipo de pruebas, en las que intervienen los equipos siguientes con las funciones que se indican:
- Equipo de control: designado por la entidad financiera y responsable de la prueba:
- evalúa los riesgos asociados a la prueba en los sistemas de producción activos de funciones esenciales o importantes, e
- incluye posibles impactos en el sector y para la estabilidad financiera.
- Equipo azul: personal operativo de seguridad sin conocimiento previo de la prueba y se encarga de:
- el centro de operaciones de seguridad,
- los servicios de infraestructura técnica, y
- la asistencia y gestión de incidentes.
- Equipo rojo: probadores internos o externos que ejecutan los ataques simulados. Al final de las pruebas:
- deben realizar procedimientos de restauración, y
- considerar la supresión segura de información sensible (contraseñas, credenciales), la comunicación de cuentas comprometidas y la eliminación segura de datos recopilados.
- Autoridades competentes: interviene mediante un equipo cibernético específico, encargado de estas pruebas y gestores de pruebas para coordinar las actividades:
- participan activamente en todas las fases de la prueba, y
- cooperan entre ellos y comparten información relevante.
- Proveedor externo de inteligencia de amenazas:
- desarrolla escenarios realistas basados en amenazas actuales.
Fases de las pruebas
Estas pruebas de penetración se estructuran en varias fases:
- Fase de preparación:
- La entidad financiera inicia la prueba tras la notificación de la autoridad competente.
- En tres meses, la entidad debe presentar una carta del proyecto con información general y crear un equipo de control para dirigir las tareas de comunicación, informar al órgano de dirección, tomar decisiones, ejecutar la prueba y seleccionar proveedores.
- Fase de prueba:
- Por una parte, el proveedor de «inteligencia sobre amenazas»:
- analiza el conocimiento genérico y sectorial relevante,
- identifica ciberamenazas y vulnerabilidades existentes o potenciales, y
- propone escenarios de ataque.
- Por otra, el equipo rojo, tras la aprobación del informe de inteligencia anterior:
- elabora el plan de pruebas, y
- ejecuta la prueba.
- Por una parte, el proveedor de «inteligencia sobre amenazas»:
- Fase de conclusión: tras la fase activa del equipo rojo:
- el equipo de control informa al equipo azul,
- este presenta un informe al equipo de control con las conclusiones y resultados;
- la entidad financiera presenta:
- un informe de síntesis de los hallazgos de la prueba a la autoridad competente, y
- un plan corrector con las medidas a aplicar para corregir lo detectado, y
- la autoridad competente presenta un informe de validación para certificar la prueba.
Iniciativas relacionadas
Alertas Relacionadas
-
La Comisión Europea promulga dos reglamentos delegados para notificar incidentes graves según el reglamento DORA
24-02-2025—AR/2025/028 -
La CNMV publica una guía sobre el registro de los proveedores de servicios tecnológicos de acuerdo con el reglamento DORA
28-02-2025—AR/2025/033 -
La Comisión Europea publica el borrador de reglamento delegado sobre subcontratación acorde con el reglamento DORA
02-04-2025—AR/2025/048