Art. 27 Krav för testare vid utförandet av hotbildsstyrd penetrationstestning | DORA regulation | DORA

1. Finansiella entiteter ska endast utföra sådana testare för att utföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som
  1. är allra bäst lämpade och har högst anseende,
  2. har teknisk och organisatorisk kapacitet och uppvisar särskild sakkunskap om underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv., penetrationstestning och red-team-testning,
  3. har certifierats av ett ackrediteringsorgan i en medlemsstat eller ansluter sig till formella uppförandekoder eller etiska ramar,
  4. lämnar en oberoende försäkran eller en revisionsberättelse om sund riskhantering i samband med utförandet av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., inbegripet relevant skydd av den finansiella entitetens konfidentiella information och ersättning för den finansiella entitetens affärsrisker,
  5. har en relevant och heltäckande ansvarsförsäkring som omfattar risker för fel och försummelser i yrkesutövningen.
1. Vid användandet av interna testare ska finansiella entiteter säkerställa att, utöver villkoren i punkt 1, följande villkor är uppfyllda:
  1. Sådan användning av dem har godkänts av den relevanta behöriga myndigheten eller av den enda offentliga myndighet som utsetts i enlighet med artikel 26.9 och 26.10.
  2. Den relevanta behöriga myndigheten har verifierat att den finansiella entiteten har avsatt tillräckliga resurser och säkerställt att intressekonflikter kan undvikas under testets utformning och genomförande.
  3. Leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. är extern i förhållande till den finansiella entiteten.
1. Finansiella entiteter ska se till att avtal som ingås med externa testare innehåller krav på en sund förvaltning av resultaten av den hotbildsstyrda penetrationstestningen och att all databehandling av dem, inbegripet generering, lagring, aggregering, utkast, rapportering, kommunikation eller förstörelse, inte skapar risker för den finansiella entiteten.