Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 15 Einsatz interner Tester
Die Finanzunternehmen treffen alle folgenden Vorkehrungen für den Einsatz interner Tester:
Festlegung und Umsetzung einer Strategie für das Management interner Tester bei einem TLPT,
Maßnahmen, mit denen sichergestellt wird, dass sich der Einsatz interner Tester für die Durchführung eines TLPT nicht nachteilig auf die allgemeinen Verteidigungs- oder Resilienzfähigkeiten des Finanzunternehmens in Bezug auf IKT-bezogene Vorfälle auswirkt oder sich erheblich auf die Verfügbarkeit von Ressourcen auswirkt, die während eines TLPT für IKT-bezogene Aufgaben eingesetzt werden,
Maßnahmen, mit denen sichergestellt wird, dass interne Tester über ausreichende Ressourcen und Fähigkeiten verfügen, um einen TLPT durchzuführen.
Die unter Buchstabe a genannte Strategie muss
Kriterien für die Beurteilung von Eignung, Kompetenz und potenziellen Interessenkonflikten der internen Tester enthalten und die Zuständigkeiten der Geschäftsleitung in dem Testverfahren enthalten,
dokumentiert und regelmäßig überprüft werden,
vorsehen, dass dem internen Testteam ein Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; und mindestens zwei zusätzliche Mitglieder angehören,
verlangen, dass alle Mitglieder des Testteams in den vorangegangenen zwölf Monaten bei dem Finanzunternehmen oder einem gruppeninternen IKT-Dienstleister beschäftigt waren,
Schulungen zur Durchführung von Penetrationstests und Red-Team-Tests für die internen Tester vorsehen.
Wenn eine TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; den Einsatz interner Tester gemäß Artikel 27 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 genehmigt, berücksichtigt die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen.
Beim Einsatz interner Tester stellt das Finanzunternehmen sicher, dass in den folgenden Dokumenten darauf verwiesen wird:
Informationen über die Einleitung des Tests gemäß Artikel 9,
Red-Team-Testbericht gemäß Artikel 12 Absatz 2,
Bericht mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß den Artikeln 26 Absatz 6 der Verordnung (EU) 2022/2554.
Tester, die bei einem gruppeninternen IKT-Dienstleister beschäftigt sind, gelten als interne Tester des Finanzunternehmens.
Relevant recitals
Erwägungsgrund 12 Comprehensive criteria for TLPT providers
Herkömmliche Penetrationstests ermöglichen eine detaillierte und hilfreiche Bewertung technischer und Konfigurationsschwachstellen, die häufig nur ein einzelnes System oder eine einzelne Umgebung betreffen und isoliert betrachtet werden. Im Gegensatz zu einem erkenntnisgestützten Red-Team-Test wird dabei nicht das gesamte Szenario eines gezielten Angriffs auf ein ganzes Unternehmen, einschließlich seiner Mitarbeiter, Prozesse und Technologien, bewertet. Bei der Auswahl der TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; sollten Finanzunternehmen daher sicherstellen, dass diese Anbieter über die erforderlichen Fähigkeiten verfügen, um erkenntnisgestützte Red-Team-Tests durchzuführen, und nicht nur Penetrationstests. Es müssen daher umfassende Kriterien für interne und externe Tester sowie für Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; (immer extern) festgelegt werden. Gehören die TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; demselben Unternehmen an, sollte sichergestellt werden, dass das für einen TLPT eingesetzte Personal angemessen von den übrigen Mitarbeitern getrennt ist.
Erwägungsgrund 13 Exemptions from TLPT provider criteria
In Ausnahmefällen kann es sein, dass ein Finanzunternehmen keine TLPT-AnbieterTester und Anbieter von Bedrohungsanalysen; findet, die die umfassenden Kriterien erfüllen. Können Finanzunternehmen den Nachweis erbringen, dass solche Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; nicht verfügbar sind, sollten sie die Möglichkeit haben, Personen zu beauftragen, die nicht alle umfassenden Kriterien erfüllen, sofern sie die sich daraus ergebenden zusätzlichen Risiken angemessen mindern und die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; sämtliche dieser Kriterien bewertet.
Erwägungsgrund 27 Mix of internal and external testers considered 'internal'
Nach Artikel 26 Absatz 8 Unterabsatz 1 der Verordnung (EU) 2022/2554 müssen Finanzunternehmen bei jedem dritten Test externe Tester beauftragen. Wenn Finanzunternehmen sowohl interne als auch externe Tester in das Testteam einbeziehen, ist dieser Test für die Zwecke des genannten Artikels als TLPT mit internen Testern zu betrachten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.