Miguel Ángel Valero
El Diario Oficial de la Unión Europea (DOUE) del 18 de junio publica el Reglamento Delegado (UE) 2025/1190 de la Comisión de 13 de febrero de 2025, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los criterios utilizados para determinar qué entidades financieras están obligadas a realizar pruebas de penetración basadas en amenazas, los requisitos y normas que rigen el uso de probadores internos, los requisitos en relación con el alcance, la metodología y el enfoque de realización de pruebas en las fases de prueba, resultados, conclusión y adopción de medidas correctoras, y el tipo de cooperación en materia de supervisión y otros tipos de cooperación pertinente necesarios para la realización de las pruebas de penetración basadas en amenazas y para facilitar el reconocimiento mutuo.
Las autoridades competentes en relación con las pruebas de penetración basadas en amenazas evaluarán si una entidad financiera está obligada a realizar dichas pruebas teniendo en cuenta el impacto de dichas entidades financieras, su carácter sistémico y su perfil de riesgo relacionado con las TIC, sobre la base de todos los criterios que se enumeran a continuación:
a) | factores relacionados con el impacto y el carácter sistémico: i) | el tamaño de la entidad financiera, determinado en función de si la entidad financiera presta servicios financieros en uno o varios Estados miembros y comparando las actividades de la entidad financiera con las de otras entidades financieras que presten servicios similares, |
ii) | el alcance y la naturaleza de la interconexión de la entidad financiera con otras entidades financieras del sector financiero de uno o varios Estados miembros, |
iii) | el carácter esencial o la importancia de los servicios que la entidad financiera presta al sector financiero, |
iv) | la sustituibilidad de los servicios que presta la entidad financiera, |
v) | la complejidad del modelo de negocio de la entidad financiera y los servicios y procesos conexos, |
vi) | si la entidad financiera forma parte de un grupo de carácter sistémico a escala de la Unión o nacional en el sector financiero que comparte sistemas de TIC; |
|
b) | factores vinculados al riesgo relacionado con las TIC: i) | el perfil de riesgo de la entidad financiera, |
ii) | el panorama de amenazas a que se enfrenta la entidad financiera, |
iii) | el grado de dependencia de las funciones esenciales o importantes de la entidad financiera o de sus funciones de apoyo respecto de los sistemas y procesos de TIC, |
iv) | la complejidad de la arquitectura de TIC de la entidad financiera, |
v) | los servicios y funciones de TIC sustentados por proveedores terceros de servicios de TIC, y la cantidad y el tipo de acuerdos contractuales con proveedores terceros de servicios de TIC o proveedores intragrupo de servicios de TIC, |
vi) | los resultados de cualquier revisión supervisora pertinentes para la evaluación de la madurez de las TIC de la entidad financiera, |
vii) | la madurez de los planes de continuidad de la actividad en materia de TIC y de los planes de respuesta y recuperación en materia de TIC, |
viii) | la madurez de las medidas operativas de detección y mitigación de la seguridad de las TIC, incluida la capacidad de: 1) | efectuar un seguimiento permanente de la infraestructura de TIC de la entidad financiera; |
2) | detectar incidentes relacionados con las TIC en tiempo real; |
3) | analizar los incidentes a que se refiere el punto 2; |
4) | responder a los incidentes a que se refiere el punto 2 de manera oportuna y eficaz, |
|
ix) | si la entidad financiera forma parte de un grupo activo en el sector financiero a escala de la Unión o nacional que comparte sistemas de TIC. |
|
La autoridad competente en relación con las pruebas de penetración basadas en amenazas analizará, cuando sea posible, los aspectos siguientes:
a) | la cuota de mercado de la entidad financiera a escala nacional y de la Unión; |
b) | la gama de actividades que ofrece la entidad financiera; |
c) | la cuota de mercado de los servicios prestados por la entidad financiera o de las actividades que lleva a cabo a escala nacional y de la Unión. |
También:
a) | si la entidad financiera opera con más de un modelo de negocio; |
b) | la interconexión de los diferentes procesos empresariales y los servicios conexos. |
Las autoridades competentes en relación con las pruebas de penetración basadas en amenazas exigirán a todas las entidades financieras siguientes que realicen pruebas de este tipo:
2. Las autoridades competentes en relación con las pruebas de penetración basadas en amenazas exigirán a todas las entidades financieras siguientes que realicen pruebas de este tipo, a menos que la evaluación a que se refiere el apartado 1 con respecto a una entidad financiera indique que su impacto, los problemas de estabilidad financiera relacionados con dicha entidad financiera o su perfil de riesgo relacionado con las TIC no justifican la realización de una prueba de dicha naturaleza:
| a) | las entidades de crédito que cumplan alguna de las condiciones siguientes:| i) | haber sido identificadas como entidades de importancia sistémica mundial (EISM) de conformidad con el artículo 131 de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo |
| ii) | haber sido identificadas como otras entidades de importancia sistémica (OEIS) de conformidad con el artículo 131 de la Directiva 2013/36/UE, |
| iii) | formar parte de una EISM u OEIS; |
|
| b) | las entidades de pago que hayan realizado operaciones de pago, tal como se definen en el artículo 4, punto 5, de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, por un valor total superior a 150 000 millones EUR en cada uno de los dos años naturales anteriores a la evaluación por parte de la autoridad competente en relación con las pruebas de penetración basadas en amenazas; |
| c) | las entidades de dinero electrónico que hayan realizado operaciones de pago, tal como se definen en el artículo 4, apartado 5, de la Directiva (UE) 2015/2366, por un valor total superior a 150 000 millones EUR, en cada uno de los dos años naturales anteriores a la evaluación por parte de la autoridad competente en relación con las pruebas de penetración basadas en amenazas, o registrado una cantidad de dinero electrónico en circulación por un importe total superior a 40 000 millones EUR; |
| d) | los depositarios centrales de valores; |
| e) | las entidades de contrapartida central; |
| f) | los centros de negociación con un sistema electrónico de negociación que cumplan cualquiera de los criterios siguientes:| i) | que el centro de negociación ostente la mayor cuota de mercado en términos de volumen de negocios de cualquiera de los títulos siguientes a nivel nacional en cada uno de los dos años naturales anteriores a la evaluación por parte de la autoridad competente en relación con las pruebas de penetración basadas en amenazas:| 1) | valores negociables de acuerdo con la definición del artículo 4, apartado 1, punto 44, letra a), de la Directiva 2014/65/UE del Parlamento Europeo y del Consejo ; |
| 2) | valores negociables, de acuerdo con la definición del artículo 4, apartado 1, punto 44, letra b), de la Directiva 2014/65/UE; |
| 3) | derivados, de acuerdo con la definición del artículo 2, apartado 1, punto 29, del Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo |
| 4) | productos de titulización, de acuerdo con la definición del artículo 2, apartado 1, punto 28, del Reglamento (UE) n.o 600/2014; |
| 5) | los derechos de emisión a que se refiere el anexo I, sección C, punto 11, de la Directiva 2014/65/UE, |
|
| ii) | que el centro de negociación ostente una cuota de mercado en términos de volumen de negocios a escala de la Unión en cualquiera de los títulos siguientes superior al 5 % en cada uno de los dos años naturales anteriores a la evaluación por parte de la autoridad competente en relación con las pruebas de penetración basadas en amenazas:| 1) | acciones de sociedades y otros valores equiparables a las acciones de sociedades, asociaciones u otras entidades, y certificados de depósito de valores representativos de acciones; |
| 2) | bonos y obligaciones u otras formas de deuda titulizada, incluidos los certificados de depósito de valores representativos de tales valores; |
| 3) | derivados, de acuerdo con la definición del artículo 2, apartado 1, punto 29, del Reglamento (UE) n.o 600/2014; |
| 4) | productos de titulización, de acuerdo con la definición del artículo 2, apartado 1, punto 28, del Reglamento (UE) n.o 600/2014; |
| 5) | los derechos de emisión a que se refiere el anexo I, sección C, punto 11, de la Directiva 2014/65/UE; |
|
|
| g) | las empresas de seguros y reaseguros que cumplan todos los criterios siguientes:| i) | tener una prima bruta suscrita superior a 1 500 000 000 EUR, |
| ii) | tener provisiones técnicas superiores a 10 000 000 000 EUR, |
| iii) | las empresas de seguros que ejerzan únicamente actividades de vida o que ejerzan actividades tanto de vida como de no vida y cuyos activos totales superen el 3,5 % de la suma de los activos totales de las empresas de seguros y reaseguros establecidas en el Estado miembro, valorados de conformidad con el artículo 75 de la Directiva 2009/138/CE del Parlamento Europeo y del Consejo (11). |
|
A efectos de la letra f), inciso ii), cuando el centro de negociación forme parte de un grupo que comparta sistemas de TIC o el mismo proveedor intragrupo de servicios de TIC, se tendrá en cuenta el volumen de negocios de los contratos de valores y derivados en todos los centros de negociación pertenecientes al mismo grupo y establecidos en la Unión.A efectos de la letra g), las autoridades competentes en relación con las pruebas de penetración basadas en amenazas determinarán un subconjunto de todas las empresas de seguros y reaseguros aplicando los criterios establecidos en la letra g), incisos i), ii) y iii). Las empresas de seguros y reaseguros incluidas en ese subconjunto estarán obligadas a realizar pruebas de penetración basadas en amenazas cuando también cumplan cualquiera de los criterios siguientes:
| a) | tener una prima bruta suscrita superior a 3 000 000 000 EUR; |
| b) | tener provisiones técnicas superiores a 30 000 000 000 EUR; |
| c) | tener unos activos totales que superen el 10 % de la suma de los activos totales de las empresas de seguros y reaseguros establecidas en el Estado miembro, valorados de conformidad con el artículo 75 de la Directiva 2009/138/CE. |
3. Cuando más de una entidad financiera perteneciente al mismo grupo y que comparta sistemas de TIC, o más de una entidad financiera que utilice el mismo proveedor intragrupo de servicios de TIC, cumplan los criterios establecidos en el apartado 2, las autoridades competentes en relación con las pruebas de penetración basadas en amenazas de las citadas entidades financieras decidirán, de conformidad con el artículo 16, apartado 2, si el requisito de realizar dichas pruebas de forma individual es pertinente para las citadas entidades financieras.
Cuando la autoridad competente en relación con las pruebas de penetración basadas en amenazas de la sociedad matriz de un grupo de entidades financieras a que se refiere el párrafo primero sea diferente de las autoridades competentes en relación con las pruebas de penetración basadas en amenazas de las entidades financieras del grupo, las autoridades competentes en relación con las pruebas de penetración basadas en amenazas de estas últimas consultarán a dicha autoridad si es conveniente realizar pruebas de penetración basadas en amenazas de forma individual.
