Artikel 12 Abschlussphase

Summary What does Article 12 of the RTS on threat-led penetration testing say?

Article 12 governs the post-testing phase of a TLPT, picking up directly where Article 11 leaves off once the active red team testing phase has concluded.

It sets out a structured sequence of reporting, collaborative review, and feedback obligations that must be completed before the TLPT can be formally closed out.

The article moves the process from covert attack simulation into an open, collaborative phase — revealing the test to the blue team, exchanging reports between all parties, conducting a purple teaming exercise, and ultimately submitting a summary report to the TLPT authority for approval.

Important points:

The blue team must be informed that a TLPT took place, then produce its own report within 10 weeks of the end of the active testing phase — mirroring the red team report which testers must submit within 4 weeks.
Conduct a purple teaming exercise no later than 10 weeks after the active testing phase, replaying offensive and defensive actions and addressing vulnerabilities identified during the test.
Submit a summary report of the TLPT's relevant findings to the TLPT authority for approval within 8 weeks of the authority confirming that both the red team and blue team reports are complete.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Nach dem Ende der aktiven Red-Team-Testphase teilt der Leiter des Kontrollteams dem Blue Team mit, dass ein TLPT stattgefunden hat.
1. Innerhalb von vier Wochen nach dem Ende der aktiven Red-Team-Testphase legen die Tester dem Kontrollteam einen Red-Team-Testbericht vor, der die in Anhang V aufgeführten Informationen enthält.
1. Das Kontrollteam legt den Red-Team-Testbericht umgehend dem Blue Team und den Testmanagern vor.
2. Sofern von den Testmanagern verlangt, darf der in Unterabsatz 1 genannte Bericht keine sensiblen Informationen enthalten.
1. Nach Eingang des Red-Team-Testberichts, spätestens jedoch zehn Wochen nach dem Ende der aktiven Red-Team-Testphase, legt das Blue Team dem Kontrollteam einen Blue-Team- Testbericht vor, der die in Anhang VI aufgeführten Informationen enthält. Das Kontrollteam legt den Blue-Team-Testbericht umgehend den Testern und den Testmanagern vor.
2. Sofern von den Testmanagern verlangt, darf der in Unterabsatz 1 genannte Bericht keine sensiblen Informationen enthalten.
1. Spätestens zehn Wochen nach dem Ende der aktiven Red-Team-Testphase wiederholen das Blue Team und die Tester die während des TLPT vorgenommenen offensiven und defensiven Handlungen. Das Kontrollteam führt zudem Purple-Teaming-Übungen zu Themen durch, die vom Blue Team und den Testern gemeinsam auf der Grundlage der während des Tests festgestellten Schwachstellen ermittelt wurden, und gegebenenfalls zu Fragen, die während der aktiven Red-Team-Testphase nicht getestet werden konnten.
1. Nach Abschluss der Wiederholungsaktivitäten und der Purple-Teaming-Übungen geben das Kontrollteam, das Blue Team, die Tester und die Anbieter von Bedrohungsanalysen einander Rückmeldungen zu dem TLPT-Verfahren. Die Testmanager können Rückmeldungen geben.
1. Sobald die TLPT-Behörde den Leiter des Kontrollteams darüber unterrichtet hat, dass der Blue-Team-Testbericht und der Red-Team-Testbericht ihrer Bewertung zufolge die in den Anhängen V und VI aufgeführten Informationen enthalten, legt das Finanzunternehmen der TLPT-Behörde gemäß Artikel 26 Absatz 6 der Verordnung (EU) 2022/2554 innerhalb von acht Wochen den Bericht mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT, der die in Anhang VII aufgeführten Angaben enthält, zur Genehmigung vor.
2. Sofern von der TLPT-Behörde verlangt, darf der in Unterabsatz 1 genannte Bericht keine sensiblen Informationen enthalten.

Relevant recitals

Erwägungsgrund 8 Involvement of TLPT authorities in the phases

Um dem TIBER-EU-Rahmen zu entsprechen, muss die TLPT-Behörde den Test in jeder einzelnen Phase genau verfolgen. Angesichts der Art des Tests und der damit verbundenen Risiken ist es von entscheidender Bedeutung, dass die TLPT-Behörde in jede einzelne Testphase einbezogen wird. Insbesondere sollte die TLPT-Behörde konsultiert werden und die Bewertungen oder Entscheidungen der Finanzunternehmen validieren, die zum einen die Wirksamkeit des Tests beeinflussen und sich zum anderen auf die mit dem Test verbundenen Risiken auswirken können. Zu den grundlegenden Schritten, bei denen eine spezifische Einbeziehung der TLPT-Behörde erforderlich ist, gehören die Validierung bestimmter grundlegender Bestandteile der Testdokumentation, die Auswahl von Anbietern von Bedrohungsanalysen und Testern sowie die Festlegung von Risikomanagementmaßnahmen. Die Einbeziehung der TLPT-Behörden, insbesondere bei Validierungen, sollte den Arbeitsaufwand dieser Behörden nicht übermäßig erhöhen und daher auf die Dokumente und Entscheidungen beschränkt bleiben, die sich unmittelbar auf die Durchführung des TLPT auswirken. Durch die aktive Einbeziehung in jede Testphase können die TLPT-Behörden effektiv bewerten, ob die Finanzunternehmen die einschlägigen Anforderungen erfüllen, und entsprechend die Bescheinigung gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 ausstellen.

Erwägungsgrund 15 Regular meetings involving all stakeholders

Wie die Erfahrung mit der Umsetzung des TIBER-EU-Rahmens gezeigt hat, sind Präsenz- oder virtuelle Sitzungen mit allen betroffenen Interessenträger (Finanzunternehmen, Behörden, Tester und Anbieter von Bedrohungsanalysen) der effizienteste Weg, um eine angemessene Durchführung der Tests sicherzustellen. Daher sollten in verschiedenen Phasen des Prozesses Präsenz- und virtuelle Sitzungen abgehalten werden, das heißt während der Vorbereitungsphase zu Beginn des TLPT, um den Testumfang festzulegen, während der Testphase, um den Bedrohungsanalysebericht, den Red-Team-Testplan und die wöchentlichen Fortschrittsberichte zu erstellen, und während der Abschlussphase, um die Handlungen der Tester und des Blue Teams zu wiederholen, für das Purple-Teaming und um Rückmeldungen zu dem TLPT auszutauschen.

Erwägungsgrund 16 Communication between test manager and control team

Um eine reibungslose Durchführung des TLPT zu gewährleisten, sollte die TLPT-Behörde dem Finanzunternehmen ihre Erwartungen in Bezug auf den Test klar darlegen. In diesem Zusammenhang sollten die Testmanager sicherstellen, dass ein angemessener Informationsfluss mit dem Kontrollteam innerhalb des Finanzunternehmens und mit den TLPT-Anbietern eingerichtet wird.

Erwägungsgrund 24 Maximising the learning experience

Der TLPT sollte als Lernerfahrung genutzt werden, um die digitale operationale Resilienz von Finanzunternehmen zu verbessern. In diesem Zusammenhang sollten das Blue Team und die Tester den Angriff wiederholen und die durchgeführten Schritte analysieren, um in Zusammenarbeit mit den Testern Erkenntnisse aus den Tests zu gewinnen. Hierzu und um eine angemessene Vorbereitung zu ermöglichen, sollten der Red-Team-Testbericht und der Blue-Team-Testbericht allen an der Wiederholung beteiligten Parteien vor deren Durchführung zur Verfügung gestellt werden. Darüber hinaus sollte in der Abschlussphase ein Purple-Teaming stattfinden, um die Lernerfahrung zu maximieren. Die Methoden, die in der Abschlussphase für das Purple-Teaming verwendet werden können, sollten Diskussionen über alternative Angriffsszenarien, die Analyse alternativer Szenarien für Live-Systeme oder die erneute Analyse geplanter Szenarien für Live-Systeme umfassen, die die Tester während der Testphase nicht abschließen oder ausführen konnten.

Erwägungsgrund 25 Mutual feedback

Um die Lernerfahrung aller am TLPT beteiligten Parteien im Hinblick auf künftige Tests weiter zu verbessern und die digitale operationale Resilienz von Finanzunternehmen zu fördern, sollten die betroffenen Parteien einander Rückmeldungen zum gesamten Prozess geben und insbesondere ermitteln, welche Aktivitäten gut vorangekommen sind oder hätten verbessert werden können und welche Aspekte des TLPT-Verfahrens gut funktioniert haben oder verbessert werden könnten.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.