Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 12 Avslutningsfasen
Efter slutet av den aktiva rött lag-testfasen ska ledningslagets ledare informera det blå laget om att en hotbildsstyrd penetrationstestning har ägt rum.
Inom fyra veckor från slutet av den aktiva rött lag-testfasen ska testarna överlämna det röda lagets testrapport till ledningslaget med de uppgifter som anges i bilaga V.
Ledningslaget ska utan onödigt dröjsmål lämna det röda lagets testrapport till det blå laget och testledarna.
Om testledarna begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.
Efter att ha mottagit det röda lagets testrapport, och senast tio veckor efter det att den aktiva rött lag-testfasen avslutades, ska det blå laget överlämna blå lagets testrapport till ledningslaget med de uppgifter som anges i bilaga VI. Ledningslaget ska utan onödigt dröjsmål lämna blå lagets testrapport till testarna och testledarna.
Om testledarna begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.
Senast tio veckor efter det att den aktiva rött lag-testfasen avslutades ska det blå laget och testarna gå igenom de offensiva och defensiva åtgärder som utfördes under den hotbildsstyrda penetrationstestningen. Ledningslaget ska också genomföra en lila lagövning kring ämnen som identifierats gemensamt av det blå laget och testarna baserat på sårbarheter som identifierades under testet och, i förekommande fall, kring aspekter som inte kunde testas under den aktiva rött lag-testfasen.
När genomgången av åtgärderna och den lila lagövningen har slutförts ska ledningslaget, det blå laget, testarna och leverantörerna av underrättelser om hot ge varandra återkoppling om processen runt den hotbildsstyrda penetrationstestningen. Testledarna har möjlighet att ge återkoppling.
När myndigheten med ansvar för hotbildsstyrd penetrationstestning har underrättat ledningslagets ledare om att den har bedömt att det blå lagets testrapport och det röda lagets testrapport innehåller de uppgifter som anges i bilagorna V och VI, ska den finansiella entiteten inom åtta veckor i enlighet med artikel 26.6 i förordning (EU) 2022/2554 lämna in en rapport som sammanfattar de relevanta resultaten av den hotbildsstyrda penetrationstestningen, med de uppgifter som anges i bilaga VII, till myndigheten för godkännande.
Om myndigheten med ansvar för hotbildsstyrd penetrationstestning begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.
Relevant recitals
Skäl 8 Involvement of TLPT authorities in the phases
För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.
Skäl 15 Regular meetings involving all stakeholders
Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.
Skäl 16 Communication between test manager and control team
För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.
Skäl 24 Maximising the learning experience
Den hotbildsstyrda penetrationstestningen bör användas som ett tillfälle till lärande för att öka de finansiella entiteternas digitala operativa motståndskraft. Av detta skäl bör det blå laget och testarna gå igenom angreppet och se över de steg som vidtogs för att dra lärdom av testerfarenheterna i samverkan med testarna. I detta syfte och för att möjliggöra lämplig förberedelse bör det röda lagets testrapport och det blå lagets testrapport göras tillgängliga för alla parter som deltar i genomgången innan någon genomgång av åtgärderna inleds. Dessutom bör en lila lagövning genomföras, under avslutningsfasen, för att maximera möjligheterna till lärande. Till metoderna som kan användas för lila lagövningar under avslutningsfasen bör höra diskussioner om alternativa angreppsscenarier, undersökning av system i drift i alternativa scenarier eller ny undersökning av planerade scenarier för system i drift som testarna inte kunde slutföra eller genomföra under testfasen.
Skäl 25 Mutual feedback
För att ytterligare underlätta lärandet för alla parter som deltar i den hotbildsstyrda penetrationstestningen, till nytta för framtida tester och för att främja finansiella entiteters digitala operativa motståndskraft, bör de deltagande parterna ge varandra återkoppling om den övergripande processen och i synnerhet identifiera vilka aktiviteter som förlöpte bra eller som kunde ha förbättrats, samt vilka aspekter av testningen som fungerade bra eller som kunde ha förbättrats.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.