Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 13 Åtgärdsplan
Summary What does Article 13 of the RTS on threat-led penetration testing say?
This article deals with the post-testing remediation obligations that follow the conclusion of a TLPT.
Building directly on Article 12, which covers the reporting phase, Article 13 sets out what financial entities must do once they have received the TLPT authority's notification regarding the test reports.
The article requires financial entities to produce and submit remediation plans, and specifies in considerable detail what those plans must contain for each finding identified during the TLPT.
Important points:
- Within 8 weeks of the notification from Article 12(7), submit remediation plans and supporting documentation to both the TLPT authority and, where applicable, the competent authority.
- Ensure each remediation plan addresses every TLPT finding and covers the identified shortcomings, proposed measures with prioritisation and expected completion, a root cause analysis, and the staff or functions responsible for implementation.
- The plan must also set out the risks of not implementing the proposed remediation measures, and where relevant, the risks associated with implementing them.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Inom åtta veckor från den underrättelse som avses i artikel 12.7 i denna förordning ska den finansiella entiteten överlämna de åtgärdsplaner och den dokumentation som avses i artikel 26.6 i förordning (EU) 2022/2554 till myndigheten med ansvar för hotbildsstyrd penetrationstestning och, om det inte rör sig om samma myndighet, till den finansiella entitetens behöriga myndighet.
Den åtgärdsplan som avses i punkt 1 ska för varje resultat som framkommit i den hotbildsstyrda penetrationstestningen innehålla följande:
En beskrivning av de identifierade bristerna.
En beskrivning av de föreslagna åtgärderna och av deras prioritering och förväntade slutförande, i förekommande fall inklusive åtgärder för att förbättra kapaciteten för identifiering, skydd, detektering och respons.
En analys av grundorsakerna.
Personalen eller funktionerna inom den finansiella entiteten som ansvarar för genomförandet av de föreslagna åtgärderna eller förbättringarna.
De risker som är förknippade med att inte genomföra de åtgärder som avses i led b och, i förekommande fall, de risker som är förknippade med genomförandet av dessa åtgärder.
Relevant recitals
Skäl 26 Cooperation between the TLPT and supervisory authorities
De behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554 och myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, om det inte rör sig om samma myndigheter, samarbeta för att införliva avancerad testning i form av hotbildsstyrd penetrationstestning i de befintliga tillsynsprocesserna. Av detta skäl och för att dela en korrekt förståelse av resultaten av den hotbildsstyrda penetrationstestningen och av hur de bör tolkas är det lämpligt, särskilt när det gäller den sammanfattande testrapporten och åtgärdsplanerna, att skapa ett nära samarbete mellan testledarna som var involverade i den hotbildsstyrda penetrationstestningen och ansvariga tillsynsmyndigheter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
hotbildsstyrd penetrationstestning
(En. threat-led penetration testing (TLPT))
Definition
myndighet med ansvar för hotbildsstyrd penetrationstestning
(En. TLPT authority)
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.
Definition
offentlig myndighet
(En. public authority)
Definition
cyberhot
(En. cyber threat)