Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 27 Krav för testare vid utförandet av hotbildsstyrd penetrationstestning
Finansiella entiteter ska endast utföra sådana testare för att utföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som
är allra bäst lämpade och har högst anseende,
har teknisk och organisatorisk kapacitet och uppvisar särskild sakkunskap om underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv., penetrationstestning och red-team-testning,
har certifierats av ett ackrediteringsorgan i en medlemsstat eller ansluter sig till formella uppförandekoder eller etiska ramar,
lämnar en oberoende försäkran eller en revisionsberättelse om sund riskhantering i samband med utförandet av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., inbegripet relevant skydd av den finansiella entitetens konfidentiella information och ersättning för den finansiella entitetens affärsrisker,
har en relevant och heltäckande ansvarsförsäkring som omfattar risker för fel och försummelser i yrkesutövningen.
Vid användandet av interna testare ska finansiella entiteter säkerställa att, utöver villkoren i punkt 1, följande villkor är uppfyllda:
Sådan användning av dem har godkänts av den relevanta behöriga myndigheten eller av den enda offentliga myndighet som utsetts i enlighet med artikel 26.9 och 26.10.
Den relevanta behöriga myndigheten har verifierat att den finansiella entiteten har avsatt tillräckliga resurser och säkerställt att intressekonflikter kan undvikas under testets utformning och genomförande.
Leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. är extern i förhållande till den finansiella entiteten.
Finansiella entiteter ska se till att avtal som ingås med externa testare innehåller krav på en sund förvaltning av resultaten av den hotbildsstyrda penetrationstestningen och att all databehandling av dem, inbegripet generering, lagring, aggregering, utkast, rapportering, kommunikation eller förstörelse, inte skapar risker för den finansiella entiteten.
Relevant recitals
Skäl 25 Inconsistent digital operational resilience testing requirements
Krav på testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. komplicerat, vilket i sin tur kan fragmentera den inre marknaden.
Skäl 44 Costs of advanced digital resilience testing
Eftersom endast de finansiella entiteter som har identifierats vid tillämpning av avancerad testning av digital motståndskraft bör vara skyldiga att utföra hotbildsstyrda penetrationstester, bör dessutom de administrativa processer och finansiella kostnader som genomförandet av sådana tester medför överföras till en liten andel av finansiella entiteter.
Skäl 57 Harmonised TLPT requirements for cross-border financial entities
Finansiella entiteter som bedriver gränsöverskridande verksamhet och som utövar friheten att etablera sig eller tillhandahålla tjänster inom unionen bör uppfylla en enda uppsättning avancerade testkrav (t.ex. hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.) i sin hemmedlemsstat, vilka bör omfatta IKT-infrastrukturerna i alla jurisdiktioner i unionen där den gränsöverskridande finansiella koncernen bedriver verksamhet, vilket innebär att relaterade IKT-testningskostnader uppstår i endast en jurisdiktion för sådana gränsöverskridande finansiella koncerner.
Skäl 61 Internal and external testers for TLPT
För att dra fördel av de interna resurser som är tillgängliga på företagsnivå, bör denna förordning tillåta användningen av interna testare i syfte att utföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., under förutsättning att tillsynsmyndigheten godkänner det, att inga intressekonflikter föreligger och att användningen av interna och externa testare alternerar periodiskt (vart tredje test), och samtidigt kräver att den som tillhandahåller underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. för den hotbildsstyrda penetrationstestningen alltid är extern i förhållande till den finansiella entiteten. Ansvaret för att genomföra hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör till fullo ligga kvar hos den finansiella entiteten. Intyg från myndigheterna bör användas enbart för ömsesidigt erkännande och bör inte utesluta några uppföljningsåtgärder som krävs för att hantera den IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. som den finansiella entiteten är utsatt för, och inte heller betraktas som tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön..
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.