(1)

Ο παρών κανονισμός καταρτίστηκε σύμφωνα με το πλαίσιο TIBER-EU και αντικατοπτρίζει τη μεθοδολογία, τη διαδικασία και τη δομή των δοκιμών παρείσδυσης βάσει απειλών (στο εξής: TLPT), όπως περιγράφονται στο TIBER-EU. Οι χρηματοοικονομικές οντότητες που υποβάλλονται σε TLPT μπορούν να αναφέρονται στο πλαίσιο TIBER-EU ή σε μία από τις εθνικές εφαρμογές του και να το/την εφαρμόζουν, στον βαθμό που το εν λόγω πλαίσιο ή η εν λόγω εφαρμογή συνάδει με τις απαιτήσεις που προβλέπονται στα άρθρα 26 και 27 του κανονισμού (ΕΕ) 2022/2554 και στον παρόντα κανονισμό. Ο ορισμός μιας ενιαίας δημόσιας αρχής στον χρηματοοικονομικό τομέα, η οποία θα είναι υπεύθυνη για θέματα σχετικά με τις TLPT σε εθνικό επίπεδο, σύμφωνα με το άρθρο 26 παράγραφος 9 του κανονισμού (ΕΕ) 2022/2554, δεν θα πρέπει να θίγει την αρμοδιότητα των αρμόδιων αρχών στις οποίες έχει ανατεθεί σε επίπεδο Ένωσης η εποπτεία ορισμένων χρηματοοικονομικών οντοτήτων σύμφωνα με το άρθρο 46 του εν λόγω κανονισμού, όπως, για παράδειγμα, της Ευρωπαϊκής Κεντρικής Τράπεζας για σημαντικά πιστωτικά ιδρύματα, οι οποίες πρέπει να θεωρούνται αρμόδιες για θέματα σχετικά με τις TLPT. Όταν μόνο ορισμένα από τα καθήκοντα που σχετίζονται με τις TLPT ανατίθενται σε άλλη εθνική αρχή του χρηματοοικονομικού τομέα σύμφωνα με το άρθρο 26 παράγραφος 10 του κανονισμού (ΕΕ) 2022/2554, η αρμόδια αρχή της χρηματοοικονομικής οντότητας που αναφέρεται στο άρθρο 46 του εν λόγω κανονισμού θα πρέπει να παραμένει αρμόδια για τα μη ανατεθέντα καθήκοντα σχετικά με τις TLPT.

(2)

Λαμβανομένης υπόψη της πολυπλοκότητας των TLPT και των σχετικών κινδύνων, η χρήση τους θα πρέπει να περιορίζεται στις χρηματοοικονομικές οντότητες για τις οποίες δικαιολογείται. Ως εκ τούτου, οι αρχές που είναι αρμόδιες για θέματα TLPT (αρχές TLPT, είτε σε ενωσιακό είτε σε εθνικό επίπεδο) θα πρέπει να εξαιρούν από το πεδίο των TLPT τις χρηματοοικονομικές οντότητες οι οποίες δραστηριοποιούνται σε βασικούς υποτομείς χρηματοοικονομικών υπηρεσιών για τους οποίους δεν δικαιολογείται η χρήση TLPT. Αυτό σημαίνει ότι τα πιστωτικά ιδρύματα, τα ιδρύματα πληρωμών και τα ιδρύματα ηλεκτρονικού χρήματος, τα κεντρικά αποθετήρια τίτλων, οι κεντρικοί αντισυμβαλλόμενοι, οι τόποι διαπραγμάτευσης, οι ασφαλιστικές και αντασφαλιστικές επιχειρήσεις θα μπορούσαν να απαλλάσσονται από την απαίτηση διενέργειας TLPT, ακόμη και αν πληρούν τα ποσοτικά κριτήρια, υπό το πρίσμα της συνολικής αξιολόγησης του προφίλ κινδύνου και της ωριμότητας από πλευράς ΤΠΕ, των επιπτώσεων στον χρηματοοικονομικό τομέα και σχετικών προβληματισμών για τη χρηματοοικονομική σταθερότητα.

(3)

Οι αρχές TLPT θα πρέπει να αξιολογούν, υπό το πρίσμα της συνολικής αξιολόγησης του προφίλ κινδύνου και της ωριμότητας από πλευράς ΤΠΕ, των επιπτώσεων στον χρηματοοικονομικό τομέα και σχετικών προβληματισμών για τη χρηματοοικονομική σταθερότητα, κατά πόσον θα πρέπει να υποβάλλονται σε TLPT τύποι χρηματοοικονομικών οντοτήτων πέραν των πιστωτικών ιδρυμάτων, των ιδρυμάτων πληρωμών, των ιδρυμάτων ηλεκτρονικού χρήματος, των κεντρικών αντισυμβαλλομένων, των κεντρικών αποθετηρίων τίτλων, των τόπων διαπραγμάτευσης, των ασφαλιστικών και αντασφαλιστικών επιχειρήσεων. Η αξιολόγηση του αν οι εν λόγω χρηματοοικονομικές οντότητες πληρούν τα συγκεκριμένα ποιοτικά κριτήρια θα πρέπει να έχει ως στόχο τον προσδιορισμό των χρηματοοικονομικών οντοτήτων για τις οποίες είναι σκόπιμη η διενέργεια TLPT, με τη χρήση διατομεακών και αντικειμενικών δεικτών. Ταυτόχρονα, με βάση την αξιολόγηση του αν μια χρηματοοικονομική οντότητα πληροί τα συγκεκριμένα ποιοτικά κριτήρια, οι οντότητες που υποβάλλονται σε TLPT θα πρέπει να περιορίζονται σε εκείνες για τις οποίες δικαιολογούνται οι δοκιμές. Το αν μια χρηματοοικονομική οντότητα πληροί τα συγκεκριμένα ποιοτικά κριτήρια θα πρέπει επίσης να αξιολογείται υπό το πρίσμα της ανάπτυξης νέων αγορών και της αυξανόμενης σημασίας των συμμετεχόντων στις νέες αγορές για τον χρηματοοικονομικό τομέα στο μέλλον, συμπεριλαμβανομένων των παρόχων υπηρεσιών κρυπτοστοιχείων που έχουν λάβει άδεια λειτουργίας σύμφωνα με το άρθρο 59 του κανονισμού (ΕΕ) 2023/1114 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2).

(4)

Οι χρηματοοικονομικές οντότητες ενδέχεται να έχουν τον ίδιο ενδοομιλικό πάροχο υπηρεσιών ΤΠΕ ή να ανήκουν στον ίδιο όμιλο και να βασίζονται στη χρήση κοινών συστημάτων ΤΠΕ. Στην περίπτωση αυτή, είναι σημαντικό οι αρχές TLPT να λαμβάνουν υπόψη τη δομή και τον συστημικό χαρακτήρα ή τη σημασία της εν λόγω χρηματοοικονομικής οντότητας για τον χρηματοοικονομικό τομέα σε εθνικό ή ενωσιακό επίπεδο όταν αξιολογούν αν μια χρηματοοικονομική οντότητα θα πρέπει να υποβάλλεται σε TLPT και αν οι TLPT θα πρέπει να διενεργούνται σε επίπεδο οντότητας ή σε επίπεδο ομίλου (μέσω κοινής TLPT).

(5)

Προκειμένου να αντικατοπτρίζεται το πλαίσιο TIBER-EU, η μεθοδολογία των δοκιμών θα πρέπει να προβλέπει τη συμμετοχή των ακόλουθων βασικών συμμετεχόντων: της χρηματοοικονομικής οντότητας, με ομάδα ελέγχου (που αντικατοπτρίζει την «ομάδα ελέγχου» του πλαισίου TIBER-EU) και μπλε ομάδα (που αντικατοπτρίζει την «μπλε ομάδα» του πλαισίου TIBER-EU), και της αρχής TLPT, με τη μορφή κυβερνοομάδας TLPT (που αντικατοπτρίζει τις «κυβερνοομάδες TIBER» του πλαισίου TIBER-EU), ενός παρόχου πληροφοριών για απειλές και δοκιμαστών (όπου οι δοκιμαστές αντικατοπτρίζουν τον «πάροχο κόκκινης ομάδας» του πλαισίου TIBER-EU).

(6)

Προκειμένου να διασφαλιστεί ότι οι TLPT αξιοποιούν την πείρα που αναπτύχθηκε στο πλαίσιο της εφαρμογής του TIBER-EU και να μειωθούν οι κίνδυνοι που συνδέονται με τη διενέργεια TLPT, θα πρέπει να διασφαλιστεί ότι οι αρμοδιότητες των κυβερνοομάδων TLPT που θα συσταθούν σε επίπεδο αρχών TLPT αντιστοιχούν όσο το δυνατόν περισσότερο στις αρμοδιότητες των κυβερνοομάδων του πλαισίου TIBER-EU. Ως εκ τούτου, οι κυβερνοομάδες TLPT θα πρέπει να διαθέτουν διαχειριστές δοκιμών οι οποίοι θα είναι υπεύθυνοι για την εποπτεία των επιμέρους TLPT και για τον σχεδιασμό και τον συντονισμό των επιμέρους δοκιμών. Οι κυβερνοομάδες TLPT θα πρέπει να λειτουργούν ως ενιαίο σημείο επαφής για την επικοινωνία σχετικά με τις δοκιμές με εσωτερικούς και εξωτερικούς συμφεροντούχους, για τη συλλογή και την επεξεργασία παρατηρήσεων και διδαγμάτων που αντλήθηκαν από παλαιότερες δοκιμές, καθώς και για τη στήριξη των χρηματοοικονομικών οντοτήτων που υποβάλλονται σε δοκιμές TLPT.

(7)

Προκειμένου να αντικατοπτρίζεται η μεθοδολογία του πλαισίου TIBER-EU, οι διαχειριστές των δοκιμών θα πρέπει να διαθέτουν τις απαραίτητες δεξιότητες και ικανότητες για να παρέχουν συμβουλές και να αμφισβητούν τις προτάσεις των δοκιμαστών. Η πείρα από το πλαίσιο TIBER-EU έχει αποδείξει ότι είναι χρήσιμο για κάθε δοκιμή να ορίζεται μια ομάδα τουλάχιστον δύο διαχειριστών δοκιμής. Προκειμένου να αποτυπωθεί το γεγονός ότι η TLPT χρησιμοποιείται για την προώθηση της διδακτικής εμπειρίας και να διασφαλιστεί η εμπιστευτικότητα των δοκιμών, και εκτός εάν αντιμετωπίζουν ζητήματα πόρων ή εμπειρογνωσίας, οι αρχές TLPT ενθαρρύνονται ιδιαίτερα να ελέγχουν ότι, για όσο διάστημα διαρκεί η TLPT, οι διαχειριστές της δοκιμής δεν θα πρέπει να ασκούν εποπτικές δραστηριότητες στην ίδια χρηματοοικονομική οντότητα που υποβάλλεται σε TLPT.

(8)

Είναι σημαντικό, για λόγους συνέπειας με το πλαίσιο TIBER-EU, η αρχή TLPT να παρακολουθεί στενά τις δοκιμές σε κάθε στάδιό τους. Λαμβάνοντας υπόψη τη φύση των δοκιμών και τους κινδύνους που συνδέονται με αυτές, η συμμετοχή της αρχής TLPT σε κάθε ξεχωριστό στάδιο των δοκιμών έχει θεμελιώδη σημασία. Ειδικότερα, θα πρέπει να ζητείται η γνώμη της αρχής TLPT, η οποία θα πρέπει να επικυρώνει τις αξιολογήσεις ή τις αποφάσεις των χρηματοοικονομικών οντοτήτων που ενδέχεται, αφενός, να επηρεάσουν την αποτελεσματικότητα της δοκιμής και, αφετέρου, να έχουν αντίκτυπο στους κινδύνους που συνδέονται με τη δοκιμή. Τα βασικά βήματα στα οποία απαιτείται ειδική συμμετοχή της αρχής TLPT περιλαμβάνουν την επικύρωση ορισμένων βασικών εγγράφων τεκμηρίωσης των δοκιμών, καθώς και την επιλογή παρόχων πληροφοριών για απειλές, δοκιμαστών και μέτρων διαχείρισης κινδύνων. Η συμμετοχή των αρχών TLPT, και ειδικότερα όσον αφορά τις επικυρώσεις, δεν θα πρέπει να συνεπάγεται υπερβολική επιβάρυνση των εν λόγω αρχών και, ως εκ τούτου, θα πρέπει να περιορίζεται στα έγγραφα τεκμηρίωσης και στις αποφάσεις που επηρεάζουν άμεσα τη διενέργεια της TLPT. Μέσω της ενεργού συμμετοχής τους σε κάθε στάδιο των δοκιμών, οι αρχές TLPT μπορούν να αξιολογούν αποτελεσματικά τη συμμόρφωση των χρηματοοικονομικών οντοτήτων με τις σχετικές απαιτήσεις, πράγμα που αναμένεται να επιτρέπει στις εν λόγω αρχές να εκδίδουν βεβαιώσεις σύμφωνα με το άρθρο 26 παράγραφος 7 του κανονισμού (ΕΕ) 2022/2554.

(9)

Το απόρρητο των TLPT είναι υψίστης σημασίας προκειμένου να διασφαλίζεται ότι οι συνθήκες των δοκιμών είναι ρεαλιστικές. Για τον λόγο αυτό, οι δοκιμές θα πρέπει να είναι συγκεκαλυμμένες και θα πρέπει να λαμβάνονται προφυλάξεις για τη διατήρηση της εμπιστευτικότητας των TLPT, συμπεριλαμβανομένης της επιλογής κωδικών ονομασιών οι οποίες θα πρέπει να σχεδιάζονται κατά τρόπο ώστε να μην είναι δυνατή η ταυτοποίηση της TLPT από τρίτους. Εάν τα μέλη του προσωπικού που είναι υπεύθυνα για την ασφάλεια της χρηματοοικονομικής ομάδας γνωρίζουν για μια προγραμματισμένη ή υπό εξέλιξη TLPT, είναι πιθανό να είναι πιο προσεκτικά και σε μεγαλύτερη εγρήγορση απ’ ό,τι κατά τη διάρκεια της συνήθους εργασίας τους, με αποτέλεσμα να αλλοιώνεται το αποτέλεσμα των δοκιμών. Ως εκ τούτου, τα μέλη του προσωπικού της χρηματοοικονομικής οντότητας εκτός της ομάδας ελέγχου θα πρέπει να ενημερώνονται για τυχόν προγραμματισμένες ή υπό εξέλιξη TLPT μόνο όταν συντρέχουν σοβαροί λόγοι και με την επιφύλαξη της προηγούμενης συμφωνίας των διαχειριστών των δοκιμών, μεταξύ άλλων για τη διασφάλιση του απορρήτου της δοκιμής σε περίπτωση που κάποιο μέλος της μπλε ομάδας εντοπίσει τη δοκιμή.

(10)

Όπως αποδεικνύεται από την πείρα που αποκτήθηκε στο πλαίσιο TIBER-EU όσον αφορά την «ομάδα ελέγχου», η επιλογή κατάλληλου επικεφαλής της ομάδας ελέγχου είναι απαραίτητη για την ασφαλή διενέργεια των TLPT. Ο επικεφαλής της ομάδας ελέγχου θα πρέπει να έχει την αναγκαία εντολή εντός της χρηματοοικονομικής οντότητας ώστε να καθοδηγεί όλες τις πτυχές των δοκιμών, χωρίς να διακυβεύεται η εμπιστευτικότητά τους. Για τον ίδιο λόγο, τα μέλη της ομάδας ελέγχου θα πρέπει να έχουν βαθιά γνώση της χρηματοοικονομικής οντότητας, του ρόλου και της στρατηγικής θέσης του επικεφαλής της ομάδας ελέγχου, θα πρέπει να διαθέτουν την απαιτούμενη προϋπηρεσία και να έχουν πρόσβαση στο διοικητικό συμβούλιο. Για να μειωθεί ο κίνδυνος υπονόμευσης της TLPT, η ομάδα ελέγχου θα πρέπει να έχει όσο το δυνατόν λιγότερα μέλη.

(11)

Υπάρχουν εγγενή στοιχεία των κινδύνων που σχετίζονται με τη διενέργεια TLPT, καθώς οι κρίσιμες λειτουργίες δοκιμάζονται σε περιβάλλον παραγωγής, με πιθανότητα πρόκλησης συμβάντων άρνησης υπηρεσίας, απροσδόκητων βλαβών του συστήματος, ζημιών σε κρίσιμα συστήματα παραγωγής ή απώλειας, τροποποίησης ή δημοσιοποίησης δεδομένων. Οι κίνδυνοι αυτοί αναδεικνύουν την ανάγκη λήψης ισχυρών μέτρων διαχείρισης κινδύνων. Προκειμένου να διασφαλιστεί ότι η TLPT διεξάγεται με ελεγχόμενο τρόπο καθ’ όλη τη διάρκεια των δοκιμών, είναι πολύ σημαντικό οι χρηματοοικονομικές οντότητες να γνωρίζουν σε κάθε σημείο τους ιδιαίτερους κινδύνους που προκύπτουν σε μια TLPT και να μετριάζονται οι κίνδυνοι αυτοί. Στο πλαίσιο αυτό, με την επιφύλαξη των εσωτερικών διαδικασιών της χρηματοοικονομικής οντότητας και της ευθύνης και των εξουσιοδοτήσεων που έχουν ήδη παρασχεθεί στον επικεφαλής της ομάδας ελέγχου, μπορεί να είναι σκόπιμη η παροχή πληροφοριών σχετικά με τα μέτρα διαχείρισης κινδύνου TLPT ή, σε ειδικές περιπτώσεις, η έγκριση των εν λόγω μέτρων διαχείρισης κινδύνου από το ίδιο το διοικητικό όργανο της χρηματοοικονομικής οντότητας. Για να είναι σε θέση να παρέχουν αποτελεσματικές και τις πλέον εξειδικευμένες επαγγελματικές υπηρεσίες και να περιορίζουν τους εν λόγω κινδύνους, οι δοκιμαστές και οι πάροχοι πληροφοριών για απειλές (από κοινού: πάροχοι TLPT) είναι επίσης σημαντικό να διαθέτουν το υψηλότερο επίπεδο δεξιοτήτων, εμπειρογνωσίας και κατάλληλη πείρα στον τομέα των πληροφοριών για απειλές και των TLPT στον κλάδο των χρηματοοικονομικών υπηρεσιών.

(12)

Οι συμβατικές δοκιμές παρείσδυσης παρέχουν συχνά λεπτομερή και χρήσιμη αξιολόγηση των τεχνικών ευπαθειών και των ευπαθειών παραμετροποίησης ενός μόνο συστήματος ή περιβάλλοντος μεμονωμένα, αλλά, σε αντίθεση με τη δοκιμή κόκκινης ομάδας βάσει στοιχείων, δεν αξιολογούν ολόκληρο το σενάριο μιας στοχευμένης επίθεσης κατά της οντότητας στο σύνολό της, συμπεριλαμβανομένων όλων των ανθρώπων, των διαδικασιών και των τεχνολογιών της συνολικά. Ως εκ τούτου, κατά τη διαδικασία επιλογής των παρόχων TLPT, οι χρηματοοικονομικές οντότητες θα πρέπει να βεβαιώνονται ότι οι εν λόγω πάροχοι διαθέτουν τις απαιτούμενες δεξιότητες να διενεργούν δοκιμές κόκκινης ομάδας βάσει στοιχείων και όχι μόνο δοκιμές παρείσδυσης. Επομένως, είναι αναγκαίο να θεσπιστούν αναλυτικά κριτήρια για τους δοκιμαστές, εσωτερικούς και εξωτερικούς, και για τους παρόχους πληροφοριών για απειλές, οι οποίοι είναι πάντα εξωτερικοί. Όταν οι πάροχοι TLPT ανήκουν στην ίδια εταιρεία, το προσωπικό που αναλαμβάνει μια TLPT θα πρέπει να διαχωρίζεται επαρκώς.

(13)

Ενδέχεται να συντρέχουν εξαιρετικές περιστάσεις κατά τις οποίες οι χρηματοοικονομικές οντότητες δεν είναι σε θέση να συνάπτουν συμβάσεις με παρόχους TLPT που πληρούν τα αναλυτικά κριτήρια. Ως εκ τούτου, οι χρηματοοικονομικές οντότητες, αφού αποδείξουν τη μη διαθεσιμότητα τέτοιου είδους παρόχων πληροφοριών για απειλές, θα πρέπει να έχουν τη δυνατότητα να εμπλέκουν πρόσωπα που δεν πληρούν όλα τα αναλυτικά κριτήρια, υπό την προϋπόθεση ότι μετριάζουν δεόντως τυχόν πρόσθετους κινδύνους που προκύπτουν και ότι η αρχή TLPT αξιολογεί όλα αυτά τα κριτήρια.

(14)

Όταν σε μια TLPT συμμετέχουν περισσότερες από μία χρηματοοικονομικές οντότητες και αρχές TLPT, θα πρέπει να προσδιορίζονται οι ρόλοι όλων των μερών στη διαδικασία TLPT για τη διενέργεια της πλέον αποδοτικής και ασφαλούς δοκιμής. Για τους σκοπούς των ομαδικών δοκιμών, είναι αναγκαία η θέσπιση ειδικών απαιτήσεων προκειμένου να προσδιορίζεται ο ρόλος της ορισθείσας χρηματοοικονομικής οντότητας, δηλαδή ότι θα πρέπει να είναι υπεύθυνη για την παροχή όλων των αναγκαίων εγγράφων τεκμηρίωσης στην επικεφαλής αρχή TLPT και για την παρακολούθηση της διαδικασίας των δοκιμών. Η ορισθείσα χρηματοοικονομική οντότητα θα πρέπει επίσης να είναι υπεύθυνη για τις κοινές πτυχές της αξιολόγησης της διαχείρισης κινδύνων. Παρά τον ρόλο της ορισθείσας χρηματοοικονομικής οντότητας, οι υποχρεώσεις κάθε χρηματοοικονομικής οντότητας που συμμετέχει στη διαδικασία ομαδικών TLPT δεν θα πρέπει να επηρεάζονται κατά τη διάρκεια της ομαδικής δοκιμής. Η ίδια αρχή θα πρέπει να ισχύει και για τις κοινές TLPT.

(15)

Όπως αποδεικνύεται από την πείρα που έχει αποκομιστεί από την εφαρμογή του πλαισίου TIBER-EU, η διεξαγωγή διά ζώσης ή εικονικών συνεδριάσεων με τη συμμετοχή όλων των συμφεροντούχων (χρηματοοικονομικές οντότητες, αρχές, δοκιμαστές και πάροχοι πληροφοριών για απειλές) είναι ο αποτελεσματικότερος τρόπος να διασφαλιστεί η κατάλληλη διενέργεια των δοκιμών. Ως εκ τούτου, θα πρέπει να πραγματοποιούνται διά ζώσης και εικονικές συνεδριάσεις σε διάφορα στάδια της διαδικασίας, και ειδικότερα κατά το προπαρασκευαστικό στάδιο και κατά την έναρξη της TLPT για την οριστικοποίηση του πεδίου της, κατά το στάδιο των δοκιμών για την οριστικοποίηση της έκθεσης πληροφοριών για απειλές και του σχεδίου δοκιμής κόκκινης ομάδας και για τις εβδομαδιαίες ενημερώσεις, καθώς και κατά το στάδιο της ολοκλήρωσης για την αναπαραγωγή των δράσεων των δοκιμαστών και της μπλε ομάδας, τις δράσεις μωβ ομάδας και την ανταλλαγή παρατηρήσεων σχετικά με την TLPT.

(16)

Προκειμένου να διασφαλιστεί η ομαλή διεξαγωγή των TLPT, η αρχή TLPT θα πρέπει να παρουσιάζει σαφώς στη χρηματοοικονομική οντότητα τις προσδοκίες της όσον αφορά τις δοκιμές. Στο πλαίσιο αυτό, οι διαχειριστές των δοκιμών θα πρέπει να διασφαλίζουν την κατάλληλη ροή πληροφοριών με την ομάδα ελέγχου εντός της χρηματοοικονομικής οντότητας και με τους παρόχους TLPT.

(17)

Η χρηματοοικονομική οντότητα θα πρέπει να επιλέγει τις κρίσιμες ή σημαντικές λειτουργίες που θα εμπίπτουν στο πεδίο της TLPT. Κατά την επιλογή των εν λόγω λειτουργιών, η χρηματοοικονομική οντότητα θα πρέπει να βασίζεται σε διάφορα κριτήρια που αφορούν τη σημασία κάθε λειτουργίας για την ίδια τη χρηματοοικονομική οντότητα και για τον χρηματοοικονομικό τομέα, σε ενωσιακό και εθνικό επίπεδο, όχι μόνο από οικονομική άποψη, αλλά λαμβάνοντας επίσης υπόψη τον συμβολικό ή πολιτικό χαρακτήρα της λειτουργίας. Προκειμένου να διευκολυνθεί η ομαλή μετάβαση στο στάδιο της συλλογής πληροφοριών για απειλές, η ομάδα ελέγχου θα πρέπει να παρέχει στους δοκιμαστές και στον πάροχο πληροφοριών για απειλές που δεν συμμετέχουν στη διαδικασία οριοθέτησης του πεδίου λεπτομερείς πληροφορίες σχετικά με τη συμφωνηθείσα οριοθέτηση του πεδίου.

(18)

Για να παράσχει στους δοκιμαστές τις πληροφορίες που απαιτούνται για την προσομοίωση μιας πραγματικής και ρεαλιστικής επίθεσης στα εν χρήση συστήματα της χρηματοοικονομικής οντότητας που στηρίζουν τις κρίσιμες ή σημαντικές λειτουργίες της, ο πάροχος πληροφοριών για απειλές θα πρέπει να συλλέγει στοιχεία ή πληροφορίες που καλύπτουν τουλάχιστον δύο βασικούς τομείς ενδιαφέροντος: τους στόχους, προσδιορίζοντας πιθανές επιφάνειες εκτεθειμένες σε επιθέσεις σε ολόκληρη τη χρηματοοικονομική οντότητα, και τις απειλές, προσδιορίζοντας σχετικούς παράγοντες απειλής και πιθανά σενάρια απειλής. Προκειμένου να διασφαλίζεται ότι ο πάροχος πληροφοριών για απειλές λαμβάνει υπόψη τις σχετικές απειλές για τη χρηματοοικονομική οντότητα, οι δοκιμαστές, η ομάδα ελέγχου και οι διαχειριστές δοκιμής θα πρέπει να παρέχουν τις παρατηρήσεις τους για το σχέδιο έκθεσης πληροφοριών για απειλές. Ο πάροχος πληροφοριών για απειλές μπορεί να χρησιμοποιήσει ένα γενικό τοπίο απειλών, αν υπάρχει, που παρέχεται από την αρχή TLPT για τον χρηματοοικονομικό τομέα ενός κράτους μέλους ως βάση αναφοράς για το εθνικό τοπίο απειλών. Με βάση την εφαρμογή του πλαισίου TIBER-EU, η διαδικασία συλλογής πληροφοριών για απειλές διαρκεί συνήθως περίπου 4 εβδομάδες.

(19)

Για να μπορούν οι δοκιμαστές να αποκτήσουν γνώσεις και να ελέγξουν περαιτέρω το έγγραφο προσδιορισμού του πεδίου και τη στοχευμένη έκθεση πληροφοριών για απειλές προκειμένου να οριστικοποιήσουν το σχέδιο δοκιμών κόκκινης ομάδας, είναι σημαντικό, πριν από το στάδιο δοκιμών κόκκινης ομάδας της TLPT, οι δοκιμαστές να λαμβάνουν από τον πάροχο πληροφοριών για απειλές αναλυτικές εξηγήσεις σχετικά με τη στοχευμένη έκθεση πληροφοριών για απειλές και την ανάλυση πιθανών σεναρίων απειλής.

(20)

Για να μπορούν οι δοκιμαστές να διενεργούν ρεαλιστικές και ολοκληρωμένες δοκιμές στις οποίες εκτελούνται όλες οι φάσεις επιθέσεων και επιτυγχάνονται οι ενδείκτες, θα πρέπει να αφιερώνεται επαρκής χρόνος στο ενεργό στάδιο δοκιμών κόκκινης ομάδας. Με βάση την πείρα που αποκτήθηκε από το πλαίσιο TIBER-EU, ο χρόνος που διατίθεται θα πρέπει να είναι τουλάχιστον 12 εβδομάδες και θα πρέπει να καθορίζεται λαμβάνοντας υπόψη τον αριθμό των εμπλεκόμενων μερών, το πεδίο της TLPT, τους πόρους της εμπλεκόμενης χρηματοοικονομικής οντότητας ή οντοτήτων, τυχόν εξωτερικές απαιτήσεις και τη διαθεσιμότητα των υποστηρικτικών πληροφοριών που παρέχει η χρηματοοικονομική οντότητα.

(21)

Κατά τη διάρκεια του ενεργού σταδίου δοκιμών κόκκινης ομάδας, οι δοκιμαστές θα πρέπει να αναπτύξουν μια σειρά τακτικών, τεχνικών και διαδικασιών για να δοκιμάσουν επαρκώς τα συστήματα παραγωγής της χρηματοοικονομικής οντότητας. Οι τακτικές, τεχνικές και διαδικασίες θα πρέπει να περιλαμβάνουν, κατά περίπτωση, την αναγνώριση (δηλαδή συλλογή όσο το δυνατόν περισσότερων πληροφοριών σχετικά με έναν στόχο), τη χρήση τους ως όπλου (δηλαδή ανάλυση πληροφοριών σχετικά με την υποδομή, τις εγκαταστάσεις και τους εργαζομένους και προετοιμασία των επιχειρήσεων που αφορούν ειδικά τον στόχο), την εκτέλεση (δηλαδή την ενεργό έναρξη της πλήρους επιχείρησης κατά του στόχου), την εκμετάλλευση (δηλαδή όπου στόχος των δοκιμαστών είναι να παραβιάσουν τους διακομιστές, τα δίκτυα της χρηματοοικονομικής οντότητας και να εκμεταλλευτούν το προσωπικό της μέσω κοινωνικής μηχανικής), τον έλεγχο και την κυκλοφορία (δηλαδή απόπειρες μετάβασης από τα παραβιασμένα συστήματα σε ακόμη πιο ευάλωτα ή υψηλής αξίας), και δράσεις κατά του στόχου (δηλαδή απόκτηση περαιτέρω πρόσβασης σε παραβιασμένα συστήματα και απόκτηση πρόσβασης στις προσυμφωνηθείσες πληροφορίες και τα δεδομένα στόχου, όπως συμφωνήθηκαν προηγουμένως στο σχέδιο δοκιμής κόκκινης ομάδας).

(22)

Κατά τη διενέργεια μιας TLPT, οι δοκιμαστές θα πρέπει να ενεργούν λαμβάνοντας υπόψη τον διαθέσιμο χρόνο για την πραγματοποίηση της επίθεσης, τους πόρους και τα δεοντολογικά και νομικά όρια. Σε περίπτωση που οι δοκιμαστές δεν είναι σε θέση να προχωρήσουν στο προγραμματισμένο επόμενο στάδιο της επίθεσης, θα πρέπει να παρέχεται περιστασιακή βοήθεια από την ομάδα ελέγχου, με τη σύμφωνη γνώμη της αρχής TLPT, με τη μορφή «πλεονεκτημάτων». Τα πλεονεκτήματα μπορούν να κατηγοριοποιηθούν γενικά σε πληροφοριακά πλεονεκτήματα και πλεονεκτήματα πρόσβασης και ενδέχεται να συνίστανται στην παροχή πρόσβασης σε συστήματα ΤΠΕ ή εσωτερικά δίκτυα για τη συνέχιση της δοκιμής και την εστίαση στα επόμενα στάδια της επίθεσης.

(23)

Κατά τη διάρκεια του ενεργού σταδίου δοκιμών κόκκινης ομάδας, εφόσον απαιτείται προκειμένου να καταστεί δυνατή η συνέχιση της TLPT ως έσχατη λύση σε εξαιρετικές περιστάσεις και αφού εξαντληθούν όλες οι εναλλακτικές επιλογές, θα πρέπει να χρησιμοποιείται συνεργατική δραστηριότητα δοκιμών στην οποία θα συμμετέχουν τόσο οι δοκιμαστές όσο και η μπλε ομάδα. Στο πλαίσιο της εν λόγω περιορισμένης άσκησης δράσεων μωβ ομάδας, μπορούν να χρησιμοποιηθούν οι ακόλουθες μέθοδοι: «σύλληψη και ελευθέρωση», όπου οι δοκιμαστές επιχειρούν να συνεχίσουν τα σενάρια, να εντοπιστούν και στη συνέχεια να επαναλάβουν τις δοκιμές, «πολεμικά παιχνίδια», τα οποία επιτρέπουν πιο σύνθετα σενάρια για τη δοκιμή της λήψης στρατηγικών αποφάσεων, ή «συνεργατική εξακρίβωση της δυνατότητας υλοποίησης» που επιτρέπει στους δοκιμαστές και στα μέλη της μπλε ομάδας να επικυρώνουν από κοινού συγκεκριμένα μέτρα, εργαλεία ή τεχνικές ασφάλειας σε ελεγχόμενο και συνεργατικό περιβάλλον.

(24)

Η TLPT θα πρέπει να χρησιμοποιείται ως διδακτική εμπειρία για την ενίσχυση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοοικονομικών οντοτήτων. Στο πλαίσιο αυτό, η μπλε ομάδα και οι δοκιμαστές θα πρέπει να αναπαράγουν την επίθεση και να επανεξετάζουν τις ενέργειες που ανέλαβαν για την άντληση διδαγμάτων από τις δοκιμές σε συνεργασία με τους δοκιμαστές. Για τον σκοπό αυτό και για να καταστεί δυνατή η κατάλληλη προετοιμασία, η έκθεση δοκιμής της κόκκινης ομάδας και η έκθεση δοκιμής της μπλε ομάδας θα πρέπει να διατίθενται σε όλα τα μέρη που συμμετέχουν στις δραστηριότητες αναπαραγωγής, πριν από τη διεξαγωγή τυχόν δραστηριοτήτων αναπαραγωγής. Επιπλέον, κατά το στάδιο ολοκλήρωσης θα πρέπει να πραγματοποιείται μια άσκηση δράσεων μωβ ομάδας για τη μεγιστοποίηση της διδακτικής εμπειρίας. Οι μέθοδοι που μπορούν να χρησιμοποιηθούν για την άσκηση δράσεων μωβ ομάδας κατά το στάδιο ολοκλήρωσης θα πρέπει να περιλαμβάνουν συζητήσεις για εναλλακτικά σενάρια επιθέσεων, τη διερεύνηση εναλλακτικών σεναρίων σε εν χρήση συστήματα ή την εκ νέου διερεύνηση των προγραμματισμένων σεναρίων σε εν χρήση συστήματα τα οποία οι δοκιμαστές δεν ήταν σε θέση να ολοκληρώσουν ή να εκτελέσουν κατά το στάδιο των δοκιμών.

(25)

Για την περαιτέρω διευκόλυνση της διδακτικής εμπειρίας όλων των μερών που συμμετέχουν στις TLPT, προς όφελος μελλοντικών δοκιμών, και για την προώθηση της ψηφιακής επιχειρησιακής ανθεκτικότητας των χρηματοοικονομικών οντοτήτων, τα ενδιαφερόμενα μέρη θα πρέπει να παρέχουν αμοιβαία παρατηρήσεις σχετικά με τη συνολική διαδικασία, και ειδικότερα να προσδιορίζουν ποιες δραστηριότητες εξελίχθηκαν ικανοποιητικά ή θα μπορούσαν να βελτιωθούν, καθώς και ποιες πτυχές της διαδικασίας TLPT λειτούργησαν ικανοποιητικά ή θα μπορούσαν να βελτιωθούν.

(26)

Οι αρμόδιες αρχές που αναφέρονται στο άρθρο 46 του κανονισμού (ΕΕ) 2022/2554 και οι αρχές TLPT, όταν είναι διαφορετικές, θα πρέπει να συνεργάζονται για την ενσωμάτωση προηγμένων δοκιμών μέσω TLPT στις υφιστάμενες εποπτικές διαδικασίες. Στο πλαίσιο αυτό και προκειμένου να επιτευχθεί η κοινή ορθή κατανόηση των πορισμάτων της TLPT και του τρόπου ερμηνείας τους, είναι σκόπιμο να καθιερωθεί στενή συνεργασία μεταξύ των διαχειριστών της δοκιμής που συμμετείχαν στην TLPT και των αρμόδιων εποπτικών αρχών, ιδίως όσον αφορά τη συνοπτική έκθεση της δοκιμής και τα σχέδια αποκατάστασης.

(27)

Το άρθρο 26 παράγραφος 8 πρώτο εδάφιο του κανονισμού (ΕΕ) 2022/2554 απαιτεί από τις χρηματοοικονομικές οντότητες να συνάπτουν σύμβαση με εξωτερικούς δοκιμαστές ανά τρεις δοκιμές. Όταν οι χρηματοοικονομικές οντότητες περιλαμβάνουν στην ομάδα των δοκιμαστών εσωτερικούς και εξωτερικούς δοκιμαστές, θα πρέπει να θεωρείται ότι η TLPT διενεργήθηκε με εσωτερικούς δοκιμαστές για τους σκοπούς του εν λόγω άρθρου.

(28)

Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλαν στην Επιτροπή η Ευρωπαϊκή Αρχή Τραπεζών, η Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων και η Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών (Ευρωπαϊκές Εποπτικές Αρχές), σε συμφωνία με την Ευρωπαϊκή Κεντρική Τράπεζα.

(29)

Οι Ευρωπαϊκές Εποπτικές Αρχές διενήργησαν ανοικτές δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσαν τα ενδεχόμενα συναφή κόστη και τις ωφέλειες και ζήτησαν τις συμβουλές της ομάδας τραπεζικών συμφεροντούχων η οποία έχει συσταθεί σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), της ομάδας συμφεροντούχων ασφαλίσεων και αντασφαλίσεων και της ομάδας συμφεροντούχων ταμείων επαγγελματικών συνταξιοδοτικών παροχών, οι οποίες έχουν συσταθεί σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1094/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), και της ομάδας συμφεροντούχων κινητών αξιών και αγορών η οποία έχει συσταθεί σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1095/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5).

(30)

Σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6), ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, ο οποίος γνωμοδότησε στις 20 Αυγούστου 2024,

1)

«ομάδα ελέγχου»: η ομάδα που απαρτίζεται από το προσωπικό της ελεγχόμενης χρηματοοικονομικής οντότητας και, κατά περίπτωση, λαμβανομένου υπόψη του πεδίου της TLPT, το προσωπικό των τρίτων παρόχων υπηρεσιών της και κάθε άλλου μέρους, το οποίο διαχειρίζεται τη δοκιμή·

2)

«επικεφαλής της ομάδας ελέγχου»: το μέλος του προσωπικού της χρηματοοικονομικής οντότητας που είναι υπεύθυνο για τη διεξαγωγή όλων των δραστηριοτήτων σε σχέση με την TLPT για τη χρηματοοικονομική οντότητα στο πλαίσιο μια δεδομένης δοκιμής·

3)

«μπλε ομάδα»: το προσωπικό της χρηματοοικονομικής οντότητας και, κατά περίπτωση, το προσωπικό τρίτων παρόχων υπηρεσιών της χρηματοοικονομικής οντότητας και κάθε άλλου μέρους που θεωρείται συναφές σε σχέση με το πεδίο της TLPT, το οποίο υπερασπίζεται τη χρήση συστημάτων δικτύου και πληροφοριών μιας χρηματοοικονομικής οντότητας διατηρώντας την οικεία κατάσταση κυβερνοασφάλειας έναντι προσομοιωμένων ή πραγματικών επιθέσεων και το οποίο δεν γνωρίζει για την TLPΤ·

4)

«καθήκοντα μπλε ομάδας»: καθήκοντα τα οποία εκτελούνται συνήθως από τη μπλε ομάδα, όπως το κέντρο επιχειρήσεων ασφάλειας (SOC), οι υπηρεσίες υποδομής ΤΠΕ, οι υπηρεσίες υποστήριξης, οι υπηρεσίες διαχείρισης συμβάντων σε επιχειρησιακό επίπεδο·

5)

«κόκκινη ομάδα»: οι δοκιμαστές, εσωτερικοί ή εξωτερικοί, με τους οποίους έχουν συναφθεί συμβάσεις για τη διενέργεια TLPT ή τους έχει ανατεθεί μια TLPΤ·

6)

«δράσεις μωβ ομάδας»: συνεργατική δραστηριότητα δοκιμών στην οποία συμμετέχουν τόσο οι δοκιμαστές όσο και η μπλε ομάδα·

7)

«αρχή TLPT»: οποιαδήποτε από τις ακόλουθες:

8)

«κυβερνοομάδα TLPT» ή «TCT»: το προσωπικό των αρχών TLPT το οποίο είναι υπεύθυνο για θέματα σχετικά με τις TLPΤ·

9)

«διαχειριστές δοκιμής»: το προσωπικό που έχει οριστεί να διευθύνει τις δραστηριότητες της αρχής TLPT για συγκεκριμένη TLPT με σκοπό την παρακολούθηση της συμμόρφωσης με τον παρόντα κανονισμό·

10)

«πάροχος πληροφοριών για απειλές»: οι εμπειρογνώμονες που προσλαμβάνονται από τη χρηματοοικονομική οντότητα για κάθε TLPT και είναι εξωτερικοί σε σχέση με τη χρηματοοικονομική οντότητα και τους ενδοομιλικούς παρόχους υπηρεσιών ΤΠΕ, εάν υπάρχουν, οι οποίοι συλλέγουν και αναλύουν στοχευμένες πληροφορίες για απειλές που αφορούν τις χρηματοοικονομικές οντότητες που εμπίπτουν στο πεδίο συγκεκριμένης άσκησης TLPT και αναπτύσσουν αντίστοιχα συναφή και ρεαλιστικά σενάρια απειλών·

11)

«πάροχοι TLPT»: δοκιμαστές και πάροχοι πληροφοριών για απειλές·

12)

«πλεονέκτημα»: η βοήθεια ή οι πληροφορίες που παρέχει η ομάδα ελέγχου στους δοκιμαστές ώστε να μπορούν να συνεχίσουν την εκτέλεση μιας διαδρομής επίθεσης όταν δεν είναι σε θέση να προχωρήσουν μόνοι τους και όταν δεν υπάρχει άλλη εύλογη εναλλακτική λύση, μεταξύ άλλων λόγω ανεπάρκειας χρόνου ή πόρων σε μια δεδομένη TLPΤ·

13)

«διαδρομή επίθεσης»: η διαδρομή που ακολουθούν οι δοκιμαστές κατά τη διάρκεια του ενεργού σταδίου δοκιμών κόκκινης ομάδας της TLPT για την επίτευξη των ενδεικτών που έχουν καθοριστεί για την εν λόγω TLPΤ·

14)

«ενδείκτες»: βασικοί στόχοι των συστημάτων ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες μιας χρηματοοικονομικής οντότητας τους οποίους οι δοκιμαστές προσπαθούν να επιτύχουν μέσω της δοκιμής·

15)

«ευαίσθητες πληροφορίες»: πληροφορίες που μπορούν εύκολα να αξιοποιηθούν για την πραγματοποίηση επιθέσεων κατά των συστημάτων ΤΠΕ της χρηματοοικονομικής οντότητας, διανοητική ιδιοκτησία, εμπιστευτικά επιχειρηματικά δεδομένα ή δεδομένα προσωπικού χαρακτήρα, που μπορούν να βλάψουν άμεσα ή έμμεσα τη χρηματοοικονομική οντότητα και το οικοσύστημά της σε περίπτωση που φτάσουν στα χέρια κακόβουλων παραγόντων·

16)

«ομάδα»: όλες οι χρηματοοικονομικές οντότητες που συμμετέχουν σε ομαδικές TLPT σύμφωνα με το άρθρο 26 παράγραφος 4 του κανονισμού (ΕΕ) 2022/2554·

17)

«κράτος μέλος υποδοχής»: το κράτος μέλος υποδοχής σύμφωνα με το ενωσιακό τομεακό δίκαιο που εφαρμόζεται σε κάθε χρηματοοικονομική οντότητα·

18)

«κοινές TLPT»: TLPT, πλην των ομαδικών TLPT, όπως αναφέρονται στο άρθρο 26 παράγραφος 4 του κανονισμού (ΕΕ) 2022/2554, στις οποίες συμμετέχουν περισσότερες από μία χρηματοοικονομικές οντότητες που χρησιμοποιούν τον ίδιο ενδοομιλικό πάροχο υπηρεσιών ΤΠΕ ή ανήκουν στον ίδιο όμιλο και χρησιμοποιούν από κοινού τα συστήματα ΤΠΕ.