(1)

Diese Verordnung wurde im Einklang mit dem TIBER-EU-Rahmen ausgearbeitet und spiegelt die Methodik, das Verfahren und die Struktur bedrohungsorientierter Penetrationstests (im Folgenden „TLPT“) gemäß TIBER-EU wider. Finanzunternehmen, die zur Durchführung von TLPT verpflichtet sind, können sich auf den TIBER-EU-Rahmen oder eine seiner nationalen Umsetzungen beziehen und diesen Rahmen oder die nationale Umsetzung anwenden, sofern dieser Rahmen oder die Umsetzung mit den Anforderungen der Artikel 26 und 27 der Verordnung (EU) 2022/2554 und der vorliegenden Verordnung im Einklang steht. Die Benennung einer einzigen staatlichen Behörde für den Finanzsektor, die auf nationaler Ebene für mit TLPT verbundene Angelegenheiten zuständig ist, gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 sollte die auf Unionsebene den zuständigen Behörden übertragene Befugnis für die Beaufsichtigung bestimmter Finanzunternehmen gemäß Artikel 46 der genannten Verordnung unberührt lassen, wie beispielsweise die Zuständigkeit der Europäischen Zentralbank für bedeutende Kreditinstitute für mit TLPT verbundene Angelegenheiten. Werden nur einige mit TLPT verbundene Aufgaben gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 einer anderen nationalen Behörde für den Finanzsektor übertragen, so sollte die für das in Artikel 46 der genannten Verordnung genannte Finanzunternehmen zuständige Behörde für die nicht übertragenen mit TLPT verbundenen Aufgaben zuständig bleiben.

(2)

Angesichts der Komplexität des TLPT und der damit verbundenen Risiken sollte seine Durchführung auf diejenigen Finanzunternehmen beschränkt werden, bei denen er gerechtfertigt ist. Daher sollten die für mit TLPT verbundenen Angelegenheiten zuständigen Behörden (im Folgenden „TLPT-Behörden“) (auf Unions- oder auf nationaler Ebene) Finanzunternehmen vom Anwendungsbereich des TLPT ausnehmen, die in zentralen Finanzdienstleistungsteilsektoren tätig sind und bei denen ein TLPT nicht gerechtfertigt ist. Demnach könnten Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen unter Berücksichtigung einer Gesamtbewertung ihres IKT-Risikoprofils und ihres Reifegrads, ihrer Auswirkungen auf den Finanzsektor und entsprechender Bedenken hinsichtlich der Finanzstabilität von der Pflicht zur Durchführung von TLPT befreit werden, auch wenn sie die quantitativen Kriterien erfüllen.

(3)

Die TLPT-Behörden sollten unter Berücksichtigung einer Gesamtbewertung des IKT-Risikoprofils und des Reifegrads, der Auswirkungen auf den Finanzsektor und entsprechender Bedenken hinsichtlich der Finanzstabilität prüfen, ob andere Arten von Finanzunternehmen als Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, zentrale Gegenparteien, Zentralverwahrer, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen der Pflicht zur Durchführung von TLPT unterworfen werden sollten. Die Bewertung, ob diese Finanzunternehmen die genannten qualitativen Kriterien erfüllen, sollte darauf abzielen, anhand sektorübergreifender und objektiver Indikatoren diejenigen Finanzunternehmen zu ermitteln, die TLPT durchführen sollten. Gleichzeitig sollte die Bewertung, ob ein Finanzunternehmen diese qualitativen Kriterien erfüllt, darauf abzielen, TLPT auf diejenigen Unternehmen zu beschränken, bei denen der Test gerechtfertigt ist. Ob ein Finanzunternehmen diese qualitativen Kriterien erfüllt, sollte auch vor dem Hintergrund neuer Marktentwicklungen und der künftigen zunehmenden Bedeutung neuer Marktteilnehmer für den Finanzsektor, einschließlich der gemäß Artikel 59 der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates (2) zugelassenen Anbieter von Krypto-Dienstleistungen, bewertet werden.

(4)

Finanzunternehmen können denselben gruppeninternen IKT-Dienstleister haben oder derselben Gruppe angehören und auf gemeinsame IKT-Systeme zurückgreifen. In diesem Fall ist es wichtig, dass die TLPT-Behörden bei der Beurteilung, ob ein Finanzunternehmen der Pflicht zur Durchführung von TLPT unterworfen werden sollte und ob der TLPT auf Unternehmensebene oder auf Gruppenebene (in Form eines gemeinsamen TLPT) durchgeführt werden sollte, die Struktur und den systemischen Charakter oder die Bedeutung des betreffenden Finanzunternehmens für den Finanzsektor auf nationaler oder Unionsebene berücksichtigen.

(5)

Um dem TIBER-EU-Rahmen Rechnung zu tragen, muss die Testmethodik die Einbeziehung der folgenden Hauptbeteiligten vorsehen: das Finanzunternehmen mit einem Kontrollteam (das dem „Kontrollteam“ im Rahmen von TIBER-EU entspricht) und einem Blue Team (das dem „Blue Team“ im Rahmen von TIBER-EU entspricht) und die TLPT-Behörde in Form eines TLPT-Cyberteams (das dem „TIBER-Cyberteam“ im Rahmen von TIBER-EU entspricht), ein Anbieter von Bedrohungsanalysen und Tester (wobei die Tester dem „Red-Team-Anbieter“ im Rahmen von TIBER-EU entsprechen).

(6)

Um sicherzustellen, dass in den TLPT die im Rahmen der Umsetzung von TIBER-EU gewonnenen Erfahrungen einfließen, und um die mit der Durchführung von TLPT verbundenen Risiken zu verringern, sollte sichergestellt werden, dass die Zuständigkeiten der TLPT-Cyberteams, die auf der Ebene der TLPT-Behörden eingerichtet werden, so weit wie möglich denen der TIBER-EU-Cyberteams entsprechen. Daher sollten für die TLPT-Cyberteams Testmanager bestimmt werden, die für die Beaufsichtigung der einzelnen TLPT sowie für die Planung und Koordinierung der einzelnen Tests verantwortlich sind. TLPT-Cyberteams sollten eine zentrale Anlaufstelle für die testbezogene Kommunikation mit internen und externen Interessenträgern, für die Sammlung und Verarbeitung von Rückmeldungen und Erkenntnissen aus bereits durchgeführten Tests und für die Unterstützung von Finanzunternehmen, bei denen ein TLPT durchgeführt wird, sein.

(7)

Um der Methodik des TIBER-EU-Rahmens Rechnung zu tragen, sollten Testmanager über die erforderlichen Fähigkeiten und Kompetenzen für die Begutachtung der Vorschläge der Tester und die entsprechende Beratung verfügen. Die Erfahrung im Rahmen des TIBER-EU-Rahmens hat gezeigt, dass es sinnvoll ist, jedem Test ein Team aus mindestens zwei Testmanagern zuzuweisen. Da mithilfe des TLPT die Lernerfahrung verbessert werden soll, und um die Vertraulichkeit der Tests zu wahren, wird den TLPT-Behörden dringend empfohlen, dafür zu sorgen, dass Testmanager während der Dauer eines TLPT keine Aufsichtstätigkeiten über das Finanzunternehmen, das sich einem TLPT unterzieht, ausüben (vorausgesetzt, bei den Behörden sind die nötigen Ressourcen oder Kompetenzen vorhanden).

(8)

Um dem TIBER-EU-Rahmen zu entsprechen, muss die TLPT-Behörde den Test in jeder einzelnen Phase genau verfolgen. Angesichts der Art des Tests und der damit verbundenen Risiken ist es von entscheidender Bedeutung, dass die TLPT-Behörde in jede einzelne Testphase einbezogen wird. Insbesondere sollte die TLPT-Behörde konsultiert werden und die Bewertungen oder Entscheidungen der Finanzunternehmen validieren, die zum einen die Wirksamkeit des Tests beeinflussen und sich zum anderen auf die mit dem Test verbundenen Risiken auswirken können. Zu den grundlegenden Schritten, bei denen eine spezifische Einbeziehung der TLPT-Behörde erforderlich ist, gehören die Validierung bestimmter grundlegender Bestandteile der Testdokumentation, die Auswahl von Anbietern von Bedrohungsanalysen und Testern sowie die Festlegung von Risikomanagementmaßnahmen. Die Einbeziehung der TLPT-Behörden, insbesondere bei Validierungen, sollte den Arbeitsaufwand dieser Behörden nicht übermäßig erhöhen und daher auf die Dokumente und Entscheidungen beschränkt bleiben, die sich unmittelbar auf die Durchführung des TLPT auswirken. Durch die aktive Einbeziehung in jede Testphase können die TLPT-Behörden effektiv bewerten, ob die Finanzunternehmen die einschlägigen Anforderungen erfüllen, und entsprechend die Bescheinigung gemäß Artikel 26 Absatz 7 der Verordnung (EU) 2022/2554 ausstellen.

(9)

Die Geheimhaltung des TLPT ist äußerst wichtig, um sicherzustellen, dass die Testbedingungen realistisch sind. Aus diesem Grund sollten die Tests verdeckt erfolgen und es sollten Vorkehrungen getroffen werden, um die Vertraulichkeit des TLPT zu wahren. Beispielsweise sollten Codenamen so gewählt werden, dass eine Identifizierung des TLPT durch Dritte nicht möglich ist. Sollten Mitarbeiter, die für die Sicherheit des Finanzteams zuständig sind, von einem geplanten oder laufenden TLPT erfahren, sind sie wahrscheinlich aufmerksamer und wachsamer als unter normalen Arbeitsbedingungen, was zu einem anderen Testergebnis führen würde. Mitarbeiter des Finanzunternehmens, die nicht dem Kontrollteam angehören, sollten daher nur dann über geplante oder laufende TLPT informiert werden, wenn triftige Gründe vorliegen, und vorbehaltlich der vorherigen Zustimmung der Testmanager, um unter anderem die Geheimhaltung des Tests zu gewährleisten, falls ein Mitglied des Blue Teams den Test aufdeckt.

(10)

Wie die im Rahmen des TIBER-EU-Rahmens gewonnenen Erkenntnisse in Bezug auf das „Kontrollteam“ gezeigt haben, ist die Auswahl eines geeigneten Leiters für das Kontrollteam unerlässlich für die sichere Durchführung des TLPT. Der Leiter des Kontrollteams sollte innerhalb des Finanzunternehmens über das erforderliche Mandat verfügen, um über alle Aspekte des Tests zu entscheiden, ohne dessen Vertraulichkeit zu gefährden. Aus demselben Grund sollten die Mitglieder des Kontrollteams über weitreichende Kenntnisse des Finanzunternehmens, der Rolle und der strategischen Positionierung des Leiters des Kontrollteams verfügen, die erforderliche hierarchische Position und Zugang zur Geschäftsleitung haben. Um das Risiko einer Gefährdung des TLPT zu verringern, sollte das Kontrollteam so klein wie möglich sein.

(11)

Mit einem TLPT sind Risikokomponenten verbunden, da kritische Funktionen in einer Live-Produktionsumgebung getestet werden. Dies kann Denial-of-Service-Vorfälle, unerwartete Systemabstürze, Schäden an kritischen Live-Produktionssystemen oder den Verlust, die Veränderung oder die Offenlegung von Daten zur Folge haben. Diese Risiken machen deutlich, dass robuste Risikomanagementmaßnahmen erforderlich sind. Um sicherzustellen, dass der TLPT während der gesamten Testdauer kontrolliert durchgeführt wird, ist es sehr wichtig, dass sich die Finanzunternehmen jederzeit der besonderen Risiken bewusst sind, die mit einem TLPT verbunden sind, und dass diese Risiken gemindert werden. In diesem Zusammenhang kann unbeschadet der internen Prozesse des Finanzunternehmens und der Verantwortlichkeiten und Befugnisse, die dem Leiter des Kontrollteams bereits übertragen wurden, die Bereitstellung von Informationen über die TLPT-bezogenen Risikomanagementmaßnahmen oder — in besonderen Fällen — die Genehmigung dieser Risikomanagementmaßnahmen durch das Leitungsorgan des Finanzunternehmens geboten sein. Um effektive und qualifizierte professionelle Dienstleistungen erbringen zu können und diese Risiken zu mindern, ist es zudem von entscheidender Bedeutung, dass die Tester und die Anbieter von Bedrohungsanalysen (zusammen im Folgenden „TLPT-Anbieter“) über ein Höchstmaß an Fähigkeiten, Fachwissen und angemessene Erfahrung im Bereich Bedrohungsanalysen und TLPT in der Finanzdienstleistungsbranche verfügen.

(12)

Herkömmliche Penetrationstests ermöglichen eine detaillierte und hilfreiche Bewertung technischer und Konfigurationsschwachstellen, die häufig nur ein einzelnes System oder eine einzelne Umgebung betreffen und isoliert betrachtet werden. Im Gegensatz zu einem erkenntnisgestützten Red-Team-Test wird dabei nicht das gesamte Szenario eines gezielten Angriffs auf ein ganzes Unternehmen, einschließlich seiner Mitarbeiter, Prozesse und Technologien, bewertet. Bei der Auswahl der TLPT-Anbieter sollten Finanzunternehmen daher sicherstellen, dass diese Anbieter über die erforderlichen Fähigkeiten verfügen, um erkenntnisgestützte Red-Team-Tests durchzuführen, und nicht nur Penetrationstests. Es müssen daher umfassende Kriterien für interne und externe Tester sowie für Anbieter von Bedrohungsanalysen (immer extern) festgelegt werden. Gehören die TLPT-Anbieter demselben Unternehmen an, sollte sichergestellt werden, dass das für einen TLPT eingesetzte Personal angemessen von den übrigen Mitarbeitern getrennt ist.

(13)

In Ausnahmefällen kann es sein, dass ein Finanzunternehmen keine TLPT-Anbieter findet, die die umfassenden Kriterien erfüllen. Können Finanzunternehmen den Nachweis erbringen, dass solche Anbieter von Bedrohungsanalysen nicht verfügbar sind, sollten sie die Möglichkeit haben, Personen zu beauftragen, die nicht alle umfassenden Kriterien erfüllen, sofern sie die sich daraus ergebenden zusätzlichen Risiken angemessen mindern und die TLPT-Behörde sämtliche dieser Kriterien bewertet.

(14)

Sind mehrere Finanzunternehmen und mehrere TLPT- Behörden an einem TLPT beteiligt, sollten die Rollen aller am TLPT-Verfahren beteiligten Parteien festgelegt werden, damit der Test so effizient und sicher wie möglich durchgeführt wird. Bei gebündelten Tests müssen spezifische Anforderungen für die Festlegung der Rolle des benannten Finanzunternehmens gelten, d. h. dieses Finanzunternehmen sollte insbesondere dafür verantwortlich sein, der federführenden TLPT-Behörde alle erforderlichen Dokumente zur Verfügung zu stellen und das Testverfahren zu überwachen. Das benannte Finanzunternehmen sollte auch für die allgemeinen Aspekte der Risikomanagementbewertung verantwortlich sein. Ungeachtet der Rolle des benannten Finanzunternehmens sollten die Pflichten jedes Finanzunternehmens, das an dem gebündelten TLPT beteiligt ist, während des gebündelten Tests unberührt bleiben. Derselbe Grundsatz sollte auch für gemeinsame TLPT gelten.

(15)

Wie die Erfahrung mit der Umsetzung des TIBER-EU-Rahmens gezeigt hat, sind Präsenz- oder virtuelle Sitzungen mit allen betroffenen Interessenträger (Finanzunternehmen, Behörden, Tester und Anbieter von Bedrohungsanalysen) der effizienteste Weg, um eine angemessene Durchführung der Tests sicherzustellen. Daher sollten in verschiedenen Phasen des Prozesses Präsenz- und virtuelle Sitzungen abgehalten werden, das heißt während der Vorbereitungsphase zu Beginn des TLPT, um den Testumfang festzulegen, während der Testphase, um den Bedrohungsanalysebericht, den Red-Team-Testplan und die wöchentlichen Fortschrittsberichte zu erstellen, und während der Abschlussphase, um die Handlungen der Tester und des Blue Teams zu wiederholen, für das Purple-Teaming und um Rückmeldungen zu dem TLPT auszutauschen.

(16)

Um eine reibungslose Durchführung des TLPT zu gewährleisten, sollte die TLPT-Behörde dem Finanzunternehmen ihre Erwartungen in Bezug auf den Test klar darlegen. In diesem Zusammenhang sollten die Testmanager sicherstellen, dass ein angemessener Informationsfluss mit dem Kontrollteam innerhalb des Finanzunternehmens und mit den TLPT-Anbietern eingerichtet wird.

(17)

Das Finanzunternehmen sollte festlegen, welche kritischen oder wichtigen Funktionen in den Anwendungsbereich des TLPT fallen. Dabei sollte sich das Finanzunternehmen auf verschiedene Kriterien stützen, die sich auf die Bedeutung der jeweiligen Funktion für das Finanzunternehmen selbst und für den Finanzsektor auf Unions- und nationaler Ebene beziehen, und zwar nicht nur in wirtschaftlicher Hinsicht, sondern auch unter Berücksichtigung des symbolischen oder politischen Status der Funktion. Um einen reibungslosen Übergang zur Phase der Gewinnung von Bedrohungsinformationen zu erleichtern, sollte das Kontrollteam den nicht am Scoping-Verfahren beteiligten Testern und Anbietern von Bedrohungsanalysen detaillierte Informationen über den vereinbarten Testumfang zur Verfügung stellen.

(18)

Um den Testern die Informationen zur Verfügung zu stellen, die erforderlich sind, um einen realen und realistischen Angriff auf die Live-Systeme des Finanzunternehmens, die seinen kritischen oder wichtigen Funktionen zugrunde liegen, zu simulieren, sollte der Anbieter von Bedrohungsanalysen Erkenntnisse oder Informationen gewinnen, die mindestens zwei wichtige Interessenbereiche abdecken: die Angriffsziele, indem potenzielle Angriffsflächen im Finanzunternehmen ermittelt werden, und die Bedrohungen, indem relevante Angreifer und wahrscheinliche Bedrohungsszenarien ermittelt werden. Um sicherzustellen, dass der Anbieter von Bedrohungsanalysen die für das Finanzunternehmen relevanten Bedrohungen berücksichtigt, sollten die Tester, das Kontrollteam und die Testmanager Rückmeldungen zum Entwurf des Bedrohungsanalyseberichts geben. Sofern verfügbar, kann der Anbieter von Bedrohungsanalysen von der TLPT-Behörde für den Finanzsektor eines Mitgliedstaats bereitgestellte Informationen über die allgemeine Bedrohungslage als Ausgangsbasis für die nationale Bedrohungslage verwenden. Wird der TIBER-EU-Rahmen angewendet, dauert die Gewinnung von Bedrohungsinformationen in der Regel etwa vier Wochen.

(19)

Damit die Tester Einblicke gewinnen und das Scoping-Dokument und den spezifischen Bedrohungsanalysebericht weitergehend prüfen können, um den Red-Team-Testplan zu erstellen, ist es äußerst wichtig, dass die Tester vor der Red-Team-Testphase des TLPT vom Bedrohungsanalyse-Anbieter detaillierte Erläuterungen zu dem spezifischen Bedrohungsanalysebericht und zur Analyse möglicher Bedrohungsszenarien erhalten.

(20)

Damit die Tester einen realistischen und umfassenden Test durchführen können, bei dem alle Angriffsphasen durchgespielt und die vordefinierten Ziele (im Folgenden „Flags“) erreicht werden, sollte ausreichend Zeit für die aktive Red-Team-Testphase vorgesehen werden. Die Erfahrung mit dem TIBER-EU-Rahmen hat gezeigt, dass mindestens zwölf Wochen vorgesehen werden sollten; bei der Festlegung des Zeitrahmens sollten die Anzahl der beteiligten Parteien, der Umfang des TLPT, die Ressourcen des (der) beteiligten Finanzunternehmen(s), etwaige externe Anforderungen und die Verfügbarkeit der vom Finanzunternehmen bereitgestellten ergänzenden Informationen berücksichtigt werden.

(21)

Während der aktiven Red-Team-Testphase sollten die Tester eine Reihe von Taktiken, Techniken und Verfahren (im Folgenden „TTP“) anwenden, um die Live-Produktionssysteme des Finanzunternehmens angemessen zu testen. Die TTP sollten gegebenenfalls die Auskundschaftung (d. h. die Gewinnung möglichst vieler Informationen über das Angriffsziel — „Reconnaissance“), die Vorbereitung des Angriffs (d. h. die Analyse von Informationen über Infrastruktur, Einrichtungen und Mitarbeiter sowie die Vorbereitung der zielspezifischen Handlungen — „Weaponization“), die Platzierung des Schädlings (d. h. Beginn des Angriffs auf das Ziel — „Delivery“) und die Erlangung des Zugriffs (d. h. Kompromittierung der Server und Netzwerke des Finanzunternehmens und Verleitung seiner Mitarbeiter durch Social Engineering — „Exploitation“), Kontrolle und laterale Bewegung (d. h. Versuche, von den kompromittierten Systemen zu noch stärker gefährdeten oder wertvolleren Systemen überzugehen) und Erreichen des Angriffsziels (d. h. weiterer Zugriff auf kompromittierte Systeme und Zugang zu den Informationen und Daten des Angriffsziels, wie im Red-Team-Testplan vereinbart).

(22)

Bei der Durchführung eines TLPT sollten die Tester das für den Angriff zur Verfügung stehende Zeitbudget, die Ressourcen sowie ethische und rechtliche Grenzen berücksichtigen. Sollten die Tester nicht in der Lage sein, zur geplanten nächsten Angriffsphase überzugehen, sollte das Kontrollteam mit Zustimmung der TLPT-Behörde Unterstützung in Form von sogenannten „Hilfestellungen“ (Leg-up) leisten. Hilfestellungen können im Wesentlichen in den Bereichen Information und Zugang geleistet werden und darin bestehen, Zugang zu IKT-Systemen oder internen Netzwerken zu gewähren, damit der Test fortgesetzt werden und das Team sich auf die nachfolgenden Angriffsschritte konzentrieren kann.

(23)

Während des aktiven Red-Teamings in der Testphase sollte, falls dies erforderlich ist, um die Fortsetzung des TLPT zu ermöglichen, in Ausnahmefällen als letztes Mittel, und sofern alle alternativen Optionen ausgeschöpft wurden, auf eine gemeinsame Durchführung des Tests, an dem dann sowohl die Tester als auch das Blue Team teilnehmen, zurückgegriffen werden. Im Rahmen eines solchen Purple-Teaming, das auf Ausnahmefälle begrenzt ist, können folgende Methoden angewendet werden: „Catch-and-Release“, d. h. die Tester versuchen, die Szenarien fortzusetzen, werden entdeckt, und nehmen den Test anschließend wieder auf, „War Gaming“, das komplexere Szenarien ermöglicht, um strategische Entscheidungen zu testen, oder „Collaborative Proof-of-Concept“, der es Testern und Mitgliedern des Blue Teams ermöglicht, spezifische Sicherheitsmaßnahmen, -tools oder -techniken in einer kontrollierten und kooperativen Umgebung gemeinsam zu validieren.

(24)

Der TLPT sollte als Lernerfahrung genutzt werden, um die digitale operationale Resilienz von Finanzunternehmen zu verbessern. In diesem Zusammenhang sollten das Blue Team und die Tester den Angriff wiederholen und die durchgeführten Schritte analysieren, um in Zusammenarbeit mit den Testern Erkenntnisse aus den Tests zu gewinnen. Hierzu und um eine angemessene Vorbereitung zu ermöglichen, sollten der Red-Team-Testbericht und der Blue-Team-Testbericht allen an der Wiederholung beteiligten Parteien vor deren Durchführung zur Verfügung gestellt werden. Darüber hinaus sollte in der Abschlussphase ein Purple-Teaming stattfinden, um die Lernerfahrung zu maximieren. Die Methoden, die in der Abschlussphase für das Purple-Teaming verwendet werden können, sollten Diskussionen über alternative Angriffsszenarien, die Analyse alternativer Szenarien für Live-Systeme oder die erneute Analyse geplanter Szenarien für Live-Systeme umfassen, die die Tester während der Testphase nicht abschließen oder ausführen konnten.

(25)

Um die Lernerfahrung aller am TLPT beteiligten Parteien im Hinblick auf künftige Tests weiter zu verbessern und die digitale operationale Resilienz von Finanzunternehmen zu fördern, sollten die betroffenen Parteien einander Rückmeldungen zum gesamten Prozess geben und insbesondere ermitteln, welche Aktivitäten gut vorangekommen sind oder hätten verbessert werden können und welche Aspekte des TLPT-Verfahrens gut funktioniert haben oder verbessert werden könnten.

(26)

Die in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden und — falls davon abweichend — die TLPT-Behörden sollten zusammenarbeiten, um fortgeschrittene Tests in Form von TLPT in die bestehenden Aufsichtsverfahren einzubeziehen. In diesem Zusammenhang und um das korrekte Verständnis der aus dem TLPT gewonnenen Erkenntnisse und die Art und Weise der Interpretation zu kommunizieren, sollte insbesondere für den zusammenfassenden Testbericht und die Pläne mit Abhilfemaßnahmen eine enge Zusammenarbeit zwischen den am TLPT beteiligten Testmanagern und den zuständigen Aufsichtsbehörden stattfinden.

(27)

Nach Artikel 26 Absatz 8 Unterabsatz 1 der Verordnung (EU) 2022/2554 müssen Finanzunternehmen bei jedem dritten Test externe Tester beauftragen. Wenn Finanzunternehmen sowohl interne als auch externe Tester in das Testteam einbeziehen, ist dieser Test für die Zwecke des genannten Artikels als TLPT mit internen Testern zu betrachten.

(28)

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von der Europäischen Bankenaufsichtsbehörde, der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und der Europäischen Wertpapier- und Marktaufsichtsbehörde (im Folgenden „Europäische Aufsichtsbehörden“) im Einvernehmen mit der Europäischen Zentralbank vorgelegt wurde.

(29)

Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf offene öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates (3) eingesetzten Interessengruppe „Bankensektor“, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (4) eingesetzten Interessengruppen „Versicherung und Rückversicherung“ und „Betriebliche Altersversorgung“ sowie der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (5) eingesetzten Interessengruppe „Wertpapiere und Wertpapiermärkte“ eingeholt.

(30)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (6) konsultiert und gab am 20. August 2024 eine Stellungnahme ab ––