Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: SV

Artikel 9 Förberedelsefasen

    1. En finansiell entitet som identifierats i enlighet med artikel 26.8 tredje stycket i förordning (EU) 2022/2554 ska inleda en hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. efter en underrättelse från myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. att en testning ska genomföras.

    1. En finansiell entitet ska, inom tre månader från mottagandet av den underrättelse som avses i punkt 1, lämna all följande information om inledning av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. till testledarna:

      1. En projektbeskrivning med en översiktlig projektplan som innehåller den information som anges i bilaga I.

      2. Kontaktuppgifter för ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test..

      3. Information om den avsedda användningen av interna eller externa testare eller bådadera, när detta är relevant i enlighet med artikel 15.

      4. Information om de kommunikationskanaler som ska användas under den hotbildsstyrda penetrationstestningen.

      5. Kodnamnet för den hotbildsstyrda penetrationstestningen.

    1. Om den information som avses i punkt 2 a–e är fullständig och säkerställer att testningen är lämplig och effektiv ska myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. validera den finansiella entitetens information om inledning av testning och underrätta den finansiella entiteten om detta.

    1. Efter det att myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. har validerat informationen om inledning av testning ska den finansiella entiteten inrätta ett ledningslaglag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet. som ska hjälpa ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. i arbetet med att

      1. specificera kommunikationskanaler och kommunikationsprocesser inom ledningslaget och gentemot testarna och leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. inom alla frågor som rör den hotbildsstyrda penetrationstestningen,

      2. informera den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt. om fortskridandet av den hotbildsstyrda penetrationstestningen och de därmed sammanhörande riskerna,

      3. fatta beslut på grundval av sakkunskap genom hela den hotbildsstyrda penetrationstestningen,

      4. genomföra den hotbildsstyrda penetrationstestningen i enlighet med denna förordning,

      5. välja leverantör av underrättelser om hotexperter som anlitas av den finansiella entiteten för varje enskild hotbildsstyrd penetrationstestning som är externa i förhållande till den finansiella entiteten och eventuella koncerninterna IKT-tjänsteleverantörer, vilka samlar in och analyserar målinriktade underrättelser om hot som är relevanta för den finansiella entiteten sett till en specifik hotbildsstyrd penetrationstestning och tar fram matchande relevanta och realistiska hotscenarier. för den hotbildsstyrda penetrationstestningen,

      6. välja externa testare, interna testare eller bådadera,

      7. utarbeta omfattningsdokumentet.

    1. Om myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. anser att ledningslagets ursprungliga sammansättning och eventuella senare ändringar av denna sammansättning är tillfyllest för utförandet av de uppgifter som avses i punkt 4 ska myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. validera ledningslaget och underrätta ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. om detta.

    1. Den finansiella entiteten ska överlämna ett omfattningsdokument som ska innehålla all information som anges i bilaga II till testledarna inom sex månader från mottagandet av den underrättelse från myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som avses i punkt 1. Den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt. ska godkänna omfattningsdokumentet.

    1. Finansiella entiteter ska beakta följande kriterier för att avgöra om kritiska eller viktiga funktioner ska omfattas av den hotbildsstyrda penetrationstestningen:

      1. I vilken grad funktionen är kritisk eller viktig och dess möjliga påverkan på finanssektorn och på den finansiella stabiliteten på unionsnivå och nationell nivå.

      2. Funktionens betydelse för den finansiella entitetens dagliga verksamhet.

      3. Funktionens utbytbarhet.

      4. Sammanlänkningen med andra funktioner.

      5. Funktionens geografiska plats.

      6. Andra entiteters sektorsspecifika beroende av funktionen.

      7. Underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. rörande funktionen, om sådana finns.

    1. Ledningslaget ska dela informationen om inledning av testning och omfattningsdokumentet med testarna och leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. när dessa har anlitats. Ledningslaget ska informera testarna och leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. om den testprocess som ska följas.

    1. Den finansiella entiteten ska säkerställa att kontrakteringen eller utnämningen av testare och leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. är slutförd innan testfasen inleds.

    1. Innan testfasen inleds ska ledningslaget samråda med testledarna om riskbedömningen rörande den hotbildsstyrda penetrationstestningen och om riskhanteringsåtgärderna. Ledningslaget ska se över riskbedömningen eller riskhanteringsåtgärderna om myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. anser att dessa inte på ett tillfredsställande sätt bemöter riskerna med den hotbildsstyrda penetrationstestningen.

    1. Ledningslaget ska bedöma om leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och testare som ledningslaget överväger att engagera i den hotbildsstyrda penetrationstestningen uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 och artikel 7.1 i den här förordningen och dokumentera resultatet av denna bedömning. Ledningslaget ska välja leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. i enlighet med denna bedömning och i enlighet med dess riskhanteringsrutiner. Innan de utvalda leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och de externa testarna anlitas ska ledningslaget förse testledarna med bevis på att dessa leverantörer av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och testare uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 och artikel 7.1 i den här förordningen. Ledningslaget får inte ingå avtal med de utvalda leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och de externa testarna om myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. anser att de utvalda leverantörerna av underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv. och de externa testarna inte uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 eller kraven i artikel 7.1 i den här förordningen eller andra krav som härrör från nationell säkerhetslagstiftning i enlighet med unionsrätten, eller om den finansiella entiteten inte uppfyller kraven i artikel 7.2 första stycket i den här förordningen eller om de omständigheter som avses i artikel 7.2 andra stycket i den här förordningen inte uppfylls.

    1. Om omfattningsdokumentet är fullständigt och säkerställer att en lämplig och effektiv hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. kan genomföras ska myndigheten med ansvar för hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. godkänna detta dokument och informera ledningslagets ledareden medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test. om detta.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod