Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 9 Förberedelsefasen
En finansiell entitet som identifierats i enlighet med artikel 26.8 tredje stycket i förordning (EU) 2022/2554 ska inleda en hotbildsstyrd penetrationstestning efter en underrättelse från myndigheten med ansvar för hotbildsstyrd penetrationstestning att en testning ska genomföras.
En finansiell entitet ska, inom tre månader från mottagandet av den underrättelse som avses i punkt 1, lämna all följande information om inledning av hotbildsstyrd penetrationstestning till testledarna:
En projektbeskrivning med en översiktlig projektplan som innehåller den information som anges i bilaga I.
Kontaktuppgifter för ledningslagets ledare.
Information om den avsedda användningen av interna eller externa testare eller bådadera, när detta är relevant i enlighet med artikel 15.
Information om de kommunikationskanaler som ska användas under den hotbildsstyrda penetrationstestningen.
Kodnamnet för den hotbildsstyrda penetrationstestningen.
Om den information som avses i punkt 2 a–e är fullständig och säkerställer att testningen är lämplig och effektiv ska myndigheten med ansvar för hotbildsstyrd penetrationstestning validera den finansiella entitetens information om inledning av testning och underrätta den finansiella entiteten om detta.
Efter det att myndigheten med ansvar för hotbildsstyrd penetrationstestning har validerat informationen om inledning av testning ska den finansiella entiteten inrätta ett ledningslag som ska hjälpa ledningslagets ledare i arbetet med att
specificera kommunikationskanaler och kommunikationsprocesser inom ledningslaget och gentemot testarna och leverantörerna av underrättelser om hot inom alla frågor som rör den hotbildsstyrda penetrationstestningen,
informera den finansiella entitetens ledningsorgan om fortskridandet av den hotbildsstyrda penetrationstestningen och de därmed sammanhörande riskerna,
fatta beslut på grundval av sakkunskap genom hela den hotbildsstyrda penetrationstestningen,
genomföra den hotbildsstyrda penetrationstestningen i enlighet med denna förordning,
välja leverantör av underrättelser om hot för den hotbildsstyrda penetrationstestningen,
välja externa testare, interna testare eller bådadera,
utarbeta omfattningsdokumentet.
Om myndigheten med ansvar för hotbildsstyrd penetrationstestning anser att ledningslagets ursprungliga sammansättning och eventuella senare ändringar av denna sammansättning är tillfyllest för utförandet av de uppgifter som avses i punkt 4 ska myndigheten med ansvar för hotbildsstyrd penetrationstestning validera ledningslaget och underrätta ledningslagets ledare om detta.
Den finansiella entiteten ska överlämna ett omfattningsdokument som ska innehålla all information som anges i bilaga II till testledarna inom sex månader från mottagandet av den underrättelse från myndigheten med ansvar för hotbildsstyrd penetrationstestning som avses i punkt 1. Den finansiella entitetens ledningsorgan ska godkänna omfattningsdokumentet.
Finansiella entiteter ska beakta följande kriterier för att avgöra om kritiska eller viktiga funktioner ska omfattas av den hotbildsstyrda penetrationstestningen:
I vilken grad funktionen är kritisk eller viktig och dess möjliga påverkan på finanssektorn och på den finansiella stabiliteten på unionsnivå och nationell nivå.
Funktionens betydelse för den finansiella entitetens dagliga verksamhet.
Funktionens utbytbarhet.
Sammanlänkningen med andra funktioner.
Funktionens geografiska plats.
Andra entiteters sektorsspecifika beroende av funktionen.
Underrättelser om hot rörande funktionen, om sådana finns.
Ledningslaget ska dela informationen om inledning av testning och omfattningsdokumentet med testarna och leverantörerna av underrättelser om hot när dessa har anlitats. Ledningslaget ska informera testarna och leverantörerna av underrättelser om hot om den testprocess som ska följas.
Den finansiella entiteten ska säkerställa att kontrakteringen eller utnämningen av testare och leverantörer av underrättelser om hot är slutförd innan testfasen inleds.
Innan testfasen inleds ska ledningslaget samråda med testledarna om riskbedömningen rörande den hotbildsstyrda penetrationstestningen och om riskhanteringsåtgärderna. Ledningslaget ska se över riskbedömningen eller riskhanteringsåtgärderna om myndigheten med ansvar för hotbildsstyrd penetrationstestning anser att dessa inte på ett tillfredsställande sätt bemöter riskerna med den hotbildsstyrda penetrationstestningen.
Ledningslaget ska bedöma om leverantörer av underrättelser om hot och testare som ledningslaget överväger att engagera i den hotbildsstyrda penetrationstestningen uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 och artikel 7.1 i den här förordningen och dokumentera resultatet av denna bedömning. Ledningslaget ska välja leverantörer av underrättelser om hot i enlighet med denna bedömning och i enlighet med dess riskhanteringsrutiner. Innan de utvalda leverantörerna av underrättelser om hot och de externa testarna anlitas ska ledningslaget förse testledarna med bevis på att dessa leverantörer av underrättelser om hot och testare uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 och artikel 7.1 i den här förordningen. Ledningslaget får inte ingå avtal med de utvalda leverantörerna av underrättelser om hot och de externa testarna om myndigheten med ansvar för hotbildsstyrd penetrationstestning anser att de utvalda leverantörerna av underrättelser om hot och de externa testarna inte uppfyller kraven i artikel 27 i förordning (EU) 2022/2554 eller kraven i artikel 7.1 i den här förordningen eller andra krav som härrör från nationell säkerhetslagstiftning i enlighet med unionsrätten, eller om den finansiella entiteten inte uppfyller kraven i artikel 7.2 första stycket i den här förordningen eller om de omständigheter som avses i artikel 7.2 andra stycket i den här förordningen inte uppfylls.
Om omfattningsdokumentet är fullständigt och säkerställer att en lämplig och effektiv hotbildsstyrd penetrationstestning kan genomföras ska myndigheten med ansvar för hotbildsstyrd penetrationstestning godkänna detta dokument och informera ledningslagets ledare om detta.
Relevant recitals
Skäl 7 Skills and capabilities of test managers
För att avspegla TIBER-EU-ramens metoder bör testledarna ha nödvändig förmåga och kompetens för att kunna ge råd och ifrågasätta testarnas förslag. Erfarenheterna från TIBER-EU-ramen har visat att det är värdefullt att ha ett lag bestående av minst två testledare för varje test. För att återspegla att hotbildsstyrd penetrationstestning är tänkt att uppmuntra till lärande, och för att skydda testernas konfidentialitet, uppmanas myndigheter med ansvar för hotbildsstyrd penetrationstestning starkt att, såvida de inte har brist på resurser och expertis, ta hänsyn till att testledarna då testningen pågår inte bör bedriva tillsynsverksamhet på samma finansiella entitet som genomgår hotbildsstyrd penetrationstestning.
Skäl 8 Involvement of TLPT authorities in the phases
För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.
Skäl 10 Importance of the control team lead
Som framgår av de erfarenheter som gjorts inom TIBER-EU-ramen när det gäller ”ledningslaget” är det absolut nödvändigt att välja en lämplig ledare för ledningslaget för att den hotbildsstyrda penetrationstestningen ska kunna genomföras på ett säkert sätt. Ledningslagets ledare bör ha det mandat inom den finansiella entiteten som krävs för att leda alla aspekter av testningen, utan att dess sekretess äventyras. Av samma skäl bör medlemmarna i ledningslaget ha djupgående kunskap om den finansiella entiteten och om den yrkesroll och strategiska position som ledningslagets ledare har, samt ha erforderlig tjänstgöringstid och direkt tillgång till styrelsen. För att minska risken för att den hotbildsstyrda penetrationstestningen avslöjas bör ledningslaget vara så litet som möjligt.
Skäl 15 Regular meetings involving all stakeholders
Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.
Skäl 16 Communication between test manager and control team
För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.
Skäl 17 Selection of critical or important functions
Den finansiella entiteten bör välja ut de kritiska eller viktiga funktioner som ska omfattas av den hotbildsstyrda penetrationstestningen. När den finansiella entiteten väljer ut dessa funktioner bör den basera valet på olika kriterier för hur viktig varje funktion är för den finansiella entiteten själv och för finanssektorn, på unionsnivå och på nationell nivå, och inte bara i ekonomiskt avseende utan även med beaktande av funktionens symboliska eller politiska status. För att underlätta en smidig övergång till fasen för insamling av underrättelser om hot bör ledningslaget förse testare och leverantörer av underrättelser om hot, som inte är involverade i processen för att identifiera omfattningen, med detaljerad information om den överenskomna omfattningen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.