Artikel 9 Vorbereitungsphase

Summary What does Article 9 of the RTS on threat-led penetration testing say?

Article 9 is a detailed, procedural article that maps out the entire preparation phase of a TLPT, from the moment a financial entity receives notification that it must conduct one, through to the point where the TLPT authority approves the scope and the testing phase can begin.

It builds directly on Article 2, which determines which financial entities are required to perform a TLPT in the first place, and sets the sequential steps that must be followed before any active testing commences.

The article establishes clear timelines, governance structures, and authority checkpoints throughout, including the formation of the control team, the submission of a scope specification document, the vetting and contracting of testers and threat intelligence providers, and the consultation on risk management measures.

Important points:

Submit TLPT initiation information to test managers within 3 months of notification, and a management body-approved scope specification document within 6 months of that same notification.
Set up a control team following validation by the TLPT authority, responsible for managing all aspects of the preparation phase including selecting testers and threat intelligence providers.
The TLPT authority must validate the compliance of selected testers and threat intelligence providers before contracts are signed, and can block contracting if requirements are not met.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Ein nach Artikel 26 Absatz 8 Unterabsatz 3 der Verordnung (EU) 2022/2554 bestimmtes Finanzunternehmen leitet einen TLPT ein, nachdem es von der TLPT-Behörde eine Aufforderung zur Durchführung eines TLPT erhalten hat.
1. Das Finanzunternehmen übermittelt den Testmanagern innerhalb von drei Monaten nach Erhalt der in Absatz 1 genannten Aufforderung alle folgenden Informationen über die Einleitung des TLPT:
  1. Projektcharta mit einem übergeordneten Projektplan, der die in Anhang I aufgeführten Angaben enthält,
  2. Kontaktdaten des Leiters des Kontrollteams,
  3. Informationen über den beabsichtigten Einsatz interner oder externer Tester oder beidem, wie in Artikel 15 dargelegt,
  4. Angaben zu den Kommunikationskanälen, die während des TLPT genutzt werden sollen,
  5. Codename für den TLPT.
1. Sind die in Absatz 2 Buchstaben a bis e genannten Informationen vollständig und stellen die Angemessenheit und wirksame Durchführung des TLPT sicher, so validiert die TLPT-Behörde die vom Finanzunternehmen vorgelegten Informationen, die die Einleitung des TLPT betreffen, und unterrichtet das Finanzunternehmen über die Validierung.
1. Nach der Validierung der Informationen über die Einleitung des TLPT durch die TLPT-Behörde richtet das Finanzunternehmen ein Kontrollteam ein, das den Leiter des Kontrollteams bei seinen folgenden Aufgaben unterstützt:
  1. Festlegung von Kommunikationskanälen und -prozessen innerhalb des Kontrollteams, mit den Testern und den Anbietern von Bedrohungsanalysen in allen mit dem TLPT verbundenen Belangen,
  2. Unterrichtung des Leitungsorgans des Finanzunternehmens über den Fortgang des TLPT und die damit verbundenen Risiken,
  3. Entscheidungsfindung auf der Grundlage von Fachkompetenz während des gesamten TLPT,
  4. Durchführung des TLPT im Einklang mit dieser Verordnung,
  5. Auswahl des Anbieters von Bedrohungsanalysen für den TLPT,
  6. Auswahl der externen Tester, der internen Tester oder beidem,
  7. Ausarbeitung des Scoping-Dokuments zur Festlegung des Testumfangs.
1. Ist die TLPT-Behörde der Auffassung, dass die anfängliche Zusammensetzung des Kontrollteams und etwaige spätere Änderungen der Zusammensetzung für die Erfüllung der in Absatz 4 genannten Aufgaben angemessen sind, so validiert die TLPT-Behörde das Kontrollteam und unterrichtet den Leiter des Kontrollteams über diese Validierung.
1. Das Finanzunternehmen legt den Testleitern innerhalb von sechs Monaten nach Eingang der Unterrichtung der TLPT-Behörde gemäß Absatz 1 ein Dokument zur Beschreibung des Testumfangs mit allen in Anhang II aufgeführten Informationen vor. Das Leitungsorgan des Finanzunternehmens genehmigt das Scoping-Dokument.
1. Die Finanzunternehmen berücksichtigen bei der Einbeziehung kritischer oder wichtiger Funktionen in den Anwendungsbereich des TLPT die folgenden Kriterien:
  1. Kritikalität oder Bedeutung der Funktion und ihre möglichen Auswirkungen auf den Finanzsektor und die Finanzstabilität auf Unions- und nationaler Ebene,
  2. Bedeutung der Funktion für den laufenden Geschäftsbetrieb des Finanzunternehmens,
  3. Austauschbarkeit der Funktion,
  4. Verflechtung mit anderen Funktionen,
  5. geografischer Standort der Funktion,
  6. sektorale Abhängigkeit anderer Unternehmen von der Funktion,
  7. Bedrohungsanalysen in Bezug auf die Funktion, soweit vorhanden.
1. Das Kontrollteam legt die Informationen über die Einleitung des TLPT und das Scoping-Dokument den Testern und Anbietern von Bedrohungsanalysen vor, sobald diese beauftragt wurden. Das Kontrollteam informiert die Tester und Anbieter von Bedrohungsanalysen über das anzuwendende Testverfahren.
1. Das Finanzunternehmen stellt sicher, dass die Beauftragung oder Zuweisung von Testern und Anbietern von Bedrohungsanalysen vor Beginn der Testphase abgeschlossen ist.
1. Vor Einleitung der Testphase konsultiert das Kontrollteam die Testmanager zur TLPT-bezogenen Risikobewertung und zu den Risikomanagementmaßnahmen. Das Kontrollteam überprüft die Risikobewertung bzw. die Risikomanagementmaßnahmen, wenn die TLPT-Behörde der Auffassung ist, dass sie den mit dem TLPT verbundenen Risiken nicht angemessen Rechnung tragen.
1. Das Kontrollteam bewertet die Einhaltung der Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung durch die Anbieter von Bedrohungsanalysen und Tester, die es in den TLPT einbeziehen möchte, und dokumentiert das Ergebnis dieser Bewertung. Das Kontrollteam wählt die Anbieter von Bedrohungsanalysen nach Maßgabe dieser Bewertung und seiner Risikomanagementpraktiken aus. Vor der Beauftragung der ausgewählten Anbieter von Bedrohungsanalysen und externen Tester legt das Kontrollteam den Testmanagern Nachweise vor, dass diese Anbieter und Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung erfüllen. Das Kontrollteam darf die ausgewählten Anbieter von Bedrohungsanalysen und externen Tester nicht beauftragen, wenn die TLPT-Behörde der Auffassung ist, dass die ausgewählten Anbieter von Bedrohungsanalysen und externen Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 oder die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen oder zusätzliche Anforderungen, die sich aus einzelstaatlichen Rechtsvorschriften über die Sicherheit im Einklang mit dem Unionsrecht ergeben, nicht erfüllen, oder wenn das Finanzunternehmen die Anforderungen des Artikels 7 Absatz 2 Unterabsatz 1 der vorliegenden Verordnung nicht erfüllt oder wenn die in Artikel 7 Absatz 2 Unterabsatz 2 der vorliegenden Verordnung genannten Voraussetzungen nicht gegeben sind.
1. Ist das Scoping-Dokument vollständig und gewährleistet die Durchführung eines angemessenen und wirksamen TLPT, so genehmigt die TLPT-Behörde dieses Dokument und unterrichtet den Leiter des Kontrollteams darüber.

Relevant recitals

Erwägungsgrund 7 Skills and capabilities of test managers

Um der Methodik des TIBER-EU-Rahmens Rechnung zu tragen, sollten Testmanager über die erforderlichen Fähigkeiten und Kompetenzen für die Begutachtung der Vorschläge der Tester und die entsprechende Beratung verfügen. Die Erfahrung im Rahmen des TIBER-EU-Rahmens hat gezeigt, dass es sinnvoll ist, jedem Test ein Team aus mindestens zwei Testmanagern zuzuweisen. Da mithilfe des TLPT die Lernerfahrung verbessert werden soll, und um die Vertraulichkeit der Tests zu wahren, wird den TLPT-Behörden dringend empfohlen, dafür zu sorgen, dass Testmanager während der Dauer eines TLPT keine Aufsichtstätigkeiten über das Finanzunternehmen, das sich einem TLPT unterzieht, ausüben (vorausgesetzt, bei den Behörden sind die nötigen Ressourcen oder Kompetenzen vorhanden).

Erwägungsgrund 8 Involvement of TLPT authorities in the phases

Um dem TIBER-EU-Rahmen zu entsprechen, muss die TLPT-Behörde den Test in jeder einzelnen Phase genau verfolgen. Angesichts der Art des Tests und der damit verbundenen Risiken ist es von entscheidender Bedeutung, dass die TLPT-Behörde in jede einzelne Testphase einbezogen wird. Insbesondere sollte die TLPT-Behörde konsultiert werden und die Bewertungen oder Entscheidungen der Finanzunternehmen validieren, die zum einen die Wirksamkeit des Tests beeinflussen und sich zum anderen auf die mit dem Test verbundenen Risiken auswirken können. Zu den grundlegenden Schritten, bei denen eine spezifische Einbeziehung der TLPT-Behörde erforderlich ist, gehören die Validierung bestimmter grundlegender Bestandteile der Testdokumentation, die Auswahl von Anbietern von Bedrohungsanalysen und Testern sowie die Festlegung von Risikomanagementmaßnahmen. Die Einbeziehung der TLPT-Behörden, insbesondere bei Validierungen, sollte den Arbeitsaufwand dieser Behörden nicht übermäßig erhöhen und daher auf die Dokumente und Entscheidungen beschränkt bleiben, die sich unmittelbar auf die Durchführung des TLPT auswirken. Durch die aktive Einbeziehung in jede Testphase können die TLPT-Behörden effektiv bewerten, ob die Finanzunternehmen die einschlägigen Anforderungen erfüllen, und entsprechend die Bescheinigung gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 ausstellen.

Erwägungsgrund 10 Importance of the control team lead

Wie die im Rahmen des TIBER-EU-Rahmens gewonnenen Erkenntnisse in Bezug auf das „Kontrollteam“ gezeigt haben, ist die Auswahl eines geeigneten Leiters für das Kontrollteam unerlässlich für die sichere Durchführung des TLPT. Der Leiter des Kontrollteams sollte innerhalb des Finanzunternehmens über das erforderliche Mandat verfügen, um über alle Aspekte des Tests zu entscheiden, ohne dessen Vertraulichkeit zu gefährden. Aus demselben Grund sollten die Mitglieder des Kontrollteams über weitreichende Kenntnisse des Finanzunternehmens, der Rolle und der strategischen Positionierung des Leiters des Kontrollteams verfügen, die erforderliche hierarchische Position und Zugang zur Geschäftsleitung haben. Um das Risiko einer Gefährdung des TLPT zu verringern, sollte das Kontrollteam so klein wie möglich sein.

Erwägungsgrund 15 Regular meetings involving all stakeholders

Wie die Erfahrung mit der Umsetzung des TIBER-EU-Rahmens gezeigt hat, sind Präsenz- oder virtuelle Sitzungen mit allen betroffenen Interessenträger (Finanzunternehmen, Behörden, Tester und Anbieter von Bedrohungsanalysen) der effizienteste Weg, um eine angemessene Durchführung der Tests sicherzustellen. Daher sollten in verschiedenen Phasen des Prozesses Präsenz- und virtuelle Sitzungen abgehalten werden, das heißt während der Vorbereitungsphase zu Beginn des TLPT, um den Testumfang festzulegen, während der Testphase, um den Bedrohungsanalysebericht, den Red-Team-Testplan und die wöchentlichen Fortschrittsberichte zu erstellen, und während der Abschlussphase, um die Handlungen der Tester und des Blue Teams zu wiederholen, für das Purple-Teaming und um Rückmeldungen zu dem TLPT auszutauschen.

Erwägungsgrund 16 Communication between test manager and control team

Um eine reibungslose Durchführung des TLPT zu gewährleisten, sollte die TLPT-Behörde dem Finanzunternehmen ihre Erwartungen in Bezug auf den Test klar darlegen. In diesem Zusammenhang sollten die Testmanager sicherstellen, dass ein angemessener Informationsfluss mit dem Kontrollteam innerhalb des Finanzunternehmens und mit den TLPT-Anbietern eingerichtet wird.

Erwägungsgrund 17 Selection of critical or important functions

Das Finanzunternehmen sollte festlegen, welche kritischen oder wichtigen Funktionen in den Anwendungsbereich des TLPT fallen. Dabei sollte sich das Finanzunternehmen auf verschiedene Kriterien stützen, die sich auf die Bedeutung der jeweiligen Funktion für das Finanzunternehmen selbst und für den Finanzsektor auf Unions- und nationaler Ebene beziehen, und zwar nicht nur in wirtschaftlicher Hinsicht, sondern auch unter Berücksichtigung des symbolischen oder politischen Status der Funktion. Um einen reibungslosen Übergang zur Phase der Gewinnung von Bedrohungsinformationen zu erleichtern, sollte das Kontrollteam den nicht am Scoping-Verfahren beteiligten Testern und Anbietern von Bedrohungsanalysen detaillierte Informationen über den vereinbarten Testumfang zur Verfügung stellen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.