Source: OJ L, 2025/1190, 18.6.2025Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Artikel 6 Riskhantering i samband med gemensam eller samlad hotbildsstyrd penetrationstestning
Summary What does Article 6 of the RTS on threat-led penetration testing say?
This article addresses a specific scenario that arises out of the broader TLPT framework: what happens when multiple financial entities are involved in the same test, either through a joint TLPT or a pooled TLPT.
It establishes that while each financial entity retains individual responsibility for its own risk assessment and risk management measures, there is also a collective layer of risk management that must be addressed.
The designated lead financial entity takes on the additional responsibility of assessing the risks that arise from the multi-entity nature of the test, and all involved control teams are required to cooperate with it to identify risks that span across the group.
Important points:
- Each financial entity in a joint or pooled TLPT must conduct its own independent risk assessment and establish its own risk management measures.
- The control team of the designated lead financial entity is responsible for assessing the risks specific to having multiple financial entities involved in the same TLPT.
- All other control teams involved in the test are required to cooperate with the designated lead financial entity's control team to identify potential joint risks.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
När det rör sig om en gemensam hotbildsstyrd penetrationstestning eller en samlad hotbildsstyrd penetrationstestning ska ledningslaget för varje finansiell entitet genomföra sin egen riskbedömning och upprätta sina egna riskhanteringsåtgärder.
Ledningslaget för den utsedda finansiella entitet som avses i artikel 16.3 b i denna förordning eller den finansiella entitet som utsetts i enlighet med artikel 26.4 i förordning (EU) 2022/2554 ska bedöma riskerna i samband med att flera finansiella entiteter deltar i den hotbildsstyrda penetrationstestningen. De deltagande finansiella entiteternas ledningslag ska samarbeta med den utsedda finansiella entitetens ledningslag för att identifiera potentiella gemensamma risker.
Relevant recitals
Skäl 11 Managing inherent risks of a TLPT
Det finns inneboende riskelement kopplade till hotbildsstyrd penetrationstestning eftersom kritiska funktioner testas i en produktionsmiljö som är i drift, med risk att orsaka överbelastningstillbud, oväntade driftsavbrott i system, skador på kritiska produktionssystem som är i drift eller förlust, ändring eller avslöjande av data. Dessa risker innebär att det krävs tillförlitliga riskhanteringsåtgärder. För att säkerställa att den hotbildsstyrda penetrationstestningen utförs på ett kontrollerat sätt under hela testningen är det mycket viktigt att de finansiella entiteterna hela tiden är medvetna om de särskilda risker som uppstår vid en hotbildsstyrd penetrationstestning och att dessa risker minskas. Utan att det påverkar den finansiella entitetens interna processer och det ansvar och de delegeringar som ledningslagets ledare redan har fått, kan det i detta sammanhang vara lämpligt med information om riskhanteringsåtgärder kopplade till hotbildsstyrd penetrationstestning eller, i specifika fall, godkännande av dessa riskhanteringsåtgärder av den finansiella entitetens ledningsorgan. För att kunna tillhandahålla effektiva och högt kvalificerade yrkesmässiga tjänster och minska dessa risker är det också viktigt att testare och leverantörer av underrättelser om hot (tillsammans kallade leverantörer av hotbildsstyrd penetrationstestning) har mycket hög kompetens och sakkunskap samt lämplig erfarenhet av underrättelser om hot och hotbildsstyrd penetrationstestning inom sektorn för finansiella tjänster.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-relaterad incident
(En. ICT-related incident)
Definition
leverantörer av hotbildsstyrd penetrationstestning
(En. TLPT providers)
Definition
leverantör av underrättelser om hot
(En. threat intelligence provider)
Definition
samlad hotbildsstyrd penetrationstestning
(En. joint TLPT)
Definition
hotbildsstyrd penetrationstestning
(En. threat-led penetration testing (TLPT))
Definition
underrättelser om hot
(En. threat intelligence)
Definition
cyberangrepp
(En. cyber-attack)
Definition
ledningslag
(En. control team)
Definition
ledningsorgan
(En. management body)
Definition
ledningslagets ledare
(En. control team lead)
Definition
koncern
(En. group)
Definition
cyberhot
(En. cyber threat)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)