Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 1 Definitioner
I denna förordning gäller följande definitioner:
ledningslag: lag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet.
ledningslagets ledare: den medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test.
blått lag: personal hos den finansiella entiteten och, när så är relevant, personal hos den finansiella entitetens tredjepartsleverantörer av tjänster och eventuella andra parter som anses relevanta med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, som försvarar en finansiell entitets användning av nätverk och informationssystem genom att upprätthålla säkerheten gentemot simulerade eller verkliga angrepp och som inte känner till den hotbildsstyrda penetrationstestningen.
blått lag-uppgifter: uppgifter som normalt utförs av det blå laget, som driften av ett säkerhetscentrum (SOC, Security Operation Centre), IKT-infrastrukturtjänster, helpdesktjänster och incidenthanteringstjänster på operativ nivå.
rött lag: testare, interna eller externa, som anlitats för eller utsetts att genomföra en hotbildsstyrd penetrationstestning.
lila lagövning: en samarbetsinriktad testaktivitet som innefattar både testarna och det blå laget.
myndighet med ansvar för hotbildsstyrd penetrationstestning:
en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.
cybergrupp för hotbildsstyrd penetrationstestning: personal inom myndigheterna med ansvar för hotbildsstyrd penetrationstestning som ansvarar för frågor som rör hotbildsstyrd penetrationstestning.
testledare: personal som utsetts att leda aktiviteterna hos myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om en specifik hotbildsstyrd penetrationstestning för att övervaka efterlevnaden av denna förordning.
leverantör av underrättelser om hot: experter som anlitas av den finansiella entiteten för varje enskild hotbildsstyrd penetrationstestning som är externa i förhållande till den finansiella entiteten och eventuella koncerninterna IKT-tjänsteleverantörer, vilka samlar in och analyserar målinriktade underrättelser om hot som är relevanta för den finansiella entiteten sett till en specifik hotbildsstyrd penetrationstestning och tar fram matchande relevanta och realistiska hotscenarier.
leverantörer av hotbildsstyrd penetrationstestning: testare och leverantörer av underrättelser om hot.
hjälpinsats: den hjälp eller information som tillhandahålls av ledningslaget till testarna för att göra det möjligt för testarna att fortsätta genomförandet av en angreppsmetod när dessa inte klarar av att gå vidare på egen hand och när det inte finns något annat rimligt alternativ, i vilket innefattas brist på tid eller resurser i en specifik hotbildsstyrd penetrationstestning.
angreppsmetod: den väg som testarna följer under den aktiva rött lag-testfasen i den hotbildsstyrda penetrationstestningen för att nå de flaggor som specificerats för denna testning.
flaggor: centrala mål kopplade till de IKT-system som stöder en finansiell entitets kritiska eller viktiga funktioner vilka testarna försöker uppnå genom testet.
känslig information: information som lätt kan utnyttjas för att utföra angrepp mot den finansiella entitetens IKT-system, immateriella rättigheter, konfidentiella affärsdata eller personuppgifter, som direkt eller indirekt kan skada den finansiella entiteten och dess ekosystem om den skulle falla i händerna på fientliga aktörer.
gemensam pool: alla finansiella entiteter som deltar i en gemensam hotbildsstyrd penetrationstestning i enlighet med artikel 26.4 i förordning (EU) 2022/2554.
värdmedlemsstat: värdmedlemsstaten i enlighet med den sektorsspecifika unionsrätt som är tillämplig för varje finansiell entitet.
samlad hotbildsstyrd penetrationstestning: en annan hotbildsstyrd penetrationstestning än en gemensam hotbildsstyrd penetrationstestning enligt artikel 26.4 i förordning (EU) 2022/2554 som innefattar flera finansiella entiteter som använder samma koncerninterna IKT-tjänsteleverantör eller som tillhör samma koncern och delar IKT-system.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.