Art. 13 Åtgärdsplan | RTS on threat-led penetration testing | DORA

1. Inom åtta veckor från den underrättelse som avses i artikel 12.7 i denna förordning ska den finansiella entiteten överlämna de åtgärdsplaner och den dokumentation som avses i artikel 26.6 i förordning (EU) 2022/2554 till myndigheten med ansvar för hotbildsstyrd penetrationstestning och, om det inte rör sig om samma myndighet, till den finansiella entitetens behöriga myndighet.
1. Den åtgärdsplan som avses i punkt 1 ska för varje resultat som framkommit i den hotbildsstyrda penetrationstestningen innehålla följande:
  1. En beskrivning av de identifierade bristerna.
  2. En beskrivning av de föreslagna åtgärderna och av deras prioritering och förväntade slutförande, i förekommande fall inklusive åtgärder för att förbättra kapaciteten för identifiering, skydd, detektering och respons.
  3. En analys av grundorsakerna.
  4. Personalen eller funktionerna inom den finansiella entiteten som ansvarar för genomförandet av de föreslagna åtgärderna eller förbättringarna.
  5. De risker som är förknippade med att inte genomföra de åtgärder som avses i led b och, i förekommande fall, de risker som är förknippade med genomförandet av dessa åtgärder.

De behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554 och myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, om det inte rör sig om samma myndigheter, samarbeta för att införliva avancerad testning i form av hotbildsstyrd penetrationstestning i de befintliga tillsynsprocesserna. Av detta skäl och för att dela en korrekt förståelse av resultaten av den hotbildsstyrda penetrationstestningen och av hur de bör tolkas är det lämpligt, särskilt när det gäller den sammanfattande testrapporten och åtgärdsplanerna, att skapa ett nära samarbete mellan testledarna som var involverade i den hotbildsstyrda penetrationstestningen och ansvariga tillsynsmyndigheter.

Artikel 13 Åtgärdsplan

Relevant recitals