DORA: Pruebas de penetración basadas en amenazas. Reglamento Delegado 2025/1190 de la Comisión Europea (1)

El DOUE de 18.6.2025 (Ref: 2025/1190, ES Serie L) publicó el Reglamento Delegado 2025/1190 de la Comisión, de 13 de febrero de 2025, que completa el Reglamento (UE) 2022/2554 (DORA) en cuanto a las pruebas de penetración basadas en amenazas, el uso de probadores internos y la adopción de medidas correctoras. Dado que, en este blog y fuera de él, nos hemos referido con frecuencia al Reglamento (UE) 2022/2554,  sobre la resiliencia operativa digital del sector financiero (DORA) (la última ocasión en la entrada de 29 de abril de 2025 en la que alojábamos unas “Reflexiones desde el caos (KA28). Lecciones de DORA”), nos parece pertinente exponer una breve síntesis del contenido de este Reglamento Delegado 2025/1190. Su complejidad técnica y su importancia para el organigrama de las entidades financieras en un futuro inmediato nos invita a dosificar esta exposición en dos entradas, la de hoy y la de mañana.

A) Las pruebas de resiliencia operativa digital en el DORA

Desde el día 17 de enero de 2025, las entidades financieras europeas -entre ellas, las españolas- deberán tener establecido un sistema sólido de la resiliencia operativa digital que cumpla los exigentes requisitos que establece el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (DORA) (el lector interesado en profundizar en el conocimiento de este complejo Reglamento puede ver las publicaciones que se citan en la nota bibliográfica final).

El DORA utiliza, en la segunda fase de prevención de los incidentes operativos digitales, un instrumento regulatorio complejo y novedoso que son los “test” o pruebas de resiliencia operativa digital reguladas en su Capítulo IV (artículos 24 a 27) que establece dos tipos de requisitos que deben cumplir los programas de pruebas: Los requisitos objetivos de las pruebas normales y avanzadas y los requisitos subjetivos de los probadores externos e internos.

B) El Reglamento Delegado 2025/1190 de la Comisión, de 13 de febrero de 2025

B.1). Aspectos generales

Se trata del “Reglamento Delegado (UE) 2025/1190 de la Comisión de 13 de febrero de 2025 por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los criterios utilizados para determinar qué entidades financieras están obligadas a realizar pruebas de penetración basadas en amenazas, los requisitos y normas que rigen el uso de probadores internos, los requisitos en relación con el alcance, la metodología y el enfoque de realización de pruebas en las fases de prueba, resultados, conclusión y adopción de medidas correctoras, y el tipo de cooperación en materia de supervisión y otros tipos de cooperación pertinente necesarios para la realización de las pruebas de penetración basadas en amenazas y para facilitar el reconocimiento mutuo”.

Este Reglamento Delegado (UE) 2025/1190 -recordemos que obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro- entra en vigor a los veinte días de su publicación en el DOUE que se produjo el 18.6.2025.

El Reglamento Delegado (UE) 2025/1190 es cuantitativamente extenso y cualitativamente complejo, por cuanto desarrolla un instrumento regulatorio extremadamente complejo y novedoso como son los “test” o pruebas de resiliencia operativa digital.

Por último, nos parece de sumo interés destacar que, con este Reglamento Delegado (UE) 2025/1190; se acelera la “revolución” del organigrama de supervisión del control de riesgos digitales de las autoridades competentes y de las entidades financieras como consecuencia de la inserción del equipo de control responsable de la gestión cotidiana de las pruebas de penetración basada en amenazas, en los términos que más adelante explicaremos.

En todo caso, nos parece muy sugerente -por novedosa- la organización “bélica” del sistema de control de riesgos digitales las entidades financieras cuando vemos que, en este Reglamento Delegado (UE) 2025/1190, se utilizan expresiones como la trayectoria de ataque, definida como “la ruta que siguen los probadores durante la fase activa de pruebas del equipo rojo, en el marco de la prueba de penetración basada en amenazas, para llegar a las banderas especificadas para dicha prueba” (art.2.13); las banderas, definidas como “objetivos clave de los sistemas de TIC que sustenten funciones esenciales o importantes de una entidad financiera que los probadores intentan alcanzar a través de la prueba” (art.2.14) o la información sensible, definida como la “información que puede aprovecharse fácilmente para cometer ataques contra los sistemas de TIC de la entidad financiera, la propiedad intelectual, los datos empresariales confidenciales o los datos personales, que puede perjudicar de forma directa o indirecta a la entidad financiera y a su ecosistema si cae en manos de agentes malintencionados” (art.2.15).

B.2) Ámbito de aplicación: entidades financieras obligadas a realizar pruebas de penetración basadas en amenazas

El Reglamento Delegado (UE) 2025/1190, en su artículo 2, establece el sistema para la determinación de las entidades financieras obligadas a realizar pruebas de penetración basadas en amenazas sobre un doble mecanismo:

a) Los criterios de selección

Las autoridades competentes deben determinar las entidades financieras obligadas a realizar pruebas de penetración basadas en amenazas sobre la base de una evaluación que tendrá en cuenta el impacto de dichas entidades financieras, su carácter sistémico y su perfil de riesgo relacionado con las TIC, sobre la base de criterios como los factores relacionados con el impacto y el carácter sistémico y los factores vinculados al riesgo relacionado con las TIC enumerados.

b) Los tipos de entidades financieras seleccionadas

Una vez establecidos los criterios de elegibilidad, las autoridades competentes en relación con las pruebas de penetración basadas en amenazas exigirán a todas las entidades financieras siguientes que realicen pruebas de este tipo: las entidades de crédito que cumplan alguna de las condiciones enumeradas, los depositarios centrales de valores, las entidades de contrapartida central, los centros de negociación con un sistema electrónico de negociación que cumplan cualquiera de los criterios señalados, las empresas de seguros y reaseguros que cumplan todos los criterios identificados (tener una prima bruta suscrita superior a 1.500.000. 000 EUR, tener provisiones técnicas superiores a 10.000.000.000 EUR, etc.).

Las entidades financieras seleccionadas conforme a los criterios señalados

deberán realizar pruebas de penetración basadas en amenazas a menos que su evaluación indique que su impacto, los problemas de estabilidad financiera relacionados con dicha entidad financiera o su perfil de riesgo relacionado con las TIC no justifican la realización de una prueba de dicha naturaleza.

B.3) Gestión de las pruebas de penetración basadas en amenazas

La gestión de las pruebas de penetración basadas en amenazas se realiza mediante la colaboración de las autoridades competentes y las entidades financieras seleccionadas y se apoya en los instrumentos siguientes:

a) Las autoridades competentes: los equipos de ciberseguridad y los gestores de pruebas de penetración basadas en amenazas

Cada autoridad competente, en relación con las pruebas de penetración basadas en amenazas, asignará a un equipo de ciberseguridad de dichas pruebas -que estará compuesto por los gestores de pruebas asignados a la supervisión de una prueba concreta- la responsabilidad de coordinar las actividades relacionadas con tales pruebas (art.3).

Por ello, podemos señalar que las autoridades competentes utilizarán los siguientes instrumentos y recursos:

a.1) El equipo cibernético encargado de las pruebas de penetración basadas en amenazas o «TCT» (por sus siglas en inglés) definido como “el personal de las autoridades competentes en relación con las pruebas de penetración basadas en amenazas que es responsable de las cuestiones relacionadas con dichas pruebas” (art.2.8).

a.2) Los gestores de pruebas definido como “el personal designado para dirigir las actividades de la autoridad competente en relación con las pruebas de penetración basadas en amenazas en lo referente a una prueba de penetración basada en amenazas específica a fin de supervisar el cumplimiento del Reglamento” (art.2.9).

b) Las entidades financieras seleccionadas: sus disposiciones organizativas

Las entidades financieras designarán un equipo de control que será responsable de la gestión cotidiana de la prueba de penetración basada en amenazas y de las decisiones y acciones del equipo de control y establecerán medidas organizativas y de procedimiento para garantizar la consecución de determinados objetivos (art.4).

El equipo de control tomará medidas para gestionar los riesgos relacionados con la prueba de penetración basada en amenazas y, en particular, se ocupará de la selección de proveedores de pruebas de penetración basadas en amenazas y velará por que, para cada prueba de este tipo, los proveedores de inteligencia sobre amenazas y los probadores externos cumplan determinados requisitos (art.7).

Dada la importancia que está llamado a tener el equipo de control -que se define como “el equipo compuesto por personal de la entidad financiera sometida a prueba y, en su caso, teniendo en cuenta el alcance de la prueba de penetración basada en amenazas, el personal de sus proveedores terceros de servicios y cualquier otra parte que gestiona la prueba” (art.2.1)- en las entidades financieras, conviene recordar que su organigrama estará compuesto por:

b.1) El responsable del equipo de control que se define como “el miembro del personal de la entidad financiera responsable de la realización de todas las actividades relacionadas con la prueba de penetración basada en amenazas en el contexto de una prueba determinada” (art.2.1).

b.2) Distintos subequipos que, atendiendo a sus concretas funciones en cada prueba de penetración basada en amenazas, se diversifican en distintas tonalidades cromáticas que nos recuerdan el lenguaje militar y son:

b.2.1) El equipo azul definido como “el personal de la entidad financiera y, en su caso, el personal de los proveedores terceros de servicios de la entidad financiera y cualquier otra parte que se considere pertinente, teniendo en cuenta el alcance de la prueba de penetración basada en amenazas, de los proveedores terceros de servicios de la entidad financiera, que defiendan el uso de redes y sistemas de información por parte de una entidad financiera manteniendo su postura de seguridad frente a ataques simulados o reales y que no tenga conocimiento de la prueba de penetración basada en amenazas” (art.2.3).

b.2.2) El equipo rojo, definido como “los probadores, internos o externos, contratados o asignados a una prueba de penetración basada en amenazas” (art.2.4).

b.2.3) El equipo morado, cuyo trabajo se define como la “actividad de prueba colaborativa en la que participan tanto los probadores como el equipo azul” (art.2.5).

b.3) El proveedor de inteligencia sobre amenazas, definido como “los expertos contratados por la entidad financiera para cada prueba de penetración basada en amenazas y externos a la entidad financiera y, en su caso, a los proveedores intragrupo de servicios de TIC, que recopilan y analizan información específica sobre amenazas pertinente para las entidades financieras incluidas en el ámbito de una prueba de penetración basada en amenazas específica y desarrollan escenarios de amenaza pertinentes y realistas” (art.2.10).

b.4) Los proveedores de pruebas de penetración basadas en amenazas, definidos como “los probadores y los proveedores de inteligencia sobre amenazas” (art.2.11).

b.6) Los probadores internos: A estos efectos, hay que tomar en consideración que las entidades financieras, cuando quieran recurrir a probadores internos, deberán establecer las disposiciones relativas al establecimiento y la aplicación de una política para la gestión de probadores internos en el marco de una prueba de penetración basada en amenazas; las medidas para garantizar que el recurso a probadores internos para llevar a cabo una prueba de penetración basada en amenazas no afecte negativamente a las capacidades generales defensivas o de resiliencia de la entidad financiera frente a incidentes relacionados con las TIC ni afecte de manera significativa a la disponibilidad de recursos dedicados a tareas relacionadas con las TIC durante una prueba de esta naturaleza; y las medidas para garantizar que los probadores internos dispongan de recursos y capacidades suficientes para llevar a cabo una prueba de penetración basada en amenazas (art.15).

c) La gestión de riesgos de las pruebas de penetración basadas en amenazas

La gestión de riesgos de las pruebas de penetración deberá adaptarse al tipo de amenaza, de tal manera que:

c.1) En caso de amenazas aisladas, durante la fase de preparación a que se refiere el artículo 9, el equipo de control evaluará los riesgos asociados a la prueba de los sistemas de producción activos de funciones esenciales o importantes de la entidad financiera, incluidas las posibles repercusiones en el sector financiero y la estabilidad financiera a escala de la UE o nacional (art.5).

c.2) En caso de amenazas conjuntas o compartidas, el equipo de control de cada entidad financiera llevará a cabo su propia evaluación del riesgo y establecerá sus propias medidas de gestión de riesgos (art.6), tomando en consideración las especificidades de las pruebas de penetración basadas en amenazas conjuntas o compartidas (art.8). Recordamos que la prueba de penetración basada en amenazas compartida se define como la “prueba de penetración basada en amenazas, distinta de las pruebas de penetración basadas en amenazas conjuntas a que se refiere el artículo 26, apartado 4, del Reglamento (UE) 2022/2554, en la que participan varias entidades financieras que utilizan el mismo proveedor intragrupo de servicios de TIC, o que pertenecen al mismo grupo y comparten sistemas de TIC” (art.2.18).