Artikel 4 Organisatoriska arrangemang för finansiella entiteter

Summary What does Article 4 of the RTS on threat-led penetration testing say?

This article sets out the internal governance requirements that financial entities must put in place to manage a TLPT properly.

It establishes a clear leadership role in the form of a control team lead, who is accountable for the day-to-day running of the test and the actions of the wider control team.

Beyond that single point of accountability, the article focuses heavily on the operational discipline required to protect the integrity of the test, particularly around secrecy, information access, and escalation management.

It connects closely to the broader TLPT framework by defining how the financial entity organises itself internally to interact with testers, threat intelligence providers, and the TLPT authority throughout the process.

Important points:

Appoint a control team lead to take responsibility for the day-to-day management of the TLPT and the decisions of the control team.
Establish organisational and procedural measures to strictly control access to TLPT information on a need-to-know basis, maintain secrecy across all involved parties, and ensure the control team can contain any accidental detection of the test.
The control team must consult test managers before involving any blue team member in the TLPT, and must provide information to test managers upon request.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Finansiella entiteter ska utse en ledare för ledningslaget som ska ansvara för den dagliga ledningen av den hotbildsstyrda penetrationstestningen och för ledningslagets beslut och åtgärder.
1. Finansiella entiteter ska upprätta organisatoriska och procedurrelaterade åtgärder för att säkerställa att
  1. tillgången till information om planerad eller pågående hotbildsstyrd penetrationstestning på behovsenlig grund är begränsad till ledningslaget, ledningsorganet, testarna, leverantören av underrättelser om hot och myndigheten med ansvar för hotbildsstyrd penetrationstestning,
  2. ledningslaget samråder med testledarna innan någon medlem av det blå laget involveras i en hotbildsstyrd penetrationstestning,
  3. ledningslaget informeras om eventuell upptäckt av den hotbildsstyrda penetrationstestningen som görs av personal inom den finansiella entiteten eller dess tredjepartsleverantörer av tjänster, ledningslaget i händelse av eskalering av den resulterande incidenthanteringen vid behov begränsar sådan eskalering,
  4. det finns arrangemang rörande sekretessen kring den hotbildsstyrda penetrationstestningen som är tillämpliga för den finansiella entitetens personal, personalen hos berörda tredjepartsleverantörer av IKT-tjänster, testare och leverantören av underrättelser om hot,
  5. ledningslaget på begäran tillhandahåller all information rörande den hotbildsstyrda penetrationstestningen till testledarna,
  6. de parter som deltar i den hotbildsstyrda penetrationstestningen om möjligt endast hänvisar till den med kodnamn.

Relevant recitals

Skäl 5 Organisational mirror of TIBER-EU

För att avspegla TIBER-EU-ramen är det nödvändigt att testmetoden skapar förutsättningar för medverkan av följande huvuddeltagare: den finansiella entiteten, med ett ledningslag (motsvarande TIBER-EU:s ”ledningslag”) och ett blått lag (motsvarande TIBER-EU:s ”blå lag”), och myndigheten med ansvar för hotbildsstyrd penetrationstestning, i form av ett cyberlag för hotbildsstyrd penetrationstestning (motsvarande TIBER-EU:s ”TIBER-cyberlag”), en leverantör av underrättelser om hot, och testare (där testarna motsvarar TIBER-EU:s ”rött lag-leverantör”).

Skäl 9 Secrecy of the TLPT

Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.

Skäl 10 Importance of the control team lead

Som framgår av de erfarenheter som gjorts inom TIBER-EU-ramen när det gäller ”ledningslaget” är det absolut nödvändigt att välja en lämplig ledare för ledningslaget för att den hotbildsstyrda penetrationstestningen ska kunna genomföras på ett säkert sätt. Ledningslagets ledare bör ha det mandat inom den finansiella entiteten som krävs för att leda alla aspekter av testningen, utan att dess sekretess äventyras. Av samma skäl bör medlemmarna i ledningslaget ha djupgående kunskap om den finansiella entiteten och om den yrkesroll och strategiska position som ledningslagets ledare har, samt ha erforderlig tjänstgöringstid och direkt tillgång till styrelsen. För att minska risken för att den hotbildsstyrda penetrationstestningen avslöjas bör ledningslaget vara så litet som möjligt.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.