Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 6 Risikomanagement bei gebündelten oder gemeinsamen TLPT
Summary What does Article 6 of the RTS on threat-led penetration testing say?
This article addresses a specific scenario that arises out of the broader TLPT framework: what happens when multiple financial entities are involved in the same test, either through a joint TLPT or a pooled TLPT.
It establishes that while each financial entity retains individual responsibility for its own risk assessment and risk management measures, there is also a collective layer of risk management that must be addressed.
The designated lead financial entity takes on the additional responsibility of assessing the risks that arise from the multi-entity nature of the test, and all involved control teams are required to cooperate with it to identify risks that span across the group.
Important points:
- Each financial entity in a joint or pooled TLPT must conduct its own independent risk assessment and establish its own risk management measures.
- The control team of the designated lead financial entity is responsible for assessing the risks specific to having multiple financial entities involved in the same TLPT.
- All other control teams involved in the test are required to cooperate with the designated lead financial entity's control team to identify potential joint risks.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Falle eines gemeinsamen TLPT oder eines gebündelten TLPT führt das Kontrollteam jedes Finanzunternehmens eine eigene Risikobewertung durch und legt seine eigenen Risikomanagementmaßnahmen fest.
Das Kontrollteam des gemäß Artikel 16 Absatz 3 Buchstabe b dieser Verordnung benannten Finanzunternehmens oder das gemäß Artikel 26 Absatz 4 der Verordnung (EU) 2022/2554 benannte Finanzunternehmen bewertet die Risiken in Verbindung mit der Beteiligung mehrerer Finanzunternehmen an dem TLPT. Die Kontrollteams der beteiligten Finanzunternehmen arbeiten mit dem Kontrollteam des benannten Finanzunternehmens zusammen, um potenzielle gemeinsame Risiken zu ermitteln.
Relevant recitals
Erwägungsgrund 11 Managing inherent risks of a TLPT
Mit einem TLPT sind Risikokomponenten verbunden, da kritische Funktionen in einer Live-Produktionsumgebung getestet werden. Dies kann Denial-of-Service-Vorfälle, unerwartete Systemabstürze, Schäden an kritischen Live-Produktionssystemen oder den Verlust, die Veränderung oder die Offenlegung von Daten zur Folge haben. Diese Risiken machen deutlich, dass robuste Risikomanagementmaßnahmen erforderlich sind. Um sicherzustellen, dass der TLPT während der gesamten Testdauer kontrolliert durchgeführt wird, ist es sehr wichtig, dass sich die Finanzunternehmen jederzeit der besonderen Risiken bewusst sind, die mit einem TLPT verbunden sind, und dass diese Risiken gemindert werden. In diesem Zusammenhang kann unbeschadet der internen Prozesse des Finanzunternehmens und der Verantwortlichkeiten und Befugnisse, die dem Leiter des Kontrollteams bereits übertragen wurden, die Bereitstellung von Informationen über die TLPT-bezogenen Risikomanagementmaßnahmen oder — in besonderen Fällen — die Genehmigung dieser Risikomanagementmaßnahmen durch das Leitungsorgan des Finanzunternehmens geboten sein. Um effektive und qualifizierte professionelle Dienstleistungen erbringen zu können und diese Risiken zu mindern, ist es zudem von entscheidender Bedeutung, dass die Tester und die Anbieter von Bedrohungsanalysen (zusammen im Folgenden „TLPT-Anbieter“) über ein Höchstmaß an Fähigkeiten, Fachwissen und angemessene Erfahrung im Bereich Bedrohungsanalysen und TLPT in der Finanzdienstleistungsbranche verfügen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cyberangriff
(En. cyber-attack)
Definition
TLPT-Anbieter
(En. TLPT providers)
Definition
Anbieter von Bedrohungsanalysen
(En. threat intelligence provider)
Definition
Leitungsorgan
(En. management body)
Definition
Kontrollteam
(En. control team)
Definition
Bedrohungsanalyse
(En. threat intelligence)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
Leiter des Kontrollteams
(En. control team lead)