RTS on threat-led penetration testing

Finansiella entiteter kan ha samma koncerninterna IKT-tjänsteleverantör eller tillhöra samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. och förlita sig på gemensamma IKT-system. I så fall är det viktigt att myndigheter med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. beaktar den finansiella entitetens struktur och betydelse för systemet som helhet eller betydelse för finanssektorn på nationell nivå eller unionsnivå vid bedömningen av huruvida en finansiell entitet bör omfattas av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. och huruvida den hotbildsstyrda penetrationstestningen bör genomföras på entitetsnivå eller koncernnivå (genom en samlad hotbildsstyrd penetrationstestningen annan hotbildsstyrd penetrationstestning än en gemensam hotbildsstyrd penetrationstestning enligt artikel 26.4 i förordning (EU) 2022/2554 som innefattar flera finansiella entiteter som använder samma koncerninterna IKT-tjänsteleverantör eller som tillhör samma koncern och delar IKT-system.).

För att avspegla TIBER-EU-ramen är det nödvändigt att testmetoden skapar förutsättningar för medverkan av följande huvuddeltagare: den finansiella entiteten, med ett ledningslaglag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet. (motsvarande TIBER-EU:s ”ledningslaglag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet.”) och ett blått lagpersonal hos den finansiella entiteten och, när så är relevant, personal hos den finansiella entitetens tredjepartsleverantörer av tjänster och eventuella andra parter som anses relevanta med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, som försvarar en finansiell entitets användning av nätverk och informationssystem genom att upprätthålla säkerheten gentemot simulerade eller verkliga angrepp och som inte känner till den hotbildsstyrda penetrationstestningen. (motsvarande TIBER-EU:s ”blå lag”), och myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., i form av ett cyberlag för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. (motsvarande TIBER-EU:s ”TIBER-cyberlag”), en leverantör av underrättelser om hotexperter som anlitas av den finansiella entiteten för varje enskild hotbildsstyrd penetrationstestning som är externa i förhållande till den finansiella entiteten och eventuella koncerninterna IKT-tjänsteleverantörer, vilka samlar in och analyserar målinriktade underrättelser om hot som är relevanta för den finansiella entiteten sett till en specifik hotbildsstyrd penetrationstestning och tar fram matchande relevanta och realistiska hotscenarier., och testare (där testarna motsvarar TIBER-EU:s ”rött lag-leverantör”).

För att se till att den hotbildsstyrda penetrationstestningen drar nytta av erfarenheterna från genomförandet av TIBER-EU och för att minska riskerna vid genomförandet av testningen, bör det säkerställas att ansvarsområdena för de cyberlag som ska inrättas vid myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. motsvarar ansvarsområdena för TIBER-EU:s cyberlag så nära som möjligt. Följaktligen bör cyberlagen för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. ha testledarepersonal som utsetts att leda aktiviteterna hos myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om en specifik hotbildsstyrd penetrationstestning för att övervaka efterlevnaden av denna förordning. som ansvarar för att övervaka enskilda hotbildsstyrda penetrationstestningar och för att planera och samordna enskilda tester. Cyberlag för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör fungera som en gemensam kontaktpunkt för testrelaterad kommunikation till interna och externa intressenter, för insamling och bearbetning av återkoppling och lärdomar från tidigare utförda tester och för stöd till finansiella entiteter som genomgår hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

För att avspegla TIBER-EU-ramens metoder bör testledarna ha nödvändig förmåga och kompetens för att kunna ge råd och ifrågasätta testarnas förslag. Erfarenheterna från TIBER-EU-ramen har visat att det är värdefullt att ha ett lag bestående av minst två testledarepersonal som utsetts att leda aktiviteterna hos myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om en specifik hotbildsstyrd penetrationstestning för att övervaka efterlevnaden av denna förordning. för varje test. För att återspegla att hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. är tänkt att uppmuntra till lärande, och för att skydda testernas konfidentialitet, uppmanas myndigheter med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. starkt att, såvida de inte har brist på resurser och expertis, ta hänsyn till att testledarna då testningen pågår inte bör bedriva tillsynsverksamhet på samma finansiella entitet som genomgår hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.

Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.

Som framgår av de erfarenheter som gjorts inom TIBER-EU-ramen när det gäller ”ledningslaget” är det absolut nödvändigt att välja en lämplig ledare för ledningslaget för att den hotbildsstyrda penetrationstestningen ska kunna genomföras på ett säkert sätt. Ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. bör ha det mandat inom den finansiella entiteten som krävs för att leda alla aspekter av testningen, utan att dess sekretess äventyras. Av samma skäl bör medlemmarna i ledningslaget ha djupgående kunskap om den finansiella entiteten och om den yrkesroll och strategiska position som ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. har, samt ha erforderlig tjänstgöringstid och direkt tillgång till styrelsen. För att minska risken för att den hotbildsstyrda penetrationstestningen avslöjas bör ledningslaget vara så litet som möjligt.

Det finns inneboende riskelement kopplade till hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. eftersom kritiska funktioner testas i en produktionsmiljö som är i drift, med risk att orsaka överbelastningstillbud, oväntade driftsavbrott i system, skador på kritiska produktionssystem som är i drift eller förlust, ändring eller avslöjande av data. Dessa risker innebär att det krävs tillförlitliga riskhanteringsåtgärder. För att säkerställa att den hotbildsstyrda penetrationstestningen utförs på ett kontrollerat sätt under hela testningen är det mycket viktigt att de finansiella entiteterna hela tiden är medvetna om de särskilda risker som uppstår vid en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. och att dessa risker minskas. Utan att det påverkar den finansiella entitetens interna processer och det ansvar och de delegeringar som ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. redan har fått, kan det i detta sammanhang vara lämpligt med information om riskhanteringsåtgärder kopplade till hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. eller, i specifika fall, godkännande av dessa riskhanteringsåtgärder av den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.. För att kunna tillhandahålla effektiva och högt kvalificerade yrkesmässiga tjänster och minska dessa risker är det också viktigt att testare och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. (tillsammans kallade leverantörer av hotbildsstyrd penetrationstestning) har mycket hög kompetens och sakkunskap samt lämplig erfarenhet av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. inom sektorn för finansiella tjänster.

Traditionella penetrationstester ger en detaljerad och användbar bedömning av tekniska och konfigurationsrelaterade sårbarheter, ofta isolerade till ett enda system eller en enda miljö, men till skillnad från underrättelsestyrda rött lag-tester bedömer de inte hela scenariot med ett riktat angrepp mot en hel entitet, där samtliga personer, processer och tekniska system berörs. Under urvalsprocessen för leverantörer av hotbildsstyrd penetrationstestningtestare och leverantörer av underrättelser om hot. bör finansiella entiteter därför säkerställa att dessa leverantörer har den kompetens som krävs för att utföra underrättelsestyrda rött lag-tester och inte bara penetrationstester. Det är således nödvändigt att fastställa heltäckande kriterier för testare, både interna och externa, och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv., som alltid är externa. När leverantörerna av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. tillhör samma företag bör personalen som utsetts att genomföra testningen hållas tillräckligt separerad.

Det kan finnas exceptionella omständigheter som gör att finansiella entiteter inte lyckas ingå avtal med leverantörer av hotbildsstyrd penetrationstestningtestare och leverantörer av underrättelser om hot. som uppfyller de heltäckande kriterierna. Finansiella entiteter bör därför, efter att ha bevisat att sådana leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. inte finns att tillgå, tillåtas att använda personer som inte uppfyller samtliga av de heltäckande kriterierna, förutsatt att de på ett korrekt sätt minskar eventuella ytterligare risker som följer av detta och att myndigheten som ansvarar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bedömer alla dessa kriterier.

Om flera finansiella entiteter och flera myndigheter med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. deltar i en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör rollerna för alla parter i testprocessen specificeras så att ett så effektivt och säkert test som möjligt kan genomföras. Vid gemensam testning behövs särskilda krav för att specificera den utsedda finansiella entitetens roll, närmare bestämt att den bör ansvara för att tillhandahålla all nödvändig dokumentation till den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. och för att övervaka testprocessen. Den utsedda finansiella entiteten bör även ansvara för de gemensamma aspekterna av riskhanteringsbedömningen. Oberoende av den utsedda finansiella entitetens roll bör skyldigheterna för varje finansiell entitet som deltar i den gemensamma processen för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. förbli opåverkade under det gemensamma testet. Samma princip bör gälla för samlad hotbildsstyrd penetrationstestningen annan hotbildsstyrd penetrationstestning än en gemensam hotbildsstyrd penetrationstestning enligt artikel 26.4 i förordning (EU) 2022/2554 som innefattar flera finansiella entiteter som använder samma koncerninterna IKT-tjänsteleverantör eller som tillhör samma koncern och delar IKT-system..

Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.

För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

Den finansiella entiteten bör välja ut de kritiska eller viktiga funktioner som ska omfattas av den hotbildsstyrda penetrationstestningen. När den finansiella entiteten väljer ut dessa funktioner bör den basera valet på olika kriterier för hur viktig varje funktion är för den finansiella entiteten själv och för finanssektorn, på unionsnivå och på nationell nivå, och inte bara i ekonomiskt avseende utan även med beaktande av funktionens symboliska eller politiska status. För att underlätta en smidig övergång till fasen för insamling av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. bör ledningslaget förse testare och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv., som inte är involverade i processen för att identifiera omfattningen, med detaljerad information om den överenskomna omfattningen.

För att förse testarna med den information som krävs för att simulera ett verkligt och realistiskt angrepp på den finansiella entitetens system i drift som stöder dess kritiska eller viktiga funktioner bör leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. samla in underrättelser eller information som omfattar minst två nyckelområden: målen, genom att identifiera potentiella angreppsytor inom hela den finansiella entiteten, och hoten, genom att identifiera relevanta hotaktörer och sannolika hotscenarier. För att säkerställa att leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. beaktar de relevanta hoten mot den finansiella entiteten bör testarna, ledningslaget och testledarna lämna återkoppling på utkastet till hotunderrättelserapport. Som utgångspunkt för den nationella hotbilden får leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. använda en generell hotbild som tillhandahålls av myndigheten som ansvarar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. för finanssektorn i en medlemsstat, om en sådan finns tillgänglig. Baserat på tillämpningen av TIBER-EU-ramen tar processen för insamling av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. vanligtvis cirka fyra veckor.

För att testarna ska kunna få insikt i och ytterligare granska omfattningsdokumentet och den målinriktade hotunderrättelserapporten, i syfte att slutföra rött lag-testplanen, är det viktigt att testarna före rött lag-testfasen i den hotbildsstyrda penetrationstestningen får detaljerade förklaringar av den målinriktade hotunderrättelserapporten och analysen av möjliga hotscenarier från leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv..

För att testarna ska kunna utföra en realistisk och heltäckande testning där alla angreppsfaser utförs och alla flaggorcentrala mål kopplade till de IKT-system som stöder en finansiell entitets kritiska eller viktiga funktioner vilka testarna försöker uppnå genom testet. nås bör tillräcklig tid avsättas för den aktiva rött lag-testfasen. Baserat på de erfarenheter som gjorts inom TIBER-EU-ramen bör den tid som avsätts vara minst tolv veckor och den bör fastställas med beaktande av antalet deltagande parter, omfattningen av den hotbildsstyrda penetrationstestningen, den eller de berörda finansiella entiteternas resurser, eventuella externa krav och tillgången till stödjande information som tillhandahålls av den finansiella entiteten.

Under den aktiva rött lag-testfasen bör testarna använda olika taktiker, teknik och förfaranden för att på lämpligt sätt testa den finansiella entitetens produktionssystem i drift. Taktikerna, tekniken och förfarandena bör, när så är lämpligt, innefatta rekognosering (dvs. insamling av så mycket information som möjligt om ett mål), användning av information som vapen (dvs. analys av information om infrastruktur, anläggningar och anställda och förberedelse för insatser riktade specifikt mot målet), utförande (dvs. aktiv igångsättning av hela insatsen mot målet), utnyttjande (dvs. där testarnas mål är att angripa den finansiella entitetens servrar och nätverk och utnyttja dess personal genom social manipulering), kontroll och förflyttning (dvs. försök att gå över från de angripna systemen till andra sårbara eller värdefulla system) och åtgärder gentemot målet (dvs. få ytterligare tillgång till angripna system och få tillgång till tidigare överenskommen målinformation och tidigare överenskomna måldata, enligt vad som tidigare överenskommits i planen för rött lag-testning).

När testare genomför en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör de agera med hänsyn till den tid som finns tillgänglig för att utföra angreppet, resurserna och etiska och rättsliga gränser. Om testarna inte kan gå vidare till nästa steg av angreppet enligt planen bör ledningslaget, efter överenskommelse med myndigheten som ansvarar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., ge tillfällig hjälp i form av hjälpinsatser. Hjälpinsatser kan i stora drag delas upp i hjälpinsatser som rör information respektive tillgång och kan innebära att tillgång ges till IKT-system eller interna nätverk för att fortsätta med testet och fokusera på följande angreppssteg.

Om det är nödvändigt för att kunna fortsätta den hotbildsstyrda penetrationstestningen, som en sista utväg under exceptionella omständigheter och när alla andra alternativ har uttömts, bör under de aktiva rött lag-insatserna i testfasen en gemensam testverksamhet som innefattar både testarna och det blå laget tillämpas. I samband med en sådan begränsad lila lagövningen samarbetsinriktad testaktivitet som innefattar både testarna och det blå laget. kan följande metoder användas: ”fångst och återsläpp”, där testare försöker fortsätta scenarierna, blir upptäcka och sedan återupptar testningen, ”krigsspel”, som möjliggör mer komplexa scenarier för att testa strategiskt beslutsfattande, eller ”koncepttest under samverkan”, som låter testare och medlemmar i det blå laget gemensamt validera specifika säkerhetsåtgärder, säkerhetsverktyg eller säkerhetsteknik i en kontrollerad och samarbetsinriktad miljö.

Den hotbildsstyrda penetrationstestningen bör användas som ett tillfälle till lärande för att öka de finansiella entiteternas digitala operativa motståndskraft. Av detta skäl bör det blå laget och testarna gå igenom angreppet och se över de steg som vidtogs för att dra lärdom av testerfarenheterna i samverkan med testarna. I detta syfte och för att möjliggöra lämplig förberedelse bör det röda lagets testrapport och det blå lagets testrapport göras tillgängliga för alla parter som deltar i genomgången innan någon genomgång av åtgärderna inleds. Dessutom bör en lila lagövningen samarbetsinriktad testaktivitet som innefattar både testarna och det blå laget. genomföras, under avslutningsfasen, för att maximera möjligheterna till lärande. Till metoderna som kan användas för lila lagövningar under avslutningsfasen bör höra diskussioner om alternativa angreppsscenarier, undersökning av system i drift i alternativa scenarier eller ny undersökning av planerade scenarier för system i drift som testarna inte kunde slutföra eller genomföra under testfasen.

För att ytterligare underlätta lärandet för alla parter som deltar i den hotbildsstyrda penetrationstestningen, till nytta för framtida tester och för att främja finansiella entiteters digitala operativa motståndskraft, bör de deltagande parterna ge varandra återkoppling om den övergripande processen och i synnerhet identifiera vilka aktiviteter som förlöpte bra eller som kunde ha förbättrats, samt vilka aspekter av testningen som fungerade bra eller som kunde ha förbättrats.

De behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554 och myndigheterna med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. bör, om det inte rör sig om samma myndigheter, samarbeta för att införliva avancerad testning i form av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. i de befintliga tillsynsprocesserna. Av detta skäl och för att dela en korrekt förståelse av resultaten av den hotbildsstyrda penetrationstestningen och av hur de bör tolkas är det lämpligt, särskilt när det gäller den sammanfattande testrapporten och åtgärdsplanerna, att skapa ett nära samarbete mellan testledarna som var involverade i den hotbildsstyrda penetrationstestningen och ansvariga tillsynsmyndigheter.

Enligt artikel 26.8 första stycket i förordning (EU) 2022/2554 ska de finansiella entiteterna anlita externa testare vid vart tredje test. Om de finansiella entiteterna har både interna och externa testare i gruppen av testare bör detta, vad gäller tillämpningen av den artikeln, betraktas som en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som utförs med interna testare.

Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som överlämnats till kommissionen av Europeiska bankmyndigheten, Europeiska försäkrings- och tjänstepensionsmyndigheten och Europeiska värdepappers- och marknadsmyndigheten (de europeiska tillsynsmyndigheterna) i samförstånd med Europeiska centralbanken.

De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som denna förordning bygger på, gjort en kostnads–nyttoanalys samt begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁶)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 20 augusti 2024.