Euroopan unionin
virallinen lehti
FI
L-sarja
|
|
Euroopan unionin |
FI L-sarja |
|
2025/1190 |
18.6.2025 |
KOMISSION DELEGOITU ASETUS (EU) 2025/1190,
annettu 13 päivänä helmikuuta 2025,
Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä teknisillä sääntelystandardeilla, joissa täsmennetään kriteerit sellaisten finanssiyhteisöjen yksilöimiseksi, joilta vaaditaan uhkaperusteisen tunkeutumistestauksen tekemistä, sisäisten testaajien käyttöä koskevat vaatimukset ja standardit, testauksen soveltamisalaa, testausmenetelmää ja lähestymistapaa koskevat vaatimukset testaus-, tulos-, päättämis- ja korjausvaiheissa sekä uhkaperusteisen tunkeutumistestauksen toteuttamiseen ja vastavuoroiseen tunnustamiseen tarvittavan valvonta- ja muun asiaankuuluvan yhteistyön tyyppi
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (1) ja erityisesti sen 26 artiklan 11 kohdan neljännen alakohdan,
sekä katsoo seuraavaa:
|
(1) |
Tämä asetus on laadittu TIBER-EU-kehyksen mukaisesti, ja se vastaa TIBER-EU-kehyksessä kuvattua uhkaperusteisen tunkeutumistestauksen menetelmää, prosessia ja rakennetta. Finanssiyhteisöt, joiden on tehtävä uhkaperusteinen tunkeutumistestaus, voivat hyödyntää ja soveltaa TIBER-EU-kehystä tai jotain sen kansallista täytäntöönpanovälinettä, jos kyseinen kehys ja kyseiset kansalliset täytäntöönpanovälineet ovat asetuksen (EU) 2022/2554 26 ja 27 artiklassa ja tässä asetuksessa säädettyjen vaatimusten mukaisia. Asetuksen (EU) 2022/2554 26 artiklan 9 kohdan mukaan voidaan nimetä yksi rahoitusalan viranomainen, joka vastaa rahoitusalalla uhkaperusteiseen tunkeutumistestaukseen kansallisella tasolla liittyvistä asioista. Tämä ei kuitenkaan saa vaikuttaa tiettyjen finanssiyhteisöjen valvontaa koskevaan toimivaltaan, joka kyseisen asetuksen 46 artiklan nojalla on annettu unionin tasolla toimivaltaisille viranomaisille, joiden katsotaan olevan toimivaltaisia uhkaperusteiseen tunkeutumistestaukseen liittyvissä asioissa, kuten Euroopan keskuspankille merkittävien luottolaitosten osalta. Jos vain osa uhkaperusteiseen tunkeutumistestaukseen liittyvistä tehtävistä on siirretty toiselle finanssialan kansalliselle viranomaiselle asetuksen (EU) 2022/2554 26 artiklan 10 kohdan nojalla, finanssiyhteisön mainitun asetuksen 46 artiklassa tarkoitetun toimivaltaisen viranomaisen olisi pysyttävä toimivaltaisena viranomaisena niiden uhkaperusteiseen tunkeutumistestaukseen liittyvien tehtävien osalta, joita ei ole delegoitu. |
|
(2) |
Kun otetaan huomioon uhkaperusteisen tunkeutumistestauksen monitahoisuus ja siihen liittyvät riskit, sen käyttö olisi rajoitettava niihin finanssiyhteisöihin, joiden osalta se on perusteltua. Näin ollen uhkaperusteiseen tunkeutumistestaukseen liittyvistä asioista vastaavien viranomaisten (joko unionin tai kansallisella tasolla) ei pitäisi edellyttää uhkaperusteisen tunkeutumistestauksen tekemistä finanssiyhteisöiltä, jotka toimivat rahoituspalvelualan keskeisillä alasektoreilla, joiden osalta uhkaperusteinen tunkeutumistestaus ei ole perusteltua. Tämä tarkoittaa, että vaikka luottolaitokset, maksulaitokset ja sähköisen rahan liikkeeseenlaskijalaitokset, arvopaperikeskukset, keskusvastapuolet, kauppapaikat sekä vakuutus- ja jälleenvakuutusyritykset täyttävät määrälliset kriteerit, ne voitaisiin vapauttaa vaatimuksesta tehdä uhkaperusteinen tunkeutumistestaus niiden TVT-riskiprofiilista ja TVT-valmiuksien tasosta, rahoitusalaan kohdistuvista vaikutuksista ja rahoitusvakauteen liittyvistä huolenaiheista tehdyn kokonaisarvioinnin perusteella. |
|
(3) |
Uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten olisi TVT-riskiprofiilin ja TVT-valmiuksien tason, rahoitusalaan kohdistuvien vaikutusten ja rahoitusvakauteen liittyvien huolenaiheiden kokonaisarvioinnin perusteella arvioitava, olisiko uhkaperusteista tunkeutumistestausta vaadittava muuntyyppisiltä finanssiyhteisöiltä kuin luottolaitoksilta, maksulaitoksilta, sähköisen rahan liikkeeseenlaskijalaitoksilta, keskusvastapuolilta, arvopaperikeskuksilta, kauppapaikoilta sekä vakuutus- ja jälleenvakuutusyrityksiltä. Kun arvioidaan sitä, täyttävätkö tällaiset finanssiyhteisöt laadulliset kriteerit, olisi käytettävä monialaisia ja objektiivisia indikaattoreita sellaisten finanssiyhteisöjen tunnistamiseen, joiden osalta uhkaperusteisen tunkeutumistestauksen tekeminen on tarkoituksenmukaista. Arvioimalla sitä, täyttääkö tietty finanssiyhteisö laadulliset kriteerit, uhkaperusteisen tunkeutumistestauksen tekeminen voidaan rajoittaa yhteisöihin, joiden osalta testaus on perusteltua. Laadullisten kriteerien täyttymistä yksittäisen finanssiyhteisön tapauksessa olisi arvioitava myös markkinoiden uuden kehityksen ja uusien markkinatoimijoiden, mukaan lukien Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/1114 (2) 59 artiklan mukaisesti toimiluvan saaneet kryptovarapalvelun tarjoajat, tulevaisuudessa kasvavan merkityksen perusteella. |
|
(4) |
Finanssiyhteisöillä voi olla sama konsernin sisäinen TVT-palveluntarjoaja tai ne voivat saman konsernin sisällä käyttää yhteisiä TVT-järjestelmiä. Tällaisessa tapauksessa on tärkeää, että kun uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset arvioivat, olisiko finanssiyhteisöltä edellytettävä uhkaperusteista tunkeutumistestausta ja olisiko testaus tehtävä yhteisön vai konsernin tasolla (yhteisen uhkaperusteisen tunkeutumistestauksen avulla), ne ottavat huomioon finanssiyhteisön rakenteen ja systeemisen luonteen tai merkityksen finanssialan kannalta kansallisella tai unionin tasolla. |
|
(5) |
Jotta voidaan mukailla TIBER-EU-kehystä, testausmenetelmässä on määrättävä seuraavien pääasiallisten osallistujien mukana olosta: finanssiyhteisö, jolla on testaustoimintaa johtava ryhmä (vastaava kuin TIBER-EU-kehyksen ’testaustoimintaa johtava ryhmä’) ja sininen tiimi (vastaava kuin TIBER-EU-kehyksen ’sininen tiimi’), uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen uhkaperusteisen tunkeutumistestauksen kybertiimin (vastaava kuin TIBER-EU-kehyksen ’kybertiimit’) muodossa, uhkatiedustelutietojen tarjoaja ja testaajat (testaajat vastaavat TIBER-EU-kehyksen ’punaista tiimiä’). |
|
(6) |
Jotta varmistetaan, että uhkaperusteisessa tunkeutumistestauksessa hyödynnetään TIBER-EU-kehyksen täytäntöönpanosta saatua kokemusta ja vähennetään uhkaperusteisen tunkeutumistestauksen tekemiseen liittyviä riskejä, olisi varmistettava, että uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten tasolla perustettavien uhkaperusteisen tunkeutumistestauksen kybertiimien vastuut ovat mahdollisimman samankaltaiset kuin TIBER-EU-kehyksen kybertiimien vastuut. Näin ollen uhkaperusteisen tunkeutumistestauksen kybertiimeillä olisi oltava testauspäälliköt, jotka vastaavat yksittäisten testien valvonnasta, suunnittelusta ja koordinoinnista. Uhkaperusteisen tunkeutumistestauksen kybertiimien olisi toimittava keskitettynä yhteyspisteenä, jonka tehtävänä on testeihin liittyvä viestintä sisäisten ja ulkoisten sidosryhmien kanssa, aiemmin suoritetuista testeistä saadun palautteen ja kokemusten kerääminen ja käsittely sekä uhkaperusteisen tunkeutumistestauksen kohteena olevien finanssiyhteisöjen tukeminen. |
|
(7) |
TIBER-EU-kehyksen menetelmien mukaisesti testauspäälliköillä olisi oltava tarvittavat taidot ja valmiudet neuvonnan antamiseen ja testaajien ehdotusten kyseenalaistamiseen. TIBER-EU-kehyksen puitteissa saatu kokemus on osoittanut, että on hyödyllistä nimetä kuhunkin testiin vähintään kaksi testauspäällikköä. Koska uhkaperusteiseen tunkeutumistestaukseen kannustetaan suhtautumaan oppimiskokemuksena, testien luottamuksellisuuden turvaamiseksi ja olettaen, että uhkaperusteisesta tunkeutumistestauksesta vastaavilla viranomaisilla on asianmukaiset resurssit ja asiantuntemus, uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia kannustetaan voimakkaasti siihen, että testauspäälliköillä ei ole testien aikana valvontatoimia liittyen samaan finanssiyhteisöön, johon uhkaperusteinen tunkeutumistesti kohdistuu. |
|
(8) |
Jotta varmistetaan yhdenmukaisuus TIBER-EU-kehyksen kanssa, uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on tärkeää seurata testausta tarkasti kaikissa vaiheissa. Kun otetaan huomioon testauksen luonne ja siihen liittyvät riskit, on olennaisen tärkeää, että uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen osallistuu testauksen kuhunkin vaiheeseen. Finanssiyhteisöjen olisi kuultava uhkaperusteisesta tunkeutumistestauksesta vastaavaa viranomaista erityisesti, kun ne laativat arviointeja tai tekevät päätöksiä, jotka voivat yhtäältä vaikuttaa testauksen tuloksellisuuteen ja toisaalta testaukseen liittyviin riskeihin, ja arvioinnit ja päätökset olisi annettava kyseisen viranomaisen hyväksyttäviksi. Keskeiset vaiheet, joihin uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on osallistuttava, ovat esimerkiksi tiettyjen testausta koskevien keskeisten asiakirjojen vahvistaminen sekä uhkatiedustelutietojen tarjoajien, testaajien ja riskinhallintatoimenpiteiden valinta. Osallistumisesta testaukseen, erityisesti osallistumisesta asiakirjojen vahvistamiseen, ei pitäisi aiheutua kohtuutonta rasitetta uhkaperusteisesta tunkeutumistestauksesta vastaaville viranomaisille. Sen vuoksi viranomaisten osallistuminen olisi rajoitettava asiakirjoihin ja päätöksiin, jotka vaikuttavat suoraan uhkaperusteisen tunkeutumistestauksen toteutukseen. Osallistumalla aktiivisesti testauksen kuhunkin vaiheeseen uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset voivat arvioida, noudattavatko finanssiyhteisöt tosiasiallisesti asiaankuuluvia vaatimuksia. Tämän perusteella kyseiset viranomaiset voivat antaa todistuksia asetuksen (EU) 2022/2554 26 artiklan 7 kohdan mukaisesti. |
|
(9) |
Uhkaperusteisen tunkeutumistestauksen salaaminen on välttämätöntä, jotta varmistetaan, että testausolosuhteet ovat realistiset. Tästä syystä testauksen olisi tapahduttava salassa ja uhkaperusteisen tunkeutumistestauksen luottamuksellisuus olisi varmistettava varotoimilla, kuten valitsemalla koodinimet, joiden tarkoituksena on estää kolmansia osapuolia tunnistamasta uhkaperusteista tunkeutumistestausta. Jos taloushallintoryhmän turvallisuudesta vastaavat henkilöstön jäsenet tietävät tulevasta tai meneillään olevasta uhkaperusteisesta tunkeutumistestauksesta, he ovat todennäköisesti tarkkaavaisempia ja valppaampia kuin tavanomaisissa työoloissa, mikä vaikuttaa testauksen tulokseen. Testaustoimintaa johtavan ryhmän ulkopuolisille finanssiyhteisön työntekijöille ei pitäisi tiedottaa suunnitelluista tai meneillään olevista uhkaperusteisista tunkeutumistesteistä muutoin kuin painavista syistä ja testauspäälliköiden ennakkosuostumuksella, jotta voidaan varmistaa, että testaus pysyy salassa esimerkiksi tilanteissa, joissa sinisen tiimin jäsen havaitsee testauksen. |
|
(10) |
TIBER-EU-kehyksen puitteissa ’testaustoimintaa johtavasta ryhmästä’ saadut kokemukset osoittavat, että asianmukaisen vetäjän valinta testaustoimintaa johtavalle ryhmälle on välttämätöntä, jotta uhkaperusteinen tunkeutumistestaus voidaan suorittaa turvallisesti. Testaustoimintaa johtavan ryhmän vetäjällä olisi oltava finanssiyhteisössä tarvittavat valtuudet ohjata testauksen kaikkia näkökohtia vaarantamatta kuitenkaan testauksen luottamuksellisuutta. Samasta syystä testaustoimintaa johtavan ryhmän jäsenillä olisi oltava perusteellinen tietämys finanssiyhteisöstä sekä ryhmän vetäjän tehtävästä ja strategisesta asemasta, vaadittu määrä työvuosia ja yhteys johtokuntaan. Jotta vähennetään riskiä uhkaperusteisen tunkeutumistestauksen paljastumisesta, testaustoimintaa johtavan ryhmän olisi oltava mahdollisimman pieni. |
|
(11) |
Uhkaperusteiseen tunkeutumistestaukseen liittyy luontaisia riskitekijöitä sen vuoksi, että kriittisiä toimintoja testataan toiminnassa olevassa tuotantoympäristössä. Tämä voi aiheuttaa palvelunestohäiriöitä, järjestelmän odottamatonta kaatuilua, vaurioita toiminnassa oleville kriittisille tuotantojärjestelmille tai tietojen häviämisen, muuttumisen tai paljastumisen. Näiden riskien vuoksi tarvitaan vankkoja riskinhallintatoimenpiteitä. Jotta varmistetaan, että uhkaperusteinen tunkeutumistestaus toteutetaan kokonaisuudessaan hallitusti, on erittäin tärkeää, että finanssiyhteisöt ovat kaikissa vaiheissa tietoisia uhkaperusteiseen tunkeutumistestaukseen liittyvistä erityisistä riskeistä ja että näitä riskejä lievennetään. Tältä osin voi olla asianmukaista, että finanssiyhteisön ylimmälle hallintoelimelle annetaan tiedot uhkaperusteiseen tunkeutumistestaukseen liittyvistä riskinhallintatoimenpiteistä ja tietyissä tilanteissa kyseiset riskinhallintatoimenpiteet annetaan finanssiyhteisön ylimmän hallintoelimen hyväksyttäviksi, sanotun kuitenkaan rajoittamatta finanssiyhteisön sisäisiä prosesseja tai testaustoimintaa johtavan ryhmän vetäjän velvollisuuksia ja toimivaltaa. Jotta asiantuntijapalveluja voidaan tarjota kaikkein tuloksellisimmalla ja pätevimmällä tavalla ja jotta voidaan lieventää mainittuja riskejä, on myös olennaisen tärkeää, että testaajilla ja uhkatiedustelutietojen tarjoajilla (yhdessä ’uhkaperusteisen tunkeutumistestauksen palveluntarjoajat’) on mahdollisimman hyvät taidot, asiantuntemus ja asianmukainen kokemus rahoituspalvelualan uhkatiedustelusta ja uhkaperusteisesta tunkeutumistestauksesta. |
|
(12) |
Perinteisistä tunkeutumistesteistä saadaan yksityiskohtainen ja hyödyllinen arvio usein yksittäisen järjestelmän tai ympäristön teknisistä ja kokoonpanoon liittyvistä haavoittuvuuksista. Toisin kuin tiedusteluun perustuvassa punaisen tiimin testissä, niissä ei arvioida skenaariota, jossa kokonaiseen yhteisöön kohdistuu kohdennettu hyökkäys, eikä oteta huomioon yhteisön työntekijöitä, prosesseja ja teknologioita niiden koko laajuudelta. Sen vuoksi kun finanssiyhteisöt valitsevat uhkaperusteisen tunkeutumistestauksen palveluntarjoajia, niiden olisi varmistettava, että kyseisillä palveluntarjoajilla on tarvittava osaaminen tiedusteluun perustuvien punaisen tiimin testien, eikä ainoastaan tunkeutumistestien, suorittamiseen. Sen vuoksi on tarpeen vahvistaa kattavat kriteerit sekä sisäisille että ulkoisille testaajille ja uhkatiedustelutietojen tarjoajille, jotka ovat aina ulkoisia palveluntarjoajia. Jos uhkaperusteisen tunkeutumistestauksen palveluntarjoajat kuuluvat samaan yritykseen, uhkaperusteiseen tunkeutumistestaukseen osoitettu henkilöstö olisi erotettava asianmukaisesti muusta henkilöstöstä. |
|
(13) |
Poikkeuksellisissa olosuhteissa finanssiyhteisöt eivät välttämättä voi tehdä sopimuksia sellaisten uhkaperusteisen tunkeutumistestauksen palveluntarjoajien kanssa, jotka täyttävät kattavat kriteerit. Sen vuoksi finanssiyhteisöjen olisi voitava ottaa mukaan henkilöitä, jotka eivät täytä kaikkia kattavia kriteerejä, jos finanssiyhteisöt osoittavat, että kriteerit täyttäviä uhkatiedustelutietojen tarjoajia ei ole käytettävissä ja edellyttäen, että finanssiyhteisöt lieventävät tästä mahdollisesti aiheutuvia lisäriskejä asianmukaisesti ja että uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen arvioi kaikki kyseiset kriteerit. |
|
(14) |
Jos uhkaperusteiseen tunkeutumistestaukseen osallistuu useita finanssiyhteisöjä ja useita uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia, kaikkien osapuolten roolit olisi täsmennettävä, jotta testi voidaan suorittaa mahdollisimman tuloksellisesti ja turvallisesti. Erityisiä vaatimuksia tarvitaan täsmentämään nimetyn finanssiyhteisön rooli yhdistetyssä testauksessa. Kyseisen finanssiyhteisön olisi oltava vastuussa testausprosessin seurannasta ja tarvittavan dokumentaation toimittamisesta johtavalle uhkaperusteisesta tunkeutumistestauksesta vastaavalle viranomaiselle. Nimetyn finanssiyhteisön olisi myös vastattava riskinhallinnan arvioinnin yleisistä näkökohdista. Huolimatta siitä, mitä nimetyn finanssiyhteisön roolista säädetään, muiden yhdistettyyn uhkaperusteiseen tunkeutumistestaukseen osallistuvien finanssiyhteisöjen yhdistetyn testauksen aikaisiin velvoitteisiin ei pitäisi tehdä muutoksia. Samaa periaatetta olisi sovellettava yhteisiin uhkaperusteisiin tunkeutumistesteihin. |
|
(15) |
TIBER-EU-kehyksen täytäntöönpanosta saadut kokemukset osoittavat, että tehokkain tapa varmistaa testauksen asianmukainen toteuttaminen on järjestää kaikkien asianomaisten sidosryhmien (finanssiyhteisöt, viranomaiset, testaajat ja uhkatiedustelutietojen tarjoajat) välisiä lähi- tai virtuaalikokouksia. Sen vuoksi lähi- tai virtuaalikokouksia olisi järjestettävä prosessin eri vaiheissa ja erityisesti uhkaperusteisen tunkeutumistestauksen valmisteluvaiheessa ja sen soveltamisalasta päätettäessä, testausvaiheen aikana uhkatiedusteluraportin ja punaisen tiimin testaussuunnitelman viimeistelemiseksi ja viikoittaisten päivitysten läpikäymiseksi sekä päättämisvaiheessa testaajien ja sinisen tiimin toimien läpikäyntiin, purppuran tiimin harjoitukseen ja testauspalautteen antamiseen. |
|
(16) |
Uhkaperusteisen tunkeutumistestauksen sujuvan toteutuksen varmistamiseksi uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen olisi selkeästi esitettävä finanssiyhteisölle testausta koskevat odotuksensa. Tältä osin testauspäälliköiden olisi varmistettava, että finanssiyhteisön testaustoimintaa johtavan ryhmän ja uhkaperusteisen tunkeutumistestauksen palveluntarjoajien kanssa varmistetaan asianmukainen tiedonkulku. |
|
(17) |
Finanssiyhteisön olisi valittava kriittiset tai tärkeät toiminnot, joihin uhkaperusteinen tunkeutumistestaus kohdistetaan. Finanssiyhteisön olisi käytettävä kyseisten toimintojen valitsemiseen useita kriteerejä sen perusteella, millainen merkitys kullakin toiminnolla on finanssiyhteisölle itselleen ja finanssialalle unionin ja kansallisella tasolla ei ainoastaan taloudelliselta kannalta vaan myös toiminnon symbolisen tai poliittisen aseman vuoksi. Jotta siirtyminen uhkatiedustelutietojen keräämisvaiheeseen sujuisi sujuvasti, testaustoimintaa johtavan ryhmän olisi annettava yksityiskohtaiset tiedot testauksen sovitusta soveltamisalasta testaajille ja uhkatiedustelutietojen tarjoajalle, jotka eivät osallistu soveltamisalan määrittelyyn. |
|
(18) |
Jotta testaajat saisivat tarvitsemansa tiedot voidakseen jäljitellä todellista ja realistista hyökkäystä finanssiyhteisön toiminnassa oleviin kriittisten tai tärkeiden toimintojen perustana käytettäviin järjestelmiin, uhkatiedustelutietojen tarjoajan olisi kerättävä tiedustelutietoja tai tietoja vähintään kahdesta keskeisestä seikasta: kohteista yksilöimällä mahdolliset hyökkäyspinnat finanssiyhteisössä ja uhkista yksilöimällä asiaan liittyvät uhkatoimijat ja todennäköiset uhkaskenaariot. Jotta varmistetaan, että uhkatiedustelutietojen tarjoaja ottaa huomioon finanssiyhteisön kannalta merkitykselliset uhat, testaajien, testaustoimintaa johtavan ryhmän ja testauspäälliköiden olisi annettava palautetta uhkatiedusteluraportin luonnoksesta. Uhkatiedustelutietojen tarjoaja voi käyttää kansallisen uhkaympäristön laadinnassa perustana uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen laatimaa finanssialan yleistä uhkaympäristöä, jos sellainen on saatavilla. TIBER-EU-kehyksen soveltamisesta saatujen kokemusten perusteella uhkatiedustelutietojen kerääminen kestää yleensä noin neljä viikkoa. |
|
(19) |
Testaajien on saatava käsitys testin soveltamisalan määrittelevästä asiakirjasta ja kohdennetusta uhkatiedusteluraportista ja voitava tarkastella niitä punaisen tiimin testaussuunnitelman laatimista varten. Sen vuoksi on olennaisen tärkeää, että testaajat saavat uhkatiedustelutietojen tarjoajalta yksityiskohtaiset selvitykset kohdennetusta uhkatiedusteluraportista ja analyysin mahdollisista uhkaskenaarioista ennen kuin punaisen tiimin testausvaihe uhkaperusteisessa tunkeutumistestauksessa alkaa. |
|
(20) |
Jotta testaajat voivat suorittaa testit realistisesti ja kattavasti niin, että kaikki hyökkäysvaiheet toteutetaan ja liput saavutetaan, punaisen tiimin aktiiviseen testausvaiheeseen olisi varattava riittävästi aikaa. TIBER-EU-kehyksestä saatujen kokemusten perusteella aikaa olisi varattava vähintään 12 viikkoa. Määräaika olisi asetettava ottaen huomioon osapuolten lukumäärä, uhkaperusteisen tunkeutumistestauksen soveltamisala, asianomaisen finanssiyhteisön tai asianomaisten finanssiyhteisöjen resurssit, mahdolliset ulkoiset vaatimukset ja saatavilla olevat finanssiyhteisön toimittamat taustatiedot. |
|
(21) |
Punaisen tiimin aktiivisen testausvaiheen aikana testaajien olisi käytettävä erilaisia taktiikoita, tekniikoita ja menettelyjä finanssiyhteisön toiminnassa olevien tuotantojärjestelmien testaamiseksi asianmukaisella tavalla. Testaajien olisi käytettävä tapauksen mukaan seuraavia taktiikoita, tekniikoita ja menettelyjä: tiedustelu (mahdollisimman kattavien tietojen kerääminen kohteesta), varustautuminen (infrastruktuuria, tiloja ja työntekijöitä koskevien tietojen analysointi ja kohteen vaatimiin erityistoimiin valmistautuminen), toteutus (täysimittaisen toiminnan käynnistäminen kohdetta vastaan), hyödyntäminen (toimet, joilla testaajat pyrkivät vaarantamaan finanssiyhteisön palvelimet ja verkot ja manipuloimaan finanssiyhteisön henkilöstöä), hallinta ja eteneminen (pyrkimys siirtyä läpäistyistä järjestelmistä muihin haavoittuviin tai arvokkaisiin järjestelmiin) ja kohdetta koskevat toimet (kattavamman pääsyn saaminen läpäistyihin järjestelmiin ja pääsyn saaminen punaisen tiimin testaussuunnitelmassa ennalta sovittuihin kohdetietoihin). |
|
(22) |
Uhkaperusteista tunkeutumistestausta suorittaessaan testaajien olisi otettava huomioon hyökkäykseen käytettävissä oleva aika, resurssit sekä eettiset ja oikeudelliset rajat. Jos testaajat eivät pysty etenemään hyökkäyksen suunniteltuun seuraavaan vaiheeseen, testaustoimintaa johtavan ryhmän olisi uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen suostumuksella avustettava testaajia. Avustus voidaan karkeasti luokitella tietoihin liittyväksi avuksi ja pääsyoikeuksiin liittyväksi avuksi. Siihen voi kuulua pääsyn tarjoaminen TVT-järjestelmiin tai sisäisiin verkkoihin, jotta testausta voidaan jatkaa ja keskittyä hyökkäyksen seuraaviin vaiheisiin. |
|
(23) |
Hyökkäystestauksen aikana testit olisi tarpeen vaatiessa, jotta uhkaperusteista tunkeutumistestausta voidaan jatkaa, ja viimeisenä keinona poikkeuksellisissa olosuhteissa kun kaikki muut vaihtoehdot on käytetty, tehtävä testaajien ja sinisen tiimin yhteistyönä. Kun käytetään rajoitetusti tällaista purppuraa tiimiä, voidaan soveltaa seuraavia menetelmiä: ”catch and-release”, jossa testaajat jatkavat testausta sen jälkeen, kun heidät on havaittu heidän pyrkiessään jatkamaan skenaarioita; ”sotapeli”, joka mahdollistaa monimutkaisempien skenaarioiden käytön strategisen päätöksenteon testaamiseksi; ja ”yhteistoiminnallinen konseptin oikeaksi todistaminen”, jonka avulla testaajat ja sinisen tiimin jäsenet voivat yhteistyössä ja valvotusti tarkistaa tiettyjen turvatoimenpiteiden, välineiden tai tekniikoiden toimivuuden. |
|
(24) |
Uhkaperusteista tunkeutumistestausta olisi pidettävä oppimiskokemuksena, jonka avulla finanssiyhteisöjen digitaalista häiriönsietokykyä voidaan parantaa. Sinisen tiimin ja testaajien olisi tarkasteltava hyökkäystä ja toteutettuja toimia jälkikäteen uudelleen, jotta testauskokemuksesta voidaan oppia yhteistyössä testaajien kanssa. Tätä varten ja asianmukaisen valmistelun mahdollistamiseksi punaisen tiimin ja sinisen tiimin testiraportit olisi asetettava etukäteen kaikkien uudelleentarkasteluun osallistuvien osapuolten saataville. Lisäksi päättämisvaiheessa olisi toteutettava purppuran tiimin harjoitus oppimiskokemuksen maksimoimiseksi. Päättämisvaiheen purppuran tiimin harjoituksessa voidaan keskustella vaihtoehtoisista hyökkäysskenaarioista, tarkastella vaihtoehtoisia skenaarioita toiminnassa olevissa järjestelmissä tai tarkastella toiminnassa olevissa järjestelmissä uudelleen sellaisia skenaarioita, joita testaajat eivät saaneet valmiiksi tai kyenneet toteuttamaan testausvaiheen aikana. |
|
(25) |
Jotta voidaan syventää edelleen kaikkien uhkaperusteiseen tunkeutumistestaukseen osallistuvien osapuolten oppimiskokemusta, mistä on hyötyä tulevien testien kannalta, ja kehittää finanssiyhteisöjen digitaalista häiriönsietokykyä, asianomaisten osapuolten olisi annettava toisilleen yleispalautetta testauksesta ja yksilöitävä erityisesti, mitkä toimet onnistuivat ja mitkä seikat uhkaperusteisen tunkeutumistestauksen prosessissa toimivat hyvin ja mitä olisi voitu parantaa. |
|
(26) |
Jos asetuksen (EU) 2022/2554 46 artiklassa tarkoitetut toimivaltaiset viranomaiset ja uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset ovat eri viranomaisia, niiden olisi tehtävä yhteistyötä uhkaperusteisen tunkeutumistestauksen avulla tehtävän kehittyneen testauksen sisällyttämiseksi olemassa oleviin valvontaprosesseihin. Tältä osin on aiheellista, että uhkaperusteiseen tunkeutumistestaukseen osallistuneet testauspäälliköt ja vastuussa olevat valvojat tekevät tiivistä yhteistyötä erityisesti testien tiivistelmäraportin ja korjaussuunnitelmien osalta, jotta kaikilla viranomaisilla olisi oikea käsitys uhkaperusteisen tunkeutumistestauksen tuloksista ja siitä, miten tuloksia olisi tulkittava. |
|
(27) |
Asetuksen (EU) 2022/2554 26 artiklan 8 kohdan ensimmäisessä alakohdassa edellytetään, että finanssiyhteisöt teettävät joka kolmannen testin ulkopuolisilla testaajilla. Jos finanssiyhteisöt toteuttavat testit käyttäen testaajien joukossa sekä sisäisiä että ulkoisia testaajia, tätä olisi kyseistä artiklaa sovellettaessa pidettävä sisäisiä testaajia käyttäen toteutettuna uhkaperusteisena tunkeutumistestauksena. |
|
(28) |
Tämä asetus perustuu teknisten sääntelystandardien luonnoksiin, jotka Euroopan pankkiviranomainen, Euroopan vakuutus- ja lisäeläkeviranomainen ja Euroopan arvopaperimarkkinaviranomainen, jäljempänä ’Euroopan valvontaviranomaiset’, ovat toimittaneet komissiolle yhteisymmärryksessä Euroopan keskuspankin kanssa. |
|
(29) |
Euroopan valvontaviranomaiset ovat järjestäneet avoimia julkisia kuulemisia teknisten sääntelystandardien luonnoksista, joihin tämä asetus perustuu, analysoineet niihin mahdollisesti liittyviä kustannuksia ja hyötyjä sekä pyytäneet lausuntoa Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1093/2010 (3) 37 artiklan mukaisesti perustetulta pankkialan osallisryhmältä, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1094/2010 (4) 37 artiklan mukaisesti perustetuilta vakuutus- ja jälleenvakuutusalan osallisryhmältä ja lisäeläkealan osallisryhmältä sekä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010 (5) 37 artiklan mukaisesti perustetulta arvopaperimarkkina-alan osallisryhmältä. |
|
(30) |
Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausuntonsa 20 päivänä elokuuta 2024, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
|
1) |
’testaustoimintaa johtavalla ryhmällä’ ryhmää, joka hallinnoi testiä ja joka koostuu testattavan finanssiyhteisön henkilöstöstä ja, jos se on tarpeen uhkaperusteisen tunkeutumistestauksen soveltamisalan perusteella, finanssiyhteisön palveluntarjoajien ja muiden osapuolten henkilöstöstä; |
|
2) |
’testaustoimintaa johtavan ryhmän vetäjällä’ finanssiyhteisön henkilöstön jäsentä, joka vastaa finanssiyhteisön kaikesta uhkaperusteiseen tunkeutumistestaukseen liittyvästä toiminnasta yksittäisen testin yhteydessä; |
|
3) |
’sinisellä tiimillä’ finanssiyhteisön henkilöstöä ja tarvittaessa finanssiyhteisön palveluntarjoajina olevien kolmansien osapuolten henkilöstöä sekä minkä tahansa muun osapuolen henkilöstöä, jota pidetään merkityksellisenä uhkaperusteisen tunkeutumistestauksen soveltamisalan perusteella, joka puolustaa finanssiyhteisön verkko- ja tietojärjestelmien käyttöä ylläpitämällä sen turvallisuustasoa simuloituja tai todellisia hyökkäyksiä vastaan ja joka ei ole tietoinen uhkaperusteisen tunkeutumistestauksen toteuttamisesta; |
|
4) |
’sinisen tiimin tehtävillä’ tehtäviä, joita sininen tiimi tyypillisesti suorittaa, kuten turvaoperaatiokeskus, tieto- ja viestintätekniikan infrastruktuuripalvelut, neuvontapalvelut ja häiriöiden hallintapalvelut operatiivisella tasolla; |
|
5) |
’punaisella tiimillä’ sisäisiä tai ulkoisia testaajia, joiden kanssa on tehty sopimus uhkaperusteisen tunkeutumistestin toteuttamisesta tai joiden tehtäväksi on annettu uhkaperusteisen tunkeutumistestin toteuttaminen; |
|
6) |
’purppuran tiimin harjoituksella’ yhteistoiminnassa tehtyä testausta, johon osallistuvat sekä testaajat että sininen tiimi; |
|
7) |
’uhkaperusteisesta tunkeutumistestauksesta vastaavalla viranomaisella’ mitä tahansa seuraavista:
|
|
8) |
’uhkaperusteisen tunkeutumistestauksen kybertiimillä’ tai ’kybertiimillä’ uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten henkilöstöä, joka vastaa uhkaperusteiseen tunkeutumistestaukseen liittyvistä asioista; |
|
9) |
’testauspäälliköillä’ henkilöstöä, joka on nimetty johtamaan uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen toimintaa tietyn uhkaperusteisen tunkeutumistestin yhteydessä tämän asetuksen noudattamisen valvomiseksi; |
|
10) |
’uhkatiedustelutietojen tarjoajalla’ finanssiyhteisön ja mahdollisten konsernin sisäisten TVT-palveluntarjoajien ulkopuolisia asiantuntijoita, joiden kanssa finanssiyhteisö on tehnyt sopimuksen kustakin uhkaperusteisesta tunkeutumistestauksesta ja jotka keräävät ja analysoivat tietyn uhkaperusteisen tunkeutumistestin yhteydessä finanssiyhteisöille merkityksellisiä uhkatiedustelutietoja ja laativat niihin liittyviä realistisia uhkaskenaarioita; |
|
11) |
’uhkaperusteisen tunkeutumistestauksen palveluntarjoajilla’ testaajia ja uhkatiedustelutietojen tarjoajia; |
|
12) |
’avustuksella’ tukea tai tietoja, joita testaustoimintaa johtava ryhmä antaa testaajille, jotta testaajat voivat jatkaa hyökkäystä valitsemaansa reittiä pitkin, jos he eivät pysty etenemään omin voimin johtuen uhkaperusteiseen tunkeutumistestaukseen varatusta riittämättömästä ajasta tai riittämättömistä resursseista ja jos muuta kohtuullista vaihtoehtoa ei ole olemassa; |
|
13) |
’hyökkäysreitillä’ reittiä, jota pitkin testaajat pyrkivät saavuttamaan uhkaperusteisen tunkeutumistestauksen liput punaisen tiimin aktiivisen testausvaiheen aikana; |
|
14) |
’lipuilla’ finanssiyhteisön kriittisiä tai tärkeitä toimintoja tukevissa TVT-järjestelmissä olevia keskeisiä pisteitä, jotka testaajat pyrkivät saavuttamaan testin aikana; |
|
15) |
’arkaluonteisilla tiedoilla’ tietoja, joita voidaan helposti hyödyntää finanssiyhteisön TVT-järjestelmiin kohdistuvien hyökkäysten tekemiseksi, teollis- ja tekijänoikeuksia, luottamuksellisia liiketoimintatietoja tai henkilötietoja, jotka vihamielisten toimijoiden käsiin päätyessään voivat vahingoittaa suoraan tai välillisesti finanssiyhteisöä ja sen ekosysteemiä; |
|
16) |
’poolilla’ kaikkia finanssiyhteisöjä, jotka osallistuvat asetuksen (EU) 2022/2554 26 artiklan 4 kohdassa tarkoitettuun yhdistettyyn uhkaperusteiseen tunkeutumistestaukseen; |
|
17) |
’vastaanottavalla jäsenvaltiolla’ kuhunkin finanssiyhteisöön sovellettavan unionin alakohtaisen lainsäädännön mukaista vastaanottavaa jäsenvaltiota; |
|
18) |
’yhteisellä uhkaperusteisella tunkeutumistestauksella’ muuta kuin asetuksen (EU) 2022/2554 26 artiklan 4 kohdassa tarkoitettua yhdistettyä uhkaperusteista tunkeutumistestausta, jossa on mukana useita finanssiyhteisöjä, joilla on sama konsernin sisäinen TVT-palveluntarjoaja tai jotka käyttävät konsernin sisällä yhteisiä TVT-järjestelmiä. |
2 artikla
Sellaisten finanssiyhteisöjen yksilöinti, joilta vaaditaan uhkaperusteisen tunkeutumistestauksen tekemistä
1. Uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on arvioitava kaikkien seuraavien kriteerien perusteella, vaaditaanko tiettyä finanssiyhteisöä tekemään uhkaperusteinen tunkeutumistestaus, kun otetaan huomioon finanssiyhteisön vaikutus, systeeminen luonne ja TVT-riskiprofiili:
|
a) |
vaikutukseen ja systeemiseen luonteeseen liittyvät tekijät:
|
|
b) |
TVT-riskiin liittyvät tekijät:
|
Sovellettaessa a alakohdan i alakohtaa uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on mahdollisuuksien mukaan otettava huomioon
|
a) |
finanssiyhteisön markkinaosuus unionin ja kansallisella tasolla; |
|
b) |
finanssiyhteisön toiminnan muodot; |
|
c) |
finanssiyhteisön tarjoamien palvelujen tai unionin ja kansallisella tasolla toteutettujen toimien markkinaosuus. |
Sovellettaessa a alakohdan v alakohtaa uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on mahdollisuuksien mukaan otettava huomioon
|
a) |
onko finanssiyhteisöllä useampi kuin yksi liiketoimintamalli; |
|
b) |
eri liiketoimintaprosessien ja niihin liittyvien palvelujen keskinäiset yhteydet. |
2. Uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on edellytettävä kaikkia seuraavia finanssiyhteisöjä toteuttamaan uhkaperusteinen tunkeutumistestaus, paitsi jos 1 kohdassa tarkoitettu finanssiyhteisöä koskeva arviointi osoittaa, että uhkaperusteisen tunkeutumistestauksen tekeminen ei ole perusteltua finanssiyhteisön vaikutuksen, sen rahoitusvakauteen liittyvien huolenaiheiden tai sen TVT-riskiprofiilin perusteella:
|
a) |
luottolaitokset, jotka täyttävät jonkin seuraavista edellytyksistä:
|
|
b) |
maksulaitokset, joiden osalta Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 (8) 4 artiklan 5 alakohdassa määriteltyjen maksutapahtumien kokonaisarvo ylittää 150 miljardia euroa kunakin kahtena uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen arviointia edeltävänä kalenterivuonna; |
|
c) |
sähköisen rahan liikkeeseenlaskijalaitokset, joiden osalta kunakin kahtena uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen arviointia edeltävänä kalenterivuonna Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 4 artiklan 5 alakohdassa määriteltyjen maksutapahtumien kokonaisarvo ylittää 150 miljardia euroa tai liikkeessä olevan sähköisen rahan kokonaisarvo on yli 40 miljardia euroa; |
|
d) |
arvopaperikeskukset; |
|
e) |
keskusvastapuolet; |
|
f) |
kauppapaikat, joilla on sähköinen kaupankäyntijärjestelmä ja jotka täyttävät jonkin seuraavista kriteereistä:
|
|
g) |
vakuutus- ja jälleenvakuutusyritykset, jotka täyttävät kaikki seuraavat kriteerit:
|
Sovellettaessa f alakohdan ii alakohtaa, jos kauppapaikka kuuluu konserniin, jossa käytetään yhteisiä TVT-järjestelmiä tai samaa konsernin sisäistä TVT-palveluntarjoajaa, on otettava huomioon arvopaperi- ja johdannaissopimusten liikevaihto kaikissa samaan konserniin kuuluvissa ja unioniin sijoittautuneissa kauppapaikoissa.
Sovellettaessa g alakohtaa uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on yksilöitävä vakuutus- ja jälleenvakuutusyritysten alajoukko soveltamalla g alakohdan i, ii ja iii alakohdassa säädettyjä kriteerejä. Kyseiseen alajoukkoon kuuluvien vakuutus- ja jälleenvakuutusyritysten on toteutettava uhkaperusteinen tunkeutumistestaus, jos ne täyttävät myös jonkin seuraavista kriteereistä:
|
a) |
niiden jaksottamaton bruttovakuutusmaksu on yli 3 000 000 000 euroa; |
|
b) |
niiden vakuutustekninen vastuuvelka on yli 30 000 000 000 euroa; |
|
c) |
niiden kokonaisvarat ovat yli 10 prosenttia jäsenvaltioon sijoittautuneiden vakuutus- ja jälleenvakuutusyritysten direktiivin 2009/138/EY 75 artiklan mukaisesti arvostettujen kokonaisvarojen summasta. |
3. Jos useampi kuin yksi samaan yhteisiä TVT-järjestelmiä käyttävään konserniin kuuluva finanssiyhteisö tai useampi kuin yksi samaa konsernin sisäistä TVT-palveluntarjoajaa käyttävä finanssiyhteisö täyttää 2 kohdan vaatimukset, kyseisten finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on 16 artiklan 2 kohdan mukaisesti päätettävä, onko kyseisten finanssiyhteisöjen osalta asianmukaista vaatia uhkaperusteisen tunkeutumistestauksen toteuttamista yksilöllisesti.
Jos ensimmäisessä alakohdassa tarkoitettu finanssiyhteisöjen konsernin emoyrityksen uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on eri kuin konserniin kuuluvien finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset, konserniin kuuluvien finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on kuultava kyseistä viranomaista siitä, onko uhkaperusteinen tunkeutumistestaus toteutettava yksilöllisesti.
3 artikla
Uhkaperusteisen tunkeutumistestauksen kybertiimi ja testauspäälliköt
1. Uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on nimettävä uhkaperusteisen tunkeutumistestauksen kybertiimi, joka vastaa testauksen koordinoinnista. Kybertiimissä on oltava testauspäälliköt, joiden tehtävänä on valvoa yksittäistä uhkaperusteista tunkeutumistestiä.
2. Uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on nimettävä kutakin testiä varten testauspäällikkö ja vähintään yksi varahenkilö.
3. Testauspäälliköiden on valvottava tässä asetuksessa säädettyjen vaatimusten noudattamista ja varmistettava, että vaatimuksia noudatetaan.
4. Testauspäällikön on ilmoitettava kybertiimin yhteystiedot finanssiyhteisölle 9 artiklan 1 kohdassa tarkoitetulla ilmoituksella.
5. Uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on osallistuttava uhkaperusteisen tunkeutumistestauksen kaikkiin vaiheisiin.
4 artikla
Finanssiyhteisöjen organisatoriset järjestelyt
1. Finanssiyhteisöjen on nimitettävä testaustoimintaa johtavan ryhmän vetäjä, joka vastaa uhkaperusteisen tunkeutumistestauksen päivittäisestä hallinnoinnista sekä ryhmän päätöksistä ja toimista.
2. Finanssiyhteisöjen on otettava käyttöön organisatoriset toimenpiteet ja menettelyt, joilla varmistetaan, että
|
a) |
tiedot suunnitellusta tai meneillään olevasta uhkaperusteisesta testaustoiminnasta annetaan tiedonsaantitarpeen perusteella vain testaustoimintaa johtavalle ryhmälle, ylimmälle hallintoelimelle, testaajille, uhkatiedustelutietojen tarjoajalle ja uhkaperusteisesta tunkeutumistestauksesta vastaavalle viranomaiselle; |
|
b) |
testaustoimintaa johtava ryhmä kuulee testauspäälliköitä ennen kuin sinisen tiimin jäseniä otetaan mukaan uhkaperusteiseen tunkeutumistestaukseen; |
|
c) |
testaustoimintaa johtavalle ryhmälle ilmoitetaan kaikista tapauksista, joissa finanssiyhteisön tai sen palveluntarjoajien henkilöstön jäsenet havaitsevat uhkaperusteisen tunkeutumistestauksen; jos poikkeamat aiheuttavat laajemman reaktion, testaustoimintaa johtava ryhmä hillitsee tarvittaessa reaktiota; |
|
d) |
käytössä on finanssiyhteisön ja asiaan liittyvien TVT-palveluntarjoajina olevien kolmansien osapuolten henkilöstöä, testaajia sekä uhkatiedustelutietojen tarjoajia koskevat järjestelyt, jotka liittyvät uhkaperusteisen tunkeutumistestauksen salassa pitämiseen; |
|
e) |
testaustoimintaa johtava ryhmä toimittaa testauspäälliköille heidän pyynnöstään kaikki uhkaperusteiseen tunkeutumistestaukseen liittyvät tiedot; |
|
f) |
uhkaperusteiseen tunkeutumistestaukseen osallistuvat osapuolet viittaavat siihen mahdollisuuksien mukaan ainoastaan koodinimellä. |
5 artikla
Riskinhallinta uhkaperusteisessa tunkeutumistestauksessa
1. Testaustoimintaa johtavan ryhmän on 9 artiklassa tarkoitetun valmisteluvaiheen aikana arvioitava riskit, joita liittyy finanssiyhteisön kriittisten tai tärkeiden toimintojen toiminnassa olevien tuotantojärjestelmien testaukseen, mukaan lukien mahdolliset vaikutukset
|
a) |
rahoitusalaan; |
|
b) |
rahoitusvakauteen unionin tai kansallisella tasolla. |
Testaustoimintaa johtavan ryhmän on arvioitava näitä vaikutuksia koko testauksen ajan.
2. Riskinarviointia ja -hallintaa varten testaustoimintaa johtavan ryhmän on otettava huomioon ainakin riskit, jotka liittyvät seuraaviin tilanteisiin:
|
a) |
uhkatiedustelutietojen tarjoajalle ja tarvittaessa ulkoisille testaajille annetaan pääsy finanssiyhteisöä koskeviin arkaluonteisiin tietoihin; |
|
b) |
uhkaperusteinen tunkeutumistestaus ei ole asetuksen (EU) 2022/2554 ja tämän asetuksen mukaista, jos tällainen vaatimustenvastaisuus johtaa asetuksen (EU) 2022/2554 26 artiklan 7 kohdassa tarkoitetun todistuksen puuttumiseen, myös silloin, kun tällainen vaatimustenvastaisuus aiheutuu uhkaperusteisen tunkeutumistestauksen luottamuksellisuuden rikkomisesta tai toiminnan eettisyyden puutteista; |
|
c) |
kriisit ja poikkeamat laajenevat; |
|
d) |
punaisen tiimin aktiivinen vaihe, mukaan lukien riski siitä, että testaajien toiminta aiheuttaa kriittisten toimintojen keskeytymisen ja tietojen turmeltumisen, ja tämän mahdolliset vaikutukset kolmansiin osapuoliin; |
|
e) |
sinisen tiimin aktiivinen vaihe, mukaan lukien riski siitä, että sinisen tiimin toiminta aiheuttaa kriittisten toimintojen keskeytymisen ja tietojen turmeltumisen, ja tämän mahdolliset vaikutukset kolmansiin osapuoliin; |
|
f) |
järjestelmät, joihin uhkaperusteinen tunkeutumistestaus on vaikuttanut, palautetaan puutteellisesti. |
6 artikla
Riskienhallinta yhdistetyssä tai yhteisessä uhkaperusteisessa tunkeutumistestauksessa
1. Yhteisen uhkaperusteisen tunkeutumistestauksen tai yhdistetyn uhkaperusteisen tunkeutumistestauksen tapauksessa kunkin finanssiyhteisön testaustoimintaa johtavan ryhmän on tehtävä oma riskinarviointinsa ja laadittava omat riskinhallintatoimenpiteensä.
2. Tämän asetuksen 16 artiklan 3 kohdan b alakohdassa tarkoitetun nimetyn finanssiyhteisön tai asetuksen (EU) 2022/2554 26 artiklan 4 kohdan mukaisesti nimetyn finanssiyhteisön testaustoimintaa johtavan ryhmän on arvioitava riskit, joita useiden finanssiyhteisöjen osallistuminen uhkaperusteiseen tunkeutumistestaukseen aiheuttaa. Testaukseen osallistuvien finanssiyhteisöjen testaustoimintaa johtavien ryhmien on tehtävä yhteistyötä nimetyn finanssiyhteisön testaustoimintaa johtavan ryhmän kanssa mahdollisten yhteisten riskien tunnistamiseksi.
7 artikla
Uhkaperusteisen tunkeutumistestauksen palveluntarjoajien valinta
1. Testaustoimintaa johtavan ryhmän on hallittava uhkaperusteiseen tunkeutumistestaukseen liittyviä riskejä ja varmistettava kunkin uhkaperusteisen tunkeutumistestin osalta erityisesti, että
|
a) |
uhkatiedustelutietojen tarjoaja ja ulkopuoliset testaajat toimittavat testaustoimintaa johtavalle ryhmälle yksityiskohtaisen ansioluettelon ja kopiot sertifioinneista, jotka tunnustettujen markkinastandardien mukaan ovat asianmukaiset niiden tehtäviin nähden; |
|
b) |
uhkatiedustelutietojen tarjoajilla ja ulkoisilla testaajilla on asianmukainen ja kattava ammatillinen vastuuvakuutus, joka kattaa myös väärinkäytöksistä ja huolimattomuudesta johtuvat riskit; |
|
c) |
uhkatiedustelutietojen tarjoaja esittää todistukset vähintään kolmesta aiemmin tekemästään tunkeutumistestaukseen ja punaisen tiimin testaukseen liittyvästä toimeksiannosta; |
|
d) |
ulkoiset testaajat esittävät todistukset vähintään viidestä aiemmin tekemästään tunkeutumistestaukseen ja punaisen tiimin toimintaan liittyvästä toimeksiannosta; |
|
e) |
uhkaperusteiseen tunkeutumistestaukseen osoitettu uhkatiedustelutietojen tarjoajan henkilöstö
|
|
f) |
uhkaperusteiseen tunkeutumistestaukseen osoitettu ulkopuolisten testaajien punainen tiimi
|
|
g) |
testaajat ja uhkatiedustelutietojen tarjoaja suorittavat testauksen lopussa palautusmenettelyt, mukaan lukien testin aikana vaarantuneisiin salasanoihin, käyttöoikeuksiin ja muihin salaisiin avaimiin liittyvien tietojen turvallinen poistaminen, suojattu viestintä finanssiyhteisöille vaarantuneista käyttäjätileistä sekä muiden testauksen aikana kerättyjen tietojen turvallinen kerääminen, tallentaminen, hallinta ja hävittäminen; |
|
h) |
testauksen lopuksi toteutettavien g alakohdassa tarkoitettujen palautusmenettelyjen lisäksi testaajien on toteutettava seuraavat palautusmenettelyt:
|
|
i) |
testaajat ja uhkatiedustelutietojen tarjoaja eivät saa itse tehdä seuraavia toimia eivätkä osallistua seuraaviin toimiin:
|
2. Testaustoimintaa johtavan ryhmän on pidettävä kirjaa asiakirjoista, jotka testaajat ja uhkatiedustelutietojen tarjoajat ovat toimittaneet todisteeksi 1 kohdan a–f alakohdan noudattamisesta.
Finanssiyhteisöt voivat poikkeuksellisissa olosuhteissa tehdä sopimuksia sellaisten ulkoisten testaajien ja uhkatiedustelutietojen tarjoajien kanssa, jotka eivät täytä yhtä tai useampaa 1 kohdan a–f alakohdassa säädetyistä vaatimuksista, edellyttäen, että kyseiset finanssiyhteisöt toteuttavat asianmukaiset toimenpiteet lieventääkseen mainittujen kohtien noudattamatta jättämisestä aiheutuvia riskejä ja kirjaavat kyseiset toimenpiteet.
8 artikla
Yhdistettyjen tai yhteisten uhkaperusteisten tunkeutumistestien erityispiirteet
1. Jos yhdistettyyn tai yhteiseen uhkaperusteiseen tunkeutumistestaukseen osallistuu useita 16 artiklan 2 tai 4 kohdan mukaisesti yksilöityjä finanssiyhteisöjä, kunkin finanssiyhteisön on noudatettava kutakin 9–15 artiklassa säädetyistä vaiheista, ellei uhkaperusteisesta tunkeutumistestauksesta vastaava johtava viranomainen toisin päätä.
2. Jos 16 artiklan 3 kohdassa tarkoitettuun yhteiseen tai 16 artiklan 5 kohdassa tarkoitettuun yhdistettyyn uhkaperusteiseen tunkeutumistestaukseen osallistuu useita viranomaisia, 9–15 artiklassa olevia viittauksia ”uhkaperusteisesta tunkeutumistestauksesta vastaavaan viranomaiseen” on pidettävä viittauksina tällaisen yhdistetyn tai yhteisen uhkaperusteisen tunkeutumistestauksen johtavaan viranomaiseen, ellei tässä asetuksessa toisin säädetä.
9 artikla
Valmisteluvaihe
1. Asetuksen (EU) 2022/2554 26 artiklan 8 kohdan kolmannessa alakohdassa tarkoitetun finanssiyhteisön on käynnistettävä uhkaperusteinen tunkeutumistestaus sen jälkeen, kun uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on ilmoittanut, että testi on toteutettava.
2. Finanssiyhteisön on kolmen kuukauden kuluessa 1 kohdassa tarkoitetun ilmoituksen vastaanottamisesta toimitettava testauspäälliköille kaikki seuraavat tiedot uhkaperusteisen tunkeutumistestauksen käynnistämisestä:
|
a) |
hankekuvaus, johon sisältyy liitteessä I esitetyt tiedot sisältävä ylätason hankesuunnitelma; |
|
b) |
testaustoimintaa johtavan ryhmän vetäjän yhteystiedot; |
|
c) |
tapauksen mukaan 15 artiklan mukaiset tiedot aikomuksesta käyttää sisäisiä tai ulkoisia testaajia tai molempia; |
|
d) |
tiedot uhkaperusteisen tunkeutumistestauksen aikana käytettävistä viestintäkanavista; |
|
e) |
uhkaperusteisen tunkeutumistestauksen koodinimi. |
3. Jos 2 kohdan a–e alakohdassa tarkoitetut tiedot ovat täydelliset ja niillä varmistetaan uhkaperusteisen tunkeutumistestauksen toteuttaminen tarkoituksenmukaisesti ja tuloksellisesti, uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on vahvistettava finanssiyhteisön uhkaperusteisen tunkeutumistestauksen käynnistämistä koskevat tiedot ja ilmoitettava asiasta finanssiyhteisölle.
4. Kun uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on vahvistanut uhkaperusteisen tunkeutumistestauksen käynnistämistä koskevat tiedot, finanssiyhteisön on perustettava testaustoimintaa johtava ryhmä, joka avustaa testaustoimintaa johtavan ryhmän vetäjää seuraavissa tehtävissä:
|
a) |
viestintäkanavien ja -prosessien määrittäminen testaustoimintaa johtavan ryhmän sisäiseen viestintään sekä viestintään testaajien ja uhkatiedustelutietojen tarjoajien kanssa kaikissa uhkaperusteiseen tunkeutumistestaukseen liittyvissä asioissa; |
|
b) |
uhkaperusteisen tunkeutumistestauksen edistymisestä ja siihen liittyvistä riskeistä tiedottaminen finanssiyhteisön ylimmälle hallintoelimelle; |
|
c) |
aihekohtaiseen asiantuntemukseen perustuvien päätösten tekeminen uhkaperusteisen tunkeutumistestauksen aikana; |
|
d) |
uhkaperusteisen tunkeutumistestauksen läpivienti tämän asetuksen mukaisesti; |
|
e) |
uhkatiedustelutietojen tarjoajan valitseminen uhkaperusteista tunkeutumistestausta varten; |
|
f) |
ulkoisten testaajien, sisäisten testaajien tai molempien valitseminen; |
|
g) |
testauksen soveltamisalan määrittävän asiakirjan laatiminen. |
5. Jos uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen katsoo, että testaustoimintaa johtava ryhmä on alkuperäisessä kokoonpanossaan ja siihen myöhemmin mahdollisesti tehtävien muutosten jälkeen asianmukainen suorittamaan 4 kohdassa tarkoitetut tehtävät, kyseisen viranomaisen on vahvistettava testaustoimintaa johtava ryhmä ja ilmoitettava asiasta ryhmän vetäjälle.
6. Finanssiyhteisön on toimitettava testauspäälliköille testauksen soveltamisalan määrittävä asiakirja, joka sisältää kaikki liitteessä II esitetyt tiedot, kuuden kuukauden kuluessa siitä, kun se on vastaanottanut uhkaperusteisesta tunkeutumistestauksesta vastaavalta viranomaiselta 1 kohdassa tarkoitetun ilmoituksen. Finanssiyhteisön ylimmän hallintoelimen on hyväksyttävä testauksen soveltamisalan määrittävä asiakirja.
7. Kun finanssiyhteisöt päättävät kriittisten tai tärkeiden toimintojen sisällyttämisestä uhkaperusteiseen tunkeutumistestaukseen, niiden on otettava huomioon seuraavat kriteerit:
|
a) |
toiminnon kriittisyys tai tärkeys ja sen mahdollinen vaikutus finanssialaan ja rahoitusvakauteen unionin ja kansallisella tasolla; |
|
b) |
toiminnon merkitys finanssiyhteisön päivittäisessä liiketoiminnassa; |
|
c) |
toiminnon korvattavuus; |
|
d) |
yhteydet muihin toimintoihin; |
|
e) |
toiminnon maantieteellinen sijainti; |
|
f) |
alan muiden yhteisöjen riippuvuus toiminnosta; |
|
g) |
toimintoa koskevat uhkatiedustelutiedot, jos niitä on saatavilla. |
8. Testaustoimintaa johtavan ryhmän on jaettava uhkaperusteisen tunkeutumistestauksen käynnistämistä koskevat tiedot ja testauksen soveltamisalan määrittävä asiakirja testaajille ja uhkatiedustelutietojen tarjoajille sen jälkeen, kun sopimus näiden kanssa on tehty. Testaustoimintaa johtavan ryhmän on ilmoitettava testaajille ja uhkatiedustelutiedon tarjoajille testausprosessi, jota näiden on noudatettava.
9. Finanssiyhteisön on varmistettava, että testaajat ja uhkatiedustelutietojen tarjoajat on hankittu tai osoitettu ennen testausvaiheen aloittamista.
10. Ennen testausvaiheen aloittamista testaustoimintaa johtavan ryhmän on kuultava testauspäälliköitä uhkaperusteisen tunkeutumistestauksen riskinarvioinnista ja riskinhallintatoimenpiteistä. Testaustoimintaa johtavan ryhmän on tarkasteltava riskinarviointia tai riskinhallintatoimenpiteitä uudelleen, jos uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen katsoo, että niillä ei asianmukaisesti kateta uhkaperusteisen tunkeutumistestauksen riskejä.
11. Testaustoimintaa johtavan ryhmän on arvioitava, täyttävätkö uhkatiedustelutietojen tarjoajat ja testaajat, joiden on tarkoitus osallistua uhkaperusteiseen tunkeutumistestaukseen, asetuksen (EU) 2022/2554 27 artiklassa ja tämän asetuksen 7 artiklan 1 kohdassa säädetyt vaatimukset, ja dokumentoitava arvioinnin tulokset. Testaustoimintaa johtavan ryhmän on valittava uhkatiedustelutietojen tarjoajat kyseisen arvioinnin ja riskinhallintakäytäntöjensä perusteella. Ennen kuin testaustoimintaa johtava ryhmä tekee sopimukset valittujen uhkatiedustelutietojen tarjoajien ja ulkoisten testaajien kanssa, sen on toimitettava testauspäälliköille näyttöä siitä, että kyseiset uhkatiedustelutietojen tarjoajat ja testaajat täyttävät asetuksen (EU) 2022/2554 27 artiklassa ja tämän asetuksen 7 artiklan 1 kohdassa säädetyt vaatimukset. Testaustoimintaa johtava ryhmä ei saa tehdä sopimuksia valittujen uhkatiedustelutietojen tarjoajien ja ulkopuolisten testaajien kanssa, jos uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen katsoo, että valitut uhkatiedustelutietojen tarjoajat ja ulkoiset testaajat eivät täytä asetuksen (EU) 2022/2554 27 artiklassa tai tämän asetuksen 7 artiklan 1 kohdassa säädettyjä vaatimuksia tai unionin oikeuden mukaisesta kansallisesta turvallisuuslainsäädännöstä johtuvia lisävaatimuksia, tai jos finanssiyhteisö ei noudata tämän asetuksen 7 artiklan 2 kohdan ensimmäistä alakohtaa tai jos tämän asetuksen 7 artiklan 2 kohdan toisessa alakohdassa tarkoitetut olosuhteet eivät täyty.
12. Jos testauksen soveltamisalan määrittelevä asiakirja on täydellinen ja sillä varmistetaan uhkaperusteisen tunkeutumistestauksen toteuttaminen asianmukaisesti ja tuloksellisesti, uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on hyväksyttävä kyseinen asiakirja ja ilmoitettava asiasta testaustoimintaa johtavan ryhmän vetäjälle.
10 artikla
Testausvaihe: Uhkatiedustelutiedot
1. Kun uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on hyväksynyt testauksen soveltamisalan määrittävän asiakirjan, uhkatiedustelutietojen tarjoajan on analysoitava finanssiyhteisön kannalta merkityksellisiä yleisiä ja alakohtaisia uhkatiedustelutietoja. Jos finanssialan uhkaperusteisesta tunkeutumistestauksesta vastaava jäsenvaltion viranomainen on laatinut yleisen uhkaympäristön, uhkatiedustelutietojen tarjoaja voi käyttää sitä kansallisen uhkaympäristön perustana. Uhkatiedustelutietojen tarjoajan on tunnistettava finanssiyhteisöä koskevat kyberuhat ja olemassa olevat tai mahdolliset haavoittuvuudet. Lisäksi uhkatiedustelutietojen tarjoajan on kerättävä finanssiyhteisöä koskevia konkreettisia, toteuttamiskelpoisia ja kontekstisidonnaisia kohde- ja uhkatiedustelutietoja ja analysoitava niitä muun muassa kuulemalla testaustoimintaa johtavaa ryhmää ja testauspäälliköitä.
2. Uhkatiedustelutietojen tarjoajan on esitettävä asiaankuuluvat uhat ja kohdennetut uhkatiedustelutiedot ja ehdotettava tarvittavia skenaarioita testaustoimintaa johtavalle ryhmälle, testaajille ja testauspäälliköille. Erilaiset ehdotetut skenaariot on laadittava tunnistettujen uhkatoimijoiden ja niiden käyttämien taktiikoiden, tekniikoiden ja menettelyiden perusteella, ja skenaarioilla on katettava kaikki uhkaperusteisen tunkeutumistestauksen soveltamisalaan kuuluvat kriittiset tai tärkeät toiminnot.
3. Testaustoimintaa johtavan ryhmän vetäjän on valittava uhkaperusteista tunkeutumistestausta varten vähintään kolme skenaariota kaikkien seuraavien tekijöiden perusteella:
|
a) |
uhkatiedustelutietojen tarjoajan suositus ja kunkin skenaarion uhkaperusteinen luonne; |
|
b) |
testauspäälliköiden näkemykset; |
|
c) |
ehdotettujen skenaarioiden toteutettavuus testaajien asiantuntija-arvion perusteella; |
|
d) |
finanssiyhteisön koko, monitahoisuus ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monitahoisuus. |
4. Valituista skenaarioista ainoastaan yksi voi olla muu kuin uhkaperusteinen ja perustua tulevaisuudessa esiintyvään ja mahdollisesti kuvitteelliseen uhkaan, jolla finanssiyhteisöä koskevan uhkaympäristön odotettavissa olevan kehityksen perusteella on merkittävä ennustava, ennakoiva ja opportunistinen arvo.
Yhdistettyjen uhkaperusteisten tunkeutumistestien osalta vähintään yhteen skenaarioon on sisällyttävä TVT-palveluntarjoajana olevan kolmannen osapuolen TVT-järjestelmät, -prosessit ja -teknologiat, joilla tuetaan finanssiyhteisön kriittisiä tai tärkeitä toimintoja, tämän kuitenkaan rajoittamatta skenaarioita, jotka kohdistuvat suoraan testaukseen osallistuvien finanssiyhteisöjen kriittisiin tai tärkeisiin toimintoihin.
Jos toteutetaan yhteinen uhkaperusteinen tunkeutumistestaus, johon osallistuu konsernin sisäinen TVT-palveluntarjoaja, vähintään yhteen skenaarioon on sisällyttävä konsernin sisäisen TVT-palveluntarjoajan TVT-järjestelmät, -prosessit ja -teknologiat, joilla tuetaan finanssiyhteisön kriittisiä tai tärkeitä toimintoja, tämän kuitenkaan rajoittamatta skenaarioita, jotka kohdistuvat suoraan testaukseen osallistuvien finanssiyhteisöjen kriittisiin tai tärkeisiin toimintoihin.
5. Uhkatiedustelutietojen tarjoajan on toimitettava 3 ja 4 kohdan mukaisesti valitut skenaariot sisältävä kohdennettu uhkatiedusteluraportti testaustoimintaa johtavalle ryhmälle. Uhkatiedusteluraportissa on oltava liitteessä III esitetyt tiedot.
6. Testaustoimintaa johtavan ryhmän on toimitettava kohdennettu uhkatiedusteluraportti testauspäällikön hyväksyttäväksi. Jos kohdennettu uhkatiedusteluraportti on täydellinen ja sillä varmistetaan uhkaperusteisen tunkeutumistestauksen toteuttaminen tuloksellisesti, uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on hyväksyttävä kohdennettu uhkatiedusteluraportti ja ilmoitettava asiasta testaustoimintaa johtavan ryhmän vetäjälle.
11 artikla
Testausvaihe: Punaisen tiimin testi
1. Kun uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on hyväksynyt kohdennetun uhkatiedusteluraportin, testaajien on laadittava punaisen tiimin testaussuunnitelma, jossa on liitteessä IV esitetyt tiedot. Testaajien on toteutettava hyökkäysskenaariot testauksen soveltamisalan määrittävän asiakirjan ja kohdennetun uhkatiedusteluraportin perusteella.
2. Testaajien on kuultava testaustoimintaa johtavaa ryhmää, uhkatiedustelutietojen tarjoajaa ja testauspäälliköitä punaisen tiimin testaussuunnitelmasta, mukaan lukien viestintää, menettelyä ja projektinhallintaa koskevat järjestelyt, avustuksen aktivoinnin valmistelu ja sen käyttötapaukset sekä sopimukset, jotka koskevat raportointia testaustoimintaa johtavalle ryhmälle ja testauspäälliköille.
3. Jos punaisen tiimin testaussuunnitelma on täydellinen ja sillä varmistetaan uhkaperusteisen tunkeutumistestauksen toteuttaminen tuloksellisesti, testaustoimintaa johtavan ryhmän ja uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on hyväksyttävä punaisen tiimin testaussuunnitelma ja ilmoitettava asiasta testaustoimintaa johtavan ryhmän vetäjälle.
4. Kun punaisen tiimin testaussuunnitelma on hyväksytty 3 kohdan mukaisesti, testaajien on toteutettava uhkaperusteinen tunkeutumistestaus punaisen tiimin aktiivisen testausvaiheen aikana.
5. Punaisen tiimin aktiivisen testausvaiheen keston on oltava oikeassa suhteessa uhkaperusteisen tunkeutumistestauksen soveltamisalaan sekä siihen osallistuvien finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten tai konsernin sisäisten TVT-palveluntarjoajien laajuuteen, toimintaan, monitahoisuuteen ja lukumäärään, ja sen on joka tapauksessa kestettävä vähintään 12 viikkoa. Hyökkäysskenaariot voidaan toteuttaa peräkkäin tai samanaikaisesti. Testaustoimintaa johtavan ryhmän, uhkatiedustelutietojen tarjoajan, testaajien ja testauspäälliköiden on sovittava punaisen tiimin aktiivisen testausvaiheen päättymisestä.
6. Edellyttäen, että varmistetaan, että punaisen tiimin testaussuunnitelma pysyy täydellisenä ja että sen avulla uhkaperusteinen tunkeutumistestaus voidaan toteuttaa tuloksellisesti, testaustoimintaa johtavan ryhmän vetäjän ja testauspäälliköiden on hyväksyttävä kaikki punaisen tiimin testaussuunnitelman muutokset, mukaan lukien testauksen aikatauluun, laajuuteen, kohteena oleviin järjestelmiin ja lippuihin liittyvät muutokset, jotka tehdään suunnitelman hyväksymisen jälkeen.
7. Testaajien on koko punaisen tiimin aktiivisen testausvaiheen ajan raportoitava vähintään viikoittain testaustoimintaa johtavalle ryhmälle ja testauspäälliköille uhkaperusteisen tunkeutumistestauksen edistymisestä, ja uhkatiedustelupalvelujen tarjoajan on oltava käytettävissä testaustoimintaa johtavan ryhmän pyynnöstä kuulemista ja uusia uhkatiedustelutietoja varten.
8. Testaustoimintaa johtavan ryhmän on toimitettava punaisen tiimin testaussuunnitelman perusteella suunniteltua avustusta oikea-aikaisesti. Avustusta voidaan lisätä tai mukauttaa testaustoimintaa johtavan ryhmän ja testauspäälliköiden suostumuksella.
9. Jos jokin finanssiyhteisön tai sen TVT-palveluntarjoajana olevien kolmansien osapuolten tai konsernin sisäisen TVT-palveluntarjoajan henkilöstön jäsen havaitsee testaustoimet, testaustoimintaa johtavan ryhmän on testaajia kuullen ja rajoittamatta 10 kohdan soveltamista ehdotettava ja toimitettava testauspäälliköille vahvistamista varten toimenpiteitä, joilla mahdollistetaan uhkaperusteisen tunkeutumistestauksen jatkaminen ja varmistetaan sen salassa pysyminen.
10. Poikkeuksellisissa olosuhteissa, joissa syntyy riskejä finanssiyhteisön, sen TVT-palveluntarjoajana olevien kolmansien osapuolten tai konsernin sisäisten TVT-palveluntarjoajien dataan kohdistuvista vaikutuksista, omaisuusvahingoista ja kriittisten tai tärkeiden toimintojen, palvelujen tai toiminnan häiriöistä tai joissa aiheutuu häiriöitä finanssiyhteisön vastapuolille tai finanssialalle, testaustoimintaa johtavan ryhmän vetäjä voi keskeyttää uhkaperusteisen tunkeutumistestauksen tai, jos uhkaperusteisen tunkeutumistestauksen jatkaminen ei muutoin ole mahdollista ja edellyttäen, että uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on hyväksynyt asian etukäteen, viimeisenä vaihtoehtona jatkaa uhkaperusteista tunkeutumistestausta rajoitetulla purppuran tiimin harjoituksella. Rajoitetun purppuran tiimin harjoituksen kesto lasketaan mukaan 5 kohdassa tarkoitetun punaisen tiimin aktiivisen testausvaiheen 12 viikon vähimmäiskestoon.
12 artikla
Päättämisvaihe
1. Punaisen tiimin aktiivisen testausvaiheen päätyttyä testaustoimintaa johtavan ryhmän vetäjän on ilmoitettava siniselle tiimille, että uhkaperusteinen tunkeutumistestaus on toteutettu.
2. Testaajien on neljän viikon kuluessa punaisen tiimin aktiivisen testausvaiheen päättymisestä toimitettava testaustoimintaa johtavalle ryhmälle punaisen tiimin testiraportti, jossa on liitteessä V esitetyt tiedot.
3. Testaustoimintaa johtavan ryhmän on toimitettava punaisen tiimin testiraportti siniselle tiimille ja testauspäälliköille ilman aiheetonta viivytystä.
Ensimmäisessä alakohdassa tarkoitettu raportti ei saa sisältää arkaluonteisia tietoja, jos testauspäälliköt niin pyytävät.
4. Sinisen tiimin on punaisen tiimin testiraportin saatuaan ja viimeistään kymmenen viikon kuluttua punaisen tiimin aktiivisen testausvaiheen päättymisestä toimitettava testaustoimintaa johtavalle ryhmälle sinisen tiimin testiraportti, jossa on liitteessä VI esitetyt tiedot. Testaustoimintaa johtavan ryhmän on toimitettava sinisen tiimin testiraportti testaajille ja testauspäälliköille ilman aiheetonta viivytystä.
Ensimmäisessä alakohdassa tarkoitettu raportti ei saa sisältää arkaluonteisia tietoja, jos testauspäälliköt niin pyytävät.
5. Sinisen tiimin ja testaajien on kymmenen viikon kuluessa punaisen tiimin aktiivisen testausvaiheen päättymisestä käytävä läpi uhkaperusteisen tunkeutumistestin aikana toteutetut hyökkäys- ja puolustustoimet. Testaustoimintaa johtavan ryhmän on myös toteutettava sinisen tiimin ja testaajien yhdessä yksilöimiin aiheisiin liittyvä purppuran tiimin harjoitus, joka perustuu testauksen aikana havaittuihin haavoittuvuuksiin ja tarvittaessa seikkoihin, joita ei voitu testata punaisen tiimin aktiivisen testausvaiheen aikana.
6. Kun läpikäynti ja purppuran tiimin harjoitus on saatu päätökseen, testaustoimintaa johtavan ryhmän, sinisen tiimin, testaajien ja uhkatiedustelutietojen tarjoajien on annettava toisilleen palautetta uhkaperusteisesta tunkeutumistestauksesta. Myös testauspäälliköt voivat antaa palautetta.
7. Kun uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on ilmoittanut testaustoimintaa johtavan ryhmän vetäjälle arvioineensa, että sinisen tiimin testiraportti ja punaisen tiimin testiraportti sisältävät liitteissä V ja VI esitetyt tiedot, finanssiyhteisön on kahdeksan viikon kuluessa toimitettava asetuksen (EU) 2022/2554 26 artiklan 6 kohdassa tarkoitetulle uhkaperusteisesta tunkeutumistestauksesta vastaavalle viranomaiselle hyväksyntää varten liitteessä VII esitetyt tiedot sisältävä raportti, jossa esitetään yhteenveto asiaankuuluvista uhkaperusteiseen tunkeutumistestaukseen liittyvistä havainnoista.
Ensimmäisessä alakohdassa tarkoitettu raportti ei saa sisältää arkaluonteisia tietoja, jos uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen niin pyytää.
13 artikla
Korjaussuunnitelma
1. Finanssiyhteisön on kahdeksan viikon kuluessa tämän asetuksen 12 artiklan 7 kohdassa tarkoitetusta ilmoituksesta toimitettava uhkaperusteisesta tunkeutumistestauksesta vastaavalle viranomaiselle ja, jos se on eri viranomainen, finanssiyhteisön toimivaltaiselle viranomaiselle korjaussuunnitelma ja asetuksen (EU) 2022/2554 26 artiklan 6 kohdassa tarkoitetut asiakirjat.
2. Edellä 1 kohdassa tarkoitetussa korjaussuunnitelmassa on esitettävä kunkin uhkaperusteisen tunkeutumistestauksen yhteydessä tehdyn havainnon osalta
|
a) |
kuvaus havaituista puutteista; |
|
b) |
kuvaus ehdotetuista korjaavista toimenpiteistä, mukaan lukien tarvittaessa toimenpiteet tunnistus-, suojelu-, havaitsemis- ja reagointivalmiuksien parantamiseksi, ja niiden priorisoinnista ja odotetusta toteutusaikataukusta; |
|
c) |
perussyyanalyysi; |
|
d) |
finanssiyhteisön henkilöstö tai toiminnot, jotka vastaavat ehdotettujen korjaavien toimenpiteiden tai parannusten toteuttamisesta; |
|
e) |
b alakohdassa tarkoitettujen toimenpiteiden toteuttamatta jättämiseen liittyvät riskit ja tarvittaessa tällaisten toimenpiteiden toteuttamiseen liittyvät riskit. |
14 artikla
Todistus
1. Asetuksen (EU) 2022/2554 26 artiklan 7 kohdassa tarkoitetussa todistuksessa on oltava liitteessä VIII esitetyt tiedot.
2. Jos uhkaperusteiseen tunkeutumistestaukseen on osallistunut useita uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia, johtavan viranomaisen on toimitettava testatuille finanssiyhteisöille asetuksen (EU) 2022/2554 26 artiklan 7 kohdassa tarkoitettu todistus.
15 artikla
Sisäisten testaajien käyttö
1. Finanssiyhteisöjen on sisäisten testaajien käyttöä varten otettava käyttöön kaikki seuraavat järjestelyt:
|
a) |
laadittava ja otettava käyttöön toimintaperiaatteet sisäisten testaajien hallinnointiin uhkaperusteisessa tunkeutumistestauksessa; |
|
b) |
toimenpiteet, joilla varmistetaan, että sisäisten testaajien käyttö uhkaperusteisen tunkeutumistestauksen toteuttamiseen ei vaikuta kielteisesti finanssiyhteisön yleisiin puolustusvalmiuksiin tai häiriönsietokykyyn TVT-poikkeamien osalta tai vaikuta merkittävästi TVT:hen liittyviin tehtäviin kohdennettujen resurssien saatavuuteen uhkaperusteisen tunkeutumistestauksen aikana; |
|
c) |
toimenpiteet, joilla varmistetaan, että sisäisillä testaajilla on riittävät resurssit ja valmiudet uhkaperusteisen tunkeutumistestin toteuttamiseen. |
Edellä a alakohdassa tarkoitettuja toimintaperiaatteita koskevat seuraavat vaatimukset:
|
a) |
niissä on oltava kriteerit sisäisten testaajien soveltuvuuden, pätevyyden ja mahdollisten eturistiriitojen arvioimiseksi ja määritettävä hallinnointivastuut testausprosessissa; |
|
b) |
ne on dokumentoitava ja niitä on tarkistettava säännöllisesti; |
|
c) |
niissä on määrättävä, että sisäiseen testausryhmään kuuluu johtava testaaja ja vähintään kaksi muuta jäsentä; |
|
d) |
niissä on vaadittava, että kaikki testiryhmän jäsenet ovat olleet finanssiyhteisön tai konsernin sisäisen TVT-palveluntarjoajan palveluksessa viimeksi kuluneiden 12 kuukauden ajan; |
|
e) |
niiden on sisällettävä määräyksiä sisäisten testaajien kouluttamisesta tunkeutumistestaukseen ja punaisen tiimin testaukseen. |
2. Jos uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen hyväksyy sisäisten testaajien käytön asetuksen (EU) 2022/2554 27 artiklan 2 kohdan a alakohdan mukaisesti, kyseisen viranomaisen on otettava huomioon tämän asetuksen 7 artiklan 1 kohdassa säädetyt vaatimukset.
3. Kun finanssiyhteisö käyttää sisäisiä testaajia, sen on varmistettava, että tämä mainitaan seuraavissa asiakirjoissa:
|
a) |
9 artiklassa tarkoitetut testauksen käynnistämistä koskevat tiedot, |
|
b) |
12 artiklan 2 kohdassa tarkoitettu punaisen tiimin testiraportti; |
|
c) |
asetuksen (EU) 2022/2554 26 artiklan 6 kohdassa tarkoitettu yhteenveto uhkaperusteisen tunkeutumistestin asiaankuuluvista havainnoista. |
4. Konsernin sisäisen TVT-palveluntarjoajan palveluksessa olevat testaajat katsotaan finanssiyhteisön sisäisiksi testaajiksi.
16 artikla
Yhteistyö ja vastavuoroinen tunnustaminen
1. Kun toteutetaan uhkaperusteinen tunkeutumistestaus finanssiyhteisölle, joka tarjoaa palveluja useammassa kuin yhdessä jäsenvaltiossa, myös jos palveluja tarjotaan sivuliikkeen kautta, finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on
|
a) |
määritettävä, mitkä uhkaperusteisesta tunkeutumistestauksesta vastaavat vastaanottavien jäsenvaltioiden viranomaiset osallistuvat testaukseen, ottaen huomioon, hoidetaanko vastaanottavissa jäsenvaltioissa yhtä tai useampaa kriittistä tai tärkeää toimintoa tai käytetäänkö yhtä tai useampaa kriittistä tai tärkeää toimintoa useasta vastaanottavasta jäsenvaltiosta; |
|
b) |
ilmoitettava a alakohdan mukaisesti yksilöidyille uhkaperusteisesta tunkeutumistestauksesta vastaaville viranomaisille päätöksestään toteuttaa finanssiyhteisöä koskeva uhkaperusteinen tunkeutumistestaus; |
|
c) |
jolleivät uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset toisin sovi, finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on johdettava uhkaperusteista tunkeutumistestausta. |
Vastaanottavien jäsenvaltioiden uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset voivat 20 työpäivän kuluessa siitä, kun ne ovat saaneet tiedon tulevasta uhkaperusteisesta tunkeutumistestauksesta, ilmaista kiinnostuksensa seurata testausta tarkkailijoina tai nimetä testaukseen osallistuvan testauspäällikön. Johtavan uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on toimitettava kaikille testaukseen tarkkailijoina osallistuville uhkaperusteisesta tunkeutumistestauksesta vastaaville viranomaisille testauksen soveltamisalan määrittävä asiakirja, testien tiivistelmäraportti, korjaussuunnitelma ja todistus.
Johtavan uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on koordinoitava kaikkia osallistuvia uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia koko testin ajan ja tehtävä kaikki päätökset, jotka ovat tarpeen uhkaperusteisen tunkeutumistestauksen toteuttamiseksi asianmukaisella ja tuloksellisella tavalla. Johtava uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen voi asettaa osallistuville uhkaperusteisesta tunkeutumistestauksesta vastaaville viranomaisille enimmäismäärän, jos uhkaperusteisen tunkeutumistestauksen tuloksellinen toteuttaminen voisi muuten vaarantua.
2. Jos finanssiyhteisö käyttää samaa konsernin sisäistä TVT-palveluntarjoajaa kuin muihin jäsenvaltioihin sijoittautuneet finanssiyhteisöt tai käyttää muihin jäsenvaltioihin sijoittautuneiden samaan konserniin kuuluvien finanssiyhteisöjen kanssa yhteisiä TVT-järjestelmiä, finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on otettava yhteyttä samaa konsernin sisäistä TVT-palveluntarjoajaa käyttävien tai konsernin yhteisiä TVT-järjestelmiä käyttävien finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaaviin viranomaisiin ja arvioitava niiden kanssa, onko kyseisten finanssiyhteisöjen osalta mahdollista ja tarkoituksenmukaista toteuttaa yhteinen uhkaperusteinen tunkeutumistestaus. Yhteisen uhkaperusteisen tunkeutumistestauksen toteuttamista on pidettävä parempana vaihtoehtona kuin yksittäisen uhkaperusteisen tunkeutumistestauksen toteuttamista, jos sillä voidaan vähentää finanssiyhteisöille ja uhkaperusteisesta tunkeutumistestauksesta vastaaville viranomaisille aiheutuvia kustannuksia ja niiltä vaadittavia resursseja edellyttäen, että testauksen moitteettomuus ja tuloksellisuus ei vaarannu.
3. Yhteisen uhkaperusteisen tunkeutumistestauksen toteuttamiseksi:
|
a) |
finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on konsernin rakenteen ja testauksen tuloksellisuuden perusteella sovittava, mikä finanssiyhteisö nimetään toteuttamaan uhkaperusteinen tunkeutumistestaus; |
|
b) |
edellä olevan a alakohdan mukaisesti nimetyn finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on johdettava uhkaperusteista tunkeutumistestausta, elleivät yhteiseen testaukseen osallistuvien finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset toisin sovi; |
|
c) |
viranomaiset, jotka vastaavat muiden finanssiyhteisöjen kuin yhteistä uhkaperusteista tunkeutumistestausta johtamaan nimetyn finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta, voivat joko ilmaista kiinnostuksensa seurata testausta tarkkailijoina tai nimetä testausta varten testauspäällikön. |
Johtavan uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on koordinoitava kaikkia testaukseen osallistuvia uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia ja tehtävä kaikki päätökset, jotka ovat tarpeen uhkaperusteisen tunkeutumistestauksen toteuttamiseksi moitteettomalla ja tuloksellisella tavalla.
4. Jos finanssiyhteisö aikoo toteuttaa asetuksen (EU) 2022/2554 26 artiklan 4 kohdassa tarkoitetun yhdistetyn uhkaperusteisen tunkeutumistestauksen, johon mahdollisesti osallistuu muihin jäsenvaltioihin sijoittautuneita finanssiyhteisöjä, sen uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on otettava yhteyttä kyseisten muiden finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaaviin viranomaisiin ja arvioitava niiden kanssa, onko kyseisten finanssiyhteisöjen osalta mahdollista ja tarkoituksenmukaista toteuttaa asetuksen (EU) 2022/2554 26 artiklan 4 kohdan mukainen yhdistetty uhkaperusteinen tunkeutumistestaus.
5. Asetuksen (EU) 2022/2554 26 artiklan 4 kohdassa tarkoitetun yhdistetyn uhkaperusteisen tunkeutumistestauksen toteuttamista varten
|
a) |
finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavien viranomaisten on sovittava, mikä finanssiyhteisö nimetään toteuttamaan yhdistetty testaus, ottaen huomioon TVT-palveluntarjoajana olevan kolmannen osapuolen finanssiyhteisöille tarjoamat TVT-palvelut ja testin tuloksellisuus; |
|
b) |
edellä olevan a alakohdan mukaisesti nimetyn finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on johdettava uhkaperusteista tunkeutumistestausta, elleivät yhdistettyyn testaukseen osallistuvien finanssiyhteisöjen uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset toisin sovi; |
|
c) |
muiden finanssiyhteisöjen kuin yhdistettyä uhkaperusteista tunkeutumistestausta johtamaan nimetyn finanssiyhteisön uhkaperusteisesta tunkeutumistestauksesta vastaavat viranomaiset voivat joko ilmaista kiinnostuksensa seurata testausta tarkkailijoina tai nimetä testausta varten testauspäällikön. |
Johtavan uhkaperusteisesta tunkeutumistestauksesta vastaavan viranomaisen on koordinoitava kaikkia yhdistettyyn testaukseen osallistuvia uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia ja tehtävä kaikki päätökset, jotka ovat tarpeen yhdistetyn uhkaperusteisen tunkeutumistestauksen toteuttamiseksi moitteettomalla ja tuloksellisella tavalla.
6. Jos finanssiyhteisön, jonka edellytetään toteuttavan uhkaperusteisen tunkeutumistestauksen, uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on eri kuin sen asetuksen (EU) 2022/2554 46 artiklassa tarkoitettu toimivaltainen viranomainen, kyseisten viranomaisten on uhkaperusteisen tunkeutumistestauksen toteuttamista varten ja kyseisen asetuksen mukaisten tehtäviensä suorittamiseksi jaettava merkitykselliset tiedot kaikista uhkaperusteiseen tunkeutumistestaukseen liittyvistä seikoista.
17 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 13 päivänä helmikuuta 2025.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Euroopan parlamentin ja neuvoston asetus (EU) 2023/1114, annettu 31 päivänä toukokuuta 2023, kryptovarojen markkinoista sekä asetusten (EU) N:o 1093/2010 ja (EU) N:o 1095/2010 ja direktiivien 2013/36/EU ja (EU) 2019/1937 (EUVL L 150, 9.6.2023, s. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj).
(3) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1094/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan vakuutus- ja lisäeläkeviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/79/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Euroopan parlamentin ja neuvoston direktiivi 2013/36/EU, annettu 26 päivänä kesäkuuta 2013, oikeudesta harjoittaa luottolaitostoimintaa ja luottolaitosten vakavaraisuusvalvonnasta, direktiivin 2002/87/EY muuttamisesta sekä direktiivien 2006/48/EY ja 2006/49/EY kumoamisesta (EUVL L 176, 27.6.2013, s. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
(8) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta (EUVL L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(9) Euroopan parlamentin ja neuvoston direktiivi 2014/65/EU, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä direktiivin 2002/92/EY ja direktiivin 2011/61/EU muuttamisesta (EUVL L 173, 12.6.2014, s. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).
(10) Euroopan parlamentin ja neuvoston asetus (EU) N:o 600/2014, annettu 15 päivänä toukokuuta 2014, rahoitusvälineiden markkinoista sekä asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 173, 12.6.2014, s. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj).
(11) Euroopan parlamentin ja neuvoston direktiivi 2009/138/EY, annettu 25 päivänä marraskuuta 2009, vakuutus- ja jälleenvakuutustoiminnan aloittamisesta ja harjoittamisesta (Solvenssi II) (EUVL L 335, 17.12.2009, s. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj).
LIITE I
Hankekuvauksen sisältö (9 artiklan 2 kohdan a alakohta)
|
Hankekuvaukseen merkittävät tiedot |
Vaadittavat tiedot |
||||||
|
Hankesuunnitelmasta vastaava henkilö eli testaustoimintaa johtavan ryhmän vetäjä |
Nimi Yhteystiedot |
||||||
|
Testaajat |
|
||||||
|
Viestintäkanavat, jotka on valittu 9 artiklan 2 kohdan d alakohdan ja 9 artiklan 4 kohdan a alakohdan mukaisesti, mukaan lukien
|
|
||||||
|
Uhkaperusteisen tunkeutumistestauksen koodinimi |
|
||||||
|
Mahdolliset kriittiset tai tärkeät toiminnot, joita finanssiyhteisöllä on muissa jäsenvaltioissa |
|
||||||
|
Mahdolliset TVT-palveluntarjoajana olevien kolmansien osapuolten tukemat kriittiset tai tärkeät toiminnot |
|
||||||
|
Odotetut määräajat seuraavien toimien loppuun saattamiselle: |
|||||||
|
vvvv-kk-pp |
||||||
|
vvvv-kk-pp |
||||||
|
vvvv-kk-pp |
||||||
|
vvvv-kk-pp |
||||||
LIITE II
Testauksen soveltamisalan määrittävän asiakirjan sisältö (9 artiklan 6 kohta)
1.
Testauksen soveltamisalan määrittävässä asiakirjassa on oltava luettelo kaikista finanssiyhteisön yksilöimistä kriittisistä tai tärkeistä toiminnoista.
2.
Kustakin yksilöidystä kriittisestä tai tärkeästä toiminnosta on annettava seuraavat tiedot:|
a) |
jos kriittinen tai tärkeä toiminto on jätetty uhkaperusteisen tunkeutumistestauksen ulkopuolelle, selvitys tämän syistä; |
|
b) |
jos kriittinen tai tärkeä toiminto on sisällytetty uhkaperusteiseen tunkeutumistestaukseen:
|
LIITE III
Kohdennetun uhkatiedusteluraportin sisältö (10 artiklan 5 kohta)
Kohdennetussa uhkatiedusteluraportissa on oltava tiedot kaikista seuraavista:
|
1. |
Uhkatiedustelun yleinen laajuus, mukaan lukien vähintään seuraavat:
|
|
2. |
Yleisarvio siitä, mitä konkreettisia ja käyttökelpoisia tiedustelutietoja finanssiyhteisöstä on saatavilla, mukaan lukien seuraavat:
|
|
3. |
Uhkatiedusteluanalyysi, jossa otetaan huomioon yleinen uhkaympäristö ja finanssiyhteisön erityistilanne, mukaan lukien vähintään seuraavat:
|
|
4. |
Uhkaprofiilit vihamielisistä toimijoista (tietyt yksilöt/ryhmät tai yleinen joukko), jotka voivat ottaa kohteekseen finanssiyhteisön, sekä finanssiyhteisön järjestelmät, jotka vihamieliset toimijat todennäköisimmin vaarantavat tai ottavat kohteekseen, vihamielisen toiminnan motiivi, tarkoitus ja perustelut sekä hyökkääjien mahdolliset toimintatavat. |
|
5. |
Uhkaskenaariot: vähintään kolme kattavaa uhkaskenaariota sellaisten 4 kohdan mukaisesti määritettyjen uhkaprofiilien osalta, joissa uhan vakavuus on korkein. Uhkaskenaarioissa on kuvattava hyökkäysreitti kokonaisuudessaan, ja niihin on sisällyttävä vähintään seuraavat:
|
|
6. |
Tarvittaessa kuvaus 10 artiklan 4 kohdassa tarkoitetusta muusta kuin uhkaperusteisesta skenaariosta. |
LIITE IV
Punaisen tiimin testaussuunnitelman sisältö (11 artiklan 1 kohta)
Punaisen tiimin testaussuunnitelmassa on oltava tiedot kaikista seuraavista:
|
a) |
viestintäkanavat ja menettelyt; |
|
b) |
hyökkäyksessä sallitut ja kielletyt taktiikat, tekniikat ja menettelyt, mukaan lukien käyttäjien manipuloinnin eettiset rajat; |
|
c) |
riskinhallintatoimenpiteet, joita testaajien on käytettävä; |
|
d) |
kuvaus kustakin skenaariosta, mukaan lukien
|
|
e) |
yksityiskohtainen kuvaus kustakin odotetusta hyökkäysreitistä, mukaan lukien niihin liittyvät perusedellytykset ja mahdollinen testaustoimintaa johtavalta ryhmältä tarvittava avustus, mukaan lukien määräajat avustuksen antamiselle ja mahdolliselle käytölle; |
|
f) |
punaisen tiimin toimien aikataulu, mukaan lukien ajankäytön suunnittelu kunkin skenaarion toteuttamiseksi niin, että testausvaihe jaetaan vähintään kolmeen vaiheeseen, joiden aikana testaaja murtautuu finanssiyhteisöjen TVT-järjestelmiin, liikkuu tarvittavin toimin TVT-järjestelmien läpi ja toteuttaa viime kädessä toimia testauksen kohteissa ja lopulta poistuu TVT-järjestelmistä (sisäänmeno-, läpikulku- ja poistumisvaiheet); |
|
g) |
finanssiyhteisöjen infrastruktuurin erityispiirteet, jotka testauksessa on otettava huomioon; |
|
h) |
mahdolliset muut tiedot tai resurssit, joita testaajat tarvitsevat skenaarioiden toteuttamista varten. |
LIITE V
Punaisen tiimin testiraportin sisältö (12 artiklan 2 kohta)
Punaisen tiimin testiraportissa on oltava tiedot vähintään kaikista seuraavista:
|
a) |
tiedot tehdystä hyökkäyksestä, mukaan lukien
|
|
b) |
kaikki testaajien tiedossa olevat sinisen tiimin toimet, joilla sininen tiimi pyrki rekonstruoimaan hyökkäyksen ja lieventämään sen vaikutuksia; |
|
c) |
havaitut haavoittuvuudet ja muut havainnot, mukaan lukien
|
LIITE VI
Sinisen tiimin testiraportin sisältö (12 artiklan 4 kohta)
Sinisen tiimin testiraportissa on oltava tiedot vähintään kaikista seuraavista:
|
1. |
kunkin testaajien punaisen tiimin testiraportissa kuvaaman hyökkäyksen osalta
|
|
2. |
arvio testaajien antamista havainnoista ja suosituksista; |
|
3. |
sinisen tiimin keräämät todisteet testaajien hyökkäyksestä; |
|
4. |
sinisen tiimin perussyyanalyysi testaajien onnistuneista hyökkäyksistä; |
|
5. |
luettelo saaduista kokemuksista ja havaituista parannustarpeista; |
|
6. |
luettelo aiheista, joita on käsiteltävä purppuran tiimin harjoituksessa. |
LIITE VII
Asetuksen (EU) 2022/2554 26 artiklan 6 kohdassa tarkoitetun uhkaperusteisen tunkeutumistestauksen asiaankuuluvista havainnoista tehdyn yhteenvedon sisältö
Testin yhteenvetoraportissa on oltava tiedot vähintään kaikista seuraavista:
|
a) |
testaukseen osallistuneet osapuolet; |
|
b) |
hankesuunnitelma; |
|
c) |
testauksen vahvistettu soveltamisala, mukaan lukien perustelut sille, miksi kriittiset tai tärkeät toiminnot ja niitä tukevat yksilöidyt TVT-järjestelmät, -prosessit ja -teknologiat on sisällytetty testaukseen tai jätetty testauksen ulkopuolelle; |
|
d) |
valitut skenaariot ja mahdolliset merkittävät poikkeamat kohdennetusta uhkatiedusteluraportista; |
|
e) |
toteutetut hyökkäysreitit ja käytetyt taktiikat, tekniikat ja menettelyt; |
|
f) |
saavutetut ja saavuttamatta jääneet liput; |
|
g) |
mahdolliset poikkeamat punaisen tiimin testaussuunnitelmasta; |
|
h) |
mahdolliset sinisen tiimin havaitsemat hyökkäykset; |
|
i) |
purppuran tiimin käyttö testausvaiheessa, jos sitä on käytetty, ja siihen liittyvät olosuhteet; |
|
j) |
mahdollisesti käytetty avustus; |
|
k) |
toteutetut riskinhallintatoimenpiteet; |
|
l) |
havaitut haavoittuvuudet ja muut havainnot, mukaan lukien niiden kriittisyys; |
|
m) |
onnistuneiden hyökkäysten perussyyanalyysi; |
|
n) |
ylätason korjaussuunnitelma, jossa yhdistetään haavoittuvuudet ja muut havainnot, niiden perimmäiset syyt ja korjaustarpeen kiireellisyys; |
|
o) |
palautteesta opitut asiat. |
LIITE VIII
Asetuksen (EU) 2022/2554 26 artiklan 7 kohdassa tarkoitetun todistuksen sisältö
Todistuksessa on oltava vähintään kaikki seuraavat tiedot:
|
a) |
toteutetun uhkaperusteisen tunkeutumistestin osalta:
|
|
b) |
mitä muita uhkaperusteisesta tunkeutumistestauksesta vastaavia viranomaisia mahdollisesti osallistui testaukseen ja missä ominaisuudessa; |
|
c) |
luettelo asiakirjoista, joita uhkaperusteisesta tunkeutumistestauksesta vastaava viranomainen on tarkastellut todistuksen antamista varten. |
ELI: http://data.europa.eu/eli/reg_del/2025/1190/oj
ISSN 1977-0812 (electronic edition)