Art. 5 Risikomanagement bei TLPT | RTS on threat-led penetration testing | DORA

1. Während der Vorbereitungsphase gemäß Artikel 9 bewertet das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; die Risiken im Zusammenhang mit Tests der Live-Produktionssysteme kritischer oder wichtiger Funktionen des Finanzunternehmens, einschließlich möglicher Auswirkungen auf
  1. den Finanzsektor,
  2. die Finanzstabilität auf Unions- oder nationaler Ebene.
2. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; überprüft diese Auswirkungen während des gesamten Tests.
1. Für die Zwecke der Risikobewertung und des Risikomanagements berücksichtigt das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; mindestens die folgenden Arten von Risiken in Verbindung mit
  1. der Gewährung des Zugangs zu sensiblen Informationen über das Finanzunternehmen für die Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und gegebenenfalls externe Tester,
  2. der unzureichenden Einhaltung der Verordnung (EU) 2022/2554 und der vorliegenden Verordnung bei der Durchführung des TLPT, wenn diese unzureichende Einhaltung dazu führt, dass die in Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 genannte Bescheinigung nicht ausgestellt wird, auch wenn diese unzureichende Einhaltung auf Verletzungen der Vertraulichkeit des TLPT oder mangelndes ethisches Verhalten zurückzuführen ist,
  3. einer Eskalation in eine Krise oder einen Vorfall,
  4. der aktiven Red-Team-Phase, einschließlich der Risiken in Verbindung mit der Unterbrechung kritischer Tätigkeiten und der Datenkorruption aufgrund der Aktivitäten der Tester, und ihrer potenziellen Auswirkungen auf Dritte,
  5. der Aktivität des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben;, einschließlich der Risiken in Verbindung mit der Unterbrechung kritischer Tätigkeiten und der Datenkorruption aufgrund der Aktivitäten des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben;, und ihrer potenziellen Auswirkungen auf Dritte,
  6. der unvollständigen Wiederherstellung der vom TLPT betroffenen Systeme.