Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 27 Krav för testare vid utförandet av hotbildsstyrd penetrationstestning
Summary What does Article 27 of the DORA regulation say?
This article directly supports Article 26, which establishes the requirement for threat-led penetration testing (TLPT).
Here, the focus shifts to the qualification standards that testers must meet in order to carry out TLPT on behalf of financial entities.
It sets out a baseline of criteria for all testers, adds further conditions specific to the use of internal testers, and places obligations on financial entities regarding how TLPT results are handled by external testers.
Important points:
- Only use testers for TLPT who meet specific standards of suitability, expertise, certification, independent assurance, and professional indemnity insurance coverage.
- When using internal testers, obtain approval from the relevant competent authority, and ensure the threat intelligence provider is external to the financial entity.
- Ensure that contracts with external testers require sound management of TLPT results, so that all data processing related to those results does not create risks to the financial entity.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska endast utföra sådana testare för att utföra hotbildsstyrd penetrationstestning som
är allra bäst lämpade och har högst anseende,
har teknisk och organisatorisk kapacitet och uppvisar särskild sakkunskap om underrättelser om hot, penetrationstestning och red-team-testning,
har certifierats av ett ackrediteringsorgan i en medlemsstat eller ansluter sig till formella uppförandekoder eller etiska ramar,
lämnar en oberoende försäkran eller en revisionsberättelse om sund riskhantering i samband med utförandet av hotbildsstyrd penetrationstestning, inbegripet relevant skydd av den finansiella entitetens konfidentiella information och ersättning för den finansiella entitetens affärsrisker,
har en relevant och heltäckande ansvarsförsäkring som omfattar risker för fel och försummelser i yrkesutövningen.
Vid användandet av interna testare ska finansiella entiteter säkerställa att, utöver villkoren i punkt 1, följande villkor är uppfyllda:
Sådan användning av dem har godkänts av den relevanta behöriga myndigheten eller av den enda offentliga myndighet som utsetts i enlighet med artikel 26.9 och 26.10.
Den relevanta behöriga myndigheten har verifierat att den finansiella entiteten har avsatt tillräckliga resurser och säkerställt att intressekonflikter kan undvikas under testets utformning och genomförande.
Leverantören av underrättelser om hot är extern i förhållande till den finansiella entiteten.
Finansiella entiteter ska se till att avtal som ingås med externa testare innehåller krav på en sund förvaltning av resultaten av den hotbildsstyrda penetrationstestningen och att all databehandling av dem, inbegripet generering, lagring, aggregering, utkast, rapportering, kommunikation eller förstörelse, inte skapar risker för den finansiella entiteten.
Relevant recitals
Skäl 25 Inconsistent digital operational resilience testing requirements
Krav på testning av digital operativ motståndskraft har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraft komplicerat, vilket i sin tur kan fragmentera den inre marknaden.
Skäl 44 Costs of advanced digital resilience testing
Eftersom endast de finansiella entiteter som har identifierats vid tillämpning av avancerad testning av digital motståndskraft bör vara skyldiga att utföra hotbildsstyrda penetrationstester, bör dessutom de administrativa processer och finansiella kostnader som genomförandet av sådana tester medför överföras till en liten andel av finansiella entiteter.
Skäl 57 Harmonised TLPT requirements for cross-border financial entities
Finansiella entiteter som bedriver gränsöverskridande verksamhet och som utövar friheten att etablera sig eller tillhandahålla tjänster inom unionen bör uppfylla en enda uppsättning avancerade testkrav (t.ex. hotbildsstyrd penetrationstestning) i sin hemmedlemsstat, vilka bör omfatta IKT-infrastrukturerna i alla jurisdiktioner i unionen där den gränsöverskridande finansiella koncernen bedriver verksamhet, vilket innebär att relaterade IKT-testningskostnader uppstår i endast en jurisdiktion för sådana gränsöverskridande finansiella koncerner.
Skäl 61 Internal and external testers for TLPT
För att dra fördel av de interna resurser som är tillgängliga på företagsnivå, bör denna förordning tillåta användningen av interna testare i syfte att utföra hotbildsstyrd penetrationstestning, under förutsättning att tillsynsmyndigheten godkänner det, att inga intressekonflikter föreligger och att användningen av interna och externa testare alternerar periodiskt (vart tredje test), och samtidigt kräver att den som tillhandahåller underrättelser om hot för den hotbildsstyrda penetrationstestningen alltid är extern i förhållande till den finansiella entiteten. Ansvaret för att genomföra hotbildsstyrd penetrationstestning bör till fullo ligga kvar hos den finansiella entiteten. Intyg från myndigheterna bör användas enbart för ömsesidigt erkännande och bör inte utesluta några uppföljningsåtgärder som krävs för att hantera den IKT-risk som den finansiella entiteten är utsatt för, och inte heller betraktas som tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-risk.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-relaterad incident
(En. ICT-related incident)
Definition
IKT-risk
(En. ICT risk)
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
hotbildsstyrd penetrationstestning
(En. threat-led penetration testing (TLPT))
Definition
underrättelser om hot
(En. threat intelligence)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
cyberangrepp
(En. cyber-attack)
Definition
koncern
(En. group)
Definition
cyberhot
(En. cyber threat)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)