Source: OJ L, 2025/1190, 18.6.2025Current language: DE
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 7 Auswahl der TLPT-Anbieter
Summary What does Article 7 of the RTS on threat-led penetration testing say?
This is a detailed and notably granular article that sits at the heart of the regulation's quality assurance framework for TLPT providers.
Building on the broader risk management obligations established in Articles 5 and 6, Article 7 sets out the specific due diligence and conduct requirements that the control team must enforce when engaging external testers and threat intelligence providers.
It covers the vetting of credentials and experience, conflict of interest requirements, mandatory post-test restoration procedures, and a list of prohibited activities.
It also contains a limited exception allowing non-compliant providers to be used in exceptional circumstances, provided mitigating measures are adopted and recorded.
Important points:
- Ensure external testers and threat intelligence providers meet strict qualification standards, including minimum years of experience, reference requirements, professional indemnity insurance, and separation from blue team activities to avoid conflicts of interest.
- Require testers and threat intelligence providers to carry out full restoration procedures after testing, covering removal of malware, deactivation of command and control infrastructure, and secure deletion of compromised credentials.
- In exceptional circumstances, financial entities may engage providers that do not meet the requirements, but must adopt and record appropriate measures to mitigate the associated risks.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Das Kontrollteam ergreift Maßnahmen zur Steuerung der mit dem TLPT verbundenen Risiken und stellt insbesondere sicher, dass bei jedem TLPT
der Anbieter von Bedrohungsanalysen und externe Tester dem Kontrollteam einen ausführlichen Lebenslauf und Kopien von Bescheinigungen vorlegen, die nach anerkannten Marktstandards eine geeignete Grundlage für die Durchführung ihrer Tätigkeiten sind,
der Anbieter von Bedrohungsanalysen und externe Tester ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit,
der Anbieter von Bedrohungsanalyen mindestens drei Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegt,
die externen Tester mindestens fünf Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegen,
die dem TLPT zugewiesenen Mitarbeiter des Anbieters von Bedrohungsanalysen
aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung im Bereich der Bedrohungsanalyse und mindestens einem weiteren Mitglied mit mindestens zwei Jahren Erfahrung im Bereich der Bedrohungsanalyse besteht,
ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter
Kenntnis der Taktiken, Techniken und Verfahren zur Informationsgewinnung,
geopolitisches, technisches und sektorbezogenes Wissen,
angemessene Kommunikationsfähigkeiten, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,
in der Vergangenheit an insgesamt mindestens drei Arbeitsaufträgen im Bereich der Bedrohungsanalyse im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,
nicht gleichzeitig Blue-Team-Aufgaben oder andere Dienstleistungen ausführt, die einen Interessenkonflikt hinsichtlich des an dem TLPT, dem sie zugewiesen sind, beteiligten Finanzunternehmens, IKT-Drittdienstleisters oder gruppeninternen IKT-Dienstleisters darstellen könnten,
von Mitarbeitern desselben TLPT-Anbieters, der externe Tester für denselben TLPT bereitstellt, getrennt ist und diesen nicht Bericht erstattet,
bei externen Testern das dem TLPT zugewiesene Red Team
aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung mit Penetrationstests und Red-Team-Tests sowie mindestens zwei weiteren Testern, die jeweils mindestens zwei Jahre Erfahrung mit Penetrationstests und Red-Team-Tests haben, besteht,
ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter Kenntnisse über die Geschäftstätigkeit des Finanzunternehmens, Auskundschaftung, Risikomanagement, Exploit-Entwicklung, physische Penetration, Social Engineering und Schwachstellenanalyse, und angemessene Kommunikationsfähigkeiten besitzt, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,
in der Vergangenheit an insgesamt mindestens fünf Arbeitsaufträgen im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,
weder bei einem Anbieter von Bedrohungsanalysen, der gleichzeitig Blue-Team-Aufgaben für ein an dem TLPT beteiligtes Finanzunternehmen, einen IKT-Drittdienstleister oder einen gruppeninternen IKT-Dienstleister wahrnimmt, beschäftigt ist noch Dienstleistungen für einen solchen Anbieter erbringt,
von Mitarbeitern desselben TLPT-Anbieters getrennt ist, der gleichzeitig Bedrohungsanalyse-Dienstleistungen für denselben TLPT erbringt,
die Tester und der Anbieter von Bedrohungsanalysen am Ende der Tests Wiederherstellungsverfahren durchführen, einschließlich der sicheren Löschung von Informationen im Zusammenhang mit Passwörtern, Zugangsdaten und anderen geheimen Schlüsseln, die während des TLPT kompromittiert wurden, der sicheren Kommunikation mit den Finanzunternehmen über die kompromittierten Konten, der sicheren Erfassung, Speicherung, Verwaltung und Vernichtung anderer während der Tests erhobener Daten,
die Tester zusätzlich zu den Wiederherstellungsverfahren am Ende der Tests gemäß Buchstabe g die folgenden Wiederherstellungsverfahren durchführen:
Deaktivierung von Command-and-Control-Diensten,
Kill Switches für Umfang und Datum,
Entfernung von Hintertüren und anderer Schadsoftware,
Meldung möglicher Sicherheitsverletzungen,
Verfahren für die künftige Backup-Wiederherstellung, die während des Tests installierte Schadsoftware oder Tools betreffen können,
Überwachung der Aktivitäten des Blue Teams und Unterrichtung des Kontrollteams, wenn der Test aufgedeckt wird,
die Tester und der Anbieter von Bedrohungsanalysen keine der folgenden Aktivitäten durchführen oder sich daran beteiligen:
unbefugte Zerstörung von Ausrüstung des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleister,
unkontrollierte Veränderung der Informationen und IKT-Ressourcen des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleister,
vorsätzliche Gefährdung der Kontinuität kritischer oder wichtiger Funktionen des Finanzunternehmens,
unbefugte Einbeziehung von Systemen, die nicht in den Anwendungsbereich fallen,
unbefugte Offenlegung der Testergebnisse.
Das Kontrollteam führt Aufzeichnungen über die von den Testern und den Anbietern von Bedrohungsanalysen zum Nachweis der Einhaltung von Absatz 1 Buchstaben a bis f bereitgestellten Dokumente.
In Ausnahmefällen können Finanzunternehmen externe Tester und Anbieter von Bedrohungsanalysen beauftragen, die eine oder mehrere der in Absatz 1 Buchstaben a bis f genannten Anforderungen nicht erfüllen, sofern diese Finanzunternehmen geeignete Maßnahmen ergreifen, um die Risiken in Verbindung mit der Nichteinhaltung dieser Buchstaben zu mindern, und über diese Maßnahmen Aufzeichnungen führen.
Relevant recitals
Erwägungsgrund 12 Comprehensive criteria for TLPT providers
Herkömmliche Penetrationstests ermöglichen eine detaillierte und hilfreiche Bewertung technischer und Konfigurationsschwachstellen, die häufig nur ein einzelnes System oder eine einzelne Umgebung betreffen und isoliert betrachtet werden. Im Gegensatz zu einem erkenntnisgestützten Red-Team-Test wird dabei nicht das gesamte Szenario eines gezielten Angriffs auf ein ganzes Unternehmen, einschließlich seiner Mitarbeiter, Prozesse und Technologien, bewertet. Bei der Auswahl der TLPT-Anbieter sollten Finanzunternehmen daher sicherstellen, dass diese Anbieter über die erforderlichen Fähigkeiten verfügen, um erkenntnisgestützte Red-Team-Tests durchzuführen, und nicht nur Penetrationstests. Es müssen daher umfassende Kriterien für interne und externe Tester sowie für Anbieter von Bedrohungsanalysen (immer extern) festgelegt werden. Gehören die TLPT-Anbieter demselben Unternehmen an, sollte sichergestellt werden, dass das für einen TLPT eingesetzte Personal angemessen von den übrigen Mitarbeitern getrennt ist.
Erwägungsgrund 13 Exemptions from TLPT provider criteria
In Ausnahmefällen kann es sein, dass ein Finanzunternehmen keine TLPT-Anbieter findet, die die umfassenden Kriterien erfüllen. Können Finanzunternehmen den Nachweis erbringen, dass solche Anbieter von Bedrohungsanalysen nicht verfügbar sind, sollten sie die Möglichkeit haben, Personen zu beauftragen, die nicht alle umfassenden Kriterien erfüllen, sofern sie die sich daraus ergebenden zusätzlichen Risiken angemessen mindern und die TLPT-Behörde sämtliche dieser Kriterien bewertet.
Erwägungsgrund 27 Mix of internal and external testers considered 'internal'
Nach Artikel 26 Absatz 8 Unterabsatz 1 der Verordnung (EU) 2022/2554 müssen Finanzunternehmen bei jedem dritten Test externe Tester beauftragen. Wenn Finanzunternehmen sowohl interne als auch externe Tester in das Testteam einbeziehen, ist dieser Test für die Zwecke des genannten Artikels als TLPT mit internen Testern zu betrachten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cyberangriff
(En. cyber-attack)
Definition
TLPT-Anbieter
(En. TLPT providers)
Definition
Anbieter von Bedrohungsanalysen
(En. threat intelligence provider)
Definition
staatliche Behörde
(En. public authority)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Red Team
(En. red team)
Definition
Blue Team
(En. blue team)
Definition
Blue-Team-Aufgaben
(En. blue team tasks)
Definition
Kontrollteam
(En. control team)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
Bedrohungsanalyse
(En. threat intelligence)
Definition
Cyberbedrohung
(En. cyber threat)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
TLPT-Behörde
(En. TLPT authority)
- die gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 benannte einzige staatliche Behörde im Finanzsektor,
- die für den Finanzsektor zuständige Behörde, der die Wahrnehmung einiger oder aller Aufgaben im Zusammenhang mit TLPT gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 übertragen wird,
- eine der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden;