Artikel 9 | Delegierte Verordnung 2025/1190

Aktualisiert 01/09/2025

Metadaten

In Kraft

Fassung vom: 18/06/2025

Änderungen

Verknüpfte Dokumente

BaFin (DE) (1)

FAQs (1)

FAQ - Testumfangspezifikation

Status: Final

Beantwortet: 12/08/2025

Art. 9(6)

Rundschreiben (0)

Merkblätter (0)

Allgemeinverfügungen (0)

Sonstiges (0)

Central Bank of Ireland (IE) (0)

ESMA (0)

EIOPA (0)

EBA (0)

Europäische Zentralbank (0)

DG FISMA (0)

Suche im Rechtsakt

DORA Tool Delegierte Verordnung 2025/1190

Artikel 9

Artikel 9 - Delegierte Verordnung 2025/1190

Artikel 9

Vorbereitungsphase

(1)

Ein nach Artikel 26 Absatz 8 Unterabsatz 3 der Verordnung (EU) 2022/2554 bestimmtes Finanzunternehmen leitet einen TLPT ein, nachdem es von der TLPT-Behörde eine Aufforderung zur Durchführung eines TLPT erhalten hat.

(2)

Das Finanzunternehmen übermittelt den Testmanagern innerhalb von drei Monaten nach Erhalt der in Absatz 1 genannten Aufforderung alle folgenden Informationen über die Einleitung des TLPT:

Projektcharta mit einem übergeordneten Projektplan, der die in Anhang I aufgeführten Angaben enthält,

Kontaktdaten des Leiters des Kontrollteams,

Informationen über den beabsichtigten Einsatz interner oder externer Tester oder beidem, wie in Artikel 15 dargelegt,

Angaben zu den Kommunikationskanälen, die während des TLPT genutzt werden sollen,

Codename für den TLPT.

(3)

Sind die in Absatz 2 Buchstaben a bis e genannten Informationen vollständig und stellen die Angemessenheit und wirksame Durchführung des TLPT sicher, so validiert die TLPT-Behörde die vom Finanzunternehmen vorgelegten Informationen, die die Einleitung des TLPT betreffen, und unterrichtet das Finanzunternehmen über die Validierung.

(4)

Nach der Validierung der Informationen über die Einleitung des TLPT durch die TLPT-Behörde richtet das Finanzunternehmen ein Kontrollteam ein, das den Leiter des Kontrollteams bei seinen folgenden Aufgaben unterstützt:

Festlegung von Kommunikationskanälen und -prozessen innerhalb des Kontrollteams, mit den Testern und den Anbietern von Bedrohungsanalysen in allen mit dem TLPT verbundenen Belangen,

Unterrichtung des Leitungsorgans des Finanzunternehmens über den Fortgang des TLPT und die damit verbundenen Risiken,

Entscheidungsfindung auf der Grundlage von Fachkompetenz während des gesamten TLPT,

Durchführung des TLPT im Einklang mit dieser Verordnung,

Auswahl des Anbieters von Bedrohungsanalysen für den TLPT,

Auswahl der externen Tester, der internen Tester oder beidem,

Ausarbeitung des Scoping-Dokuments zur Festlegung des Testumfangs.

(5)

Ist die TLPT-Behörde der Auffassung, dass die anfängliche Zusammensetzung des Kontrollteams und etwaige spätere Änderungen der Zusammensetzung für die Erfüllung der in Absatz 4 genannten Aufgaben angemessen sind, so validiert die TLPT-Behörde das Kontrollteam und unterrichtet den Leiter des Kontrollteams über diese Validierung.

(6)

Das Finanzunternehmen legt den Testmanagern innerhalb von sechs Monaten nach Eingang der Unterrichtung der TLPT-Behörde gemäß Absatz 1 ein Dokument zur Beschreibung des Testumfangs mit allen in Anhang II aufgeführten Informationen vor. Das Leitungsorgan des Finanzunternehmens genehmigt das Scoping-Dokument.

(7)

Die Finanzunternehmen berücksichtigen bei der Einbeziehung kritischer oder wichtiger Funktionen in den Anwendungsbereich des TLPT die folgenden Kriterien:

Kritikalität oder Bedeutung der Funktion und ihre möglichen Auswirkungen auf den Finanzsektor und die Finanzstabilität auf Unions- und nationaler Ebene,

Bedeutung der Funktion für den laufenden Geschäftsbetrieb des Finanzunternehmens,

Austauschbarkeit der Funktion,

Verflechtung mit anderen Funktionen,

geografischer Standort der Funktion,

sektorale Abhängigkeit anderer Unternehmen von der Funktion,

Bedrohungsanalysen in Bezug auf die Funktion, soweit vorhanden.

(8)

Das Kontrollteam legt die Informationen über die Einleitung des TLPT und das Scoping-Dokument den Testern und Anbietern von Bedrohungsanalysen vor, sobald diese beauftragt wurden. Das Kontrollteam informiert die Tester und Anbieter von Bedrohungsanalysen über das anzuwendende Testverfahren.

(9)

Das Finanzunternehmen stellt sicher, dass die Beauftragung oder Zuweisung von Testern und Anbietern von Bedrohungsanalysen vor Beginn der Testphase abgeschlossen ist.

(10)

Vor Einleitung der Testphase konsultiert das Kontrollteam die Testmanager zur TLPT-bezogenen Risikobewertung und zu den Risikomanagementmaßnahmen. Das Kontrollteam überprüft die Risikobewertung bzw. die Risikomanagementmaßnahmen, wenn die TLPT-Behörde der Auffassung ist, dass sie den mit dem TLPT verbundenen Risiken nicht angemessen Rechnung tragen.

(11)

Das Kontrollteam bewertet die Einhaltung der Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung durch die Anbieter von Bedrohungsanalysen und Tester, die es in den TLPT einbeziehen möchte, und dokumentiert das Ergebnis dieser Bewertung. Das Kontrollteam wählt die Anbieter von Bedrohungsanalysen nach Maßgabe dieser Bewertung und seiner Risikomanagementpraktiken aus. Vor der Beauftragung der ausgewählten Anbieter von Bedrohungsanalysen und externen Tester legt das Kontrollteam den Testmanagern Nachweise vor, dass diese Anbieter und Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 und des Artikels 7 Absatz 1 der vorliegenden Verordnung erfüllen. Das Kontrollteam darf die ausgewählten Anbieter von Bedrohungsanalysen und externen Tester nicht beauftragen, wenn die TLPT-Behörde der Auffassung ist, dass die ausgewählten Anbieter von Bedrohungsanalysen und externen Tester die Anforderungen des Artikels 27 der Verordnung (EU) 2022/2554 oder die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen oder zusätzliche Anforderungen, die sich aus einzelstaatlichen Rechtsvorschriften über die Sicherheit im Einklang mit dem Unionsrecht ergeben, nicht erfüllen, oder wenn das Finanzunternehmen die Anforderungen des Artikels 7 Absatz 2 Unterabsatz 1 der vorliegenden Verordnung nicht erfüllt oder wenn die in Artikel 7 Absatz 2 Unterabsatz 2 der vorliegenden Verordnung genannten Voraussetzungen nicht gegeben sind.

(12)

Ist das Scoping-Dokument vollständig und gewährleistet die Durchführung eines angemessenen und wirksamen TLPT, so genehmigt die TLPT-Behörde dieses Dokument und unterrichtet den Leiter des Kontrollteams darüber.

Inhaltsverzeichnis

Erwägungsgründe Artikel 1 - Begriffsbestimmungen Q&A Artikel 2 - Bestimmung der Finanzunternehmen, die zur Durchführung eines TLPT verpflichtet sind Artikel 3 - TCT- und TLPT-Testmanager Artikel 4 - Von den Finanzunternehmen zu treffende organisatorische Vorkehrungen Artikel 5 - Risikomanagement bei TLPT Artikel 6 - Risikomanagement bei gebündelten oder gemeinsamen TLPT Artikel 7 - Auswahl der TLPT-Anbieter Artikel 8 - Besondere Anforderungen bei gebündelten oder gemeinsamen TLPT Artikel 9 - Vorbereitungsphase Q&A Artikel 10 - Testphase: Bedrohungsanalyse Artikel 11 - Testphase: Red-Team-Test Artikel 12 - Abschlussphase Artikel 13 - Plan mit Abhilfemaßnahmen Artikel 14 - Bescheinigung Artikel 15 - Einsatz interner Tester Artikel 16 - Zusammenarbeit und gegenseitige Anerkennung Artikel 17 - Inkrafttreten ANHANG I ANHANG II ANHANG III ANHANG IV ANHANG V ANHANG VI ANHANG VII ANHANG VIII