Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: SV

Artikel 7 Val av leverantörer av hotbildsstyrd penetrationstestning

    1. Ledningslaget ska vidta åtgärder för att hantera riskerna i samband med hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. och ska särskilt se till att följande gäller för varje hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.:

      1. Leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och externa testare förser ledningslaget med en detaljerad meritförteckning och kopior av certifieringar som, enligt erkänd marknadspraxis, är lämpliga för utförandet av deras verksamhet.

      2. Leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och externa testare omfattas på vederbörligt sätt och fullt ut av lämpliga yrkesmässiga ansvarsförsäkringar, bland annat mot risker rörande tjänstefel och försummelse.

      3. Leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. tillhandahåller minst tre referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

      4. De externa testarna tillhandahåller minst fem referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

      5. Följande gäller för personalen hos leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. som har utsetts att arbeta med den hotbildsstyrda penetrationstestningen:

        1. Personalen består av minst en ledare med åtminstone fem års erfarenhet av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och minst en ytterligare medlem med åtminstone två års erfarenhet av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv..

        2. Personalen uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland inom följande områden:

          1. Taktiker, teknik och förfaranden för insamling av underrättelser.

          2. Geopolitisk, teknisk och sektorsspecifik kunskap.

          3. Tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.

        3. Personalen har tillsammans deltagit i minst tre tidigare uppdrag inom underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. kopplade till penetrationstestning och rött lag-testning.

        4. Personalen utför inte samtidigt några blått lag-uppgifteruppgifter som normalt utförs av det blå laget, som driften av ett säkerhetscentrum (SOC, Security Operation Centre), IKT-infrastrukturtjänster, helpdesktjänster och incidenthanteringstjänster på operativ nivå. eller andra tjänster som kan utgöra en intressekonflikt med koppling till den finansiella entiteten, tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller en koncernintern IKT-tjänsteleverantörett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll. som deltar i den hotbildsstyrda penetrationstestning som personalen har utsetts att arbeta med.

        5. Personalen är åtskild från och rapporterar inte till personal hos samma leverantör av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som tillhandahåller externa testare för denna hotbildsstyrda penetrationstestning.

      6. För externa testare gäller följande för det röda lag som har utsetts för den hotbildsstyrda penetrationstestningen:

        1. Laget består av minst en ledare med åtminstone fem års erfarenhet av penetrationstestning och rött lag-testning samt minst två ytterligare testare, var och en med åtminstone två års erfarenhet av penetrationstestning och rött lag-testning.

        2. Laget uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland kunskaper om den finansiella entitetens verksamhet, rekognosering, riskhantering, utarbetande av angrepp mot sårbarheter, fysisk penetration, social manipulering, sårbarhetsanalys samt tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.

        3. Laget har tillsammans deltagit i minst fem tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.

        4. Laget är inte är anställt av och tillhandahåller inte tjänster till en leverantör av underrättelser om hotexperter som anlitas av den finansiella entiteten för varje enskild hotbildsstyrd penetrationstestning som är externa i förhållande till den finansiella entiteten och eventuella koncerninterna IKT-tjänsteleverantörer, vilka samlar in och analyserar målinriktade underrättelser om hot som är relevanta för den finansiella entiteten sett till en specifik hotbildsstyrd penetrationstestning och tar fram matchande relevanta och realistiska hotscenarier. som samtidigt utför blått lag-uppgifteruppgifter som normalt utförs av det blå laget, som driften av ett säkerhetscentrum (SOC, Security Operation Centre), IKT-infrastrukturtjänster, helpdesktjänster och incidenthanteringstjänster på operativ nivå. för antingen en finansiell entitet, en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. eller en koncernintern IKT-tjänsteleverantörett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll. som deltar i den hotbildsstyrda penetrationstestningen.

        5. Laget är åtskilt från all personal hos samma leverantör av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som samtidigt tillhandahåller tjänster rörande underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. för samma hotbildsstyrda penetrationstestning.

      7. Testarna och leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. utför återställningsförfaranden i slutet av testningen, vilket innefattar säker radering av uppgifter rörande lösenord, identifieringsinformation och andra privata nycklar som angripits under den hotbildsstyrda penetrationstestningen, säker kommunikation till de finansiella entiteterna kring de konton som angripits och säker insamling, lagring, hantering och radering av andra data som samlats in under testningen.

      8. Testarna utför, utöver de återställningsförfaranden i slutet av testningen som avses i led g, följande återställningsförfaranden:

        1. Inaktivering av kanaler för fjärrstyrning (command and control).

        2. Nödbrytare (kill switches) baserade på omfattning och datum.

        3. Borttagning av bakdörrar och andra sabotageprogram.

        4. Avisering av potentiella säkerhetsöverträdelser.

        5. Förfaranden för framtida återställning av säkerhetskopierade data som kan avse sabotageprogram eller verktyg som installerats under testet.

        6. Övervakning av det blå lagets aktiviteter och information till ledningslaget om eventuella möjliga upptäckter.

      9. Testare och leverantören av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. utför inte, och deltar inte i, någon av följande verksamheter:

        1. Obehörig förstörelse av utrustning som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

        2. Okontrollerad ändring av information och IKT-tillgångar som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

        3. Avsiktligt äventyrande av kontinuiteten hos den finansiella entitetens kritiska eller viktiga funktioner.

        4. Otillåten inkludering av system som ligger utanför den avsedda omfattningen.

        5. Obehörigt yppande av testresultat.

    1. Ledningslaget ska föra register över den dokumentation som tillhandahålls av testarna och leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. för att styrka efterlevnaden av punkt 1 led a–f.

    2. Under exceptionella omständigheter får finansiella entiteter anlita externa testare och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. som inte uppfyller ett eller flera av kraven i punkt 1 led a–f, förutsatt att dessa finansiella entiteter vidtar lämpliga åtgärder för att minska riskerna kopplade till bristande efterlevnad av dessa led och dokumenterar dessa åtgärder.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod