Artikel 7 Val av leverantörer av hotbildsstyrd penetrationstestning

Summary What does Article 7 of the RTS on threat-led penetration testing say?

This is a detailed and notably granular article that sits at the heart of the regulation's quality assurance framework for TLPT providers.

Building on the broader risk management obligations established in Articles 5 and 6, Article 7 sets out the specific due diligence and conduct requirements that the control team must enforce when engaging external testers and threat intelligence providers.

It covers the vetting of credentials and experience, conflict of interest requirements, mandatory post-test restoration procedures, and a list of prohibited activities.

It also contains a limited exception allowing non-compliant providers to be used in exceptional circumstances, provided mitigating measures are adopted and recorded.

Important points:

Ensure external testers and threat intelligence providers meet strict qualification standards, including minimum years of experience, reference requirements, professional indemnity insurance, and separation from blue team activities to avoid conflicts of interest.
Require testers and threat intelligence providers to carry out full restoration procedures after testing, covering removal of malware, deactivation of command and control infrastructure, and secure deletion of compromised credentials.
In exceptional circumstances, financial entities may engage providers that do not meet the requirements, but must adopt and record appropriate measures to mitigate the associated risks.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Ledningslaget ska vidta åtgärder för att hantera riskerna i samband med hotbildsstyrd penetrationstestning och ska särskilt se till att följande gäller för varje hotbildsstyrd penetrationstestning:
  1. Leverantören av underrättelser om hot och externa testare förser ledningslaget med en detaljerad meritförteckning och kopior av certifieringar som, enligt erkänd marknadspraxis, är lämpliga för utförandet av deras verksamhet.
  2. Leverantören av underrättelser om hot och externa testare omfattas på vederbörligt sätt och fullt ut av lämpliga yrkesmässiga ansvarsförsäkringar, bland annat mot risker rörande tjänstefel och försummelse.
  3. Leverantören av underrättelser om hot tillhandahåller minst tre referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.
  4. De externa testarna tillhandahåller minst fem referenser från tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.
  5. Följande gäller för personalen hos leverantören av underrättelser om hot som har utsetts att arbeta med den hotbildsstyrda penetrationstestningen:
    Personalen består av minst en ledare med åtminstone fem års erfarenhet av underrättelser om hot och minst en ytterligare medlem med åtminstone två års erfarenhet av underrättelser om hot.
    Personalen uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland inom följande områden:
    Taktiker, teknik och förfaranden för insamling av underrättelser.
    Geopolitisk, teknisk och sektorsspecifik kunskap.
    Tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.
    Personalen har tillsammans deltagit i minst tre tidigare uppdrag inom underrättelser om hot kopplade till penetrationstestning och rött lag-testning.
    Personalen utför inte samtidigt några blått lag-uppgifter eller andra tjänster som kan utgöra en intressekonflikt med koppling till den finansiella entiteten, tredjepartsleverantören av IKT-tjänster eller en koncernintern IKT-tjänsteleverantör som deltar i den hotbildsstyrda penetrationstestning som personalen har utsetts att arbeta med.
    Personalen är åtskild från och rapporterar inte till personal hos samma leverantör av hotbildsstyrd penetrationstestning som tillhandahåller externa testare för denna hotbildsstyrda penetrationstestning.
  6. För externa testare gäller följande för det röda lag som har utsetts för den hotbildsstyrda penetrationstestningen:
    Laget består av minst en ledare med åtminstone fem års erfarenhet av penetrationstestning och rött lag-testning samt minst två ytterligare testare, var och en med åtminstone två års erfarenhet av penetrationstestning och rött lag-testning.
    Laget uppvisar en bred uppsättning och en lämplig nivå av yrkesmässiga kunskaper och färdigheter, däribland kunskaper om den finansiella entitetens verksamhet, rekognosering, riskhantering, utarbetande av angrepp mot sårbarheter, fysisk penetration, social manipulering, sårbarhetsanalys samt tillräcklig kommunikationsförmåga för att på ett tydligt sätt kunna presentera och rapportera resultatet av uppdraget.
    Laget har tillsammans deltagit i minst fem tidigare uppdrag kopplade till penetrationstestning och rött lag-testning.
    Laget är inte är anställt av och tillhandahåller inte tjänster till en leverantör av underrättelser om hot som samtidigt utför blått lag-uppgifter för antingen en finansiell entitet, en tredjepartsleverantör av IKT-tjänster eller en koncernintern IKT-tjänsteleverantör som deltar i den hotbildsstyrda penetrationstestningen.
    Laget är åtskilt från all personal hos samma leverantör av hotbildsstyrd penetrationstestning som samtidigt tillhandahåller tjänster rörande underrättelser om hot för samma hotbildsstyrda penetrationstestning.
  7. Testarna och leverantören av underrättelser om hot utför återställningsförfaranden i slutet av testningen, vilket innefattar säker radering av uppgifter rörande lösenord, identifieringsinformation och andra privata nycklar som angripits under den hotbildsstyrda penetrationstestningen, säker kommunikation till de finansiella entiteterna kring de konton som angripits och säker insamling, lagring, hantering och radering av andra data som samlats in under testningen.
  8. Testarna utför, utöver de återställningsförfaranden i slutet av testningen som avses i led g, följande återställningsförfaranden:
    Inaktivering av kanaler för fjärrstyrning (command and control).
    Nödbrytare (kill switches) baserade på omfattning och datum.
    Borttagning av bakdörrar och andra sabotageprogram.
    Avisering av potentiella säkerhetsöverträdelser.
    Förfaranden för framtida återställning av säkerhetskopierade data som kan avse sabotageprogram eller verktyg som installerats under testet.
    Övervakning av det blå lagets aktiviteter och information till ledningslaget om eventuella möjliga upptäckter.
  9. Testare och leverantören av underrättelser om hot utför inte, och deltar inte i, någon av följande verksamheter:
    Obehörig förstörelse av utrustning som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänster.
    Okontrollerad ändring av information och IKT-tillgångar som tillhör den finansiella entiteten eller, i förekommande fall, dess tredjepartsleverantörer av IKT-tjänster.
    Avsiktligt äventyrande av kontinuiteten hos den finansiella entitetens kritiska eller viktiga funktioner.
    Otillåten inkludering av system som ligger utanför den avsedda omfattningen.
    Obehörigt yppande av testresultat.
1. Ledningslaget ska föra register över den dokumentation som tillhandahålls av testarna och leverantörerna av underrättelser om hot för att styrka efterlevnaden av punkt 1 led a–f.
2. Under exceptionella omständigheter får finansiella entiteter anlita externa testare och leverantörer av underrättelser om hot som inte uppfyller ett eller flera av kraven i punkt 1 led a–f, förutsatt att dessa finansiella entiteter vidtar lämpliga åtgärder för att minska riskerna kopplade till bristande efterlevnad av dessa led och dokumenterar dessa åtgärder.

Relevant recitals

Skäl 12 Comprehensive criteria for TLPT providers

Traditionella penetrationstester ger en detaljerad och användbar bedömning av tekniska och konfigurationsrelaterade sårbarheter, ofta isolerade till ett enda system eller en enda miljö, men till skillnad från underrättelsestyrda rött lag-tester bedömer de inte hela scenariot med ett riktat angrepp mot en hel entitet, där samtliga personer, processer och tekniska system berörs. Under urvalsprocessen för leverantörer av hotbildsstyrd penetrationstestning bör finansiella entiteter därför säkerställa att dessa leverantörer har den kompetens som krävs för att utföra underrättelsestyrda rött lag-tester och inte bara penetrationstester. Det är således nödvändigt att fastställa heltäckande kriterier för testare, både interna och externa, och leverantörer av underrättelser om hot, som alltid är externa. När leverantörerna av hotbildsstyrd penetrationstestning tillhör samma företag bör personalen som utsetts att genomföra testningen hållas tillräckligt separerad.

Skäl 13 Exemptions from TLPT provider criteria

Det kan finnas exceptionella omständigheter som gör att finansiella entiteter inte lyckas ingå avtal med leverantörer av hotbildsstyrd penetrationstestning som uppfyller de heltäckande kriterierna. Finansiella entiteter bör därför, efter att ha bevisat att sådana leverantörer av underrättelser om hot inte finns att tillgå, tillåtas att använda personer som inte uppfyller samtliga av de heltäckande kriterierna, förutsatt att de på ett korrekt sätt minskar eventuella ytterligare risker som följer av detta och att myndigheten som ansvarar för hotbildsstyrd penetrationstestning bedömer alla dessa kriterier.

Skäl 27 Mix of internal and external testers considered 'internal'

Enligt artikel 26.8 första stycket i förordning (EU) 2022/2554 ska de finansiella entiteterna anlita externa testare vid vart tredje test. Om de finansiella entiteterna har både interna och externa testare i gruppen av testare bör detta, vad gäller tillämpningen av den artikeln, betraktas som en hotbildsstyrd penetrationstestning som utförs med interna testare.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.