Source: OJ L, 2025/1190, 18.6.2025

Current language: SV

Artikel 1 Definitioner

Summary What does Article 1 of the RTS on threat-led penetration testing say?

This is the foundational definitions article for the regulation, establishing a precise shared vocabulary that underpins every subsequent obligation and procedure.

It is notably comprehensive, defining 18 terms that span the key actors, roles, and concepts involved in threat-led penetration testing (TLPT).

The definitions cover the parties involved in a test — such as the control team, blue team, red team, and threat intelligence provider — as well as the mechanics of testing itself, including concepts like flags, attack paths, leg-ups, and purple teaming.

It also clarifies the different formats a TLPT can take, distinguishing between joint TLPTs and pooled TLPTs, the latter being referenced directly from Regulation (EU) 2022/2554 (DORA), of which this regulation is an implementing measure.

Important points:

  • Understand the distinction between the red team (the testers executing attacks), the blue team (the defenders, unaware of the TLPT), and the control team (the financial entity's staff managing the test) — these roles carry specific obligations throughout the regulation.
  • The "TLPT authority" has a broad definition, covering designated national authorities, delegated authorities, and competent authorities under DORA, meaning oversight of a TLPT may rest with different bodies depending on jurisdiction.
  • Joint TLPTs and pooled TLPTs are defined as distinct arrangements, a distinction that matters for how multiple financial entities and their authorities coordinate under later articles.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

I denna förordning gäller följande definitioner:

  1. ledningslag: lag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet.

  2. ledningslagets ledare: den medarbetare hos den finansiella entiteten som ansvarar för genomförandet av all verksamhet som rör hotbildsstyrd penetrationstestning för den finansiella entiteten i samband med ett specifikt test.

  3. blått lag: personal hos den finansiella entiteten och, när så är relevant, personal hos den finansiella entitetens tredjepartsleverantörer av tjänster och eventuella andra parter som anses relevanta med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, som försvarar en finansiell entitets användning av nätverk och informationssystem genom att upprätthålla säkerheten gentemot simulerade eller verkliga angrepp och som inte känner till den hotbildsstyrda penetrationstestningen.

  4. blått lag-uppgifter: uppgifter som normalt utförs av det blå laget, som driften av ett säkerhetscentrum (SOC, Security Operation Centre), IKT-infrastrukturtjänster, helpdesktjänster och incidenthanteringstjänster på operativ nivå.

  5. rött lag: testare, interna eller externa, som anlitats för eller utsetts att genomföra en hotbildsstyrd penetrationstestning.

  6. lila lagövning: en samarbetsinriktad testaktivitet som innefattar både testarna och det blå laget.

  7. myndighet med ansvar för hotbildsstyrd penetrationstestning:

    1. en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,

    2. den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller

    3. någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.

  8. cybergrupp för hotbildsstyrd penetrationstestning: personal inom myndigheterna med ansvar för hotbildsstyrd penetrationstestning som ansvarar för frågor som rör hotbildsstyrd penetrationstestning.

  9. testledare: personal som utsetts att leda aktiviteterna hos myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om en specifik hotbildsstyrd penetrationstestning för att övervaka efterlevnaden av denna förordning.

  10. leverantör av underrättelser om hot: experter som anlitas av den finansiella entiteten för varje enskild hotbildsstyrd penetrationstestning som är externa i förhållande till den finansiella entiteten och eventuella koncerninterna IKT-tjänsteleverantörer, vilka samlar in och analyserar målinriktade underrättelser om hot som är relevanta för den finansiella entiteten sett till en specifik hotbildsstyrd penetrationstestning och tar fram matchande relevanta och realistiska hotscenarier.

  11. leverantörer av hotbildsstyrd penetrationstestning: testare och leverantörer av underrättelser om hot.

  12. hjälpinsats: den hjälp eller information som tillhandahålls av ledningslaget till testarna för att göra det möjligt för testarna att fortsätta genomförandet av en angreppsmetod när dessa inte klarar av att gå vidare på egen hand och när det inte finns något annat rimligt alternativ, i vilket innefattas brist på tid eller resurser i en specifik hotbildsstyrd penetrationstestning.

  13. angreppsmetod: den väg som testarna följer under den aktiva rött lag-testfasen i den hotbildsstyrda penetrationstestningen för att nå de flaggor som specificerats för denna testning.

  14. flaggor: centrala mål kopplade till de IKT-system som stöder en finansiell entitets kritiska eller viktiga funktioner vilka testarna försöker uppnå genom testet.

  15. känslig information: information som lätt kan utnyttjas för att utföra angrepp mot den finansiella entitetens IKT-system, immateriella rättigheter, konfidentiella affärsdata eller personuppgifter, som direkt eller indirekt kan skada den finansiella entiteten och dess ekosystem om den skulle falla i händerna på fientliga aktörer.

  16. gemensam pool: alla finansiella entiteter som deltar i en gemensam hotbildsstyrd penetrationstestning i enlighet med artikel 26.4 i förordning (EU) 2022/2554.

  17. värdmedlemsstat: värdmedlemsstaten i enlighet med den sektorsspecifika unionsrätt som är tillämplig för varje finansiell entitet.

  18. samlad hotbildsstyrd penetrationstestning: en annan hotbildsstyrd penetrationstestning än en gemensam hotbildsstyrd penetrationstestning enligt artikel 26.4 i förordning (EU) 2022/2554 som innefattar flera finansiella entiteter som använder samma koncerninterna IKT-tjänsteleverantör eller som tillhör samma koncern och delar IKT-system.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod