Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: SV

Artikel 15 Användning av interna testare

    1. Finansiella entiteter ska upprätta samtliga av följande arrangemang vid användning av interna testare:

      1. Upprättande och införande av riktlinjer för hanteringen av interna testare i samband med en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

      2. Åtgärder för att säkerställa att användningen av interna testare för att genomföra en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. inte negativt påverkar den finansiella entitetens allmänna försvarsförmåga eller motståndskraft i fråga om IKT-relaterade incidenter eller i betydande grad påverkar tillgången till resurser avsatta för IKT-relaterade uppgifter under en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

      3. Åtgärder för att säkerställa att interna testare har tillräckliga resurser och tillräcklig kapacitet för att genomföra en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten..

    2. Riktlinjerna som avses i led a ska

      1. innehålla kriterier för bedömning av de interna testarnas lämplighet, kompetens och potentiella intressekonflikter och specificera ledningens ansvar i testningsprocessen,

      2. dokumenteras och regelbundet ses över,

      3. föreskriva att den interna testgruppen har en testledarepersonal som utsetts att leda aktiviteterna hos myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om en specifik hotbildsstyrd penetrationstestning för att övervaka efterlevnaden av denna förordning. och åtminstone två ytterligare medlemmar,

      4. kräva att alla medlemmar i testgruppen har varit anställda av den finansiella entiteten eller av en koncernintern IKT-tjänsteleverantörett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll. under de senaste tolv månaderna,

      5. innehålla föreskrifter om utbildning kring hur penetrationstestning och rött lag-testning ska utföras av interna testare.

    1. Om en myndighet med ansvar för hotbildsstyrd penetrationstestningen enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, ellernågon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554. godkänner användning av interna testare i enlighet med artikel 27.2 a i förordning (EU) 2022/2554 ska myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. beakta de krav som fastställs i artikel 7.1 i den här förordningen.

    1. Vid användning av interna testare ska den finansiella entiteten se till att sådan användning nämns i följande dokument:

      1. Den information för testets inledande som avses i artikel 9.

      2. Det röda lagets testrapport som avses i artikel 12.2.

      3. Den rapport som sammanfattar de relevanta resultaten av den hotbildsstyrda penetrationstestningen som avses i artikel 26.6 i förordning (EU) 2022/2554.

    1. Testare som är anställda av en koncernintern IKT-tjänsteleverantörett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll. ska betraktas som interna testare hos den finansiella entiteten.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod