Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: DE

Artikel 7 Auswahl der TLPT-Anbieter

    1. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; ergreift Maßnahmen zur Steuerung der mit dem TLPT verbundenen Risiken und stellt insbesondere sicher, dass bei jedem TLPT

      1. der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und externe Tester dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; einen ausführlichen Lebenslauf und Kopien von Bescheinigungen vorlegen, die nach anerkannten Marktstandards eine geeignete Grundlage für die Durchführung ihrer Tätigkeiten sind,

      2. der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und externe Tester ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit,

      3. der Anbieter von Bedrohungsanalyen mindestens drei Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegt,

      4. die externen Tester mindestens fünf Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegen,

      5. die dem TLPT zugewiesenen Mitarbeiter des Anbieters von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;

        1. aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung im Bereich der BedrohungsanalyseInformationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe; und mindestens einem weiteren Mitglied mit mindestens zwei Jahren Erfahrung im Bereich der BedrohungsanalyseInformationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe; besteht,

        2. ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter

          1. Kenntnis der Taktiken, Techniken und Verfahren zur Informationsgewinnung,

          2. geopolitisches, technisches und sektorbezogenes Wissen,

          3. angemessene Kommunikationsfähigkeiten, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,

        3. in der Vergangenheit an insgesamt mindestens drei Arbeitsaufträgen im Bereich der BedrohungsanalyseInformationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe; im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,

        4. nicht gleichzeitig Blue-Team-AufgabenAufgaben, die in der Regel vom Blue Team wahrgenommen werden, wie z. B. Security Operation Centre (SOC), IKT-Infrastrukturdienstleistungen, Helpdesk-Dienstleistungen und Vorfallmanagement-Dienstleistungen auf operativer Ebene; oder andere Dienstleistungen ausführt, die einen Interessenkonflikt hinsichtlich des an dem TLPT, dem sie zugewiesen sind, beteiligten Finanzunternehmens, IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder gruppeninternen IKT-Dienstleisters darstellen könnten,

        5. von Mitarbeitern desselben TLPT-AnbietersTester und Anbieter von Bedrohungsanalysen;, der externe Tester für denselben TLPT bereitstellt, getrennt ist und diesen nicht Bericht erstattet,

      6. bei externen Testern das dem TLPT zugewiesene Red Teamdie internen oder externen Tester, die mit einem TLPT beauftragt oder betraut wurden;

        1. aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung mit Penetrationstests und Red-Team-Tests sowie mindestens zwei weiteren Testern, die jeweils mindestens zwei Jahre Erfahrung mit Penetrationstests und Red-Team-Tests haben, besteht,

        2. ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter Kenntnisse über die Geschäftstätigkeit des Finanzunternehmens, Auskundschaftung, Risikomanagement, Exploit-Entwicklung, physische Penetration, Social Engineering und Schwachstellenanalyse, und angemessene Kommunikationsfähigkeiten besitzt, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,

        3. in der Vergangenheit an insgesamt mindestens fünf Arbeitsaufträgen im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,

        4. weder bei einem Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;, der gleichzeitig Blue-Team-AufgabenAufgaben, die in der Regel vom Blue Team wahrgenommen werden, wie z. B. Security Operation Centre (SOC), IKT-Infrastrukturdienstleistungen, Helpdesk-Dienstleistungen und Vorfallmanagement-Dienstleistungen auf operativer Ebene; für ein an dem TLPT beteiligtes Finanzunternehmen, einen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder einen gruppeninternen IKT-Dienstleister wahrnimmt, beschäftigt ist noch Dienstleistungen für einen solchen Anbieter erbringt,

        5. von Mitarbeitern desselben TLPT-AnbietersTester und Anbieter von Bedrohungsanalysen; getrennt ist, der gleichzeitig Bedrohungsanalyse-Dienstleistungen für denselben TLPT erbringt,

      7. die Tester und der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; am Ende der Tests Wiederherstellungsverfahren durchführen, einschließlich der sicheren Löschung von Informationen im Zusammenhang mit Passwörtern, Zugangsdaten und anderen geheimen Schlüsseln, die während des TLPT kompromittiert wurden, der sicheren Kommunikation mit den Finanzunternehmen über die kompromittierten Konten, der sicheren Erfassung, Speicherung, Verwaltung und Vernichtung anderer während der Tests erhobener Daten,

      8. die Tester zusätzlich zu den Wiederherstellungsverfahren am Ende der Tests gemäß Buchstabe g die folgenden Wiederherstellungsverfahren durchführen:

        1. Deaktivierung von Command-and-Control-Diensten,

        2. Kill Switches für Umfang und Datum,

        3. Entfernung von Hintertüren und anderer Schadsoftware,

        4. Meldung möglicher Sicherheitsverletzungen,

        5. Verfahren für die künftige Backup-Wiederherstellung, die während des Tests installierte Schadsoftware oder Tools betreffen können,

        6. Überwachung der Aktivitäten des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; und Unterrichtung des Kontrollteamsdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;, wenn der Test aufgedeckt wird,

      9. die Tester und der Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; keine der folgenden Aktivitäten durchführen oder sich daran beteiligen:

        1. unbefugte Zerstörung von Ausrüstung des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;,

        2. unkontrollierte Veränderung der Informationen und IKT-Ressourcen des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;,

        3. vorsätzliche Gefährdung der Kontinuität kritischer oder wichtiger Funktionen des Finanzunternehmens,

        4. unbefugte Einbeziehung von Systemen, die nicht in den Anwendungsbereich fallen,

        5. unbefugte Offenlegung der Testergebnisse.

    1. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; führt Aufzeichnungen über die von den Testern und den Anbietern von Bedrohungsanalysen zum Nachweis der Einhaltung von Absatz 1 Buchstaben a bis f bereitgestellten Dokumente.

    2. In Ausnahmefällen können Finanzunternehmen externe Tester und Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; beauftragen, die eine oder mehrere der in Absatz 1 Buchstaben a bis f genannten Anforderungen nicht erfüllen, sofern diese Finanzunternehmen geeignete Maßnahmen ergreifen, um die Risiken in Verbindung mit der Nichteinhaltung dieser Buchstaben zu mindern, und über diese Maßnahmen Aufzeichnungen führen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod