Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 15 Användning av interna testare
Summary What does Article 15 of the RTS on threat-led penetration testing say?
This article sets out the rules governing the use of internal testers when conducting a TLPT.
Rather than simply permitting or prohibiting internal testers, the article conditions their use on a series of specific organisational arrangements that financial entities must have in place.
These cover the need for a formal policy, safeguards to protect the entity's broader defensive capabilities during the test, and minimum team composition and employment tenure requirements.
The article also connects to Article 7(1) of this Regulation, which sets out tester requirements that the TLPT authority must consider when approving the use of internal testers, and to Article 27(2)(a) of DORA, which governs that approval itself.
Notably, testers from an ICT intra-group service provider are treated as internal testers for these purposes.
Important points:
- Establish a formal, documented, and periodically reviewed policy for managing internal testers, covering suitability, competence, conflicts of interest, team composition (a test lead plus at least two members), a 12-month employment requirement, and training provisions.
- Ensure that using internal testers does not negatively impact the entity's defensive or resilience capabilities or the availability of resources for ICT-related tasks during the TLPT.
- Disclose the use of internal testers in the test initiation information, the red team test report, and the TLPT summary findings report.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska upprätta samtliga av följande arrangemang vid användning av interna testare:
Upprättande och införande av riktlinjer för hanteringen av interna testare i samband med en hotbildsstyrd penetrationstestning.
Åtgärder för att säkerställa att användningen av interna testare för att genomföra en hotbildsstyrd penetrationstestning inte negativt påverkar den finansiella entitetens allmänna försvarsförmåga eller motståndskraft i fråga om IKT-relaterade incidenter eller i betydande grad påverkar tillgången till resurser avsatta för IKT-relaterade uppgifter under en hotbildsstyrd penetrationstestning.
Åtgärder för att säkerställa att interna testare har tillräckliga resurser och tillräcklig kapacitet för att genomföra en hotbildsstyrd penetrationstestning.
Riktlinjerna som avses i led a ska
innehålla kriterier för bedömning av de interna testarnas lämplighet, kompetens och potentiella intressekonflikter och specificera ledningens ansvar i testningsprocessen,
dokumenteras och regelbundet ses över,
föreskriva att den interna testgruppen har en testledare och åtminstone två ytterligare medlemmar,
kräva att alla medlemmar i testgruppen har varit anställda av den finansiella entiteten eller av en koncernintern IKT-tjänsteleverantör under de senaste tolv månaderna,
innehålla föreskrifter om utbildning kring hur penetrationstestning och rött lag-testning ska utföras av interna testare.
Om en myndighet med ansvar för hotbildsstyrd penetrationstestning godkänner användning av interna testare i enlighet med artikel 27.2 a i förordning (EU) 2022/2554 ska myndigheten med ansvar för hotbildsstyrd penetrationstestning beakta de krav som fastställs i artikel 7.1 i den här förordningen.
Vid användning av interna testare ska den finansiella entiteten se till att sådan användning nämns i följande dokument:
Den information för testets inledande som avses i artikel 9.
Det röda lagets testrapport som avses i artikel 12.2.
Den rapport som sammanfattar de relevanta resultaten av den hotbildsstyrda penetrationstestningen som avses i artikel 26.6 i förordning (EU) 2022/2554.
Testare som är anställda av en koncernintern IKT-tjänsteleverantör ska betraktas som interna testare hos den finansiella entiteten.
Relevant recitals
Skäl 12 Comprehensive criteria for TLPT providers
Traditionella penetrationstester ger en detaljerad och användbar bedömning av tekniska och konfigurationsrelaterade sårbarheter, ofta isolerade till ett enda system eller en enda miljö, men till skillnad från underrättelsestyrda rött lag-tester bedömer de inte hela scenariot med ett riktat angrepp mot en hel entitet, där samtliga personer, processer och tekniska system berörs. Under urvalsprocessen för leverantörer av hotbildsstyrd penetrationstestning bör finansiella entiteter därför säkerställa att dessa leverantörer har den kompetens som krävs för att utföra underrättelsestyrda rött lag-tester och inte bara penetrationstester. Det är således nödvändigt att fastställa heltäckande kriterier för testare, både interna och externa, och leverantörer av underrättelser om hot, som alltid är externa. När leverantörerna av hotbildsstyrd penetrationstestning tillhör samma företag bör personalen som utsetts att genomföra testningen hållas tillräckligt separerad.
Skäl 13 Exemptions from TLPT provider criteria
Det kan finnas exceptionella omständigheter som gör att finansiella entiteter inte lyckas ingå avtal med leverantörer av hotbildsstyrd penetrationstestning som uppfyller de heltäckande kriterierna. Finansiella entiteter bör därför, efter att ha bevisat att sådana leverantörer av underrättelser om hot inte finns att tillgå, tillåtas att använda personer som inte uppfyller samtliga av de heltäckande kriterierna, förutsatt att de på ett korrekt sätt minskar eventuella ytterligare risker som följer av detta och att myndigheten som ansvarar för hotbildsstyrd penetrationstestning bedömer alla dessa kriterier.
Skäl 27 Mix of internal and external testers considered 'internal'
Enligt artikel 26.8 första stycket i förordning (EU) 2022/2554 ska de finansiella entiteterna anlita externa testare vid vart tredje test. Om de finansiella entiteterna har både interna och externa testare i gruppen av testare bör detta, vad gäller tillämpningen av den artikeln, betraktas som en hotbildsstyrd penetrationstestning som utförs med interna testare.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-relaterad incident
(En. ICT-related incident)
Definition
testledare
(En. test managers)
Definition
leverantörer av hotbildsstyrd penetrationstestning
(En. TLPT providers)
Definition
leverantör av underrättelser om hot
(En. threat intelligence provider)
Definition
sårbarhet
(En. vulnerability)
Definition
koncernintern IKT-tjänsteleverantör
(En. ICT intra-group service provider)
Definition
hotbildsstyrd penetrationstestning
(En. threat-led penetration testing (TLPT))
Definition
underrättelser om hot
(En. threat intelligence)
Definition
IKT-tjänster
(En. ICT services)
Definition
myndighet med ansvar för hotbildsstyrd penetrationstestning
(En. TLPT authority)
- en enda offentlig myndighet inom finanssektorn som har utsetts i enlighet med artikel 26.9 i förordning (EU) 2022/2554,
- den myndighet inom finanssektorn till vilken utförandet av vissa eller alla uppgifter kopplade till hotbildsstyrd penetrationstestning har delegerats i enlighet med artikel 26.10 i förordning (EU) 2022/2554, eller
- någon av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554.
Definition
cyberangrepp
(En. cyber-attack)
Definition
koncern
(En. group)
Definition
offentlig myndighet
(En. public authority)
Definition
cyberhot
(En. cyber threat)
Definition
moderföretag
(En. parent undertaking)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
dotterföretag
(En. subsidiary)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)