Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 3 TCT- und TLPT-Testmanager
Summary What does Article 3 of the RTS on threat-led penetration testing say?
This article establishes the internal structure that TLPT authorities must put in place to oversee and coordinate threat-led penetration testing.
It sets out the requirement for a dedicated TLPT Cyber Team (TCT), composed of test managers, to take responsibility for coordinating TLPT-related activities.
The article also makes clear that TLPT authority involvement is not merely administrative — it extends across all phases of a given test.
Important points:
- TLPT authorities are required to establish a TCT and designate a test manager, plus at least one alternate, for each individual TLPT.
- Test managers are responsible for monitoring and ensuring compliance with this Regulation throughout the testing process.
- TLPT authorities must participate in all phases of the TLPT, not just at the initiation or sign-off stage.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Eine TLPT-Behörde überträgt die Zuständigkeit für die Koordinierung der mit TLPT verbundenen Aktivitäten einem Test-Cyberteam (im Folgenden „TCT“). Ein TCT setzt sich aus Testmanagern zusammen, die mit der Beaufsichtigung eines einzelnen TLPT betraut sind.
Für jeden Test benennt die TLPT-Behörde einen Testmanager und mindestens einen Stellvertreter.
Die Testmanager überwachen, ob die in dieser Verordnung festgelegten Anforderungen eingehalten werden, und stellen deren Einhaltung sicher.
Der Testmanager teilt dem Finanzunternehmen die Kontaktdaten des TCT im Wege der in Artikel 9 Absatz 1 genannten Aufforderung mit.
Die TLPT-Behörde nimmt an allen Phasen des TLPT teil.
Relevant recitals
Erwägungsgrund 6 Responsibility of TLPT cyber teams in line with TIBER-EU
Um sicherzustellen, dass in den TLPT die im Rahmen der Umsetzung von TIBER-EU gewonnenen Erfahrungen einfließen, und um die mit der Durchführung von TLPT verbundenen Risiken zu verringern, sollte sichergestellt werden, dass die Zuständigkeiten der TLPT-Cyberteams, die auf der Ebene der TLPT-Behörden eingerichtet werden, so weit wie möglich denen der TIBER-EU-Cyberteams entsprechen. Daher sollten für die TLPT-Cyberteams Testmanager bestimmt werden, die für die Beaufsichtigung der einzelnen TLPT sowie für die Planung und Koordinierung der einzelnen Tests verantwortlich sind. TLPT-Cyberteams sollten eine zentrale Anlaufstelle für die testbezogene Kommunikation mit internen und externen Interessenträgern, für die Sammlung und Verarbeitung von Rückmeldungen und Erkenntnissen aus bereits durchgeführten Tests und für die Unterstützung von Finanzunternehmen, bei denen ein TLPT durchgeführt wird, sein.
Erwägungsgrund 7 Skills and capabilities of test managers
Um der Methodik des TIBER-EU-Rahmens Rechnung zu tragen, sollten Testmanager über die erforderlichen Fähigkeiten und Kompetenzen für die Begutachtung der Vorschläge der Tester und die entsprechende Beratung verfügen. Die Erfahrung im Rahmen des TIBER-EU-Rahmens hat gezeigt, dass es sinnvoll ist, jedem Test ein Team aus mindestens zwei Testmanagern zuzuweisen. Da mithilfe des TLPT die Lernerfahrung verbessert werden soll, und um die Vertraulichkeit der Tests zu wahren, wird den TLPT-Behörden dringend empfohlen, dafür zu sorgen, dass Testmanager während der Dauer eines TLPT keine Aufsichtstätigkeiten über das Finanzunternehmen, das sich einem TLPT unterzieht, ausüben (vorausgesetzt, bei den Behörden sind die nötigen Ressourcen oder Kompetenzen vorhanden).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
staatliche Behörde
(En. public authority)
Definition
TCT
(En. TLPT Cyber Team)
Definition
Testmanager
(En. test managers)
Definition
TLPT-Cyberteam
(En. TLPT Cyber Team)
Definition
TLPT-Behörde
(En. TLPT authority)
- die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
- die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
- eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;