Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 15 Einsatz interner Tester
Summary What does Article 15 of the RTS on threat-led penetration testing say?
This article sets out the rules governing the use of internal testers when conducting a TLPT.
Rather than simply permitting or prohibiting internal testers, the article conditions their use on a series of specific organisational arrangements that financial entities must have in place.
These cover the need for a formal policy, safeguards to protect the entity's broader defensive capabilities during the test, and minimum team composition and employment tenure requirements.
The article also connects to Article 7(1) of this Regulation, which sets out tester requirements that the TLPT authority must consider when approving the use of internal testers, and to Article 27(2)(a) of DORA, which governs that approval itself.
Notably, testers from an ICT intra-group service provider are treated as internal testers for these purposes.
Important points:
- Establish a formal, documented, and periodically reviewed policy for managing internal testers, covering suitability, competence, conflicts of interest, team composition (a test lead plus at least two members), a 12-month employment requirement, and training provisions.
- Ensure that using internal testers does not negatively impact the entity's defensive or resilience capabilities or the availability of resources for ICT-related tasks during the TLPT.
- Disclose the use of internal testers in the test initiation information, the red team test report, and the TLPT summary findings report.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Finanzunternehmen treffen alle folgenden Vorkehrungen für den Einsatz interner Tester:
Festlegung und Umsetzung einer Strategie für das Management interner Tester bei einem TLPT,
Maßnahmen, mit denen sichergestellt wird, dass sich der Einsatz interner Tester für die Durchführung eines TLPT nicht nachteilig auf die allgemeinen Verteidigungs- oder Resilienzfähigkeiten des Finanzunternehmens in Bezug auf IKT-bezogene Vorfälle auswirkt oder sich erheblich auf die Verfügbarkeit von Ressourcen auswirkt, die während eines TLPT für IKT-bezogene Aufgaben eingesetzt werden,
Maßnahmen, mit denen sichergestellt wird, dass interne Tester über ausreichende Ressourcen und Fähigkeiten verfügen, um einen TLPT durchzuführen.
Die unter Buchstabe a genannte Strategie muss
Kriterien für die Beurteilung von Eignung, Kompetenz und potenziellen Interessenkonflikten der internen Tester enthalten und die Zuständigkeiten der Geschäftsleitung in dem Testverfahren enthalten,
dokumentiert und regelmäßig überprüft werden,
vorsehen, dass dem internen Testteam ein Testmanager und mindestens zwei zusätzliche Mitglieder angehören,
verlangen, dass alle Mitglieder des Testteams in den vorangegangenen zwölf Monaten bei dem Finanzunternehmen oder einem gruppeninternen IKT-Dienstleister beschäftigt waren,
Schulungen zur Durchführung von Penetrationstests und Red-Team-Tests für die internen Tester vorsehen.
Wenn eine TLPT-Behörde den Einsatz interner Tester gemäß Artikel 27 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 genehmigt, berücksichtigt die TLPT-Behörde die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen.
Beim Einsatz interner Tester stellt das Finanzunternehmen sicher, dass in den folgenden Dokumenten darauf verwiesen wird:
Informationen über die Einleitung des Tests gemäß Artikel 9,
Red-Team-Testbericht gemäß Artikel 12 Absatz 2,
Bericht mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß den Artikeln 26 Absatz 6 der Verordnung (EU) 2022/2554.
Tester, die bei einem gruppeninternen IKT-Dienstleister beschäftigt sind, gelten als interne Tester des Finanzunternehmens.
Relevant recitals
Erwägungsgrund 12 Comprehensive criteria for TLPT providers
Herkömmliche Penetrationstests ermöglichen eine detaillierte und hilfreiche Bewertung technischer und Konfigurationsschwachstellen, die häufig nur ein einzelnes System oder eine einzelne Umgebung betreffen und isoliert betrachtet werden. Im Gegensatz zu einem erkenntnisgestützten Red-Team-Test wird dabei nicht das gesamte Szenario eines gezielten Angriffs auf ein ganzes Unternehmen, einschließlich seiner Mitarbeiter, Prozesse und Technologien, bewertet. Bei der Auswahl der TLPT-Anbieter sollten Finanzunternehmen daher sicherstellen, dass diese Anbieter über die erforderlichen Fähigkeiten verfügen, um erkenntnisgestützte Red-Team-Tests durchzuführen, und nicht nur Penetrationstests. Es müssen daher umfassende Kriterien für interne und externe Tester sowie für Anbieter von Bedrohungsanalysen (immer extern) festgelegt werden. Gehören die TLPT-Anbieter demselben Unternehmen an, sollte sichergestellt werden, dass das für einen TLPT eingesetzte Personal angemessen von den übrigen Mitarbeitern getrennt ist.
Erwägungsgrund 13 Exemptions from TLPT provider criteria
In Ausnahmefällen kann es sein, dass ein Finanzunternehmen keine TLPT-Anbieter findet, die die umfassenden Kriterien erfüllen. Können Finanzunternehmen den Nachweis erbringen, dass solche Anbieter von Bedrohungsanalysen nicht verfügbar sind, sollten sie die Möglichkeit haben, Personen zu beauftragen, die nicht alle umfassenden Kriterien erfüllen, sofern sie die sich daraus ergebenden zusätzlichen Risiken angemessen mindern und die TLPT-Behörde sämtliche dieser Kriterien bewertet.
Erwägungsgrund 27 Mix of internal and external testers considered 'internal'
Nach Artikel 26 Absatz 8 Unterabsatz 1 der Verordnung (EU) 2022/2554 müssen Finanzunternehmen bei jedem dritten Test externe Tester beauftragen. Wenn Finanzunternehmen sowohl interne als auch externe Tester in das Testteam einbeziehen, ist dieser Test für die Zwecke des genannten Artikels als TLPT mit internen Testern zu betrachten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
TLPT-Anbieter
(En. TLPT providers)
Definition
Anbieter von Bedrohungsanalysen
(En. threat intelligence provider)
Definition
staatliche Behörde
(En. public authority)
Definition
Testmanager
(En. test managers)
Definition
TLPT-Behörde
(En. TLPT authority)
- die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
- die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
- eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;