Artikel 10
Testphase: Bedrohungsanalyse
(1) Nach Genehmigung des Scoping-Dokuments durch die TLPT-Behörde analysiert der Anbieter von Bedrohungsanalysen allgemeine und sektorspezifische Informationen über Bedrohungen, die für das Finanzunternehmen relevant sind. Hat die TLPT-Behörde für den Finanzsektor eines Mitgliedstaats Informationen über die allgemeine Bedrohungslage bereitgestellt, so kann der Anbieter von Bedrohungsanalysen diese Informationen als Grundlage für die nationale Bedrohungslage verwenden. Der Anbieter von Bedrohungsanalysen ermittelt Cyberbedrohungen sowie bestehende oder potenzielle Schwachstellen in Bezug auf das Finanzunternehmen. Darüber hinaus sammelt der Anbieter von Bedrohungsanalysen Informationen über das Finanzunternehmen und analysiert konkrete, verwertbare und kontextbezogene Informationen zu möglichen Angriffszielen und Bedrohungen betreffend das Finanzunternehmen, unter anderem durch Konsultation des Kontrollteams und der Testmanager.
(2) Der Anbieter von Bedrohungsanalysen legt dem Kontrollteam, den Testern und den Testmanagern die relevanten Bedrohungen und spezifische Bedrohungsinformationen dar und schlägt die erforderlichen Szenarien vor. Die vorgeschlagenen Szenarien sollen sich abhängig von den ermittelten Angreifern und den entsprechenden Taktiken, Techniken und Verfahren unterscheiden und auf jede kritische oder wichtige Funktion im Anwendungsbereich des TLPT abzielen.
(3) Der Leiter des Kontrollteams wählt mindestens drei Szenarien für die Durchführung des TLPT aus und berücksichtigt dabei alle folgenden Elemente:
|
a) |
Empfehlung des Anbieters von Bedrohungsanalysen und bedrohungsorientierter Charakter jedes Szenarios, |
|
b) |
Beiträge der Testmanager, |
|
c) |
Durchführbarkeit der vorgeschlagenen Szenarien auf der Grundlage der Experteneinschätzung der Tester, |
|
d) |
Größe, Komplexität und Gesamtrisikoprofil des Finanzunternehmens sowie Art, Umfang und Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäftsprozesse. |
(4) Höchstens eines der ausgewählten Szenarien darf nicht bedrohungsorientiert sein und kann auf einer zukunftsorientierten und potenziell fiktiven Bedrohung mit hohem prädiktivem, antizipativem, opportunistischem oder prospektivem Wert angesichts der erwarteten Entwicklungen der Bedrohungslage für das Finanzunternehmen beruhen.
Bei gebündelten TLPT umfasst unbeschadet der Szenarien, die direkt auf die kritischen oder wichtigen Funktionen der an dem Test beteiligten Finanzunternehmen ausgerichtet sind, mindestens ein Szenario die einschlägigen zugrunde liegenden IKT-Systeme, -Prozesse und -Technologien des IKT-Drittdienstleisters, die die kritischen oder wichtigen Funktionen der in den Anwendungsbereich fallenden Finanzunternehmen unterstützen.
Handelt es sich bei dem Test um einen gemeinsamen TLPT, an dem ein gruppeninterner IKT-Dienstleister beteiligt ist, umfasst unbeschadet der Szenarien, die direkt auf die kritischen oder wichtigen Funktionen der an dem Test beteiligten Finanzunternehmen ausgerichtet sind, mindestens ein Szenario die einschlägigen zugrunde liegenden IKT-Systeme, -Prozesse und -Technologien des gruppeninternen IKT-Dienstleiters, die die kritischen oder wichtigen Funktionen der in den Anwendungsbereich fallenden Finanzunternehmen unterstützen.
(5) Bedrohungsanalysebericht, in dem die gemäß den Absätzen 3 und 4 ausgewählten Szenarien berücksichtigt sind. Der Bedrohungsanalysebericht enthält die in Anhang III aufgeführten Informationen.
(6) Das Kontrollteam legt dem Testmanager den spezifischen Bedrohungsanalysebericht zur Genehmigung vor. Ist der spezifische Bedrohungsanalysebericht vollständig und gewährleistet die Durchführung eines wirksamen TLPT, so genehmigt die TLPT-Behörde diesen Bericht und unterrichtet den Leiter des Kontrollteams darüber.