Source: OJ L, 2025/1190, 18.6.2025

Current language: SV

Artikel 16 Samarbete och ömsesidigt erkännande

    1. I syfte att genomföra en hotbildsstyrd penetrationstestning gentemot en finansiell entitet som tillhandahåller tjänster i fler än en medlemsstat, inklusive genom en filial, ska den berörda myndigheten med ansvar för hotbildsstyrd penetrationstestning göra följande:

      1. Fastställa vilka myndigheter med ansvar för hotbildsstyrd penetrationstestning i värdmedlemsstater som ska involveras, med beaktande av huruvida en eller flera kritiska eller viktiga funktioner bedrivs i eller delas mellan värdmedlemsstater.

      2. Informera de myndigheter med ansvar för hotbildsstyrd penetrationstestning som identifierats enligt led a om beslutet att genomföra en hotbildsstyrd penetrationstestning för den finansiella entiteten.

      3. Såvida inte annat överenskommits mellan myndigheterna med ansvar för hotbildsstyrd penetrationstestning ska myndigheten med ansvar för hotbildsstyrd penetrationstestning för den finansiella entiteten leda testningen.

    2. Myndigheter med ansvar för hotbildsstyrd penetrationstestning i värdmedlemsstater får, inom 20 arbetsdagar från mottagandet av informationen om ett planerat genomförande av en hotbildsstyrd penetrationstestning, antingen anmäla sitt intresse att följa testningen som observatörer eller utse en testledare för att delta i testningen. Den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestning ska förse alla myndigheter med ansvar för hotbildsstyrd penetrationstestning som agerar som observatörer vid testningen med omfattningsdokumentet, den sammanfattande testrapporten, åtgärdsplanen och intyget.

    3. Den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestning ska samordna alla deltagande myndigheter med ansvar för hotbildsstyrd penetrationstestning under hela testet och anta alla beslut som krävs för att genomföra testningen på ett lämpligt och effektivt sätt. Den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestning får fastställa ett högsta antal deltagande myndigheter med ansvar för hotbildsstyrd penetrationstestning ifall ett effektivt genomförande av testningen annars skulle kunna äventyras.

    1. Om en finansiell entitet använder samma koncerninterna IKT-tjänsteleverantör som finansiella entiteter som är etablerade i andra medlemsstater, eller tillhör en koncern och delar IKT-system med finansiella entiteter i samma koncern som är etablerade i andra medlemsstater, ska myndigheten med ansvar för hotbildsstyrd penetrationstestning för den finansiella entiteten kontakta myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de andra finansiella entiteterna som använder samma koncerninterna IKT-tjänsteleverantör eller som delar IKT-system som en del av koncernen, och tillsammans med dessa bedöma om det är genomförbart och lämpligt att genomföra en samlad hotbildsstyrd penetrationstestning i fråga om dessa. En samlad hotbildsstyrd penetrationstestning ska föredras framför en enskild hotbildsstyrd penetrationstestning om den kan leda till lägre kostnader och mindre resursanvändning för de finansiella entiteterna och för myndigheterna med ansvar för hotbildsstyrd penetrationstestning, förutsatt att testningens sundhet och effektivitet inte påverkas negativt.

    1. Vid genomförande av en samlad hotbildsstyrd penetrationstestning gäller följande:

      1. Myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna ska enas om vilken finansiell entitet som ska utses att genomföra testningen, med beaktande av koncernstrukturen och testets effektivitet.

      2. Myndigheten med ansvar för hotbildsstyrd penetrationstestning för den finansiella entitet som har utsetts i enlighet med led a ska leda testningen, såvida inte annat överenskommits bland myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteter som deltar i den samlade hotbildsstyrda penetrationstestningen.

      3. Myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de andra finansiella entiteterna än den utsedda finansiella entiteten som ska leda den samlade hotbildsstyrda penetrationstestningen kan antingen anmäla sitt intresse att följa testningen som observatörer eller utse en testledare för den testningen.

    2. Den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestning ska samordna alla myndigheter med ansvar för hotbildsstyrd penetrationstestning som deltar i den samlade testningen och anta alla beslut som krävs för att genomföra den samlade testningen på ett sunt och effektivt sätt.

    1. Om en finansiell entitet avser att genomföra en gemensam hotbildsstyrd penetrationstestning i enlighet med artikel 26.4 i förordning (EU) 2022/2554 som eventuellt involverar finansiella entiteter som är etablerade i andra medlemsstater, ska dess myndighet med ansvar för hotbildsstyrd penetrationstestning kontakta de andra finansiella entiteternas myndigheter med ansvar för hotbildsstyrd penetrationstestning och tillsammans med dem bedöma om det är genomförbart och lämpligt att genomföra en gemensam hotbildsstyrd penetrationstestning i fråga om dessa i enlighet med artikel 26.4 i förordning (EU) 2022/2554.

    1. Vid genomförande av en gemensam hotbildsstyrd penetrationstestning, i enlighet med artikel 26.4 i förordning (EU) 2022/2554, gäller följande:

      1. Myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna ska komma överens om vilken finansiell entitet som ska utses att genomföra testningen, med beaktande av de IKT-tjänster som tillhandahålls av tredjepartsleverantören av IKT-tjänster till de finansiella entiteterna och testets effektivitet.

      2. Myndigheten med ansvar för hotbildsstyrd penetrationstestning för den finansiella entitet som har utsetts i enlighet med led a ska leda testningen, såvida inte annat överenskommits bland myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteter som deltar i den gemensamma hotbildsstyrda penetrationstestningen.

      3. Myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de andra finansiella entiteterna än den utsedda finansiella entiteten som ska leda den gemensamma hotbildsstyrda penetrationstestningen kan antingen anmäla sitt intresse att följa testningen som observatörer eller utse en testledare för den testningen.

    2. Den ledande myndigheten med ansvar för hotbildsstyrd penetrationstestning ska samordna alla myndigheter med ansvar för hotbildsstyrd penetrationstestning som deltar i den gemensamma testningen och anta alla beslut som krävs för att genomföra den gemensamma testningen på ett sunt och effektivt sätt.

    1. Om en finansiell entitet som är skyldig att genomföra en hotbildsstyrd penetrationstestning har en annan myndighet med ansvar för hotbildsstyrd penetrationstestning än dess behöriga myndighet enligt artikel 46 i förordning (EU) 2022/2554 ska dessa myndigheter utbyta all relevant information om alla frågor som rör testningen i syfte att genomföra testningen eller utföra myndigheternas uppgifter i enlighet med denna förordning.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod