Artikel 9 Vorbereitungsphase

1. Ein nach Artikel 26 Absatz 8 Unterabsatz 3 der Verordnung (EU) 2022/2554 bestimmtes Finanzunternehmen leitet einen TLPT ein, nachdem es von der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; eine Aufforderung zur Durchführung eines TLPT erhalten hat.
1. Das Finanzunternehmen übermittelt den Testmanagern innerhalb von drei Monaten nach Erhalt der in Absatz 1 genannten Aufforderung alle folgenden Informationen über die Einleitung des TLPT:
  1. Projektcharta mit einem übergeordneten Projektplan, der die in Anhang I aufgeführten Angaben enthält,
  2. Kontaktdaten des Leiters des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist;,
  3. Informationen über den beabsichtigten Einsatz interner oder externer Tester oder beidem, wie in Artikel 15 dargelegt,
  4. Angaben zu den Kommunikationskanälen, die während des TLPT genutzt werden sollen,
  5. Codename für den TLPT.
1. Sind die in Absatz 2 Buchstaben a bis e genannten Informationen vollständig und stellen die Angemessenheit und wirksame Durchführung des TLPT sicher, so validiert die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; die vom Finanzunternehmen vorgelegten Informationen, die die Einleitung des TLPT betreffen, und unterrichtet das Finanzunternehmen über die Validierung.
1. Nach der Validierung der Informationen über die Einleitung des TLPT durch die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; richtet das Finanzunternehmen ein Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; ein, das den Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; bei seinen folgenden Aufgaben unterstützt:
  1. Festlegung von Kommunikationskanälen und -prozessen innerhalb des Kontrollteamsdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;, mit den Testern und den Anbietern von Bedrohungsanalysen in allen mit dem TLPT verbundenen Belangen,
  2. Unterrichtung des Leitungsorgansein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(31) Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32)., von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen; des Finanzunternehmens über den Fortgang des TLPT und die damit verbundenen Risiken,
  3. Entscheidungsfindung auf der Grundlage von Fachkompetenz während des gesamten TLPT,
  4. Durchführung des TLPT im Einklang mit dieser Verordnung,
  5. Auswahl des Anbieters von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; für den TLPT,
  6. Auswahl der externen Tester, der internen Tester oder beidem,
  7. Ausarbeitung des Scoping-Dokuments zur Festlegung des Testumfangs.
1. Ist die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; der Auffassung, dass die anfängliche Zusammensetzung des Kontrollteamsdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und etwaige spätere Änderungen der Zusammensetzung für die Erfüllung der in Absatz 4 genannten Aufgaben angemessen sind, so validiert die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; und unterrichtet den Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; über diese Validierung.
1. Das Finanzunternehmen legt den Testleitern innerhalb von sechs Monaten nach Eingang der Unterrichtung der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; gemäß Absatz 1 ein Dokument zur Beschreibung des Testumfangs mit allen in Anhang II aufgeführten Informationen vor. Das Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(31) Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32)., von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen; des Finanzunternehmens genehmigt das Scoping-Dokument.
1. Die Finanzunternehmen berücksichtigen bei der Einbeziehung kritischer oder wichtiger Funktionen in den Anwendungsbereich des TLPT die folgenden Kriterien:
  1. Kritikalität oder Bedeutung der Funktion und ihre möglichen Auswirkungen auf den Finanzsektor und die Finanzstabilität auf Unions- und nationaler Ebene,
  2. Bedeutung der Funktion für den laufenden Geschäftsbetrieb des Finanzunternehmens,
  3. Austauschbarkeit der Funktion,
  4. Verflechtung mit anderen Funktionen,
  5. geografischer Standort der Funktion,
  6. sektorale Abhängigkeit anderer Unternehmen von der Funktion,
  7. Bedrohungsanalysen in Bezug auf die Funktion, soweit vorhanden.
1. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; legt die Informationen über die Einleitung des TLPT und das Scoping-Dokument den Testern und Anbietern von Bedrohungsanalysen vor, sobald diese beauftragt wurden. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; informiert die Tester und Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; über das anzuwendende Testverfahren.
1. Das Finanzunternehmen stellt sicher, dass die Beauftragung oder Zuweisung von Testern und Anbietern von Bedrohungsanalysen vor Beginn der Testphase abgeschlossen ist.
1. Vor Einleitung der Testphase konsultiert das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; zur TLPT-bezogenen Risikobewertung und zu den Risikomanagementmaßnahmen. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; überprüft die Risikobewertung bzw. die Risikomanagementmaßnahmen, wenn die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; der Auffassung ist, dass sie den mit dem TLPT verbundenen Risiken nicht angemessen Rechnung tragen.
1. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; bewertet die Einhaltung der Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung durch die Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und Tester, die es in den TLPT einbeziehen möchte, und dokumentiert das Ergebnis dieser Bewertung. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; wählt die Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; nach Maßgabe dieser Bewertung und seiner Risikomanagementpraktiken aus. Vor der Beauftragung der ausgewählten Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und externen Tester legt das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; den Testmanagern Nachweise vor, dass diese Anbieter und Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung erfüllen. Das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; darf die ausgewählten Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und externen Tester nicht beauftragen, wenn die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; der Auffassung ist, dass die ausgewählten Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln; und externen Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 oder die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen oder zusätzliche Anforderungen, die sich aus einzelstaatlichen Rechtsvorschriften über die Sicherheit im Einklang mit dem Unionsrecht ergeben, nicht erfüllen, oder wenn das Finanzunternehmen die Anforderungen des Artikels 7 Absatz 2 Unterabsatz 1 der vorliegenden Verordnung nicht erfüllt oder wenn die in Artikel 7 Absatz 2 Unterabsatz 2 der vorliegenden Verordnung genannten Voraussetzungen nicht gegeben sind.
1. Ist das Scoping-Dokument vollständig und gewährleistet die Durchführung eines angemessenen und wirksamen TLPT, so genehmigt die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; dieses Dokument und unterrichtet den Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; darüber.

Relevant recitals

Erwägungsgrund 7 Skills and capabilities of test managers

Um der Methodik des TIBER-EU-Rahmens Rechnung zu tragen, sollten Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; über die erforderlichen Fähigkeiten und Kompetenzen für die Begutachtung der Vorschläge der Tester und die entsprechende Beratung verfügen. Die Erfahrung im Rahmen des TIBER-EU-Rahmens hat gezeigt, dass es sinnvoll ist, jedem Test ein Team aus mindestens zwei Testmanagern zuzuweisen. Da mithilfe des TLPT die Lernerfahrung verbessert werden soll, und um die Vertraulichkeit der Tests zu wahren, wird den TLPT-Behörden dringend empfohlen, dafür zu sorgen, dass Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; während der Dauer eines TLPT keine Aufsichtstätigkeiten über das Finanzunternehmen, das sich einem TLPT unterzieht, ausüben (vorausgesetzt, bei den Behörden sind die nötigen Ressourcen oder Kompetenzen vorhanden).

Erwägungsgrund 8 Involvement of TLPT authorities in the phases

Um dem TIBER-EU-Rahmen zu entsprechen, muss die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; den Test in jeder einzelnen Phase genau verfolgen. Angesichts der Art des Tests und der damit verbundenen Risiken ist es von entscheidender Bedeutung, dass die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; in jede einzelne Testphase einbezogen wird. Insbesondere sollte die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; konsultiert werden und die Bewertungen oder Entscheidungen der Finanzunternehmen validieren, die zum einen die Wirksamkeit des Tests beeinflussen und sich zum anderen auf die mit dem Test verbundenen Risiken auswirken können. Zu den grundlegenden Schritten, bei denen eine spezifische Einbeziehung der TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; erforderlich ist, gehören die Validierung bestimmter grundlegender Bestandteile der Testdokumentation, die Auswahl von Anbietern von Bedrohungsanalysen und Testern sowie die Festlegung von Risikomanagementmaßnahmen. Die Einbeziehung der TLPT-Behörden, insbesondere bei Validierungen, sollte den Arbeitsaufwand dieser Behörden nicht übermäßig erhöhen und daher auf die Dokumente und Entscheidungen beschränkt bleiben, die sich unmittelbar auf die Durchführung des TLPT auswirken. Durch die aktive Einbeziehung in jede Testphase können die TLPT-Behörden effektiv bewerten, ob die Finanzunternehmen die einschlägigen Anforderungen erfüllen, und entsprechend die Bescheinigung gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 ausstellen.

Erwägungsgrund 10 Importance of the control team lead

Wie die im Rahmen des TIBER-EU-Rahmens gewonnenen Erkenntnisse in Bezug auf das „Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;“ gezeigt haben, ist die Auswahl eines geeigneten Leiters für das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; unerlässlich für die sichere Durchführung des TLPT. Der Leiter des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; sollte innerhalb des Finanzunternehmens über das erforderliche Mandat verfügen, um über alle Aspekte des Tests zu entscheiden, ohne dessen Vertraulichkeit zu gefährden. Aus demselben Grund sollten die Mitglieder des Kontrollteamsdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; über weitreichende Kenntnisse des Finanzunternehmens, der Rolle und der strategischen Positionierung des Leiters des Kontrollteamsden Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist; verfügen, die erforderliche hierarchische Position und Zugang zur Geschäftsleitung haben. Um das Risiko einer Gefährdung des TLPT zu verringern, sollte das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; so klein wie möglich sein.

Erwägungsgrund 15 Regular meetings involving all stakeholders

Wie die Erfahrung mit der Umsetzung des TIBER-EU-Rahmens gezeigt hat, sind Präsenz- oder virtuelle Sitzungen mit allen betroffenen Interessenträger (Finanzunternehmen, Behörden, Tester und Anbieter von Bedrohungsanalysendie Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;) der effizienteste Weg, um eine angemessene Durchführung der Tests sicherzustellen. Daher sollten in verschiedenen Phasen des Prozesses Präsenz- und virtuelle Sitzungen abgehalten werden, das heißt während der Vorbereitungsphase zu Beginn des TLPT, um den Testumfang festzulegen, während der Testphase, um den Bedrohungsanalysebericht, den Red-Team-Testplan und die wöchentlichen Fortschrittsberichte zu erstellen, und während der Abschlussphase, um die Handlungen der Tester und des Blue Teamsdie Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben; zu wiederholen, für das Purple-Teaminggemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind; und um Rückmeldungen zu dem TLPT auszutauschen.

Erwägungsgrund 16 Communication between test manager and control team

Um eine reibungslose Durchführung des TLPT zu gewährleisten, sollte die TLPT-Behördeeine der folgenden Behörden:die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden; dem Finanzunternehmen ihre Erwartungen in Bezug auf den Test klar darlegen. In diesem Zusammenhang sollten die Testmanagerdie Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen; sicherstellen, dass ein angemessener Informationsfluss mit dem Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; innerhalb des Finanzunternehmens und mit den TLPT-Anbietern eingerichtet wird.

Erwägungsgrund 17 Selection of critical or important functions

Das Finanzunternehmen sollte festlegen, welche kritischen oder wichtigen Funktionen in den Anwendungsbereich des TLPT fallen. Dabei sollte sich das Finanzunternehmen auf verschiedene Kriterien stützen, die sich auf die Bedeutung der jeweiligen Funktion für das Finanzunternehmen selbst und für den Finanzsektor auf Unions- und nationaler Ebene beziehen, und zwar nicht nur in wirtschaftlicher Hinsicht, sondern auch unter Berücksichtigung des symbolischen oder politischen Status der Funktion. Um einen reibungslosen Übergang zur Phase der Gewinnung von Bedrohungsinformationen zu erleichtern, sollte das Kontrollteamdas Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt; den nicht am Scoping-Verfahren beteiligten Testern und Anbietern von Bedrohungsanalysen detaillierte Informationen über den vereinbarten Testumfang zur Verfügung stellen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.