Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 1 Begriffsbestimmungen
Summary What does Article 1 of the RTS on threat-led penetration testing say?
This is the foundational definitions article for the regulation, establishing a precise shared vocabulary that underpins every subsequent obligation and procedure.
It is notably comprehensive, defining 18 terms that span the key actors, roles, and concepts involved in threat-led penetration testing (TLPT).
The definitions cover the parties involved in a test — such as the control team, blue team, red team, and threat intelligence provider — as well as the mechanics of testing itself, including concepts like flags, attack paths, leg-ups, and purple teaming.
It also clarifies the different formats a TLPT can take, distinguishing between joint TLPTs and pooled TLPTs, the latter being referenced directly from Regulation (EU) 2022/2554 (DORA), of which this regulation is an implementing measure.
Important points:
- Understand the distinction between the red team (the testers executing attacks), the blue team (the defenders, unaware of the TLPT), and the control team (the financial entity's staff managing the test) — these roles carry specific obligations throughout the regulation.
- The "TLPT authority" has a broad definition, covering designated national authorities, delegated authorities, and competent authorities under DORA, meaning oversight of a TLPT may rest with different bodies depending on jurisdiction.
- Joint TLPTs and pooled TLPTs are defined as distinct arrangements, a distinction that matters for how multiple financial entities and their authorities coordinate under later articles.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:
„Kontrollteam“ das Team, das sich aus Mitarbeitern des getesteten Finanzunternehmens und, entsprechend dem Umfang des TLPT, gegebenenfalls aus Mitarbeitern seiner Drittdienstleister und jeder anderen Partei, die den Test leitet, zusammensetzt;
„Leiter des Kontrollteams“ den Mitarbeiter des Finanzunternehmens, der für die Durchführung aller TLPT-bezogenen Aktivitäten des Finanzunternehmens im Rahmen eines bestimmten Tests verantwortlich ist;
„Blue Team“ die Mitarbeiter des Finanzunternehmens und gegebenenfalls die Mitarbeiter der Drittdienstleister des Finanzunternehmens und alle anderen entsprechend dem Umfang des TLPT als relevant erachteten Parteien bei den Drittdienstleitern des Finanzunternehmens, die die Nutzung von Netzwerk- und Informationssystemen des Finanzunternehmens absichern, indem sie seine Fähigkeit zur Abwehr simulierter oder realer Angriffe aufrechterhalten, und die keine Kenntnis vom TLPT haben;
„Blue-Team-Aufgaben“ Aufgaben, die in der Regel vom Blue Team wahrgenommen werden, wie z. B. Security Operation Centre (SOC), IKT-Infrastrukturdienstleistungen, Helpdesk-Dienstleistungen und Vorfallmanagement-Dienstleistungen auf operativer Ebene;
„Red Team“ die internen oder externen Tester, die mit einem TLPT beauftragt oder betraut wurden;
„Purple-Teaming“ gemeinsam durchgeführte Tests, an denen sowohl die Tester als auch das Blue Team beteiligt sind;
„TLPT-Behörde“ eine der folgenden Behörden:
die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;
„TLPT-Cyberteam“ oder „TCT“ die Mitarbeiter der TLPT-Behörden, die für mit TLPT verbundene Angelegenheiten zuständig sind;
„Testmanager“ die Mitarbeiter, die benannt wurden, um die Aktivitäten der TLPT-Behörde für einen bestimmten TLPT zu leiten und die Einhaltung dieser Verordnung zu überwachen;
„Anbieter von Bedrohungsanalysen“ die Sachverständigen, die vom Finanzunternehmen für den jeweiligen TLPT beauftragt wurden und nicht dem Finanzunternehmen oder etwaigen gruppeninternen IKT-Dienstleistern angehören und die gezielte Bedrohungsinformationen sammeln und analysieren, welche für die Finanzunternehmen, die in den Anwendungsbereich eines spezifischen TLPT fallen, relevant sind, und entsprechende relevante und realistische Bedrohungsszenarien entwickeln;
„TLPT-Anbieter“ Tester und Anbieter von Bedrohungsanalysen;
„Hilfestellung“ oder „Leg-up“ die Unterstützung oder Informationen, die das Kontrollteam den Testern zur Verfügung stellt, um es ihnen zu ermöglichen, einen Angriffspfad fortzusetzen, wenn sie allein nicht weiterkommen, und wenn es keine andere vernünftige Alternative gibt, z. B. wenn für einen TLPT nicht genug Zeit oder Ressourcen zur Verfügung stehen;
„Angriffspfad“ den Pfad, dem die Tester während des aktiven Red-Team-Tests folgen, um die für diesen TLPT vordefinierten Ziele zu erreichen;
„Flags“ oder „vordefinierte Ziele“ Kernziele der IKT-Systeme zur Unterstützung kritischer oder wichtiger Funktionen eines Finanzunternehmens, die die Tester mit dem Test zu erreichen versuchen;
„sensible Informationen“ Informationen, die leicht für Angriffe auf die IKT-Systeme des Finanzunternehmens genutzt werden können, geistiges Eigentum, vertrauliche Geschäftsdaten oder personenbezogene Daten, die dem Finanzunternehmen und seinem Ökosystem direkt oder indirekt schaden könnten, wenn sie in die Hände böswilliger Akteure fallen würden;
„Pool“ alle Finanzunternehmen, die an einem gebündelten TLPT gemäß Artikel 26 Absatz 4 der Verordnung (EU) 2022/2554 teilnehmen;
„Aufnahmemitgliedstaat“ den Aufnahmemitgliedstaat gemäß den sektorspezifischen Rechtsvorschriften der Union, die für das betreffende Finanzunternehmen gelten;
„gemeinsamer TLPT“ einen TLPT, bei dem es sich nicht um einen gebündelten TLPT im Sinne des Artikels 26 Absatz 4 der Verordnung (EU) 2022/2554 handelt und an dem mehrere Finanzunternehmen beteiligt sind, die denselben gruppeninternen IKT-Dienstleister in Anspruch nehmen oder derselben Gruppe angehören und IKT-Systeme gemeinsam nutzen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
TLPT-Anbieter
(En. TLPT providers)
Definition
Anbieter von Bedrohungsanalysen
(En. threat intelligence provider)
Definition
staatliche Behörde
(En. public authority)
Definition
Gruppe
(En. group)
Definition
sensible Informationen
(En. sensitive information)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Red Team
(En. red team)
Definition
Blue Team
(En. blue team)
Definition
Blue-Team-Aufgaben
(En. blue team tasks)
Definition
Kontrollteam
(En. control team)
Definition
Leg-up
(En. leg-up)
Definition
vordefinierte Ziele
(En. flags)
Definition
Aufnahmemitgliedstaat
(En. host Member State)
Definition
TCT
(En. TLPT Cyber Team)
Definition
Testmanager
(En. test managers)
Definition
Pool
(En. pool)
Definition
Flags
(En. flags)
Definition
Hilfestellung
(En. leg-up)
Definition
TLPT-Cyberteam
(En. TLPT Cyber Team)
Definition
Angriffspfad
(En. attack path)
Definition
Purple-Teaming
(En. purple teaming)
Definition
gemeinsamer TLPT
(En. joint TLPT)
Definition
Leiter des Kontrollteams
(En. control team lead)
Definition
TLPT-Behörde
(En. TLPT authority)
- die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
- die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
- eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;