Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 5 Riskhantering i samband med hotbildsstyrd penetrationstestning
Under den förberedelsefas som avses i artikel 9 ska ledningslaget bedöma de risker som är förknippade med testning av produktionssystem i drift för den finansiella entitetens kritiska eller viktiga funktioner, inbegripet potentiell påverkan på
finanssektorn,
den finansiella stabiliteten på unionsnivå eller nationell nivå.
Ledningslaget ska granska denna påverkan under hela testningen.
Vid riskbedömningen och riskhanteringen ska ledningslaget åtminstone beakta följande typer av riskområden:
Beviljande av tillgång till känslig information om den finansiella entiteten, i tillämpliga fall, till leverantören av underrättelser om hot och externa testare.
Bristande efterlevnad inom den hotbildsstyrda penetrationstestningen av förordning (EU) 2022/2554 och den här förordningen, där sådan bristande efterlevnad leder till att det intyg som avses i artikel 26.7 i förordning (EU) 2022/2554 inte tillhandahålls, inklusive när sådan bristande efterlevnad beror på överträdelser av konfidentialiteten rörande den hotbildsstyrda penetrationstestningen eller på bristande etiskt uppförande.
Eskalering av kriser och incidenter.
Den aktiva rött lag-fasen, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av testarnas verksamhet, samt dess potentiella påverkan på tredje parter.
Det blå lagets verksamhet, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av det blå lagets verksamhet, samt dess potentiella påverkan på tredje parter.
Ofullständig återställning av system som påverkats av den hotbildsstyrda penetrationstestningen.
Relevant recitals
Skäl 9 Secrecy of the TLPT
Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.
Skäl 11 Managing inherent risks of a TLPT
Det finns inneboende riskelement kopplade till hotbildsstyrd penetrationstestning eftersom kritiska funktioner testas i en produktionsmiljö som är i drift, med risk att orsaka överbelastningstillbud, oväntade driftsavbrott i system, skador på kritiska produktionssystem som är i drift eller förlust, ändring eller avslöjande av data. Dessa risker innebär att det krävs tillförlitliga riskhanteringsåtgärder. För att säkerställa att den hotbildsstyrda penetrationstestningen utförs på ett kontrollerat sätt under hela testningen är det mycket viktigt att de finansiella entiteterna hela tiden är medvetna om de särskilda risker som uppstår vid en hotbildsstyrd penetrationstestning och att dessa risker minskas. Utan att det påverkar den finansiella entitetens interna processer och det ansvar och de delegeringar som ledningslagets ledare redan har fått, kan det i detta sammanhang vara lämpligt med information om riskhanteringsåtgärder kopplade till hotbildsstyrd penetrationstestning eller, i specifika fall, godkännande av dessa riskhanteringsåtgärder av den finansiella entitetens ledningsorgan. För att kunna tillhandahålla effektiva och högt kvalificerade yrkesmässiga tjänster och minska dessa risker är det också viktigt att testare och leverantörer av underrättelser om hot (tillsammans kallade leverantörer av hotbildsstyrd penetrationstestning) har mycket hög kompetens och sakkunskap samt lämplig erfarenhet av underrättelser om hot och hotbildsstyrd penetrationstestning inom sektorn för finansiella tjänster.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.