Artikel 15 | Delegierte Verordnung 2025/1190

Aktualisiert 01/07/2025

Metadaten

Tritt in Kraft am 08/07/2025

Ursprungsrechtsakt

Änderungen

Verknüpfte Dokumente

BaFin (DE) (0)

Central Bank of Ireland (IE) (0)

ESMA (0)

EIOPA (0)

EBA (0)

Europäische Zentralbank (0)

DG FISMA (0)

Suche im Rechtsakt

DORA Tool Delegierte Verordnung 2025/1190

Artikel 15

Artikel 15 - Delegierte Verordnung 2025/1190

Artikel 15

Einsatz interner Tester

(1) Die Finanzunternehmen treffen alle folgenden Vorkehrungen für den Einsatz interner Tester:

a)	Festlegung und Umsetzung einer Strategie für das Management interner Tester bei einem TLPT,

Maßnahmen, mit denen sichergestellt wird, dass sich der Einsatz interner Tester für die Durchführung eines TLPT nicht nachteilig auf die allgemeinen Verteidigungs- oder Resilienzfähigkeiten des Finanzunternehmens in Bezug auf IKT-bezogene Vorfälle auswirkt oder sich erheblich auf die Verfügbarkeit von Ressourcen auswirkt, die während eines TLPT für IKT-bezogene Aufgaben eingesetzt werden,

c)	Maßnahmen, mit denen sichergestellt wird, dass interne Tester über ausreichende Ressourcen und Fähigkeiten verfügen, um einen TLPT durchzuführen.

Die unter Buchstabe a genannte Strategie muss

a)	Kriterien für die Beurteilung von Eignung, Kompetenz und potenziellen Interessenkonflikten der internen Tester enthalten und die Zuständigkeiten der Geschäftsleitung in dem Testverfahren enthalten,

b)	dokumentiert und regelmäßig überprüft werden,

c)	vorsehen, dass dem internen Testteam ein Testmanager und mindestens zwei zusätzliche Mitglieder angehören,

d)	verlangen, dass alle Mitglieder des Testteams in den vorangegangenen zwölf Monaten bei dem Finanzunternehmen oder einem gruppeninternen IKT-Dienstleister beschäftigt waren,

e)	Schulungen zur Durchführung von Penetrationstests und Red-Team-Tests für die internen Tester vorsehen.

(2) Wenn eine TLPT-Behörde den Einsatz interner Tester gemäß Artikel 27 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 genehmigt, berücksichtigt die TLPT-Behörde die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen.

(3) Beim Einsatz interner Tester stellt das Finanzunternehmen sicher, dass in den folgenden Dokumenten darauf verwiesen wird:

a)	Informationen über die Einleitung des Tests gemäß Artikel 9,

b)	Red-Team-Testbericht gemäß Artikel 12 Absatz 2,

c)	Bericht mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß den Artikeln 26 Absatz 6 der Verordnung (EU) 2022/2554.

(4) Tester, die bei einem gruppeninternen IKT-Dienstleister beschäftigt sind, gelten als interne Tester des Finanzunternehmens.

Inhaltsverzeichnis

Erwägungsgründe Artikel 1 - Begriffsbestimmungen Artikel 2 - Bestimmung der Finanzunternehmen, die zur Durchführung eines TLPT verpflichtet sind Artikel 3 - TCT- und TLPT-Testmanager Artikel 4 - Von den Finanzunternehmen zu treffende organisatorische Vorkehrungen Artikel 5 - Risikomanagement bei TLPT Artikel 6 - Risikomanagement bei gebündelten oder gemeinsamen TLPT Artikel 7 - Auswahl der TLPT-Anbieter Artikel 8 - Besondere Anforderungen bei gebündelten oder gemeinsamen TLPT Artikel 9 - Vorbereitungsphase Artikel 10 - Testphase: Bedrohungsanalyse Artikel 11 - Testphase: Red-Team-Test Artikel 12 - Abschlussphase Artikel 13 - Plan mit Abhilfemaßnahmen Artikel 14 - Bescheinigung Artikel 15 - Einsatz interner Tester Artikel 16 - Zusammenarbeit und gegenseitige Anerkennung Artikel 17 - Inkrafttreten ANHANG I - Inhalt der Projektcharta (Artikel 9 Absatz 2 Buchstabe a)ANHANG II - Inhalt des Scoping-Dokuments (Artikel 9 Absatz 6)ANHANG III - Inhalt des spezifischen Bedrohungsanalyseberichts (Artikel 10 Absatz 5)ANHANG IV - Inhalt des Red-Team-Testplans (Artikel 11 Absatz 1)ANHANG V - Inhalt des Red-Team-Testberichts (Artikel 12 Absatz 2)ANHANG VI - Inhalt des Blue-Team-Testberichts (Artikel 12 Absatz 4)ANHANG VII - Inhalt des Berichts mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß Artikel 26 Absatz 6 der Verordnung (EU) 2022/2554 ANHANG VIII - Inhalt der Bescheinigung über den TLPT gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554