Artikel 7 | Delegierte Verordnung 2025/1190

Aktualisiert 01/07/2025

Metadaten

Tritt in Kraft am 08/07/2025

Ursprungsrechtsakt

Änderungen

Verknüpfte Dokumente

BaFin (DE) (0)

Central Bank of Ireland (IE) (0)

ESMA (0)

EIOPA (0)

EBA (0)

Europäische Zentralbank (0)

DG FISMA (0)

Suche im Rechtsakt

DORA Tool Delegierte Verordnung 2025/1190

Artikel 7

Artikel 7 - Delegierte Verordnung 2025/1190

Artikel 7

Auswahl der TLPT-Anbieter

(1) Das Kontrollteam ergreift Maßnahmen zur Steuerung der mit dem TLPT verbundenen Risiken und stellt insbesondere sicher, dass bei jedem TLPT

a)	der Anbieter von Bedrohungsanalysen und externe Tester dem Kontrollteam einen ausführlichen Lebenslauf und Kopien von Bescheinigungen vorlegen, die nach anerkannten Marktstandards eine geeignete Grundlage für die Durchführung ihrer Tätigkeiten sind,

b)	der Anbieter von Bedrohungsanalysen und externe Tester ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit,

c)	der Anbieter von Bedrohungsanalyen mindestens drei Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegt,

d)	die externen Tester mindestens fünf Referenzen aus früheren Aufträgen im Zusammenhang mit Penetrationstests und Red-Team-Testing vorlegen,

die dem TLPT zugewiesenen Mitarbeiter des Anbieters von Bedrohungsanalysen

i)	aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung im Bereich der Bedrohungsanalyse und mindestens einem weiteren Mitglied mit mindestens zwei Jahren Erfahrung im Bereich der Bedrohungsanalyse besteht,

ii)

ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter

1.	Kenntnis der Taktiken, Techniken und Verfahren zur Informationsgewinnung,

2.	geopolitisches, technisches und sektorbezogenes Wissen,

3.	angemessene Kommunikationsfähigkeiten, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,

iii)	in der Vergangenheit an insgesamt mindestens drei Arbeitsaufträgen im Bereich der Bedrohungsanalyse im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,

iv)	nicht gleichzeitig Blue-Team-Aufgaben oder andere Dienstleistungen ausführt, die einen Interessenkonflikt hinsichtlich des an dem TLPT, dem sie zugewiesen sind, beteiligten Finanzunternehmens, IKT-Drittdienstleisters oder gruppeninternen IKT-Dienstleisters darstellen könnten,

v)	von Mitarbeitern desselben TLPT-Anbieters, der externe Tester für denselben TLPT bereitstellt, getrennt ist und diesen nicht Bericht erstattet,

bei externen Testern das dem TLPT zugewiesene Red Team

i)	aus mindestens einer Führungskraft mit mindestens fünf Jahren Erfahrung mit Penetrationstests und Red-Team-Tests sowie mindestens zwei weiteren Testern, die jeweils mindestens zwei Jahre Erfahrung mit Penetrationstests und Red-Team-Tests haben, besteht,

ii)

ein breites und angemessenes Niveau an Fachkenntnissen und beruflichen Qualifikationen aufweist, darunter Kenntnisse über die Geschäftstätigkeit des Finanzunternehmens, Auskundschaftung, Risikomanagement, Exploit-Entwicklung, physische Penetration, Social Engineering und Schwachstellenanalyse, und angemessene Kommunikationsfähigkeiten besitzt, um das Ergebnis des Arbeitsauftrags klar darzulegen und darüber Bericht zu erstatten,

iii)	in der Vergangenheit an insgesamt mindestens fünf Arbeitsaufträgen im Zusammenhang mit Penetrationstests und Red-Team-Tests beteiligt war,

iv)	weder bei einem Anbieter von Bedrohungsanalysen, der gleichzeitig Blue-Team-Aufgaben für ein an dem TLPT beteiligtes Finanzunternehmen, einen IKT-Drittdienstleister oder einen gruppeninternen IKT-Dienstleister wahrnimmt, beschäftigt ist noch Dienstleistungen für einen solchen Anbieter erbringt,

v)	von Mitarbeitern desselben TLPT-Anbieters getrennt ist, der gleichzeitig Bedrohungsanalyse-Dienstleistungen für denselben TLPT erbringt,

die Tester und der Anbieter von Bedrohungsanalysen am Ende der Tests Wiederherstellungsverfahren durchführen, einschließlich der sicheren Löschung von Informationen im Zusammenhang mit Passwörtern, Zugangsdaten und anderen geheimen Schlüsseln, die während des TLPT kompromittiert wurden, der sicheren Kommunikation mit den Finanzunternehmen über die kompromittierten Konten, der sicheren Erfassung, Speicherung, Verwaltung und Vernichtung anderer während der Tests erhobener Daten,

die Tester zusätzlich zu den Wiederherstellungsverfahren am Ende der Tests gemäß Buchstabe g die folgenden Wiederherstellungsverfahren durchführen:

i)	Deaktivierung von Command-and-Control-Diensten,

ii)	Kill Switches für Umfang und Datum,

iii)	Entfernung von Hintertüren und anderer Schadsoftware,

iv)	Meldung möglicher Sicherheitsverletzungen,

v)	Verfahren für die künftige Backup-Wiederherstellung, die während des Tests installierte Schadsoftware oder Tools betreffen können,

vi)	Überwachung der Aktivitäten des Blue Teams und Unterrichtung des Kontrollteams, wenn der Test aufgedeckt wird,

die Tester und der Anbieter von Bedrohungsanalysen keine der folgenden Aktivitäten durchführen oder sich daran beteiligen:

i)	unbefugte Zerstörung von Ausrüstung des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleister,

ii)	unkontrollierte Veränderung der Informationen und IKT-Ressourcen des Finanzunternehmens und gegebenenfalls seiner IKT-Drittdienstleister,

iii)	vorsätzliche Gefährdung der Kontinuität kritischer oder wichtiger Funktionen des Finanzunternehmens,

iv)	unbefugte Einbeziehung von Systemen, die nicht in den Anwendungsbereich fallen,

v)	unbefugte Offenlegung der Testergebnisse.

(2) Das Kontrollteam führt Aufzeichnungen über die von den Testern und den Anbietern von Bedrohungsanalysen zum Nachweis der Einhaltung von Absatz 1 Buchstaben a bis f bereitgestellten Dokumente.

In Ausnahmefällen können Finanzunternehmen externe Tester und Anbieter von Bedrohungsanalysen beauftragen, die eine oder mehrere der in Absatz 1 Buchstaben a bis f genannten Anforderungen nicht erfüllen, sofern diese Finanzunternehmen geeignete Maßnahmen ergreifen, um die Risiken in Verbindung mit der Nichteinhaltung dieser Buchstaben zu mindern, und über diese Maßnahmen Aufzeichnungen führen.

Inhaltsverzeichnis

Erwägungsgründe Artikel 1 - Begriffsbestimmungen Artikel 2 - Bestimmung der Finanzunternehmen, die zur Durchführung eines TLPT verpflichtet sind Artikel 3 - TCT- und TLPT-Testmanager Artikel 4 - Von den Finanzunternehmen zu treffende organisatorische Vorkehrungen Artikel 5 - Risikomanagement bei TLPT Artikel 6 - Risikomanagement bei gebündelten oder gemeinsamen TLPT Artikel 7 - Auswahl der TLPT-Anbieter Artikel 8 - Besondere Anforderungen bei gebündelten oder gemeinsamen TLPT Artikel 9 - Vorbereitungsphase Artikel 10 - Testphase: Bedrohungsanalyse Artikel 11 - Testphase: Red-Team-Test Artikel 12 - Abschlussphase Artikel 13 - Plan mit Abhilfemaßnahmen Artikel 14 - Bescheinigung Artikel 15 - Einsatz interner Tester Artikel 16 - Zusammenarbeit und gegenseitige Anerkennung Artikel 17 - Inkrafttreten ANHANG I - Inhalt der Projektcharta (Artikel 9 Absatz 2 Buchstabe a)ANHANG II - Inhalt des Scoping-Dokuments (Artikel 9 Absatz 6)ANHANG III - Inhalt des spezifischen Bedrohungsanalyseberichts (Artikel 10 Absatz 5)ANHANG IV - Inhalt des Red-Team-Testplans (Artikel 11 Absatz 1)ANHANG V - Inhalt des Red-Team-Testberichts (Artikel 12 Absatz 2)ANHANG VI - Inhalt des Blue-Team-Testberichts (Artikel 12 Absatz 4)ANHANG VII - Inhalt des Berichts mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß Artikel 26 Absatz 6 der Verordnung (EU) 2022/2554 ANHANG VIII - Inhalt der Bescheinigung über den TLPT gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554