RTS on threat-led penetration testing

Finanzunternehmen können denselben gruppeninternen IKT-Dienstleister haben oder derselben Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; angehören und auf gemeinsame IKT-Systeme zurückgreifen. In diesem Fall ist es wichtig, dass die TLPT-Behörden bei der Beurteilung, ob ein Finanzunternehmen der Pflicht zur Durchführung von TLPT unterworfen werden sollte und ob der TLPT auf Unternehmensebene oder auf Gruppenebene (in Form eines gemeinsamen TLPT) durchgeführt werden sollte, die Struktur und den systemischen Charakter oder die Bedeutung des betreffenden Finanzunternehmens für den Finanzsektor auf nationaler oder Unionsebene berücksichtigen.

Um dem TIBER-EU-Rahmen Rechnung zu tragen, muss die Testmethodik die Einbeziehung der folgenden Hauptbeteiligten vorsehen: das Finanzunternehmen mit einem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; (das dem „Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;“ im Rahmen von TIBER-EU entspricht) und einem Blue Teamdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; (das dem „Blue Teamdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben;“ im Rahmen von TIBER-EU entspricht) und die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; in Form eines TLPT-Cyberteamsoder „TCT“ die Mitarbeiter der TLPT-Behörden, die für mit TLPT verbundene Angelegenheiten zuständig sind; (das dem „TIBER-Cyberteam“ im Rahmen von TIBER-EU entspricht), ein Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und Tester (wobei die Tester dem „Red-Team-Anbieter“ im Rahmen von TIBER-EU entsprechen).

Um sicherzustellen, dass in den TLPT die im Rahmen der Umsetzung von TIBER-EU gewonnenen Erfahrungen einfließen, und um die mit der Durchführung von TLPT verbundenen Risiken zu verringern, sollte sichergestellt werden, dass die Zuständigkeiten der TLPT-Cyberteamsoder „TCT“ die Mitarbeiter der TLPT-Behörden, die für mit TLPT verbundene Angelegenheiten zuständig sind;, die auf der Ebene der TLPT-Behörden eingerichtet werden, so weit wie möglich denen der TIBER-EU-Cyberteams entsprechen. Daher sollten für die TLPT-Cyberteamsoder „TCT“ die Mitarbeiter der TLPT-Behörden, die für mit TLPT verbundene Angelegenheiten zuständig sind; Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; bestimmt werden, die für die Beaufsichtigung der einzelnen TLPT sowie für die Planung und Koordinierung der einzelnen Tests verantwortlich sind. TLPT-Cyberteamsoder „TCT“ die Mitarbeiter der TLPT-Behörden, die für mit TLPT verbundene Angelegenheiten zuständig sind; sollten eine zentrale Anlaufstelle für die testbezogene Kommunikation mit internen und externen Interessenträgern, für die Sammlung und Verarbeitung von Rückmeldungen und Erkenntnissen aus bereits durchgeführten Tests und für die Unterstützung von Finanzunternehmen, bei denen ein TLPT durchgeführt wird, sein.

Um der Methodik des TIBER-EU-Rahmens Rechnung zu tragen, sollten Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; über die erforderlichen Fähigkeiten und Kompetenzen für die Begutachtung der Vorschläge der Tester und die entsprechende Beratung verfügen. Die Erfahrung im Rahmen des TIBER-EU-Rahmens hat gezeigt, dass es sinnvoll ist, jedem Test ein Team aus mindestens zwei Testmanagern zuzuweisen. Da mithilfe des TLPT die Lernerfahrung verbessert werden soll, und um die Vertraulichkeit der Tests zu wahren, wird den TLPT-Behörden dringend empfohlen, dafür zu sorgen, dass Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; während der Dauer eines TLPT keine Aufsichtstätigkeiten über das Finanzunternehmen, das sich einem TLPT unterzieht, ausüben (vorausgesetzt, bei den Behörden sind die nötigen Ressourcen oder Kompetenzen vorhanden).

Um dem TIBER-EU-Rahmen zu entsprechen, muss die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; den Test in jeder einzelnen Phase genau verfolgen. Angesichts der Art des Tests und der damit verbundenen Risiken ist es von entscheidender Bedeutung, dass die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; in jede einzelne Testphase einbezogen wird. Insbesondere sollte die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; konsultiert werden und die Bewertungen oder Entscheidungen der Finanzunternehmen validieren, die zum einen die Wirksamkeit des Tests beeinflussen und sich zum anderen auf die mit dem Test verbundenen Risiken auswirken können. Zu den grundlegenden Schritten, bei denen eine spezifische Einbeziehung der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; erforderlich ist, gehören die Validierung bestimmter grundlegender Bestandteile der Testdokumentation, die Auswahl von Anbietern von Bedrohungsanalysen und Testern sowie die Festlegung von Risikomanagementmaßnahmen. Die Einbeziehung der TLPT-Behörden, insbesondere bei Validierungen, sollte den Arbeitsaufwand dieser Behörden nicht übermäßig erhöhen und daher auf die Dokumente und Entscheidungen beschränkt bleiben, die sich unmittelbar auf die Durchführung des TLPT auswirken. Durch die aktive Einbeziehung in jede Testphase können die TLPT-Behörden effektiv bewerten, ob die Finanzunternehmen die einschlägigen Anforderungen erfüllen, und entsprechend die Bescheinigung gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 ausstellen.

Die Geheimhaltung des TLPT ist äußerst wichtig, um sicherzustellen, dass die Testbedingungen realistisch sind. Aus diesem Grund sollten die Tests verdeckt erfolgen und es sollten Vorkehrungen getroffen werden, um die Vertraulichkeit des TLPT zu wahren. Beispielsweise sollten Codenamen so gewählt werden, dass eine Identifizierung des TLPT durch Dritte nicht möglich ist. Sollten Mitarbeiter, die für die Sicherheit des Finanzteams zuständig sind, von einem geplanten oder laufenden TLPT erfahren, sind sie wahrscheinlich aufmerksamer und wachsamer als unter normalen Arbeitsbedingungen, was zu einem anderen Testergebnis führen würde. Mitarbeiter des Finanzunternehmens, die nicht dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; angehören, sollten daher nur dann über geplante oder laufende TLPT informiert werden, wenn triftige Gründe vorliegen, und vorbehaltlich der vorherigen Zustimmung der Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen;, um unter anderem die Geheimhaltung des Tests zu gewährleisten, falls ein Mitglied des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; den Test aufdeckt.

Wie die im Rahmen des TIBER-EU-Rahmens gewonnenen Erkenntnisse in Bezug auf das „Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;“ gezeigt haben, ist die Auswahl eines geeigneten Leiters für das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; unerlässlich für die sichere Durchführung des TLPT. Der Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; sollte innerhalb des Finanzunternehmens über das erforderliche Mandat verfügen, um über alle Aspekte des Tests zu entscheiden, ohne dessen Vertraulichkeit zu gefährden. Aus demselben Grund sollten die Mitglieder des Kontrollteamsdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; über weitreichende Kenntnisse des Finanzunternehmens, der Rolle und der strategischen Positionierung des Leiters des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; verfügen, die erforderliche hierarchische Position und Zugang zur Geschäftsleitung haben. Um das Risiko einer Gefährdung des TLPT zu verringern, sollte das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; so klein wie möglich sein.

Mit einem TLPT sind Risikokomponenten verbunden, da kritische Funktionen in einer Live-Produktionsumgebung getestet werden. Dies kann Denial-of-Service-Vorfälle, unerwartete Systemabstürze, Schäden an kritischen Live-Produktionssystemen oder den Verlust, die Veränderung oder die Offenlegung von Daten zur Folge haben. Diese Risiken machen deutlich, dass robuste Risikomanagementmaßnahmen erforderlich sind. Um sicherzustellen, dass der TLPT während der gesamten Testdauer kontrolliert durchgeführt wird, ist es sehr wichtig, dass sich die Finanzunternehmen jederzeit der besonderen Risiken bewusst sind, die mit einem TLPT verbunden sind, und dass diese Risiken gemindert werden. In diesem Zusammenhang kann unbeschadet der internen Prozesse des Finanzunternehmens und der Verantwortlichkeiten und Befugnisse, die dem Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; bereits übertragen wurden, die Bereitstellung von Informationen über die TLPT-bezogenen Risikomanagementmaßnahmen oder — in besonderen Fällen — die Genehmigung dieser Risikomanagementmaßnahmen durch das Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). des Finanzunternehmens geboten sein. Um effektive und qualifizierte professionelle Dienstleistungen erbringen zu können und diese Risiken zu mindern, ist es zudem von entscheidender Bedeutung, dass die Tester und die Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; (zusammen im Folgenden „TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen;“) über ein Höchstmaß an Fähigkeiten, Fachwissen und angemessene Erfahrung im Bereich Bedrohungsanalysen und TLPT in der Finanzdienstleistungsbranche verfügen.

Herkömmliche Penetrationstests ermöglichen eine detaillierte und hilfreiche Bewertung technischer und Konfigurationsschwachstellen, die häufig nur ein einzelnes System oder eine einzelne Umgebung betreffen und isoliert betrachtet werden. Im Gegensatz zu einem erkenntnisgestützten Red-Team-Test wird dabei nicht das gesamte Szenario eines gezielten Angriffs auf ein ganzes Unternehmen, einschließlich seiner Mitarbeiter, Prozesse und Technologien, bewertet. Bei der Auswahl der TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; sollten Finanzunternehmen daher sicherstellen, dass diese Anbieter über die erforderlichen Fähigkeiten verfügen, um erkenntnisgestützte Red-Team-Tests durchzuführen, und nicht nur Penetrationstests. Es müssen daher umfassende Kriterien für interne und externe Tester sowie für Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; (immer extern) festgelegt werden. Gehören die TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; demselben Unternehmen an, sollte sichergestellt werden, dass das für einen TLPT eingesetzte Personal angemessen von den übrigen Mitarbeitern getrennt ist.

In Ausnahmefällen kann es sein, dass ein Finanzunternehmen keine TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; findet, die die umfassenden Kriterien erfüllen. Können Finanzunternehmen den Nachweis erbringen, dass solche Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; nicht verfügbar sind, sollten sie die Möglichkeit haben, Personen zu beauftragen, die nicht alle umfassenden Kriterien erfüllen, sofern sie die sich daraus ergebenden zusätzlichen Risiken angemessen mindern und die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; sämtliche dieser Kriterien bewertet.

Sind mehrere Finanzunternehmen und mehrere TLPT- Behörden an einem TLPT beteiligt, sollten die Rollen aller am TLPT-Verfahren beteiligten Parteien festgelegt werden, damit der Test so effizient und sicher wie möglich durchgeführt wird. Bei gebündelten Tests müssen spezifische Anforderungen für die Festlegung der Rolle des benannten Finanzunternehmens gelten, d. h. dieses Finanzunternehmen sollte insbesondere dafür verantwortlich sein, der federführenden TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; alle erforderlichen Dokumente zur Verfügung zu stellen und das Testverfahren zu überwachen. Das benannte Finanzunternehmen sollte auch für die allgemeinen Aspekte der Risikomanagementbewertung verantwortlich sein. Ungeachtet der Rolle des benannten Finanzunternehmens sollten die Pflichten jedes Finanzunternehmens, das an dem gebündelten TLPT beteiligt ist, während des gebündelten Tests unberührt bleiben. Derselbe Grundsatz sollte auch für gemeinsame TLPT gelten.

Wie die Erfahrung mit der Umsetzung des TIBER-EU-Rahmens gezeigt hat, sind Präsenz- oder virtuelle Sitzungen mit allen betroffenen Interessenträger (Finanzunternehmen, Behörden, Tester und Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;) der effizienteste Weg, um eine angemessene Durchführung der Tests sicherzustellen. Daher sollten in verschiedenen Phasen des Prozesses Präsenz- und virtuelle Sitzungen abgehalten werden, das heißt während der Vorbereitungsphase zu Beginn des TLPT, um den Testumfang festzulegen, während der Testphase, um den Bedrohungsanalysebericht, den Red-Team-Testplan und die wöchentlichen Fortschrittsberichte zu erstellen, und während der Abschlussphase, um die Handlungen der Tester und des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; zu wiederholen, für das Purple-Teaminggemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind; und um Rückmeldungen zu dem TLPT auszutauschen.

Um eine reibungslose Durchführung des TLPT zu gewährleisten, sollte die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; dem Finanzunternehmen ihre Erwartungen in Bezug auf den Test klar darlegen. In diesem Zusammenhang sollten die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; sicherstellen, dass ein angemessener Informationsfluss mit dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; innerhalb des Finanzunternehmens und mit den TLPT-Anbietern eingerichtet wird.

Das Finanzunternehmen sollte festlegen, welche kritischen oder wichtigen Funktionen in den Anwendungsbereich des TLPT fallen. Dabei sollte sich das Finanzunternehmen auf verschiedene Kriterien stützen, die sich auf die Bedeutung der jeweiligen Funktion für das Finanzunternehmen selbst und für den Finanzsektor auf Unions- und nationaler Ebene beziehen, und zwar nicht nur in wirtschaftlicher Hinsicht, sondern auch unter Berücksichtigung des symbolischen oder politischen Status der Funktion. Um einen reibungslosen Übergang zur Phase der Gewinnung von Bedrohungsinformationen zu erleichtern, sollte das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; den nicht am Scoping-Verfahren beteiligten Testern und Anbietern von Bedrohungsanalysen detaillierte Informationen über den vereinbarten Testumfang zur Verfügung stellen.

Um den Testern die Informationen zur Verfügung zu stellen, die erforderlich sind, um einen realen und realistischen Angriff auf die Live-Systeme des Finanzunternehmens, die seinen kritischen oder wichtigen Funktionen zugrunde liegen, zu simulieren, sollte der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; Erkenntnisse oder Informationen gewinnen, die mindestens zwei wichtige Interessenbereiche abdecken: die Angriffsziele, indem potenzielle Angriffsflächen im Finanzunternehmen ermittelt werden, und die Bedrohungen, indem relevante Angreifer und wahrscheinliche Bedrohungsszenarien ermittelt werden. Um sicherzustellen, dass der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; die für das Finanzunternehmen relevanten Bedrohungen berücksichtigt, sollten die Tester, das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; Rückmeldungen zum Entwurf des Bedrohungsanalyseberichts geben. Sofern verfügbar, kann der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; von der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; für den Finanzsektor eines Mitgliedstaats bereitgestellte Informationen über die allgemeine Bedrohungslage als Ausgangsbasis für die nationale Bedrohungslage verwenden. Wird der TIBER-EU-Rahmen angewendet, dauert die Gewinnung von Bedrohungsinformationen in der Regel etwa vier Wochen.

Damit die Tester Einblicke gewinnen und das Scoping-Dokument und den spezifischen Bedrohungsanalysebericht weitergehend prüfen können, um den Red-Team-Testplan zu erstellen, ist es äußerst wichtig, dass die Tester vor der Red-Team-Testphase des TLPT vom Bedrohungsanalyse-Anbieter detaillierte Erläuterungen zu dem spezifischen Bedrohungsanalysebericht und zur Analyse möglicher Bedrohungsszenarien erhalten.

Damit die Tester einen realistischen und umfassenden Test durchführen können, bei dem alle Angriffsphasen durchgespielt und die vordefinierten Ziele (im Folgenden „Flagsoder „vordefinierte Ziele“ Kernziele der IKT-Systeme zur Unterstützung kritischer oder wichtiger Funktionen eines Finanzunternehmens, die die Tester mit dem Test zu erreichen versuchen;“) erreicht werden, sollte ausreichend Zeit für die aktive Red-Team-Testphase vorgesehen werden. Die Erfahrung mit dem TIBER-EU-Rahmen hat gezeigt, dass mindestens zwölf Wochen vorgesehen werden sollten; bei der Festlegung des Zeitrahmens sollten die Anzahl der beteiligten Parteien, der Umfang des TLPT, die Ressourcen des (der) beteiligten Finanzunternehmen(s), etwaige externe Anforderungen und die Verfügbarkeit der vom Finanzunternehmen bereitgestellten ergänzenden Informationen berücksichtigt werden.

Während der aktiven Red-Team-Testphase sollten die Tester eine Reihe von Taktiken, Techniken und Verfahren (im Folgenden „TTP“) anwenden, um die Live-Produktionssysteme des Finanzunternehmens angemessen zu testen. Die TTP sollten gegebenenfalls die Auskundschaftung (d. h. die Gewinnung möglichst vieler Informationen über das Angriffsziel — „Reconnaissance“), die Vorbereitung des Angriffs (d. h. die Analyse von Informationen über Infrastruktur, Einrichtungen und Mitarbeiter sowie die Vorbereitung der zielspezifischen Handlungen — „Weaponization“), die Platzierung des Schädlings (d. h. Beginn des Angriffs auf das Ziel — „Delivery“) und die Erlangung des Zugriffs (d. h. Kompromittierung der Server und Netzwerke des Finanzunternehmens und Verleitung seiner Mitarbeiter durch Social Engineering — „Exploitation“), Kontrolle und laterale Bewegung (d. h. Versuche, von den kompromittierten Systemen zu noch stärker gefährdeten oder wertvolleren Systemen überzugehen) und Erreichen des Angriffsziels (d. h. weiterer Zugriff auf kompromittierte Systeme und Zugang zu den Informationen und Daten des Angriffsziels, wie im Red-Team-Testplan vereinbart).

Bei der Durchführung eines TLPT sollten die Tester das für den Angriff zur Verfügung stehende Zeitbudget, die Ressourcen sowie ethische und rechtliche Grenzen berücksichtigen. Sollten die Tester nicht in der Lage sein, zur geplanten nächsten Angriffsphase überzugehen, sollte das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; mit Zustimmung der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; Unterstützung in Form von sogenannten „Hilfestellungen“ (Leg-upmeans the assistance or information provided by the control team to the testers to enable the testers to continue the execution of an attack path where they are not able to advance on their own, and where no other reasonable alternative exists, including for insufficient time or resources in a given TLPT;) leisten. Hilfestellungen können im Wesentlichen in den Bereichen Information und Zugang geleistet werden und darin bestehen, Zugang zu IKT-Systemen oder internen Netzwerken zu gewähren, damit der Test fortgesetzt werden und das Team sich auf die nachfolgenden Angriffsschritte konzentrieren kann.

Während des aktiven Red-Teamings in der Testphase sollte, falls dies erforderlich ist, um die Fortsetzung des TLPT zu ermöglichen, in Ausnahmefällen als letztes Mittel, und sofern alle alternativen Optionen ausgeschöpft wurden, auf eine gemeinsame Durchführung des Tests, an dem dann sowohl die Tester als auch das Blue Teamdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; teilnehmen, zurückgegriffen werden. Im Rahmen eines solchen Purple-Teaminggemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind;, das auf Ausnahmefälle begrenzt ist, können folgende Methoden angewendet werden: „Catch-and-Release“, d. h. die Tester versuchen, die Szenarien fortzusetzen, werden entdeckt, und nehmen den Test anschließend wieder auf, „War Gaming“, das komplexere Szenarien ermöglicht, um strategische Entscheidungen zu testen, oder „Collaborative Proof-of-Concept“, der es Testern und Mitgliedern des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; ermöglicht, spezifische Sicherheitsmaßnahmen, -tools oder -techniken in einer kontrollierten und kooperativen Umgebung gemeinsam zu validieren.

Der TLPT sollte als Lernerfahrung genutzt werden, um die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; von Finanzunternehmen zu verbessern. In diesem Zusammenhang sollten das Blue Teamdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; und die Tester den Angriff wiederholen und die durchgeführten Schritte analysieren, um in Zusammenarbeit mit den Testern Erkenntnisse aus den Tests zu gewinnen. Hierzu und um eine angemessene Vorbereitung zu ermöglichen, sollten der Red-Team-Testbericht und der Blue-Team-Testbericht allen an der Wiederholung beteiligten Parteien vor deren Durchführung zur Verfügung gestellt werden. Darüber hinaus sollte in der Abschlussphase ein Purple-Teaminggemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind; stattfinden, um die Lernerfahrung zu maximieren. Die Methoden, die in der Abschlussphase für das Purple-Teaminggemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind; verwendet werden können, sollten Diskussionen über alternative Angriffsszenarien, die Analyse alternativer Szenarien für Live-Systeme oder die erneute Analyse geplanter Szenarien für Live-Systeme umfassen, die die Tester während der Testphase nicht abschließen oder ausführen konnten.

Um die Lernerfahrung aller am TLPT beteiligten Parteien im Hinblick auf künftige Tests weiter zu verbessern und die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; von Finanzunternehmen zu fördern, sollten die betroffenen Parteien einander Rückmeldungen zum gesamten Prozess geben und insbesondere ermitteln, welche Aktivitäten gut vorangekommen sind oder hätten verbessert werden können und welche Aspekte des TLPT-Verfahrens gut funktioniert haben oder verbessert werden könnten.

Die in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden und — falls davon abweichend — die TLPT-Behörden sollten zusammenarbeiten, um fortgeschrittene Tests in Form von TLPT in die bestehenden Aufsichtsverfahren einzubeziehen. In diesem Zusammenhang und um das korrekte Verständnis der aus dem TLPT gewonnenen Erkenntnisse und die Art und Weise der Interpretation zu kommunizieren, sollte insbesondere für den zusammenfassenden Testbericht und die Pläne mit Abhilfemaßnahmen eine enge Zusammenarbeit zwischen den am TLPT beteiligten Testmanagern und den zuständigen Aufsichtsbehörden stattfinden.

Nach Artikel 26 Absatz 8 Unterabsatz 1 der Verordnung (EU) 2022/2554 müssen Finanzunternehmen bei jedem dritten Test externe Tester beauftragen. Wenn Finanzunternehmen sowohl interne als auch externe Tester in das Testteam einbeziehen, ist dieser Test für die Zwecke des genannten Artikels als TLPT mit internen Testern zu betrachten.

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von der Europäischen Bankenaufsichtsbehörde, der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und der Europäischen Wertpapier- und Marktaufsichtsbehörde (im Folgenden „Europäische Aufsichtsbehörden“) im Einvernehmen mit der Europäischen Zentralbank vorgelegt wurde.

Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf offene öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(³)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj). eingesetzten Interessengruppe „Bankensektor“, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(⁴)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). eingesetzten Interessengruppen „Versicherung und Rückversicherung“ und „Betriebliche Altersversorgung“ sowie der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(⁵)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). eingesetzten Interessengruppe „Wertpapiere und Wertpapiermärkte“ eingeholt.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(⁶)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). konsultiert und gab am 20. August 2024 eine Stellungnahme ab ––