Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 15 Användning av interna testare
Finansiella entiteter ska upprätta samtliga av följande arrangemang vid användning av interna testare:
Upprättande och införande av riktlinjer för hanteringen av interna testare i samband med en hotbildsstyrd penetrationstestning.
Åtgärder för att säkerställa att användningen av interna testare för att genomföra en hotbildsstyrd penetrationstestning inte negativt påverkar den finansiella entitetens allmänna försvarsförmåga eller motståndskraft i fråga om IKT-relaterade incidenter eller i betydande grad påverkar tillgången till resurser avsatta för IKT-relaterade uppgifter under en hotbildsstyrd penetrationstestning.
Åtgärder för att säkerställa att interna testare har tillräckliga resurser och tillräcklig kapacitet för att genomföra en hotbildsstyrd penetrationstestning.
Riktlinjerna som avses i led a ska
innehålla kriterier för bedömning av de interna testarnas lämplighet, kompetens och potentiella intressekonflikter och specificera ledningens ansvar i testningsprocessen,
dokumenteras och regelbundet ses över,
föreskriva att den interna testgruppen har en testledare och åtminstone två ytterligare medlemmar,
kräva att alla medlemmar i testgruppen har varit anställda av den finansiella entiteten eller av en koncernintern IKT-tjänsteleverantör under de senaste tolv månaderna,
innehålla föreskrifter om utbildning kring hur penetrationstestning och rött lag-testning ska utföras av interna testare.
Om en myndighet med ansvar för hotbildsstyrd penetrationstestning godkänner användning av interna testare i enlighet med artikel 27.2 a i förordning (EU) 2022/2554 ska myndigheten med ansvar för hotbildsstyrd penetrationstestning beakta de krav som fastställs i artikel 7.1 i den här förordningen.
Vid användning av interna testare ska den finansiella entiteten se till att sådan användning nämns i följande dokument:
Den information för testets inledande som avses i artikel 9.
Det röda lagets testrapport som avses i artikel 12.2.
Den rapport som sammanfattar de relevanta resultaten av den hotbildsstyrda penetrationstestningen som avses i artikel 26.6 i förordning (EU) 2022/2554.
Testare som är anställda av en koncernintern IKT-tjänsteleverantör ska betraktas som interna testare hos den finansiella entiteten.
Relevant recitals
Skäl 12 Comprehensive criteria for TLPT providers
Traditionella penetrationstester ger en detaljerad och användbar bedömning av tekniska och konfigurationsrelaterade sårbarheter, ofta isolerade till ett enda system eller en enda miljö, men till skillnad från underrättelsestyrda rött lag-tester bedömer de inte hela scenariot med ett riktat angrepp mot en hel entitet, där samtliga personer, processer och tekniska system berörs. Under urvalsprocessen för leverantörer av hotbildsstyrd penetrationstestning bör finansiella entiteter därför säkerställa att dessa leverantörer har den kompetens som krävs för att utföra underrättelsestyrda rött lag-tester och inte bara penetrationstester. Det är således nödvändigt att fastställa heltäckande kriterier för testare, både interna och externa, och leverantörer av underrättelser om hot, som alltid är externa. När leverantörerna av hotbildsstyrd penetrationstestning tillhör samma företag bör personalen som utsetts att genomföra testningen hållas tillräckligt separerad.
Skäl 13 Exemptions from TLPT provider criteria
Det kan finnas exceptionella omständigheter som gör att finansiella entiteter inte lyckas ingå avtal med leverantörer av hotbildsstyrd penetrationstestning som uppfyller de heltäckande kriterierna. Finansiella entiteter bör därför, efter att ha bevisat att sådana leverantörer av underrättelser om hot inte finns att tillgå, tillåtas att använda personer som inte uppfyller samtliga av de heltäckande kriterierna, förutsatt att de på ett korrekt sätt minskar eventuella ytterligare risker som följer av detta och att myndigheten som ansvarar för hotbildsstyrd penetrationstestning bedömer alla dessa kriterier.
Skäl 27 Mix of internal and external testers considered 'internal'
Enligt artikel 26.8 första stycket i förordning (EU) 2022/2554 ska de finansiella entiteterna anlita externa testare vid vart tredje test. Om de finansiella entiteterna har både interna och externa testare i gruppen av testare bör detta, vad gäller tillämpningen av den artikeln, betraktas som en hotbildsstyrd penetrationstestning som utförs med interna testare.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.