Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 4 Organisatoriska arrangemang för finansiella entiteter
Finansiella entiteter ska utse en ledare för ledningslaget som ska ansvara för den dagliga ledningen av den hotbildsstyrda penetrationstestningen och för ledningslagets beslut och åtgärder.
Finansiella entiteter ska upprätta organisatoriska och procedurrelaterade åtgärder för att säkerställa att
tillgången till information om planerad eller pågående hotbildsstyrd penetrationstestning på behovsenlig grund är begränsad till ledningslaget, ledningsorganet, testarna, leverantören av underrättelser om hot och myndigheten med ansvar för hotbildsstyrd penetrationstestning,
ledningslaget samråder med testledarna innan någon medlem av det blå laget involveras i en hotbildsstyrd penetrationstestning,
ledningslaget informeras om eventuell upptäckt av den hotbildsstyrda penetrationstestningen som görs av personal inom den finansiella entiteten eller dess tredjepartsleverantörer av tjänster, ledningslaget i händelse av eskalering av den resulterande incidenthanteringen vid behov begränsar sådan eskalering,
det finns arrangemang rörande sekretessen kring den hotbildsstyrda penetrationstestningen som är tillämpliga för den finansiella entitetens personal, personalen hos berörda tredjepartsleverantörer av IKT-tjänster, testare och leverantören av underrättelser om hot,
ledningslaget på begäran tillhandahåller all information rörande den hotbildsstyrda penetrationstestningen till testledarna,
de parter som deltar i den hotbildsstyrda penetrationstestningen om möjligt endast hänvisar till den med kodnamn.
Relevant recitals
Skäl 5 Organisational mirror of TIBER-EU
För att avspegla TIBER-EU-ramen är det nödvändigt att testmetoden skapar förutsättningar för medverkan av följande huvuddeltagare: den finansiella entiteten, med ett ledningslag (motsvarande TIBER-EU:s ”ledningslag”) och ett blått lag (motsvarande TIBER-EU:s ”blå lag”), och myndigheten med ansvar för hotbildsstyrd penetrationstestning, i form av ett cyberlag för hotbildsstyrd penetrationstestning (motsvarande TIBER-EU:s ”TIBER-cyberlag”), en leverantör av underrättelser om hot, och testare (där testarna motsvarar TIBER-EU:s ”rött lag-leverantör”).
Skäl 9 Secrecy of the TLPT
Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.
Skäl 10 Importance of the control team lead
Som framgår av de erfarenheter som gjorts inom TIBER-EU-ramen när det gäller ”ledningslaget” är det absolut nödvändigt att välja en lämplig ledare för ledningslaget för att den hotbildsstyrda penetrationstestningen ska kunna genomföras på ett säkert sätt. Ledningslagets ledare bör ha det mandat inom den finansiella entiteten som krävs för att leda alla aspekter av testningen, utan att dess sekretess äventyras. Av samma skäl bör medlemmarna i ledningslaget ha djupgående kunskap om den finansiella entiteten och om den yrkesroll och strategiska position som ledningslagets ledare har, samt ha erforderlig tjänstgöringstid och direkt tillgång till styrelsen. För att minska risken för att den hotbildsstyrda penetrationstestningen avslöjas bör ledningslaget vara så litet som möjligt.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.