Artikel 5 Riskhantering i samband med hotbildsstyrd penetrationstestning

Summary What does Article 5 of the RTS on threat-led penetration testing say?

Article 5 sets out the risk assessment obligations that apply to the control team during the TLPT process.

It sits within the broader preparation framework established by Article 9, and essentially requires the control team to think carefully about the dangers inherent in running live penetration tests against critical systems — both to the financial entity itself and to the wider financial sector.

Crucially, this is not a one-time exercise; the control team must keep reviewing those risks throughout the entire testing period.

The article also provides a minimum list of risk categories that must be factored into the assessment, ranging from the risks of giving external testers access to sensitive information, to the possibility of data corruption or service interruption caused by either the attacking (red) or defending (blue) teams, to the risk that systems are not fully restored after testing concludes.

Important points:

The control team must conduct a risk assessment at the preparation stage and continue reviewing it throughout the testing process.
The risk assessment must cover, at minimum, six specific risk areas, including risks from granting access to sensitive information, compliance failures, crisis escalation, red team and blue team activities, and incomplete system restoration.
The scope of concern explicitly extends beyond the financial entity itself to include potential impacts on the broader financial sector and financial stability at Union or national level.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Under den förberedelsefas som avses i artikel 9 ska ledningslaget bedöma de risker som är förknippade med testning av produktionssystem i drift för den finansiella entitetens kritiska eller viktiga funktioner, inbegripet potentiell påverkan på
  1. finanssektorn,
  2. den finansiella stabiliteten på unionsnivå eller nationell nivå.
2. Ledningslaget ska granska denna påverkan under hela testningen.
1. Vid riskbedömningen och riskhanteringen ska ledningslaget åtminstone beakta följande typer av riskområden:
  1. Beviljande av tillgång till känslig information om den finansiella entiteten, i tillämpliga fall, till leverantören av underrättelser om hot och externa testare.
  2. Bristande efterlevnad inom den hotbildsstyrda penetrationstestningen av förordning (EU) 2022/2554 och den här förordningen, där sådan bristande efterlevnad leder till att det intyg som avses i artikel 26.7 i förordning (EU) 2022/2554 inte tillhandahålls, inklusive när sådan bristande efterlevnad beror på överträdelser av konfidentialiteten rörande den hotbildsstyrda penetrationstestningen eller på bristande etiskt uppförande.
  3. Eskalering av kriser och incidenter.
  4. Den aktiva rött lag-fasen, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av testarnas verksamhet, samt dess potentiella påverkan på tredje parter.
  5. Det blå lagets verksamhet, inbegripet risker i samband med avbrott i kritisk verksamhet och korruption av data till följd av det blå lagets verksamhet, samt dess potentiella påverkan på tredje parter.
  6. Ofullständig återställning av system som påverkats av den hotbildsstyrda penetrationstestningen.

Relevant recitals

Skäl 9 Secrecy of the TLPT

Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.

Skäl 11 Managing inherent risks of a TLPT

Det finns inneboende riskelement kopplade till hotbildsstyrd penetrationstestning eftersom kritiska funktioner testas i en produktionsmiljö som är i drift, med risk att orsaka överbelastningstillbud, oväntade driftsavbrott i system, skador på kritiska produktionssystem som är i drift eller förlust, ändring eller avslöjande av data. Dessa risker innebär att det krävs tillförlitliga riskhanteringsåtgärder. För att säkerställa att den hotbildsstyrda penetrationstestningen utförs på ett kontrollerat sätt under hela testningen är det mycket viktigt att de finansiella entiteterna hela tiden är medvetna om de särskilda risker som uppstår vid en hotbildsstyrd penetrationstestning och att dessa risker minskas. Utan att det påverkar den finansiella entitetens interna processer och det ansvar och de delegeringar som ledningslagets ledare redan har fått, kan det i detta sammanhang vara lämpligt med information om riskhanteringsåtgärder kopplade till hotbildsstyrd penetrationstestning eller, i specifika fall, godkännande av dessa riskhanteringsåtgärder av den finansiella entitetens ledningsorgan. För att kunna tillhandahålla effektiva och högt kvalificerade yrkesmässiga tjänster och minska dessa risker är det också viktigt att testare och leverantörer av underrättelser om hot (tillsammans kallade leverantörer av hotbildsstyrd penetrationstestning) har mycket hög kompetens och sakkunskap samt lämplig erfarenhet av underrättelser om hot och hotbildsstyrd penetrationstestning inom sektorn för finansiella tjänster.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.