2025. június 18-án megjelent az EU Hivatalos Lapjában a DORA rendelet fenyegetés alapú behatolási tesztelés (TLPT) elvégzésének végleges szabályait és mellékleteit tartalmazó szabályozástechnikai (Regulatory Technical Standards, RTS) standardja.
Az alábbi végleges szabályozástechnikai standardot tartalmazza az EU Hivatalos Lapja:
- A Bizottság (EU) 2025/1190 felhatalmazáson alapuló rendelet (2025. február 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a fenyegetés alapú behatolási tesztelés elvégzésére kötelezett pénzügyi szervezetek azonosításához használt kritériumokat, a belső tesztelők igénybevételét szabályozó követelményeket és standardokat, a terjedelemre, a tesztelés egyes szakaszainak tesztelési módszertanára és megközelítésére, az eredményekre, a lezárási és korrekciós szakaszokra vonatkozó követelményeket, valamint a fenyegetés alapú behatolási tesztelés végrehajtásához és a kölcsönös elismerés megkönnyítéséhez szükséges felügyeleti és egyéb releváns együttműködés típusát meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről
Az RTS tartalmazza többek között a TLPT elvégzésére kötelezett pénzügyi szervezetek azonosításával, a TLPT-tesztvezetőkkel, a pénzügyi szervezetekre vonatkozó szervezeti intézkedésekkel, a TLPT-hez kapcsolódó kockázatkezeléssel, valamint a TLPT-szolgáltatók kiválasztásával kapcsolatos részletes szabályokat.
Ezen szabályok mellett az RTS tartalmazza továbbá a TLPT folyamat különböző szakaszaira vonatkozó főbb szabályokat és határidőket is. Meghatározásra kerültek az előkészítési, tesztelési (fenyegetettséggel kapcsolatos hírszerzés és vörös csapat által végzett teszt), valamint lezárási szakasz elvárásai is.
Az RTS kitér az együttműködés és a kölcsönös elismerés szabályaira is, amely az egynél több tagállamban – többek között fióktelepen keresztül – szolgáltatásokat nyújtó pénzügyi szervezetekkel kapcsolatos közös TLPT végrehajtásra vonatkoznak. Ezen szabályok elősegítik a hatékony és összehangolt végrehajtást, abban az esetben, ha adott pénzügyi szervezet több tagállamban is jelen van.
Az RTS tartalmazza azokat a mellékleteket is, amelyek részletesen meghatározzák azon információkat és adatszolgáltatási elemeket, amelyeket a TLPT végrehajtása során dokumentálni szükséges. Az intézményeknek dokumentálniuk kell többek között a TLPT teszt megkezdése előtt a teszt terjedelmét, a hírszerzéssel és a hírszerzési elemzésekkel kapcsolatos információkat, valamint a vörös csapat által végrehajtandó teszt tervének tartalmát. A teszt elvégzését követően a vörös és kék csapat tesztjelentéseinek, valamint a TLPT releváns megállapításait összefoglaló jelentésének tartalmi elemeire is meghatároz szempontokat az RTS. Jelen dokumentumokat az RTS-ben meghatározott időn belül szükséges átadni a TLPT hatóság számára.
Annak érdekében, hogy az illetékes hatóságok között lehetővé váljon a teszt kölcsönös elismerése, a TLPT hatóságoknak a teszt elvégzését követően igazolást kell kiadniuk a pénzügyi szervezetek részére, amely megerősíti, hogy a tesztet a dokumentációban igazoltak szerint a követelményeknek megfelelően hajtották végre. Az igazolás tartalmai elemeit szintén az RTS adott melléklete tartalmazza.
Következő lépés: Az RTS az Európai Unió Hivatalos Lapjában való kihirdetést követő huszadik napon lép hatályba.
Linkek:
Az EU Hivatalos Lapjának elérhetősége:
https://eur-lex.europa.eu/oj/daily-view/L-series/default.html?&ojDate=25062024
Háttérinformáció:
A pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022/2554 számú rendelet 2022. december 27-én jelent meg az EU Hivatalos lapjában.
A DORA rendelet a pénzügyi szektorral vonatkozóan részletes előírásokat fogalmaz meg az IKT kockázatok kezelésére, az incidensek bejelentésére, harmadik fél IKT- szolgáltatók kezelésére és felvigyázói rendszerének kialakítására, illetve a fenyegetésalapú betörési tesztek (TLPT) keretrendszerére a pénzügyi szektorban.