Artikel 5 Risikomanagement bei TLPT

Summary What does Article 5 of the RTS on threat-led penetration testing say?

Article 5 sets out the risk assessment obligations that apply to the control team during the TLPT process.

It sits within the broader preparation framework established by Article 9, and essentially requires the control team to think carefully about the dangers inherent in running live penetration tests against critical systems — both to the financial entity itself and to the wider financial sector.

Crucially, this is not a one-time exercise; the control team must keep reviewing those risks throughout the entire testing period.

The article also provides a minimum list of risk categories that must be factored into the assessment, ranging from the risks of giving external testers access to sensitive information, to the possibility of data corruption or service interruption caused by either the attacking (red) or defending (blue) teams, to the risk that systems are not fully restored after testing concludes.

Important points:

The control team must conduct a risk assessment at the preparation stage and continue reviewing it throughout the testing process.
The risk assessment must cover, at minimum, six specific risk areas, including risks from granting access to sensitive information, compliance failures, crisis escalation, red team and blue team activities, and incomplete system restoration.
The scope of concern explicitly extends beyond the financial entity itself to include potential impacts on the broader financial sector and financial stability at Union or national level.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Während der Vorbereitungsphase gemäß Artikel 9 bewertet das Kontrollteam die Risiken im Zusammenhang mit Tests der Live-Produktionssysteme kritischer oder wichtiger Funktionen des Finanzunternehmens, einschließlich möglicher Auswirkungen auf
  1. den Finanzsektor,
  2. die Finanzstabilität auf Unions- oder nationaler Ebene.
2. Das Kontrollteam überprüft diese Auswirkungen während des gesamten Tests.
1. Für die Zwecke der Risikobewertung und des Risikomanagements berücksichtigt das Kontrollteam mindestens die folgenden Arten von Risiken in Verbindung mit
  1. der Gewährung des Zugangs zu sensiblen Informationen über das Finanzunternehmen für die Anbieter von Bedrohungsanalysen und gegebenenfalls externe Tester,
  2. der unzureichenden Einhaltung der Verordnung (EU) 2022/2554 und der vorliegenden Verordnung bei der Durchführung des TLPT, wenn diese unzureichende Einhaltung dazu führt, dass die in Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 genannte Bescheinigung nicht ausgestellt wird, auch wenn diese unzureichende Einhaltung auf Verletzungen der Vertraulichkeit des TLPT oder mangelndes ethisches Verhalten zurückzuführen ist,
  3. einer Eskalation in eine Krise oder einen Vorfall,
  4. der aktiven Red-Team-Phase, einschließlich der Risiken in Verbindung mit der Unterbrechung kritischer Tätigkeiten und der Datenkorruption aufgrund der Aktivitäten der Tester, und ihrer potenziellen Auswirkungen auf Dritte,
  5. der Aktivität des Blue Teams, einschließlich der Risiken in Verbindung mit der Unterbrechung kritischer Tätigkeiten und der Datenkorruption aufgrund der Aktivitäten des Blue Teams, und ihrer potenziellen Auswirkungen auf Dritte,
  6. der unvollständigen Wiederherstellung der vom TLPT betroffenen Systeme.

Relevant recitals

Erwägungsgrund 9 Secrecy of the TLPT

Die Geheimhaltung des TLPT ist äußerst wichtig, um sicherzustellen, dass die Testbedingungen realistisch sind. Aus diesem Grund sollten die Tests verdeckt erfolgen und es sollten Vorkehrungen getroffen werden, um die Vertraulichkeit des TLPT zu wahren. Beispielsweise sollten Codenamen so gewählt werden, dass eine Identifizierung des TLPT durch Dritte nicht möglich ist. Sollten Mitarbeiter, die für die Sicherheit des Finanzteams zuständig sind, von einem geplanten oder laufenden TLPT erfahren, sind sie wahrscheinlich aufmerksamer und wachsamer als unter normalen Arbeitsbedingungen, was zu einem anderen Testergebnis führen würde. Mitarbeiter des Finanzunternehmens, die nicht dem Kontrollteam angehören, sollten daher nur dann über geplante oder laufende TLPT informiert werden, wenn triftige Gründe vorliegen, und vorbehaltlich der vorherigen Zustimmung der Testmanager, um unter anderem die Geheimhaltung des Tests zu gewährleisten, falls ein Mitglied des Blue Teams den Test aufdeckt.

Erwägungsgrund 11 Managing inherent risks of a TLPT

Mit einem TLPT sind Risikokomponenten verbunden, da kritische Funktionen in einer Live-Produktionsumgebung getestet werden. Dies kann Denial-of-Service-Vorfälle, unerwartete Systemabstürze, Schäden an kritischen Live-Produktionssystemen oder den Verlust, die Veränderung oder die Offenlegung von Daten zur Folge haben. Diese Risiken machen deutlich, dass robuste Risikomanagementmaßnahmen erforderlich sind. Um sicherzustellen, dass der TLPT während der gesamten Testdauer kontrolliert durchgeführt wird, ist es sehr wichtig, dass sich die Finanzunternehmen jederzeit der besonderen Risiken bewusst sind, die mit einem TLPT verbunden sind, und dass diese Risiken gemindert werden. In diesem Zusammenhang kann unbeschadet der internen Prozesse des Finanzunternehmens und der Verantwortlichkeiten und Befugnisse, die dem Leiter des Kontrollteams bereits übertragen wurden, die Bereitstellung von Informationen über die TLPT-bezogenen Risikomanagementmaßnahmen oder — in besonderen Fällen — die Genehmigung dieser Risikomanagementmaßnahmen durch das Leitungsorgan des Finanzunternehmens geboten sein. Um effektive und qualifizierte professionelle Dienstleistungen erbringen zu können und diese Risiken zu mindern, ist es zudem von entscheidender Bedeutung, dass die Tester und die Anbieter von Bedrohungsanalysen (zusammen im Folgenden „TLPT-Anbieter“) über ein Höchstmaß an Fähigkeiten, Fachwissen und angemessene Erfahrung im Bereich Bedrohungsanalysen und TLPT in der Finanzdienstleistungsbranche verfügen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.