Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 6 Riskhantering i samband med gemensam eller samlad hotbildsstyrd penetrationstestning
När det rör sig om en gemensam hotbildsstyrd penetrationstestning eller en samlad hotbildsstyrd penetrationstestning ska ledningslaget för varje finansiell entitet genomföra sin egen riskbedömning och upprätta sina egna riskhanteringsåtgärder.
Ledningslaget för den utsedda finansiella entitet som avses i artikel 16.3 b i denna förordning eller den finansiella entitet som utsetts i enlighet med artikel 26.4 i förordning (EU) 2022/2554 ska bedöma riskerna i samband med att flera finansiella entiteter deltar i den hotbildsstyrda penetrationstestningen. De deltagande finansiella entiteternas ledningslag ska samarbeta med den utsedda finansiella entitetens ledningslag för att identifiera potentiella gemensamma risker.
Relevant recitals
Skäl 11 Managing inherent risks of a TLPT
Det finns inneboende riskelement kopplade till hotbildsstyrd penetrationstestning eftersom kritiska funktioner testas i en produktionsmiljö som är i drift, med risk att orsaka överbelastningstillbud, oväntade driftsavbrott i system, skador på kritiska produktionssystem som är i drift eller förlust, ändring eller avslöjande av data. Dessa risker innebär att det krävs tillförlitliga riskhanteringsåtgärder. För att säkerställa att den hotbildsstyrda penetrationstestningen utförs på ett kontrollerat sätt under hela testningen är det mycket viktigt att de finansiella entiteterna hela tiden är medvetna om de särskilda risker som uppstår vid en hotbildsstyrd penetrationstestning och att dessa risker minskas. Utan att det påverkar den finansiella entitetens interna processer och det ansvar och de delegeringar som ledningslagets ledare redan har fått, kan det i detta sammanhang vara lämpligt med information om riskhanteringsåtgärder kopplade till hotbildsstyrd penetrationstestning eller, i specifika fall, godkännande av dessa riskhanteringsåtgärder av den finansiella entitetens ledningsorgan. För att kunna tillhandahålla effektiva och högt kvalificerade yrkesmässiga tjänster och minska dessa risker är det också viktigt att testare och leverantörer av underrättelser om hot (tillsammans kallade leverantörer av hotbildsstyrd penetrationstestning) har mycket hög kompetens och sakkunskap samt lämplig erfarenhet av underrättelser om hot och hotbildsstyrd penetrationstestning inom sektorn för finansiella tjänster.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.