Source: OJ L, 2025/1190, 18.6.2025
Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 5 Riskhantering i samband med hotbildsstyrd penetrationstestning
Under den förberedelsefas som avses i artikel 9 ska ledningslaget bedöma de risker som är förknippade med testning av produktionssystem i drift för den finansiella entitetens kritiska eller viktiga funktioner, inbegripet potentiell påverkan på
finanssektorn,
den finansiella stabiliteten på unionsnivå eller nationell nivå.
Ledningslaget ska granska denna påverkan under hela testningen.
Vid riskbedömningen och riskhanteringen ska ledningslaget åtminstone beakta följande typer av riskområden:
Beviljande av tillgång till känslig informationinformation som lätt kan utnyttjas för att utföra angrepp mot den finansiella entitetens IKT-system, immateriella rättigheter, konfidentiella affärsdata eller personuppgifter, som direkt eller indirekt kan skada den finansiella entiteten och dess ekosystem om den skulle falla i händerna på fientliga aktörer. om den finansiella entiteten, i tillämpliga fall, till leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och externa testare.
Bristande efterlevnad inom den hotbildsstyrda penetrationstestningen av förordning (EU) 2022/2554 och den här förordningen, där sådan bristande efterlevnad leder till att det intyg som avses i artikel 26.7 i förordning (EU) 2022/2554 inte tillhandahålls, inklusive när sådan bristande efterlevnad beror på överträdelser av konfidentialiteten rörande den hotbildsstyrda penetrationstestningen eller på bristande etiskt uppförande.
Eskalering av kriser och incidenter.
Den aktiva rött lag-fasen, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av testarnas verksamhet, samt dess potentiella påverkan på tredje parter.
Det blå lagets verksamhet, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av det blå lagets verksamhet, samt dess potentiella påverkan på tredje parter.
Ofullständig återställning av system som påverkats av den hotbildsstyrda penetrationstestningen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.