Artikel 12 Avslutningsfasen

Summary What does Article 12 of the RTS on threat-led penetration testing say?

Article 12 governs the post-testing phase of a TLPT, picking up directly where Article 11 leaves off once the active red team testing phase has concluded.

It sets out a structured sequence of reporting, collaborative review, and feedback obligations that must be completed before the TLPT can be formally closed out.

The article moves the process from covert attack simulation into an open, collaborative phase — revealing the test to the blue team, exchanging reports between all parties, conducting a purple teaming exercise, and ultimately submitting a summary report to the TLPT authority for approval.

Important points:

The blue team must be informed that a TLPT took place, then produce its own report within 10 weeks of the end of the active testing phase — mirroring the red team report which testers must submit within 4 weeks.
Conduct a purple teaming exercise no later than 10 weeks after the active testing phase, replaying offensive and defensive actions and addressing vulnerabilities identified during the test.
Submit a summary report of the TLPT's relevant findings to the TLPT authority for approval within 8 weeks of the authority confirming that both the red team and blue team reports are complete.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Efter slutet av den aktiva rött lag-testfasen ska ledningslagets ledare informera det blå laget om att en hotbildsstyrd penetrationstestning har ägt rum.
1. Inom fyra veckor från slutet av den aktiva rött lag-testfasen ska testarna överlämna det röda lagets testrapport till ledningslaget med de uppgifter som anges i bilaga V.
1. Ledningslaget ska utan onödigt dröjsmål lämna det röda lagets testrapport till det blå laget och testledarna.
2. Om testledarna begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.
1. Efter att ha mottagit det röda lagets testrapport, och senast tio veckor efter det att den aktiva rött lag-testfasen avslutades, ska det blå laget överlämna blå lagets testrapport till ledningslaget med de uppgifter som anges i bilaga VI. Ledningslaget ska utan onödigt dröjsmål lämna blå lagets testrapport till testarna och testledarna.
2. Om testledarna begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.
1. Senast tio veckor efter det att den aktiva rött lag-testfasen avslutades ska det blå laget och testarna gå igenom de offensiva och defensiva åtgärder som utfördes under den hotbildsstyrda penetrationstestningen. Ledningslaget ska också genomföra en lila lagövning kring ämnen som identifierats gemensamt av det blå laget och testarna baserat på sårbarheter som identifierades under testet och, i förekommande fall, kring aspekter som inte kunde testas under den aktiva rött lag-testfasen.
1. När genomgången av åtgärderna och den lila lagövningen har slutförts ska ledningslaget, det blå laget, testarna och leverantörerna av underrättelser om hot ge varandra återkoppling om processen runt den hotbildsstyrda penetrationstestningen. Testledarna har möjlighet att ge återkoppling.
1. När myndigheten med ansvar för hotbildsstyrd penetrationstestning har underrättat ledningslagets ledare om att den har bedömt att det blå lagets testrapport och det röda lagets testrapport innehåller de uppgifter som anges i bilagorna V och VI, ska den finansiella entiteten inom åtta veckor i enlighet med artikel 26.6 i förordning (EU) 2022/2554 lämna in en rapport som sammanfattar de relevanta resultaten av den hotbildsstyrda penetrationstestningen, med de uppgifter som anges i bilaga VII, till myndigheten för godkännande.
2. Om myndigheten med ansvar för hotbildsstyrd penetrationstestning begär det ska den rapport som avses i det första stycket inte innehålla någon känslig information.

Relevant recitals

Skäl 8 Involvement of TLPT authorities in the phases

För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.

Skäl 15 Regular meetings involving all stakeholders

Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.

Skäl 16 Communication between test manager and control team

För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.

Skäl 24 Maximising the learning experience

Den hotbildsstyrda penetrationstestningen bör användas som ett tillfälle till lärande för att öka de finansiella entiteternas digitala operativa motståndskraft. Av detta skäl bör det blå laget och testarna gå igenom angreppet och se över de steg som vidtogs för att dra lärdom av testerfarenheterna i samverkan med testarna. I detta syfte och för att möjliggöra lämplig förberedelse bör det röda lagets testrapport och det blå lagets testrapport göras tillgängliga för alla parter som deltar i genomgången innan någon genomgång av åtgärderna inleds. Dessutom bör en lila lagövning genomföras, under avslutningsfasen, för att maximera möjligheterna till lärande. Till metoderna som kan användas för lila lagövningar under avslutningsfasen bör höra diskussioner om alternativa angreppsscenarier, undersökning av system i drift i alternativa scenarier eller ny undersökning av planerade scenarier för system i drift som testarna inte kunde slutföra eller genomföra under testfasen.

Skäl 25 Mutual feedback

För att ytterligare underlätta lärandet för alla parter som deltar i den hotbildsstyrda penetrationstestningen, till nytta för framtida tester och för att främja finansiella entiteters digitala operativa motståndskraft, bör de deltagande parterna ge varandra återkoppling om den övergripande processen och i synnerhet identifiera vilka aktiviteter som förlöpte bra eller som kunde ha förbättrats, samt vilka aspekter av testningen som fungerade bra eller som kunde ha förbättrats.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.