Artikel 10 Testfasen: underrättelser om hot

Summary What does Article 10 of the RTS on threat-led penetration testing say?

Article 10 governs the threat intelligence phase of a TLPT, which kicks off once the scope specification document has been approved under Article 9.

It places the threat intelligence provider at the centre of this phase, requiring them to research and analyse the threat landscape relevant to the financial entity, identify cyber threats and vulnerabilities, and translate this into concrete, realistic attack scenarios.

Those scenarios are then presented to the control team, testers, and test managers, before the control team lead selects at least three to form the basis of the actual test.

The article closes with the completed threat intelligence report being submitted by the control team for TLPT authority approval, which acts as the gateway into the next testing phase.

Important points:

The threat intelligence provider is required to analyse both generic and entity-specific threats, identify vulnerabilities, and propose distinct scenarios targeting each critical or important function in scope.
Select at least three scenarios to conduct the TLPT, with no more than one permitted to be non-threat-led.
In pooled or joint TLPTs involving ICT third-party or intra-group service providers, at least one scenario must cover the service provider's underlying ICT systems supporting the financial entities' critical or important functions.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Efter det att myndigheten med ansvar för hotbildsstyrd penetrationstestning har godkänt omfattningsdokumentet ska leverantören av underrättelser om hot analysera allmänna och sektorsspecifika underrättelser om hot som är av relevans för den finansiella entiteten. Om en allmän hotbild har tillhandahållits av myndigheten med ansvar för hotbildsstyrd penetrationstestning för finanssektorn i en medlemsstat får leverantören av underrättelser om hot använda denna hotbild som utgångspunkt för den nationella hotbilden. Leverantören av underrättelser om hot ska identifiera cyberhot och befintliga eller potentiella sårbarheter som berör den finansiella entiteten. Därutöver ska leverantören av underrättelser om hot samla in information om och analysera konkreta, praktiskt användbara och situationsanpassade underrättelser om mål och hot som rör den finansiella entiteten, bland annat genom samråd med ledningslaget och testledarna.
1. Leverantören av underrättelser om hot ska presentera relevanta hot och målinriktade underrättelser om hot och föreslå erforderliga scenarier för ledningslaget, testarna och testledarna. De föreslagna scenarierna ska skilja sig åt med avseende på de identifierade fientliga aktörerna och tillhörande taktiker, teknik och förfaranden och ska vara inriktade på varje kritisk eller viktig funktion som omfattas av den hotbildsstyrda penetrationstestningen.
1. Ledningslagets ledare ska välja ut minst tre scenarier, med syftet att genomföra den hotbildsstyrda penetrationstestningen baserat på samtliga av följande element:
  1. Rekommendationen från leverantören av underrättelser om hot och den hotbildsstyrda karaktären hos varje scenario.
  2. Uppgifter från testledarna.
  3. Möjligheten att genomföra de föreslagna scenarierna, baserat på en expertbedömning från testarnas sida.
  4. Den finansiella entitetens storlek, komplexitet och övergripande riskprofil samt typen av, omfattningen hos och komplexiteten av dess tjänster, aktiviteter och verksamheter.
1. Högst ett av de utvalda scenarierna får vara ej hotbildsstyrt och får baseras på ett framåtblickande och potentiellt fiktivt hot med hög rimlighet i fråga om förutsägelse, antagande, förmodan eller förväntan med tanke på den förväntade utvecklingen av hotbilden för den finansiella entiteten.
2. För gemensam hotbildsstyrd penetrationstestning ska, utan att det påverkar användningen av scenarier som är direkt inriktade på de kritiska eller viktiga funktionerna hos de finansiella entiteter som deltar i testningen, minst ett scenario omfatta relevanta underliggande IKT-system och IKT-processer och relevant underliggande IKT-teknik från tredjepartsleverantören av IKT-tjänster som stöder de kritiska eller viktiga funktionerna hos de finansiella entiteter som omfattas.
3. Om testningen är en samlad hotbildsstyrd penetrationstestning som innefattar en koncernintern IKT-tjänsteleverantör ska, utan att det påverkar användningen av scenarier som är direkt inriktade på de kritiska eller viktiga funktionerna hos de finansiella entiteter som deltar i testet, minst ett scenario omfatta den koncerninterna IKT-tjänsteleverantörens relevanta underliggande IKT-system och IKT-processer och relevant underliggande IKT-teknik som stöder de kritiska eller viktiga funktionerna hos de finansiella entiteter som omfattas.
1. Leverantören av underrättelser om hot ska lämna den målinriktade hotunderrättelserapporten till ledningslaget, inbegripet de scenarier som valts ut i enlighet med punkterna 3 och 4. Hotunderrättelserapporten ska innehålla den information som anges i bilaga III.
1. Ledningslaget ska överlämna den målinriktade hotunderrättelserapporten till testledaren för godkännande. Om den målinriktade hotunderrättelserapporten är fullständig och säkerställer att en effektiv hotbildsstyrd penetrationstestning kan genomföras ska myndigheten med ansvar för hotbildsstyrd penetrationstestning godkänna rapporten och informera ledningslagets ledare om detta.

Relevant recitals

Skäl 8 Involvement of TLPT authorities in the phases

För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.

Skäl 15 Regular meetings involving all stakeholders

Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.

Skäl 16 Communication between test manager and control team

För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.

Skäl 18 The threat intelligence report

För att förse testarna med den information som krävs för att simulera ett verkligt och realistiskt angrepp på den finansiella entitetens system i drift som stöder dess kritiska eller viktiga funktioner bör leverantören av underrättelser om hot samla in underrättelser eller information som omfattar minst två nyckelområden: målen, genom att identifiera potentiella angreppsytor inom hela den finansiella entiteten, och hoten, genom att identifiera relevanta hotaktörer och sannolika hotscenarier. För att säkerställa att leverantören av underrättelser om hot beaktar de relevanta hoten mot den finansiella entiteten bör testarna, ledningslaget och testledarna lämna återkoppling på utkastet till hotunderrättelserapport. Som utgångspunkt för den nationella hotbilden får leverantören av underrättelser om hot använda en generell hotbild som tillhandahålls av myndigheten som ansvarar för hotbildsstyrd penetrationstestning för finanssektorn i en medlemsstat, om en sådan finns tillgänglig. Baserat på tillämpningen av TIBER-EU-ramen tar processen för insamling av underrättelser om hot vanligtvis cirka fyra veckor.

Skäl 19 Presentation of the threat intelligence report

För att testarna ska kunna få insikt i och ytterligare granska omfattningsdokumentet och den målinriktade hotunderrättelserapporten, i syfte att slutföra rött lag-testplanen, är det viktigt att testarna före rött lag-testfasen i den hotbildsstyrda penetrationstestningen får detaljerade förklaringar av den målinriktade hotunderrättelserapporten och analysen av möjliga hotscenarier från leverantören av underrättelser om hot.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.