Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 13 Plan mit Abhilfemaßnahmen
Summary What does Article 13 of the RTS on threat-led penetration testing say?
This article deals with the post-testing remediation obligations that follow the conclusion of a TLPT.
Building directly on Article 12, which covers the reporting phase, Article 13 sets out what financial entities must do once they have received the TLPT authority's notification regarding the test reports.
The article requires financial entities to produce and submit remediation plans, and specifies in considerable detail what those plans must contain for each finding identified during the TLPT.
Important points:
- Within 8 weeks of the notification from Article 12(7), submit remediation plans and supporting documentation to both the TLPT authority and, where applicable, the competent authority.
- Ensure each remediation plan addresses every TLPT finding and covers the identified shortcomings, proposed measures with prioritisation and expected completion, a root cause analysis, and the staff or functions responsible for implementation.
- The plan must also set out the risks of not implementing the proposed remediation measures, and where relevant, the risks associated with implementing them.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Innerhalb von acht Wochen nach der in Artikel 12 Absatz 7 der vorliegenden Verordnung genannten Unterrichtung legt das Finanzunternehmen der TLPT-Behörde und — sofern es sich nicht um dieselbe Behörde handelt — der für das Finanzunternehmen zuständigen Behörde die in Artikel 26 Absatz 6 der Verordnung (EU) 2022/2554 genannten Pläne mit Abhilfemaßnahmen und Dokumente vor.
Der in Absatz 1 genannte Plan mit Abhilfemaßnahmen enthält für jedes Ergebnis im Rahmen des TLPT Folgendes:
Beschreibung der festgestellten Mängel,
Beschreibung der vorgeschlagenen Abhilfemaßnahmen, ihrer Priorisierung und ihres voraussichtlichen Abschlusses, gegebenenfalls einschließlich Maßnahmen zur Verbesserung der Identifizierungs-, Schutz-, Erkennungs- und Reaktionsfähigkeiten,
Ursachenanalyse,
Mitarbeiter oder Funktionen des Finanzunternehmens, die für die Umsetzung der vorgeschlagenen Abhilfemaßnahmen oder Verbesserungen verantwortlich sind,
Risiken in Verbindung mit einer ausbleibenden Umsetzung der unter Buchstabe b genannten Maßnahmen und gegebenenfalls die mit der Umsetzung dieser Maßnahmen verbundenen Risiken.
Relevant recitals
Erwägungsgrund 26 Cooperation between the TLPT and supervisory authorities
Die in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden und — falls davon abweichend — die TLPT-Behörden sollten zusammenarbeiten, um fortgeschrittene Tests in Form von TLPT in die bestehenden Aufsichtsverfahren einzubeziehen. In diesem Zusammenhang und um das korrekte Verständnis der aus dem TLPT gewonnenen Erkenntnisse und die Art und Weise der Interpretation zu kommunizieren, sollte insbesondere für den zusammenfassenden Testbericht und die Pläne mit Abhilfemaßnahmen eine enge Zusammenarbeit zwischen den am TLPT beteiligten Testmanagern und den zuständigen Aufsichtsbehörden stattfinden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
staatliche Behörde
(En. public authority)
Definition
Testmanager
(En. test managers)
Definition
TLPT-Behörde
(En. TLPT authority)
- die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
- die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
- eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;