Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: DE

Artikel 11 Testphase: Red-Team-Test

    1. Nach Genehmigung des spezifischen Bedrohungsanalyseberichts durch die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; arbeiten die Tester den Red-Team-Testplan aus, der die in Anhang IV aufgeführten Informationen enthält. Die Tester verwenden als Grundlage für die Entwicklung der Angriffsszenarien das Scoping-Dokument und den spezifischen Bedrohungsanalysebericht.

    1. Die Tester konsultieren das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;, den Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; zu dem Red-Team-Testplan, einschließlich der Kommunikations-, Verfahrens- und Projektmanagementmodalitäten, der vorbereitenden Maßnahmen und Anwendungsfälle für die Aktivierung der Hilfestellungen sowie der Modalitäten für die Berichterstattung an das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen;.

    1. Ist der Red-Team-Testplan vollständig und gewährleistet die Durchführung eines wirksamen TLPT, so genehmigen das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; den Plan und die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; unterrichtet den Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; darüber.

    1. Nach Genehmigung des Red-Team-Testplans gemäß Absatz 3 führen die Tester den TLPT während der aktiven Red-Team-Testphase durch.

    1. Die Dauer der aktiven Red-Team-Testphase steht in einem angemessenen Verhältnis zum Umfang des TLPT sowie zur Größe, Tätigkeit, Komplexität und Anzahl der am TLPT beteiligten Finanzunternehmen und IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder gruppeninternen IKT-Dienstleister und beträgt in jedem Fall mindestens zwölf Wochen. Angriffsszenarien können nacheinander oder gleichzeitig durchgeführt werden. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;, der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;, die Tester und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; einigen sich auf das Ende der aktiven Red-Team-Testphase.

    1. Sofern die Vollständigkeit des Red-Team-Testplans weiterhin gewährleistet ist und die Durchführung eines wirksamen TLPT möglich ist, genehmigen der Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; etwaige Änderungen des Red-Team-Testplans nach dessen Genehmigung, die sich auf den Zeitplan, den Umfang, die anzugreifenden Ziele oder die Flagsoder „vordefinierte Ziele“ Kernziele der IKT-Systeme zur Unterstützung kritischer oder wichtiger Funktionen eines Finanzunternehmens, die die Tester mit dem Test zu erreichen versuchen; beziehen können.

    1. Während der gesamten aktiven Red-Team-Testphase erstatten die Tester dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und den Testmanagern mindestens wöchentlich über den Fortgang des TLPT Bericht, und der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; steht dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; auf Anfrage für Konsultationen und zusätzliche Bedrohungsanalysen zur Verfügung.

    1. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; leistet rechtzeitig die auf der Grundlage des Red-Team-Testplans ausgearbeiteten Hilfestellungen. Nach Genehmigung durch das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; können Hilfestellungen hinzugefügt oder angepasst werden.

    1. Werden die Testaktivitäten von einem Mitarbeiter des Finanzunternehmens oder gegebenenfalls seines IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder eines gruppeninternen IKT-Dienstleisters aufgedeckt, so schlägt das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; den Testmanagern in Absprache mit den Testern und unbeschadet des Absatzes 10 Maßnahmen vor, die es ermöglichen, den TLPT fortzusetzen und gleichzeitig die Geheimhaltung zu wahren; diese Vorschläge werden von den Testmanagern validiert.

    1. Unter außergewöhnlichen Umständen, die das Risiko von Auswirkungen auf Daten, Schäden an Vermögenswerten und Störungen kritischer oder wichtiger Funktionen, Dienste oder Tätigkeiten des Finanzunternehmens selbst, seiner IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder gruppeninternen IKT-Dienstleister oder Störungen bei seinen Gegenparteien oder im Finanzsektor hervorrufen, kann der Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; den TLPT aussetzen oder als letztes Mittel, wenn die Fortsetzung des TLPT nicht anderweitig möglich ist und vorbehaltlich der vorherigen Validierung durch die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;, den TLPT mit einer begrenzten Purple-Teaming-Übung fortführen. Die Dauer der begrenzten Purple-Teaming-Übung wird auf die Mindestdauer der aktiven Red-Team-Testphase von zwölf Wochen gemäß Absatz 5 angerechnet.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod