This document is an excerpt from the EUR-Lex website
Document 32025R1190
Commission Delegated Regulation (EU) 2025/1190 of 13 February 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria used for identifying financial entities required to perform threat-led penetration testing, the requirements and standards governing the use of internal testers, the requirements in relation to the scope, testing methodology and approach for each phase of the testing, results, closure and remediation stages and the type of supervisory and other relevant cooperation needed for the implementation of TLPT and for the facilitation of mutual recognition
Regolament Delegat tal-Kummissjoni (UE) 2025/1190 tat-13 ta’ Frar 2025 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw il-kriterji użati għall-identifikazzjoni tal-entitajiet finanzjarji meħtieġa biex jagħmlu l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid, ir-rekwiżiti u l-istandards li jirregolaw l-użu ta’ testers interni, ir-rekwiżiti fir-rigward tal-kamp ta’ applikazzjoni, il-metodoloġija tal-ittestjar u l-approċċ għal kull fażi tal-istadji tal-ittestjar, tar-riżultati, tal-istadji tal-għeluq u tar-rimedju u t-tip ta’ kooperazzjoni superviżorja u kooperazzjoni rilevanti oħra meħtieġa għall-implimentazzjoni tat-TLPT u għall-faċilitazzjoni tar-rikonoxximent reċiproku
Regolament Delegat tal-Kummissjoni (UE) 2025/1190 tat-13 ta’ Frar 2025 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw il-kriterji użati għall-identifikazzjoni tal-entitajiet finanzjarji meħtieġa biex jagħmlu l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid, ir-rekwiżiti u l-istandards li jirregolaw l-użu ta’ testers interni, ir-rekwiżiti fir-rigward tal-kamp ta’ applikazzjoni, il-metodoloġija tal-ittestjar u l-approċċ għal kull fażi tal-istadji tal-ittestjar, tar-riżultati, tal-istadji tal-għeluq u tar-rimedju u t-tip ta’ kooperazzjoni superviżorja u kooperazzjoni rilevanti oħra meħtieġa għall-implimentazzjoni tat-TLPT u għall-faċilitazzjoni tar-rikonoxximent reċiproku
C/2025/885
ĠU L, 2025/1190, 18.6.2025, ELI: http://data.europa.eu/eli/reg_del/2025/1190/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Il-Ġurnal Uffiċjali |
MT Is-serje L |
|
2025/1190 |
18.6.2025 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2025/1190
tat-13 ta’ Frar 2025
li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw il-kriterji użati għall-identifikazzjoni tal-entitajiet finanzjarji meħtieġa biex jagħmlu l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid, ir-rekwiżiti u l-istandards li jirregolaw l-użu ta’ testers interni, ir-rekwiżiti fir-rigward tal-kamp ta’ applikazzjoni, il-metodoloġija tal-ittestjar u l-approċċ għal kull fażi tal-istadji tal-ittestjar, tar-riżultati, tal-istadji tal-għeluq u tar-rimedju u t-tip ta’ kooperazzjoni superviżorja u kooperazzjoni rilevanti oħra meħtieġa għall-implimentazzjoni tat-TLPT u għall-faċilitazzjoni tar-rikonoxximent reċiproku
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 26(11), ir-raba’ subparagrafu tiegħu,
Billi:
|
(1) |
Dan ir-Regolament ġie abbozzat f’konformità mal-qafas TIBER-UE u jirrifletti l-metodoloġija, il-proċess u l-istruttura tal-ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT, threat-led penetration testing) kif deskritt f’TIBER-UE. L-entitajiet finanzjarji soġġetti għat-TLPT jistgħu jirreferu għall-qafas TIBER-UE u japplikaw lilu jew waħda mill-implimentazzjonijiet nazzjonali tiegħu, sakemm dak il-qafas jew dik l-implimentazzjoni tkun konsistenti mar-rekwiżiti stabbiliti fl-Artikoli 26 u 27 tar-Regolament (UE) 2022/2554 u f’dan ir-Regolament. Id-deżinjazzjoni ta’ awtorità pubblika unika fis-settur finanzjarju li tkun responsabbli għal kwistjonijiet relatati mat-TLPT fil-livell nazzjonali f’konformità mal-Artikolu 26(9) tar-Regolament (UE) 2022/2554 jenħtieġ li tkun mingħajr preġudizzju għall-kompetenza tal-awtoritajiet kompetenti fdati fil-livell tal-Unjoni għas-superviżjoni ta’ ċerti entitajiet finanzjarji f’konformità mal-Artikolu 46 ta’ dak ir-Regolament bħal, pereżempju, il-Bank Ċentrali Ewropew għal istituzzjonijiet ta’ kreditu sinifikanti li għandhom jitqiesu kompetenti għal kwistjonijiet relatati mat-TLPT. Meta xi wħud biss mill-kompiti relatati mat-TLPTs jiġu ddelegati lil awtorità nazzjonali oħra fis-settur finanzjarju skont l-Artikolu 26(10) tar-Regolament (UE) 2022/2554, jenħtieġ li l-awtorità kompetenti tal-entità finanzjarja msemmija fl-Artikolu 46 ta’ dak ir-Regolament tibqa’ l-awtorità għall-kompiti relatati mat-TLPT li ma jkunux ġew iddelegati. |
|
(2) |
Meta titqies il-kumplessità tat-TLPT u r-riskji relatati miegħu, jenħtieġ li l-użu tiegħu jkun ristrett għal dawk l-entitajiet finanzjarji li għalihom huwa ġġustifikat. Għalhekk, jenħtieġ li l-awtoritajiet responsabbli għall-kwistjonijiet tat-TLPT (l-awtoritajiet tat-TLPT, fil-livell tal-Unjoni jew f’dak nazzjonali) jeskludu mill-ambitu tat-TLPT dawk l-entitajiet finanzjarji li joperaw f’subsetturi ewlenin tas-servizzi finanzjarji li għalihom it-TLPT mhuwiex iġġustifikat. Dan ifisser li l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament u tal-flus elettroniċi, id-depożitorji ċentrali tat-titoli, il-kontropartijiet ċentrali, iċ-ċentri ta’ negozjar, l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni, minkejja li jissodisfaw il-kriterji kwantitattivi, jistgħu jiġu rilaxxati mir-rekwiżit tat-TLPT fid-dawl ta’ valutazzjoni ġenerali tal-profil tar-riskju u tal-maturità tal-ICT tagħhom, l-impatt fuq is-settur finanzjarju, u t-tħassib relatat dwar l-istabbiltà finanzjarja. |
|
(3) |
L-awtoritajiet tat-TLPT jenħtieġ li jivvalutaw, fid-dawl ta’ valutazzjoni ġenerali tal-profil tar-riskju u tal-maturità tal-ICT, tal-impatt fuq is-settur finanzjarju, u tat-tħassib relatat dwar l-istabbiltà finanzjarja, jekk kwalunkwe tip ta’ entità finanzjarja għajr l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament, l-istituzzjonijiet tal-flus elettroniċi, il-kontropartijiet ċentrali, id-depożitorji ċentrali tat-titoli, iċ-ċentri ta’ negozjar, l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni jenħtieġx li tkun soġġetta għat-TLPT. Jenħtieġ li l-valutazzjoni ta’ jekk tali entitajiet finanzjarji jissodisfawx dawk il-kriterji kwalitattivi jkollha l-għan li tidentifika entitajiet finanzjarji li għalihom it-TLPT ikun xieraq bl-użu ta’ indikaturi transsettorjali u oġġettivi. Fl-istess ħin, jenħtieġ li l-valutazzjoni ta’ jekk entità finanzjarja tissodisfax dawk il-kriterji kwalitattivi tillimita l-entitajiet soġġetti għat-TLPT għal dawk li għalihom l-ittestjar huwa ġġustifikat. Jenħtieġ li jiġi vvalutat ukoll jekk entità finanzjarja tissodisfax dawk il-kriterji kwalitattivi fid-dawl tal-iżviluppi ġodda tas-suq u tal-importanza dejjem akbar ta’ parteċipanti ġodda fis-suq għas-settur finanzjarju fil-futur, inklużi l-fornituri ta’ servizzi tal-kriptoassi awtorizzati f’konformità mal-Artikolu 59 tar-Regolament (UE) 2023/1114 tal-Parlament Ewropew u tal-Kunsill (2). |
|
(4) |
L-entitajiet finanzjarji jista’ jkollhom l-istess fornitur intragrupp ta’ servizzi tal-ICT jew jistgħu jappartjenu għall-istess grupp u jiddependu fuq l-użu ta’ sistemi tal-ICT kondiviżi. F’dak il-każ, huwa importanti li l-awtoritajiet tat-TLPT iqisu l-istruttura u l-karattru sistemiku jew l-importanza għas-settur finanzjarju ta’ dik l-entità finanzjarja fil-livell nazzjonali jew f’dak tal-Unjoni fil-valutazzjoni ta’ jekk entità finanzjarja jenħtieġx li tkun soġġetta għat-TLPT u ta’ jekk it-TLPT jenħtieġx li jsir fil-livell tal-entità jew fil-livell tal-grupp (permezz ta’ TLPT konġunt). |
|
(5) |
Biex isir l-istess bħal fil-qafas TIBER-UE, huwa meħtieġ li l-metodoloġija tal-ittestjar tipprevedi l-involviment tal-parteċipanti ewlenin li ġejjin: l-entità finanzjarja, b’tim ta’ kontroll (li jirrifletti t-“tim ta’ kontroll” ta’ TIBER-UE) u tim blu (li jirrifletti t-“tim il-blu” ta’ TIBER-UE), u l-awtorità tat-TLPT, fil-forma ta’ tim ċibernetiku tat-TLPT (li jirrifletti t-“timijiet ċibernetiċi TIBER” ta’ TIBER-UE), fornitur tal-intelligence dwar it-theddid, u testers (fejn it-testers jirriflettu l-“fornitur tat-tim l-aħmar” ta’ TIBER-UE). |
|
(6) |
Biex jiġi żgurat li t-TLPT jibbenefika mill-esperjenza żviluppata fil-qafas tal-implimentazzjoni ta’ TIBER-UE u biex jitnaqqsu r-riskji assoċjati mat-twettiq tat-TLPT, jenħtieġ li jiġi żgurat li r-responsabbiltajiet tat-timijiet ċibernetiċi tat-TLPT, li għandhom jiġu stabbiliti fil-livell tal-awtoritajiet tat-TLPT, jaqblu kemm jista’ jkun ma’ dawk tat-timijiet ċibernetiċi ta’ TIBER-UE. Għalhekk, jenħtieġ li t-timijiet ċibernetiċi tat-TLPT ikollhom maniġers tat-testijiet li jkunu responsabbli għas-sorveljanza tat-TLPTs individwali u għall-ippjanar u l-koordinazzjoni ta’ testijiet individwali. It-timijiet ċibernetiċi tat-TLPT jenħtieġ li jservu bħala punt uniku ta’ kuntatt għall-komunikazzjoni relatata mat-testijiet mal-partijiet ikkonċernati interni u esterni, għall-ġbir u l-ipproċessar tal-feedback u tat-tagħlimiet meħuda minn testijiet li jkunu saru qabel, u għall-appoġġ tal-entitajiet finanzjarji li jkunu qed jagħmlu l-ittestjar tat-TLPT. |
|
(7) |
Biex isir l-istess bħal fil-metodoloġija ta’ qafas TIBER-UE, jenħtieġ li l-maniġers tat-testijiet ikollhom il-ħiliet u l-kapaċitajiet meħtieġa biex jipprovdu pariri u biex jikkontestaw il-proposti tat-testers. L-esperjenza fil-qafas TIBER-UE wriet li huwa siewi li jkun hemm tim ta’ mill-anqas żewġ maniġers tat-testijiet assenjati ma’ kull test. Biex jiġi rifless li t-TLPT qed jintuża għall-inċentivar tal-esperjenza ta’ tagħlim, għas-salvagwardja tal-kunfidenzjalità tat-testijiet, u sakemm ma jkollhomx kwistjonijiet ta’ riżorsi jew ta’ għarfien espert, l-awtoritajiet tat-TLPT huma mħeġġa bil-kbir biex jikkunsidraw li, għad-durata ta’ TLPT, il-maniġers tat-testijiet jenħtieġ ma jwettqux attivitajiet superviżorji fuq l-istess entità finanzjarja li tkun għaddejja minn TLPT. |
|
(8) |
Huwa importanti, għall-konsistenza mal-qafas TIBER-UE, li l-awtorità tat-TLPT issegwi mill-qrib l-ittestjar f’kull wieħed mill-istadji tiegħu. Meta titqies in-natura tal-ittestjar u r-riskji assoċjati miegħu, huwa fundamentali li l-awtorità tat-TLPT tkun involuta f’kull fażi speċifika tal-ittestjar. B’mod partikolari, jenħtieġ li l-awtorità tat-TLPT tiġi kkonsultata u jenħtieġ li tivvalida dawk il-valutazzjonijiet jew id-deċiżjonijiet tal-entitajiet finanzjarji li jistgħu, minn naħa waħda, jinfluwenzaw l-effettività tat-test u, minn naħa oħra, ikollhom impatt fuq ir-riskji assoċjati mat-test. Il-passi fundamentali li fuqhom huwa meħtieġ l-involviment speċifiku tal-awtorità tat-TLPT jinkludu l-validazzjoni ta’ ċerta dokumentazzjoni fundamentali tal-ittestjar, u l-għażla ta’ fornituri tal-intelligence dwar it-theddid u testers u miżuri ta’ ġestjoni tar-riskju. L-involviment tal-awtoritajiet tat-TLPT, u b’mod partikolari għall-validazzjonijiet, jenħtieġ li ma jirriżultax f’piż eċċessiv għal dawk l-awtoritajiet u għalhekk jenħtieġ li jkun limitat għal dik id-dokumentazzjoni u dawk id-deċiżjonijiet li jaffettwaw direttament it-twettiq tat-TLPT. Permezz tal-parteċipazzjoni attiva f’kull fażi tal-ittestjar, l-awtoritajiet tat-TLPT jistgħu jivvalutaw b’mod effettiv il-konformità tal-entitajiet finanzjarji mar-rekwiżiti rilevanti, li jenħtieġ li jippermetti lil dawk l-awtoritajiet joħorġu attestazzjonijiet skont l-Artikolu 26(7) tar-Regolament (UE) 2022/2554. |
|
(9) |
Is-segretezza tat-TLPT hija tal-akbar importanza biex jiġi żgurat li l-kundizzjonijiet tal-ittestjar ikunu realistiċi. Għal dik ir-raġuni, jenħtieġ li l-ittestjar isir bil-moħbi, u jenħtieġ li jittieħdu prekawzjonijiet biex it-TLPT jinżamm kunfidenzjali, inkluża l-għażla ta’ ismijiet kodiċi li jenħtieġ li jitfasslu biex jipprevjenu l-identifikazzjoni tat-TLPT minn partijiet terzi. Jekk il-membri tal-persunal responsabbli għas-sigurtà tat-tim finanzjarju jkunu konxji ta’ TLPT ippjanat jew li jkun għaddej, x’aktarx li jkunu aktar osservanti u attenti milli waqt il-kundizzjonijiet normali tax-xogħol, b’dan jirriżulta f’eżitu alterat tal-ittestjar. Il-membri tal-persunal tal-entità finanzjarja barra mit-tim ta’ kontroll jenħtieġ li jiġu mgħarrfa biss bi kwalunkwe TLPT ippjanat jew li jkun għaddej meta jkun hemm raġunijiet konvinċenti u soġġett għall-qbil minn qabel tal-maniġers tat-testijiet, inter alia biex tiġi żgurata s-segretezza tat-test f’każ li membru tat-tim il-blu jkun induna bl-ittestjar. |
|
(10) |
Kif muri mill-esperjenza miġbura fil-qafas TIBER-UE fir-rigward tat-“tim ta’ kontroll”, l-għażla ta’ kap adegwat tat-tim ta’ kontroll hija indispensabbli għat-twettiq sikur tat-TLPT. Il-kap tat-tim ta’ kontroll jenħtieġ li jkollu l-mandat meħtieġ fi ħdan l-entità finanzjarja biex jiggwida l-aspetti kollha tal-ittestjar, mingħajr ma tiġi kompromessa l-kunfidenzjalità tiegħu. Għall-istess raġuni, il-membri tat-tim ta’ kontroll jenħtieġ li jkollhom għarfien profond tal-entità finanzjarja, tar-rwol tal-impjieg u tal-pożizzjonament strateġiku tal-kap tat-tim ta’ kontroll, jenħtieġ li jkollhom l-anzjanità meħtieġa fil-kariga tagħhom u jenħtieġ li jkollhom aċċess għall-bord maniġerjali. Biex jitnaqqas ir-riskju li t-TLPT jiġi kompromess, it-tim ta’ kontroll jenħtieġ li jkun żgħir kemm jista’ jkun. |
|
(11) |
Hemm elementi inerenti ta’ riskji assoċjati mat-TLPT peress li l-funzjonijiet kritiċi jiġu ttestjati f’ambjent ta’ produzzjoni attiv, bil-possibbiltà li jiġu kkawżati inċidenti li jwaqqfu s-servizz, kraxxijiet fis-sistema mhux mistennija, ħsarat lil sistemi ta’ produzzjoni attivi kritiċi, jew it-telf, il-modifika, jew id-divulgazzjoni tad-data. Dawk ir-riskji jenfasizzaw il-ħtieġa għal miżuri robusti ta’ ġestjoni tar-riskju. Biex jiġi żgurat li t-TLPT isir b’mod ikkontrollat matul l-ittestjar kollu, huwa importanti ħafna li l-entitajiet finanzjarji jkunu f’kull punt konxji tar-riskji partikolari li jinqalgħu f’TLPT u li dawk ir-riskji jiġu mmitigati. F’dak ir-rigward, mingħajr preġudizzju għall-proċessi interni tal-entità finanzjarja u għar-responsabbiltà u d-delegazzjonijiet diġà pprovduti lill-kap tat-tim ta’ kontroll, l-informazzjoni dwar il-miżuri ta’ ġestjoni tar-riskju tat-TLPT, jew, f’każijiet partikolari l-approvazzjoni ta’ dawk il-miżuri ta’ ġestjoni tar-riskju mill-korp maniġerjali stess tal-entità finanzjarja, tista’ tkun xierqa. Biex ikunu jistgħu jipprovdu servizzi professjonali effettivi u l-aktar kwalifikati u biex jitnaqqsu dawk ir-riskji, huwa essenzjali wkoll li t-testers u l-fornituri tal-intelligence dwar it-theddid (flimkien, il-fornituri tat-TLPT) ikollhom l-ogħla livell ta’ ħiliet, għarfien espert, u esperjenza xierqa fl-intelligence dwar it-theddid u fit-TLPT fl-industrija tas-servizzi finanzjarji. |
|
(12) |
It-testijiet tal-penetrazzjoni konvenzjonali spiss jipprovdu valutazzjoni dettaljata u utli tal-vulnerabbiltajiet tekniċi u tal-konfigurazzjoni ta’ sistema jew ambjent wieħed f’iżolament, iżda għall-kuntrarju tat-test tat-tim l-aħmar immexxi mill-intelligence, ma jivvalutawx ix-xenarju sħiħ ta’ attakk immirat kontra entità sħiħa, inkluż l-ambitu sħiħ tan-nies, il-proċessi u t-teknoloġiji tagħha. Għalhekk, matul il-proċess tal-għażla tal-fornituri tat-TLPT, l-entitajiet finanzjarji jenħtieġ li jiżguraw li dawk il-fornituri jkollhom il-ħiliet meħtieġa biex jagħmlu testijiet tat-tim l-aħmar immexxija mill-intelligence, u mhux biss testijiet tal-penetrazzjoni. Għalhekk, huwa meħtieġ li jiġu stabbiliti kriterji komprensivi għat-testers, kemm interni kif ukoll esterni, u għall-fornituri tal-intelligence dwar it-theddid, dejjem esterni. Meta l-fornituri tat-TLPT ikunu jappartjenu għall-istess kumpanija, jenħtieġ li l-persunal assenjat għal TLPT jiġi separat b’mod adegwat. |
|
(13) |
Jista’ jkun hemm ċirkostanzi eċċezzjonali fejn l-entitajiet finanzjarji ma jkunux jistgħu jikkuntrattaw fornituri tat-TLPT li jissodisfaw il-kriterji komprensivi. L-entitajiet finanzjarji, wara li jagħtu evidenza tan-nuqqas ta’ disponibbiltà ta’ tali fornituri tal-intelligence dwar it-theddid, jenħtieġ għalhekk li jitħallew jimpjegaw persuni li ma jissodisfawx il-kriterji komprensivi kollha, dment li jimmitigaw kif xieraq kwalunkwe riskju addizzjonali li jirriżulta u li l-awtorità tat-TLPT tivvaluta dawk il-kriterji kollha. |
|
(14) |
Meta diversi entitajiet finanzjarji u diversi awtoritajiet tat-TLPT ikunu involuti f’TLPT, jenħtieġ li r-rwoli tal-partijiet kollha fil-proċess tat-TLPT jiġu speċifikati biex isir l-aktar test effiċjenti u sikur. Għall-finijiet tal-ittestjar aggregat, huma meħtieġa rekwiżiti speċifiċi biex jiġi speċifikat ir-rwol tal-entità finanzjarja deżinjata, jiġifieri li jenħtieġ li tkun inkarigata tipprovdi d-dokumentazzjoni kollha meħtieġa lill-awtorità ewlenija tat-TLPT u timmonitorja l-proċess tat-test. L-entità finanzjarja deżinjata jenħtieġ li tkun ukoll inkarigata mill-aspetti komuni tal-valutazzjoni tal-ġestjoni tar-riskju. Minkejja r-rwol tal-entità finanzjarja deżinjata, jenħtieġ li l-obbligi ta’ kull entità finanzjarja li tipparteċipa fil-proċess tat-TLPT aggregat jibqgħu mhux affettwati matul it-test aggregat. L-istess prinċipju jenħtieġ li japplika għal TLPTs konġunti. |
|
(15) |
Kif muri mill-esperjenza tal-implimentazzjoni tal-qafas TIBER-UE, il-laqgħat li jsiru wiċċ imb wiċċ jew virtwalment li jinkludu l-partijiet ikkonċernati kollha (entitajiet finanzjarji, awtoritajiet, testers u fornituri tal-intelligence dwar it-theddid) huma l-aktar mod effiċjenti biex jiġi żgurat it-twettiq xieraq tal-ittestjar. Għalhekk, il-laqgħat wiċċ imb wiċċ u virtwali jenħtieġ li jsiru f’diversi stadji tal-proċess, u b’mod partikolari matul il-fażi ta’ tħejjija fit-tnedija tat-TLPT u biex jiġi ffinalizzat l-ambitu tiegħu, matul il-fażi tal-ittestjar, biex jiġi ffinalizzat ir-rapport tal-intelligence dwar it-theddid u l-pjan tat-test tat-tim l-aħmar u għall-aġġornamenti ta’ kull ġimgħa, u matul il-fażi tal-għeluq biex jiġu ripetuti l-azzjonijiet tat-testers u tat-tim il-blu, biex jintuża t-tim il-vjola u biex jiġi skambjat il-feedback dwar it-TLPT. |
|
(16) |
Biex jiġi żgurat it-twettiq bla xkiel tat-TLPT, jenħtieġ li l-awtorità tat-TLPT tippreżenta b’mod ċar lill-entità finanzjarja l-aspettattivi tagħha fir-rigward tal-ittestjar. F’dak ir-rigward, jenħtieġ li l-maniġers tat-testijiet jiżguraw li jiġi stabbilit fluss xieraq ta’ informazzjoni mat-tim ta’ kontroll fi ħdan l-entità finanzjarja, u mal-fornituri tat-TLPT. |
|
(17) |
L-entità finanzjarja jenħtieġ li tagħżel il-funzjonijiet kritiċi jew importanti li se jkunu fl-ambitu tat-TLPT. Meta tagħżel dawk il-funzjonijiet, l-entità finanzjarja jenħtieġ li tibbaża ruħha fuq diversi kriterji relatati mal-importanza ta’ kull funzjoni għall-entità finanzjarja nnifisha u għas-settur finanzjarju, fil-livell tal-Unjoni u f’dak nazzjonali, mhux biss f’termini ekonomiċi iżda wkoll b’kunsiderazzjoni tal-istatus simboliku jew politiku tal-funzjoni. Biex tiġi ffaċilitata tranżizzjoni bla xkiel għall-fażi tal-ġbir ta’ intelligence dwar it-theddid, it-tim ta’ kontroll jenħtieġ li jipprovdi lit-testers u lill-fornitur tal-intelligence dwar it-theddid li mhumiex involuti fil-proċess tal-identifikazzjoni tal-ambitu b’informazzjoni dettaljata dwar l-ambitu maqbul. |
|
(18) |
Biex it-testers jiġu pprovduti l-informazzjoni meħtieġa ħalli jiġi ssimulat attakk fil-ħajja reali u realistiku fuq is-sistemi attivi tal-entità finanzjarja li jirfdu l-funzjonijiet kritiċi jew importanti tagħha, il-fornitur tal-intelligence dwar it-theddid jenħtieġ li jiġbor intelligence jew informazzjoni li tkopri mill-anqas żewġ oqsma ewlenin ta’ interess: il-miri, billi jiġu identifikati is-superfiċji potenzjali ta’ attakk fl-entità finanzjarja kollha, u t-theddid, billi jiġu identifikati l-atturi ta’ theddid rilevanti u x-xenarji ta’ theddid probabbli. Biex jiġi żgurat li l-fornitur tal-intelligence dwar it-theddid iqis it-theddid rilevanti għall-entità finanzjarja, it-testers, it-tim ta’ kontroll, u l-maniġers tat-testijiet jenħtieġ li jipprovdu feedback dwar l-abbozz tar-rapport tal-intelligence dwar it-theddid. Jekk ikun disponibbli, il-fornitur tal-intelligence dwar it-theddid jista’ juża xenarju ġeneriku ta’ theddid provdut mill-awtorità tat-TLPT għas-settur finanzjarju ta’ Stat Membru bħala linja bażi għax-xenarju nazzjonali ta’ theddid. Abbażi tal-applikazzjoni tal-qafas TIBER-UE, il-proċess ta’ ġbir tal-intelligence dwar it-theddid tipikament idum madwar 4 ġimgħat. |
|
(19) |
Biex it-testers ikunu jistgħu jiksbu fehim profond u jirrieżaminaw aktar id-dokument tal-ispeċifikazzjoni tal-ambitu u r-rapport tal-intelligence dwar it-theddid immirat ħalli jiġi ffinalizzat il-pjan tal-ittestjar tat-tim l-aħmar, huwa essenzjali li, qabel il-fażi tal-ittestjar tat-tim l-aħmar tat-TLPT, it-testers jirċievu mingħand il-fornitur tal-intelligence dwar it-theddid spjegazzjonijiet dettaljati dwar ir-rapport tal-intelligence dwar it-theddid immirat u l-analiżi tax-xenarji ta’ theddid possibbli. |
|
(20) |
Biex it-testers ikunu jistgħu jwettqu ttestjar realistiku u komprensiv li fih jiġu eżegwiti l-fażijiet kollha tal-attakk u jintlaħqu l-marki, jenħtieġ li jiġi allokat biżżejjed żmien għall-fażi attiva tal-ittestjar tat-tim l-aħmar. Abbażi tal-esperjenza miksuba bil-qafas TIBER-UE, iż-żmien allokat jenħtieġ li jkun mill-anqas 12-il ġimgħa u jenħtieġ li jiġi ddeterminat billi jitqiesu l-għadd ta’ partijiet involuti, l-ambitu tat-TLPT, ir-riżorsi tal-entità jew tal-entitajiet finanzjarji involuti, kwalunkwe rekwiżit estern, u d-disponibbiltà tal-informazzjoni ta’ appoġġ provduta mill-entità finanzjarja. |
|
(21) |
Matul il-fażi attiva tal-ittestjar tat-tim l-aħmar, it-testers jenħtieġ li jużaw firxa ta’ tattiki, tekniki, u proċeduri (TTPs, tactics, techniques, and procedures) biex jittestjaw b’mod adegwat is-sistemi ta’ produzzjoni waqt l-operat tal-entità finanzjarja. It-TTPs jenħtieġ li jkun fihom, kif xieraq, ir-rikonjizzjoni (jiġifieri l-ġbir ta’ kemm jista’ jkun informazzjoni dwar mira), l-istrumentalizzazzjoni (jiġifieri l-analiżi ta’ informazzjoni dwar l-infrastruttura, il-faċilitajiet, u l-impjegati u t-tħejjija għall-operazzjonijiet speċifiċi għall-mira), l-implimentazzjoni (jiġifieri t-tnedija attiva tal-operazzjoni sħiħa fuq il-mira), l-isfruttament (jiġifieri fejn l-għan tat-testers huwa li jikkompromettu s-servers, in-networks tal-entità finanzjarja u li jisfruttaw il-persunal tagħha permezz tas-social engineering), il-kontroll u l-moviment (jiġifieri tentattivi biex nimxu mis-sistemi kompromessi għal dawk vulnerabbli jew ta’ valur għoli), u l-azzjonijiet fuq il-mira (jiġifieri l-kisba ta’ aċċess ulterjuri għal sistemi kompromessi u l-kisba ta’ aċċess għall-informazzjoni u d-data fil-mira miftiehma preċedentement, kif miftiehem qabel fil-pjan tal-ittestjar tat-tim l-aħmar). |
|
(22) |
Waqt li jagħmlu TLPT, it-testers jenħtieġ li jaġixxu filwaqt li jqisu ż-żmien disponibbli biex iwettqu l-attakk, ir-riżorsi, u l-limiti etiċi u legali. Jekk it-testers ma jkunux jistgħu javvanzaw għall-istadju programmat li jmiss tal-attakk, jenħtieġ li tiġi pprovduta assistenza okkażjonali mit-tim ta’ kontroll, bi qbil mal-awtorità tat-TLPT, fil-forma ta’ “leg-ups”. Il-leg-ups jistgħu jiġu kkategorizzati b’mod wiesa’ fil-leg-ups tal-informazzjoni u tal-aċċess u jistgħu jikkonsistu mill-għoti ta’ aċċess għas-sistemi tal-ICT jew għan-networks interni biex jitkompla t-test u tingħata attenzjoni lill-passi ta’ attakk li ġejjin. |
|
(23) |
Matul l-użu attiv tat-tim l-aħmar fil-fażi tal-ittestjar, jekk ikun meħtieġ biex ikun jista’ jitkompla t-TLPT bħala l-aħħar alternattiva f’ċirkostanzi eċċezzjonali u hekk kif l-għażliet alternattivi kollha jkunu ġew eżawriti, jenħtieġ li tintuża attività kollaborattiva tal-ittestjar li tinvolvi kemm lit-testers kif ukoll lit-tim il-blu. Fil-kuntest ta’ eżerċizzju limitat bħal dan bl-użu tat-tim il-vjola, jistgħu jintużaw il-metodi li ġejjin: “qbid u rilaxx”, fejn it-testers jippruvaw ikomplu x-xenarji, jinqabdu u mbagħad ikomplu l-ittestjar, “logħob tal-gwerra”, li jippermetti xenarji aktar kumplessi biex jiġi ttestjat it-teħid ta’ deċiżjonijiet strateġiċi, jew “prova kollaborattiva tal-kunċett”, li tippermetti lit-testers u lill-membri tat-tim il-blu jivvalidaw b’mod konġunt miżuri ta’ sigurtà, għodod, jew tekniki speċifiċi f’ambjent ikkontrollat u kooperattiv. |
|
(24) |
It-TLPT jenħtieġ li jintuża bħala esperjenza ta’ tagħlim biex tissaħħaħ ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji. F’dak ir-rigward, it-tim il-blu u t-testers jenħtieġ li jerġgħu jagħmlu l-attakk u jirrieżaminaw il-passi meħuda biex jitgħallmu mill-esperjenza tal-ittestjar f’kollaborazzjoni mat-testers. Għal dak l-għan u biex tkun tista’ ssir tħejjija adegwata, ir-rapport tat-test tat-tim l-aħmar u r-rapport tat-test tat-tim il-blu jenħtieġ li jkunu disponibbli għall-partijiet kollha involuti fl-attivitajiet ta’ ripetizzjoni, qabel ma ssir kwalunkwe attività ta’ ripetizzjoni. Barra minn hekk, jenħtieġ li jsir eżerċizzju bl-użu tat-tim il-vjola fil-fażi tal-għeluq biex tiġi mmassimizzata l-esperjenza ta’ tagħlim. Il-metodi li jistgħu jintużaw għall-użu tat-tim il-vjola fil-fażi tal-għeluq jenħtieġ li jinkludu diskussjonijiet dwar xenarji alternattivi ta’ attakk, esplorazzjoni fuq sistemi attivi ta’ xenarji alternattivi jew l-esplorazzjoni mill-ġdid ta’ xenarji ppjanati fuq sistemi attivi li t-testers ma setgħux jikkompletaw jew jeżegwixxu matul il-fażi tal-ittestjar. |
|
(25) |
Biex tiġi ffaċilitata aktar l-esperjenza ta’ tagħlim tal-partijiet kollha involuti fit-TLPT, għall-benefiċċju ta’ testijiet futuri, u biex tiġi promossa r-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji, il-partijiet ikkonċernati jenħtieġ li jipprovdu feedback lil xulxin dwar il-proċess ġenerali, u b’mod partikolari jidentifikaw liema attivitajiet għamlu progress tajjeb jew setgħu jittejbu, u liema aspetti tal-proċess tat-TLPT ħadmu tajjeb jew setgħu jittejbu. |
|
(26) |
L-awtoritajiet kompetenti msemmija fl-Artikolu 46 tar-Regolament (UE) 2022/2554 u l-awtoritajiet tat-TLPT, fejn differenti, jenħtieġ li jikkooperaw biex jinkorporaw l-ittestjar avvanzat permezz tat-TLPT fil-proċessi superviżorji eżistenti. F’dak ir-rigward u biex jiġi kondiviż il-fehim korrett tas-sejbiet tat-TLPT u ta’ kif dawn jenħtieġ li jiġu interpretati, huwa xieraq li, b’mod partikolari għar-rapport ta’ sinteżi tat-test u għall-pjanijiet ta’ rimedju, tiġi stabbilita kooperazzjoni mill-qrib bejn il-maniġers tat-testijiet li kienu involuti fit-TLPT u s-superviżuri responsabbli. |
|
(27) |
L-Artikolu 26(8), l-ewwel subparagrafu, tar-Regolament (UE) 2022/2554 jirrikjedi li l-entitajiet finanzjarji jikkuntrattaw testers esterni kull tliet testijiet. Meta l-entitajiet finanzjarji jinkludu fit-tim ta’ testers kemm testers interni kif ukoll esterni, dan jenħtieġ li jitqies bħala TLPT li sar b’testers interni għall-finijiet ta’ dak l-Artikolu. |
|
(28) |
Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtorità Bankarja Ewropea, l-Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol, l-Awtorità Ewropea tat-Titoli u s-Swieq (l-Awtoritajiet Superviżorji Ewropej), bi qbil mal-Bank Ċentrali Ewropew. |
|
(29) |
L-Awtoritajiet Superviżorji Ewropej wettqu konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqu huwa bbażat dan ir-Regolament, analizzaw il-kostijiet u l-benefiċċji potenzjali relatati u talbu l-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (3), tal-Grupp tal-Partijiet Interessati tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (4), u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (5). |
|
(30) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta opinjoni fl-20 ta’ Awwissu 2024, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Definizzjonijiet
Għall-finijiet ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:
|
(1) |
“tim ta’ kontroll” tfisser it-tim magħmul minn persunal tal-entità finanzjarja ttestjata u, fejn rilevanti b’kunsiderazzjoni tal-ambitu tat-TLPT, persunal tal-fornituri terzi ta’ servizzi tiegħu u kwalunkwe parti oħra, li jimmaniġġja t-test; |
|
(2) |
“kap tat-tim ta’ kontroll” tfisser il-membru tal-persunal tal-entità finanzjarja responsabbli għat-twettiq tal-attivitajiet kollha relatati mat-TLPT għall-entità finanzjarja fil-kuntest ta’ test partikolari; |
|
(3) |
“tim il-blu” tfisser il-persunal tal-entità finanzjarja u, fejn rilevanti, il-persunal tal-fornituri terzi ta’ servizzi tal-entità finanzjarja u kwalunkwe parti oħra meqjusa rilevanti b’kunsiderazzjoni tal-ambitu tat-TLPT, tal-fornituri terzi ta’ servizzi tal-entità finanzjarja, li qed jiddefendu l-użu tan-network u tas-sistemi tal-informazzjoni ta’ entità finanzjarja billi jżommu l-qagħda tas-sigurtà tagħha kontra attakki simulati jew reali u li ma jkunux konxji bit-TLPT; |
|
(4) |
“kompiti tat-tim il-blu” tfisser kompiti li tipikament jitwettqu mit-tim il-blu bħaċ-ċentru tal-operazzjonijiet tas-sigurtà (SOC, security operation centre), is-servizzi tal-infrastruttura tal-ICT, is-servizzi tal-helpdesk, is-servizzi tal-ġestjoni tal-inċidenti fil-livell operazzjonali; |
|
(5) |
“tim l-aħmar” tfisser it-testers, interni jew esterni, ikkuntrattati għal TLPT jew assenjati miegħu; |
|
(6) |
“użu tat-tim il-vjola” tfisser attività kollaborattiva ta’ ttestjar li tinvolvi kemm lit-testers kif ukoll lit-tim il-blu; |
|
(7) |
“awtorità tat-TLPT” tfisser kwalunkwe waħda minn dawn li ġejjin:
|
|
(8) |
“Tim Ċibernetiku tat-TLPT” jew “TCT” (TLPT Cyber Team) tfisser il-persunal fi ħdan l-awtoritajiet tat-TLPT li huwa responsabbli għal kwistjonijiet relatati mat-TLPT; |
|
(9) |
“maniġers tat-testijiet” tfisser persunal deżinjat biex imexxi l-attivitajiet tal-awtorità tat-TLPT għal TLPT speċifiku biex tiġi mmonitorjata l-konformità ma’ dan ir-Regolament; |
|
(10) |
“fornitur tal-intelligence dwar it-theddid” tfisser l-esperti, ikkuntrattati mill-entità finanzjarja għal kull TLPT, u li jkunu esterni għall-entità finanzjarja u għall-fornituri intragrupp ta’ servizzi tal-ICT jekk ikun hemm, li jiġbru u janalizzaw l-intelligence dwar it-theddid immirat rilevanti għall-entitajiet finanzjarji fl-ambitu ta’ eżerċizzju speċifiku tat-TLPT u li jiżviluppaw xenarji ta’ theddid rilevanti u realistiċi korrispondenti; |
|
(11) |
“fornituri tat-TLPT” tfisser testers u fornituri tal-intelligence dwar it-theddid; |
|
(12) |
“leg-up” tfisser l-assistenza jew l-informazzjoni provduta mit-tim ta’ kontroll lit-testers biex it-testers ikunu jistgħu jkomplu l-eżekuzzjoni ta’ perkors ta’ attakk meta ma jkunux jistgħu javvanzaw waħedhom, u fejn ma tkun teżisti l-ebda alternattiva raġonevoli oħra, inkluż minħabba żmien jew riżorsi insuffiċjenti f’TLPT partikolari; |
|
(13) |
“perkors ta’ attakk” tfisser ir-rotta segwita mit-testers matul il-fażi attiva tal-ittestjar tat-tim l-aħmar tat-TLPT biex jintlaħqu l-marki speċifikati għal dak it-TLPT; |
|
(14) |
“marki” huma objettivi ewlenin fis-sistemi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti ta’ entità finanzjarja li t-testers jippruvaw jiksbu permezz tat-test; |
|
(15) |
“informazzjoni sensittiva” tfisser informazzjoni li tista’ tiġi sfruttata faċilment biex isiru attakki kontra s-sistemi tal-ICT tal-entità finanzjarja, il-proprjetà intellettwali, id-data kummerċjali kunfidenzjali, jew id-data personali, li tista’ tagħmel ħsara direttament jew indirettament lill-entità finanzjarja u lill-ekosistema tagħha jekk din taqa’ f’idejn atturi malizzjużi; |
|
(16) |
“aggregazzjoni” tfisser l-entitajiet finanzjarji kollha li jipparteċipaw f’TLPT aggregat skont l-Artikolu 26(4) tar-Regolament (UE) 2022/2554; |
|
(17) |
“Stat Membru ospitanti” tfisser l-Istat Membru ospitanti f’konformità mal-liġi settorjali tal-Unjoni applikabbli għal kull entità finanzjarja; |
|
(18) |
“TLPT konġunt” tfisser TLPT, għajr TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554, li jinvolvi diversi entitajiet finanzjarji li jużaw l-istess fornitur intragrupp ta’ servizzi tal-ICT, jew li jappartjenu għall-istess grupp u jikkondividu s-sistemi tal-ICT. |
Artikolu 2
Identifikazzjoni tal-entitajiet finanzjarji meħtieġa li jagħmlu TLPT
1. L-awtoritajiet tat-TLPT għandhom jivvalutaw jekk xi entità finanzjarja hijiex meħtieġa tagħmel TLPT, filwaqt li jqisu l-impatt ta’ dawk l-entitajiet finanzjarji, il-karattru sistemiku tagħhom u l-profil tar-riskju tal-ICT tagħhom, abbażi tal-kriterji kollha li ġejjin:
|
(a) |
fatturi relatati mal-impatt u mal-karattru sistemiku:
|
|
(b) |
Fatturi relatati mar-riskju tal-ICT:
|
Għall-finijiet tal-punt (a)(i), l-awtorità tat-TLPT għandha, fejn possibbli, tqis:
|
(a) |
il-pożizzjoni tas-sehem mis-suq tal-entità finanzjarja fil-livell tal-Unjoni u f’dak nazzjonali; |
|
(b) |
il-firxa ta’ attivitajiet offruti mill-entità finanzjarja; |
|
(c) |
is-sehem mis-suq tas-servizzi provduti mill-entità finanzjarja jew tal-attivitajiet li jsiru fil-livell tal-Unjoni u f’dak nazzjonali. |
Għall-finijiet tal-punt (a)(v), l-awtorità tat-TLPT għandha, fejn possibbli, tqis;
|
(a) |
jekk l-entità finanzjarja toperax aktar minn mudell ta’ negozju wieħed; |
|
(b) |
l-interkonnettività tal-proċessi tan-negozju differenti u s-servizzi relatati. |
2. L-awtoritajiet tat-TLPT għandhom jirrikjedu li l-entitajiet finanzjarji kollha li ġejjin jagħmlu TLPT, sakemm il-valutazzjoni msemmija fil-paragrafu 1 fir-rigward ta’ entità finanzjarja ma tindikax li l-impatt tagħha, it-tħassib dwar l-istabbiltà finanzjarja relatat ma’ dik l-entità finanzjarja, jew il-profil tar-riskju tal-ICT tagħha, ma tiġġustifikax il-prestazzjoni ta’ TLPT:
|
(a) |
istituzzjonijiet ta’ kreditu li jissodisfaw kwalunkwe waħda mill-kundizzjonijiet li ġejjin:
|
|
(b) |
istituzzjonijiet ta’ pagament li f’kull waħda mis-sentejn kalendarji ta’ qabel il-valutazzjoni mill-awtorità tat-TLPT qabżu l-EUR 150 biljun tal-valur totali tat-tranżazzjonijiet ta’ pagament kif definiti fl-Artikolu 4, il-punt (5), tad-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (8); |
|
(c) |
istituzzjonijiet tal-flus elettroniċi li f’kull waħda mis-sentejn kalendarji ta’ qabel il-valutazzjoni mill-awtorità tat-TLPT qabżu il-EUR 150 biljun tal-valur totali tat-tranżazzjonijiet ta’ pagament kif definiti fl-Artikolu 4, il-punt (5), tad-Direttiva (UE) 2015/2366 jew l-EUR 40 biljun tal-valur totali tal-ammont ta’ flus elettroniċi pendenti; |
|
(d) |
depożitorji ċentrali tat-titoli; |
|
(e) |
kontropartijiet ċentrali; |
|
(f) |
ċentri ta’ negozjar b’sistema elettronika ta’ negozjar li jissodisfaw kwalunkwe wieħed mill-kriterji li ġejjin:
|
|
(g) |
impriżi tal-assigurazzjoni u tar-riassigurazzjoni li jissodisfaw il-kriterji kollha li ġejjin:
|
Għall-finijiet ta’ (f)(ii), meta ċ-ċentru ta’ negozjar ikun parti minn grupp li jikkondividi s-sistemi tal-ICT jew l-istess fornitur intragrupp ta’ servizzi tal-ICT, għandu jitqies il-fatturat tal-kuntratti tat-titoli u tad-derivattivi fiċ-ċentri ta’ negozjar kollha li jappartjenu għall-istess grupp u li jkunu stabbiliti fl-Unjoni.
Għall-finijiet tal-punt (g), l-awtoritajiet tat-TLPT għandhom jidentifikaw subsett tal-impriżi kollha tal-assigurazzjoni u tar-riassigurazzjoni billi japplikaw il-kriterji stabbiliti fil-punti (g)(i), (ii), u (iii). L-impriżi tal-assigurazzjoni u tar-riassigurazzjoni inklużi f’dak is-subsett għandhom ikunu meħtieġa jagħmlu TLPT meta jissodisfaw ukoll kwalunkwe wieħed mill-kriterji li ġejjin:
|
(a) |
primjum gross miktub (GWP) li jaqbeż it-EUR 3 000 000 000; |
|
(b) |
dispożizzjonijiet tekniċi li jaqbżu t-EUR 30 000 000 000; |
|
(c) |
assi totali li jaqbżu l-10 % tas-somma tal-assi totali stmati f’konformità mal-Artikolu 75 tad-Direttiva 2009/138/KE tal-impriżi tal-assigurazzjoni u tar-riassigurazzjoni stabbiliti fl-Istat Membru. |
3. Meta aktar minn entità finanzjarja waħda li tappartjeni għall-istess grupp u li tikkondividi s-sistemi tal-ICT, jew meta aktar minn entità finanzjarja waħda li tuża l-istess fornitur intragrupp ta’ servizzi tal-ICT, jissodisfaw il-kriterji stabbiliti fil-paragrafu 2, l-awtoritajiet tat-TLPT ta’ dawk l-entitajiet finanzjarji għandhom, f’konformità mal-Artikolu 16(2), jiddeċiedu jekk ir-rekwiżit li jsir TLPT fuq bażi individwali huwiex rilevanti għal dawk l-entitajiet finanzjarji.
Meta l-awtorità tat-TLPT tal-impriża prinċipali ta’ grupp ta’ entitajiet finanzjarji msemmija fl-ewwel subparagrafu tkun differenti mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji tal-grupp, dik l-awtorità għandha tiġi kkonsultata mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li jappartjenu għal dak il-grupp dwar jekk huwiex xieraq li jsir TLPT fuq bażi individwali.
Artikolu 3
Maniġers tat-Testijiet tat-TCT u tat-TLPT
1. Awtorità tat-TLPT għandha tassenja r-responsabbiltà għall-koordinazzjoni ta’ attivitajiet relatati mat-TLPT lil TCT. TCT għandu jkun magħmul minn maniġers tat-testijiet li huma assenjati biex jissorveljaw TLPT individwali.
2. Għal kull test, l-awtorità tat-TLPT għandha tiddeżinja maniġer tat-testijiet u mill-anqas sostitut wieħed.
3. Il-maniġers tat-testijiet għandhom jimmonitorjaw jekk hemmx konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament u jiżguraw din il-konformità.
4. Il-maniġer tat-testijiet għandu jikkomunika d-dettalji ta’ kuntatt tat-TCT lill-entità finanzjarja permezz tan-notifika msemmija fl-Artikolu 9(1).
5. L-awtorità tat-TLPT għandha tipparteċipa fil-fażijiet kollha tat-TLPT.
Artikolu 4
Arranġamenti organizzazzjonali għall-entitajiet finanzjarji
1. L-entitajiet finanzjarji għandhom jaħtru kap tat-tim ta’ kontroll li għandu jkun responsabbli għall-ġestjoni ta’ kuljum tat-TLPT u għad-deċiżjonijiet u l-azzjonijiet tat-tim ta’ kontroll.
2. L-entitajiet finanzjarji għandhom jistabbilixxu miżuri organizzazzjonali u proċedurali biex jiżguraw li:
|
(a) |
l-aċċess għal informazzjoni relatata ma’ kwalunkwe TLPT ippjanat jew li jkun għaddej ikun limitat fuq bażi ta’ ħtieġa għall-informazzjoni għat-tim ta’ kontroll, il-korp maniġerjali, it-testers, il-fornitur tal-intelligence dwar it-theddid u l-awtorità tat-TLPT; |
|
(b) |
it-tim ta’ kontroll jikkonsulta lill-maniġers tat-testijiet qabel ma jinvolvi kwalunkwe membru tat-tim il-blu f’TLPT; |
|
(c) |
it-tim ta’ kontroll jiġi infurmat bi kwalunkwe individwazzjoni tat-TLPT minn membri tal-persunal tal-entità finanzjarja jew tal-fornituri terzi ta’ servizzi tagħha; f’każ ta’ eskalazzjoni tar-rispons għal inċidenti li jirriżultaw, fejn meħtieġ, it-tim ta’ kontroll jikkontrolla tali eskalazzjoni; |
|
(d) |
l-arranġamenti relatati mas-segretezza tat-TLPT, applikabbli għall-persunal tal-entità finanzjarja, għall-persunal tal-fornituri terzi ta’ servizzi tal-ICT ikkonċernati, għat-testers u għall-fornitur tal-intelligence dwar it-theddid ikunu fis-seħħ; |
|
(e) |
it-tim ta’ kontroll jipprovdi kwalunkwe informazzjoni relatata mat-TLPT lill-maniġers tat-testijiet fuq talba; |
|
(f) |
fejn possibbli, il-partijiet involuti fit-TLPT jirreferu għalih bl-isem kodiċi biss. |
Artikolu 5
Ġestjoni tar-riskju għal TLPT
1. Matul il-fażi ta’ tħejjija msemmija fl-Artikolu 9, it-tim ta’ kontroll għandu jivvaluta r-riskji assoċjati mal-ittestjar ta’ sistemi attivi ta’ produzzjoni ta’ funzjonijiet kritiċi jew importanti tal-entità finanzjarja, inklużi l-impatti potenzjali fuq:
|
(a) |
is-settur finanzjarju; |
|
(b) |
l-istabbiltà finanzjarja fil-livell tal-Unjoni jew f’dak nazzjonali. |
It-tim ta’ kontroll għandu jirrieżamina dawk l-impatti matul l-ittestjar.
2. Għall-finijiet tal-valutazzjoni u tal-ġestjoni tar-riskju, it-tim ta’ kontroll għandu jqis mill-anqas it-tipi ta’ riskji li ġejjin relatati ma’:
|
(a) |
l-għoti ta’ aċċess lill-fornitur tal-intelligence dwar it-theddid u lit-testers esterni, fejn applikabbli, għal informazzjoni sensittiva dwar l-entità finanzjarja; |
|
(b) |
nuqqas ta’ konformità tat-TLPT mar-Regolament (UE) 2022/2554 u ma’ dan ir-Regolament fejn tali nuqqas ta’ konformità jirriżulta fin-nuqqas tal-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554, inkluż meta tali nuqqas ta’ konformità jkun dovut għal ksur tal-kunfidenzjalità dwar it-TLPT jew għal nuqqas ta’ mġiba etika; |
|
(c) |
l-eskalazzjoni tal-kriżijiet u tal-inċidenti; |
|
(d) |
il-fażi attiva tat-tim l-aħmar, inklużi r-riskji relatati mal-interruzzjoni tal-attivitajiet kritiċi u mal-korruzzjoni tad-data minħabba l-attivitajiet tat-testers, u l-impatti potenzjali tagħha fuq partijiet terzi; |
|
(e) |
l-attività tat-tim il-blu, inklużi r-riskji relatati mal-interruzzjoni tal-attivitajiet kritiċi u mal-korruzzjoni tad-data minħabba l-attivitajiet tat-tim il-blu, u l-impatti potenzjali tagħha fuq partijiet terzi; |
|
(f) |
ir-restawr mhux komplut tas-sistemi affettwati mit-TLPT. |
Artikolu 6
Ġestjoni tar-riskju għal TLPTs aggregati jew konġunti
1. Fil-każ ta’ TLPT konġunt jew TLPT aggregat, it-tim ta’ kontroll ta’ kull entità finanzjarja għandu jwettaq il-valutazzjoni tar-riskju tiegħu stess u jistabbilixxi l-miżuri ta’ ġestjoni tar-riskju tiegħu stess.
2. It-tim ta’ kontroll tal-entità finanzjarja deżinjata msemmija fl-Artikolu 16(3), il-punt (b), ta’ dan ir-Regolament, jew l-entità finanzjarja deżinjata f’konformità mal-Artikolu 26(4) tar-Regolament (UE) 2022/2554, għandu jivvaluta r-riskji relatati mal-involviment fit-TLPT ta’ diversi entitajiet finanzjarji. It-timijiet ta’ kontroll tal-entitajiet finanzjarji involuti għandhom jikkooperaw mat-tim ta’ kontroll tal-entità finanzjarja deżinjata biex jidentifikaw riskji konġunti potenzjali.
Artikolu 7
Għażla tal-fornituri tat-TLPT
1. It-tim ta’ kontroll għandu jieħu miżuri biex jimmaniġġja r-riskji relatati mat-TLPT u għandu b’mod partikolari jiżgura li, għal kull TLPT:
|
(a) |
il-fornitur tal-intelligence dwar it-theddid u t-testers esterni jipprovdu lit-tim ta’ kontroll b’curriculum vitae dettaljat u kopji taċ-ċertifikazzjonijiet li, skont standards tas-suq rikonoxxuti, ikunu xierqa għat-twettiq tal-attivitajiet tagħhom; |
|
(b) |
il-fornitur tal-intelligence dwar it-theddid u t-tester estern ikunu koperti kif xieraq u kompletament minn assigurazzjonijiet ta’ indennizz professjonali xierqa inkluż kontra riskji ta’ mġiba ħażina u negliġenza; |
|
(c) |
il-fornitur tal-intelligence dwar it-theddid jipprovdi mill-anqas tliet referenzi minn inkarigi preċedenti fil-kuntest tal-ittestjar tal-penetrazzjoni u tal-ittestjar tat-tim l-aħmar; |
|
(d) |
it-testers esterni jipprovdu mill-anqas ħames referenzi minn inkarigi preċedenti relatati mal-ittestjar tal-penetrazzjoni u mal-ittestjar tat-tim l-aħmar; |
|
(e) |
il-persunal tal-fornitur tal-intelligence dwar it-theddid assenjat għat-TLPT:
|
|
(f) |
għal testers esterni, it-tim l-aħmar assenjat lit-TLPT:
|
|
(g) |
it-testers u l-fornitur tal-intelligence dwar it-theddid iwettqu proċeduri ta’ restawr fi tmiem l-ittestjar, inkluż it-tħassir sikur ta’ informazzjoni relatata ma’ passwords, kredenzjali, u kjavi sigrieti oħrajn kompromessi matul it-TLPT, il-komunikazzjoni sikura lill-entitajiet finanzjarji tal-kontijiet kompromessi, il-ġbir, il-ħżin, il-ġestjoni, u d-disponiment sikuri ta’ data oħra miġbura matul l-ittestjar; |
|
(h) |
it-testers, minbarra l-proċeduri ta’ restawr fi tmiem l-ittestjar kif imsemmi fil-punt (g), iwettqu l-proċeduri ta’ restawr li ġejjin:
|
|
(i) |
it-testers u l-fornitur tal-intelligence dwar it-theddid ma jwettqu jew ma jipparteċipaw fl-ebda waħda mill-attivitajiet li ġejjin:
|
2. It-tim ta’ kontroll għandu jżomm rekord tad-dokumentazzjoni provduta mit-testers u mill-fornituri tal-intelligence dwar it-theddid bħala evidenza tal-konformità mal-paragrafu 1, il-punti minn (a) sa (f).
F’ċirkostanzi eċċezzjonali, l-entitajiet finanzjarji jistgħu jikkuntrattaw testers u fornituri tal-intelligence dwar it-theddid esterni li ma jissodisfawx rekwiżit wieħed jew aktar stabbiliti fil-paragrafu 1, il-punti minn (a) sa (f), dment li dawk l-entitajiet finanzjarji jadottaw miżuri li jkunu xierqa biex jittaffew ir-riskji relatati man-nuqqas ta’ konformità ma’ tali punti u li jirreġistraw dawk il-miżuri.
Artikolu 8
Speċifiċitajiet għal TLPTs aggregati jew konġunti
1. Sakemm ma jiġix deċiż mod ieħor mill-awtorità ewlenija tat-TLPT, meta diversi entitajiet finanzjarji, identifikati f’konformità mal-Artikolu 16(2) jew (4), ikunu involuti f’TLPT aggregat jew konġunt, kull entità finanzjarja għandha ssegwi kull wieħed mill-passi stabbiliti fl-Artikoli minn 9 sa 15.
2. Sakemm ma jkunx previst mod ieħor f’dan ir-Regolament, meta diversi awtoritajiet tat-TLPT ikunu involuti f’TLPT konġunt jew f’TLPT aggregat, kif imsemmi fl-Artikolu 16(3) jew 16(5), ir-referenzi fl-Artikoli minn 9 sa 15 għall-“awtorità tat-TLPT” għandhom jinftiehmu bħala referenza għall-awtorità ewlenija tat-TLPT għal tali TLPT aggregat jew konġunt.
Artikolu 9
Fażi ta’ tħejjija
1. Entità finanzjarja identifikata skont l-Artikolu 26, il-paragrafu 8, it-tielet subparagrafu tar-Regolament (UE) 2022/2554 għandha tibda TLPT wara notifika mill-awtorità tat-TLPT li għandu jsir TLPT.
2. Entità finanzjarja għandha, fi żmien 3 xhur minn meta tkun irċeviet in-notifika msemmija fil-paragrafu 1, tissottometti lill-maniġers tat-testijiet l-informazzjoni kollha li ġejja dwar il-bidu tat-TLPT:
|
(a) |
karta tal-proġett li tinkludi pjan tal-proġett ta’ livell għoli, li jkun fiha l-informazzjoni stabbilita fl-Anness I; |
|
(b) |
id-dettalji ta’ kuntatt tal-kap tat-tim ta’ kontroll; |
|
(c) |
informazzjoni dwar l-użu maħsub ta’ testers interni jew esterni jew it-tnejn, fejn rilevanti kif dettaljat fl-Artikolu 15; |
|
(d) |
informazzjoni dwar il-kanali ta’ komunikazzjoni li għandhom jintużaw waqt it-TLPT; |
|
(e) |
l-isem kodiċi għat-TLPT. |
3. Meta l-informazzjoni msemmija fil-paragrafu 2, il-punti (a) sa (e), tkun kompluta u tiżgura l-adegwatezza u l-prestazzjoni effettiva tat-TLPT, l-awtorità tat-TLPT għandha tivvalida l-informazzjoni għall-bidu tat-TLPT tal-entità finanzjarja u tinnotifika lill-entità finanzjarja b’dan.
4. Wara l-validazzjoni tal-informazzjoni għall-bidu tat-TLPT mill-awtorità tat-TLPT, l-entità finanzjarja għandha tistabbilixxi tim ta’ kontroll biex jappoġġja lill-kap tat-tim ta’ kontroll fil-kompiti tiegħu li:
|
(a) |
jispeċifika l-kanali u l-proċessi ta’ komunikazzjoni fi ħdan it-tim ta’ kontroll, mat-testers u mal-fornituri tal-intelligence dwar it-theddid fil-kwistjonijiet kollha relatati mat-TLPT; |
|
(b) |
jinforma lill-korp maniġerjali tal-entità finanzjarja dwar il-progress tat-TLPT u r-riskji assoċjati; |
|
(c) |
jieħu deċiżjonijiet ibbażati fuq għarfien espert dwar is-suġġett waqt it-TLPT kollu; |
|
(d) |
jeżegwixxi t-TLPT f’konformità ma’ dan ir-Regolament; |
|
(e) |
jagħżel il-fornitur tal-intelligence dwar it-theddid għat-TLPT; |
|
(f) |
jagħżel it-testers esterni, it-testers interni jew it-tnejn li huma; |
|
(g) |
iħejji d-dokument tal-ispeċifikazzjoni tal-ambitu. |
5. Meta l-awtorità tat-TLPT tqis li l-kompożizzjoni inizjali tat-tim ta’ kontroll u kwalunkwe bidla sussegwenti fih huma adegwati għat-twettiq tal-kompiti msemmija fil-paragrafu 4, l-awtorità tat-TLPT għandha tivvalida t-tim ta’ kontroll u tinnotifika lill-kap tat-tim ta’ kontroll b’dan.
6. L-entità finanzjarja għandha tippreżenta dokument tal-ispeċifikazzjoni tal-ambitu li jkun fih l-informazzjoni kollha stabbilita fl-Anness II lill-maniġers tat-testijiet fi żmien 6 xhur minn meta tkun irċeviet in-notifika mill-awtorità tat-TLPT imsemmija fil-paragrafu 1. Il-korp maniġerjali tal-entità finanzjarja għandu japprova d-dokument tal-ispeċifikazzjoni tal-ambitu.
7. L-entitajiet finanzjarji għandhom iqisu l-kriterji li ġejjin għall-inklużjoni ta’ funzjonijiet kritiċi jew importanti fl-ambitu tat-TLPT:
|
(a) |
il-kritikalità jew l-importanza tal-funzjoni u l-impatt possibbli tagħha fuq is-settur finanzjarju u fuq l-istabbiltà finanzjarja fil-livell tal-Unjoni u f’dak nazzjonali; |
|
(b) |
l-importanza tal-funzjoni għall-operazzjonijiet tan-negozju ta’ kuljum tal-entità finanzjarja; |
|
(c) |
l-iskambjabbiltà tal-funzjoni; |
|
(d) |
l-interkonnettività ma’ funzjonijiet oħrajn; |
|
(e) |
il-pożizzjoni ġeografika tal-funzjoni; |
|
(f) |
id-dipendenza settorjali ta’ entitajiet oħrajn fuq il-funzjoni; |
|
(g) |
fejn disponibbli, intelligence dwar it-theddid li tikkonċerna l-funzjoni. |
8. It-tim ta’ kontroll għandu jikkondividi l-informazzjoni għall-bidu tat-TLPT u d-dokument tal-ispeċifikazzjoni tal-ambitu mat-testers u mal-fornituri tal-intelligence dwar it-theddid hekk kif dawn jiġu kkuntrattati. It-tim ta’ kontroll għandu jinforma lit-testers u lill-fornituri tal-intelligence dwar it-theddid bil-proċess tal-ittestjar li għandu jiġi segwit.
9. L-entità finanzjarja għandha tiżgura li l-akkwist jew l-assenjazzjoni tat-testers u tal-fornituri tal-intelligence dwar it-theddid titlesta qabel il-bidu tal-fażi tal-ittestjar.
10. Qabel il-bidu tal-fażi tal-ittestjar, it-tim ta’ kontroll għandu jikkonsulta lill-maniġers tat-testijiet dwar il-valutazzjoni tar-riskju tat-TLPT u dwar il-miżuri ta’ ġestjoni tar-riskju. It-tim ta’ kontroll għandu jirrieżamina l-valutazzjoni tar-riskju jew il-miżuri ta’ ġestjoni tar-riskju meta l-awtorità tat-TLPT tkun tal-fehma li dawn ma jindirizzawx b’mod adegwat ir-riskji tat-TLPT.
11. It-tim ta’ kontroll għandu jivvaluta l-konformità tal-fornituri tal-intelligence dwar it-theddid u tat-testers li qed jikkunsidraw biex jinvolvu fit-TLPT mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554 u mal-Artikolu 7(1) ta’ dan ir-Regolament, u jiddokumenta l-eżitu ta’ dik il-valutazzjoni. It-tim ta’ kontroll għandu jagħżel il-fornituri tal-intelligence dwar it-theddid f’konformità ma’ dik il-valutazzjoni u mal-prattiki tiegħu ta’ ġestjoni tar-riskju. Qabel ma jiġu kkuntrattati l-fornituri tal-intelligence dwar it-theddid u t-testers esterni magħżula, it-tim ta’ kontroll għandu jipprovdi lill-maniġers tat-testijiet evidenza tal-konformità ta’ dawk il-fornituri tal-intelligence dwar it-theddid u t-testers mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554 u mal-Artikolu 7(1) ta’ dan ir-Regolament. It-tim ta’ kontroll ma għandux jipproċedi bl-ikkuntrattar tal-fornituri tal-intelligence dwar it-theddid u tat-testers esterni magħżula meta l-awtorità tat-TLPT tkun tal-fehma li l-fornituri tal-intelligence dwar it-theddid u t-testers esterni magħżula ma jikkonformawx mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554, jew mar-rekwiżiti stabbiliti fl-Artikolu 7(1) ta’ dan ir-Regolament jew ma’ rekwiżiti addizzjonali li jirriżultaw mil-leġiżlazzjonijiet tas-sigurtà nazzjonali f’konformità mad-dritt tal-Unjoni, jew meta l-entità finanzjarja ma tikkonformax mal-Artikolu 7(2), l-ewwel subparagrafu, ta’ dan ir-Regolament, jew meta ċ-ċirkostanzi msemmija fl-Artikolu 7(2), it-tieni subparagrafu, ta’ dan ir-Regolament ma jiġux issodisfati.
12. Meta d-dokument tal-ambitu ta’ applikazzjoni jkun komplut u jiżgura t-twettiq ta’ TLPT xieraq u effettiv, l-awtorità tat-TLPT għandha tapprova dak id-dokument u tinforma lill-kap tat-tim ta’ kontroll b’dan.
Artikolu 10
Fażi tal-ittestjar: Intelligence dwar it-theddid
1. Wara l-approvazzjoni tad-dokument tal-ispeċifikazzjoni tal-ambitu mill-awtorità tat-TLPT, il-fornitur tal-intelligence dwar it-theddid għandu janalizza intelligence dwar it-theddid ġenerika u speċifika għas-settur li tkun rilevanti għall-entità finanzjarja. Meta jkun ġie pprovdut xenarju ta’ theddid ġeneriku mill-awtorità tat-TLPT għas-settur finanzjarju ta’ Stat Membru, il-fornitur tal-intelligence dwar it-theddid jista’ juża dak ix-xenarju bħala linja bażi għax-xenarju ta’ theddid nazzjonali. Il-fornitur tal-intelligence dwar it-theddid għandu jidentifika t-theddid ċibernetiku u l-vulnerabbiltajiet eżistenti jew potenzjali li jikkonċernaw l-entità finanzjarja. Barra minn hekk, il-fornitur tal-intelligence dwar it-theddid għandu jiġbor informazzjoni fuq l-intelligence dwar il-mira u dwar it-theddid konkreta, azzjonabbli u f’kuntest li tikkonċerna lill-entità finanzjarja u janalizzaha, anki permezz ta’ konsultazzjoni mat-tim ta’ kontroll u mal-maniġers tat-testijiet.
2. Il-fornitur tal-intelligence dwar it-theddid għandu jippreżenta t-theddid rilevanti u l-intelligence dwar it-theddid immirat, u jipproponi x-xenarji meħtieġa lit-tim ta’ kontroll, lit-testers u lill-maniġers tat-testijiet. Ix-xenarji proposti għandhom ivarjaw b’referenza għall-atturi ta’ theddid identifikati u t-tattiki, it-tekniki u l-proċeduri assoċjati u għandhom jimmiraw lejn kull funzjoni kritika jew importanti fl-ambitu tat-TLPT.
3. Il-kap tat-tim ta’ kontroll għandu jagħżel mill-anqas tliet xenarji biex jagħmel it-TLPT abbażi tal-elementi kollha li ġejjin:
|
(a) |
ir-rakkomandazzjoni mill-fornitur tal-intelligence dwar it-theddid u n-natura ta’ kull xenarju bbażata fuq it-theddid; |
|
(b) |
l-input provdut mill-maniġers tat-testijiet; |
|
(c) |
il-fattibbiltà tax-xenarji proposti għall-eżekuzzjoni, abbażi tal-ġudizzju espert tat-testers; |
|
(d) |
id-daqs, il-kumplessità u l-profil ġenerali tar-riskju tal-entità finanzjarja u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet, u l-operazzjonijiet tagħha. |
4. Mhux aktar minn wieħed mix-xenarji magħżula jista’ ma jkunx ibbażat fuq it-theddid u jista’ jkun ibbażat fuq theddida li tħares ’il quddiem u li tkun potenzjalment fittizja b’valur ta’ previżjoni, antiċipattiv, opportunistiku, jew prospettiv għoli fid-dawl tal-iżviluppi antiċipati tax-xenarju ta’ theddid li jikkonċerna l-entità finanzjarja.
Għat-TLPTs aggregati, mingħajr preġudizzju għax-xenarji li jimmiraw direttament lejn il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji involuti fl-ittestjar, tal-anqas xenarju wieħed għandu jinkludi s-sistemi, il-proċessi, u t-teknoloġiji tal-ICT sottostanti rilevanti tal-fornitur terz ta’ servizzi tal-ICT li jappoġġjaw il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji li huma fl-ambitu.
Meta test ikun TLPT konġunt li jinvolvi fornitur intragrupp ta’ servizzi tal-ICT, mingħajr preġudizzju għax-xenarji li jimmiraw direttament lejn il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji involuti fit-test, tal-anqas xenarju wieħed għandu jinkludi s-sistemi, il-proċessi, u t-teknoloġiji tal-ICT sottostanti rilevanti tal-fornitur intragrupp ta’ servizzi tal-ICT li jappoġġjaw il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji li huma fl-ambitu.
5. Il-fornitur tal-intelligence dwar it-theddid għandu jipprovdi r-rapport tal-intelligence dwar it-theddid immirat lit-tim ta’ kontroll, inklużi x-xenarji magħżula f’konformità mal-paragrafi 3 u 4. Ir-rapport tal-intelligence dwar it-theddid għandu jkun fih l-informazzjoni stabbilita fl-Anness III.
6. It-tim ta’ kontroll għandu jippreżenta r-rapport tal-intelligence dwar it-theddid immirat lill-maniġer tat-testijiet għall-approvazzjoni. Meta r-rapport tal-intelligence dwar it-theddid immirat ikun komplut u jiżgura t-twettiq ta’ TLPT effettiv, l-awtorità tat-TLPT għandha tapprova r-rapport tal-intelligence dwar it-theddid immirat u tinforma lill-kap tat-tim ta’ kontroll b’dan.
Artikolu 11
Fażi tal-ittestjar: Test tat-Tim l-Aħmar
1. Wara l-approvazzjoni tar-rapport tal-intelligence dwar it-theddid immirat mill-awtorità tat-TLPT, it-testers għandhom iħejju l-pjan tat-test tat-tim l-aħmar li għandu jkun fih l-informazzjoni stabbilita fl-Anness IV. It-testers għandhom jużaw id-dokument tal-ispeċifikazzjoni tal-ambitu u r-rapport tal-intelligence dwar it-theddid immirat bħala bażi għall-produzzjoni tax-xenarji ta’ attakk.
2. It-testers għandhom jikkonsultaw lit-tim ta’ kontroll, lill-fornitur tal-intelligence dwar it-theddid, u lill-maniġers tat-testijiet dwar il-pjan tat-test tat-tim l-aħmar, li jinkludi l-arranġament tal-komunikazzjoni, proċedurali u tal-ġestjoni tal-proġetti, it-tħejjija u l-każijiet ta’ użu għall-attivazzjoni leg-up, u l-ftehimiet ta’ rapportar lit-tim ta’ kontroll u lill-maniġers tat-testijiet.
3. Meta l-pjan tat-test tat-tim l-aħmar ikun komplut u jiżgura t-twettiq ta’ TLPT effettiv, it-tim ta’ kontroll u l-awtorità tat-TLPT għandhom japprovaw il-pjan tat-test tat-tim l-aħmar u t-TLPT għandu jinforma lill-kap tat-tim ta’ kontroll b’dan.
4. Mal-approvazzjoni tal-pjan tat-test tat-tim l-aħmar f’konformità mal-paragrafu 3, it-testers għandhom jagħmlu t-TLPT waqt il-fażi attiva tal-ittestjar tat-tim l-aħmar.
5. Id-durata tal-fażi attiva tal-ittestjar tat-tim l-aħmar għandha tkun proporzjonata mal-ambitu tat-TLPT, mal-iskala, l-attività, il-kumplessità u l-għadd tal-entitajiet finanzjarji u tal-fornituri terzi jew intragrupp ta’ servizzi tal-ICT involuti fit-TLPT, u fi kwalunkwe każ għandha ddum mill-anqas 12-il ġimgħa. Ix-xenarji ta’ attakk jistgħu jiġu eżegwiti f’sekwenza jew fl-istess ħin. It-tim ta’ kontroll, il-fornitur tal-intelligence dwar it-theddid, it-testers u l-maniġers tat-testijiet għandhom jaqblu dwar it-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar.
6. Soġġett għall-iżgurar li l-pjan tal-ittestjar tat-tim l-aħmar jibqa’ komplut u jippermetti t-twettiq ta’ TLPT effettiv, il-kap tat-tim ta’ kontroll u l-maniġers tat-testijiet għandhom japprovaw kwalunkwe bidla fil-pjan tal-ittestjar tat-tim l-aħmar wara l-approvazzjoni tiegħu, inklużi l-iskeda ta’ żmien, l-ambitu, is-sistemi fil-mira jew il-marki.
7. Matul il-fażi attiva kollha tal-ittestjar tat-tim l-aħmar, it-testers għandhom jirrapportaw mill-anqas darba fil-ġimgħa lit-tim ta’ kontroll u lill-maniġers tat-testijiet dwar il-progress li jkun sar fit-TLPT, u l-fornitur tal-intelligence dwar it-theddid għandu jibqa’ disponibbli għall-konsultazzjoni u għal intelligence addizzjonali dwar it-theddid meta mitlub mit-tim ta’ kontroll.
8. It-tim ta’ kontroll għandu jipprovdi leg-ups f’waqthom imfassla abbażi tal-pjan tat-test tat-tim l-aħmar. Il-leg-ups jistgħu jiżdiedu jew jiġu adattati mal-approvazzjoni mit-tim ta’ kontroll u mill-maniġers tat-testijiet.
9. Fil-każ li l-attivitajiet tal-ittestjar jiġu individwati minn kwalunkwe membru tal-persunal tal-entità finanzjarja jew tal-fornituri terzi ta’ servizzi tal-ICT jew tal-fornitur intragrupp ta’ servizzi tal-ICT tagħha, fejn rilevanti, it-tim ta’ kontroll, f’konsultazzjoni mat-testers u mingħajr preġudizzju għall-paragrafu 10, għandu jipproponi u jippreżenta miżuri li jippermettu li t-TLPT jitkompla filwaqt li tiġi żgurata s-segretezza tiegħu lill-maniġers tat-testijiet għall-validazzjoni.
10. F’ċirkostanzi eċċezzjonali li jiskattaw riskji ta’ impatt fuq id-data, ħsara lill-assi, u tfixkil għal funzjonijiet, servizzi jew operazzjonijiet kritiċi jew importanti tal-entità finanzjarja nnifisha, tal-fornituri terzi ta’ servizzi tal-ICT tagħha jew tal-fornituri intragrupp ta’ servizzi tal-ICT, jew tfixkil għall-kontropartijiet tagħha jew għas-settur finanzjarju, it-tim ta’ kontroll jista’ jissospendi t-TLPT, jew, bħala l-aħħar alternattiva, meta l-kontinwazzjoni tat-TLPT ma tkunx possibbli b’mod ieħor u soġġetta għall-validazzjoni minn qabel mill-awtorità tat-TLPT, ikompli t-TLPT bl-użu ta’ eżerċizzju limitat bit-tim il-vjola. Id-durata tal-eżerċizzju limitat bl-użu tat-tim il-vjola għandha tingħadd għall-fini tad-durata minima ta’ 12-il ġimgħa tal-fażi attiva tal-ittestjar tat-tim l-aħmar imsemmi fil-paragrafu 5.
Artikolu 12
Fażi tal-għeluq
1. Wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, il-kap tat-tim ta’ kontroll għandu jinforma lit-tim il-blu li jkun sar TLPT.
2. Fi żmien 4 ġimgħat mit-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-testers għandhom jippreżentaw lit-tim ta’ kontroll rapport tat-test tat-tim l-aħmar li jkun fih l-informazzjoni stabbilita fl-Anness V.
3. It-tim ta’ kontroll għandu jipprovdi r-rapport tat-test tat-tim l-aħmar lit-tim il-blu u lill-maniġers tat-testijiet mingħajr dewmien żejjed.
Fuq talba tal-maniġers tat-testijiet, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
4. Malli jirċievi r-rapport tat-test tat-tim l-aħmar, u mhux aktar tard minn 10 ġimgħat wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-tim il-blu għandu jippreżenta lit-tim ta’ kontroll rapport tat-test tat-tim il-blu li jkun fih l-informazzjoni stabbilita fl-Anness VI. It-tim ta’ kontroll għandu jipprovdi r-rapport tat-test tat-tim il-blu lit-testers u lill-maniġers tat-testijiet mingħajr dewmien żejjed.
Fuq talba tal-maniġers tat-testijiet, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
5. Mhux aktar tard minn 10 ġimgħat wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-tim il-blu u t-testers għandhom jirrepetu l-azzjonijiet offensivi u difensivi mwettqa matul it-TLPT. It-tim ta’ kontroll għandu jwettaq ukoll eżerċizzju bl-użu tat-tim il-vjola fuq suġġetti identifikati b’mod konġunt mit-tim il-blu u mit-testers, abbażi tal-vulnerabbiltajiet identifikati matul it-test u, fejn rilevanti, fuq kwistjonijiet li ma setgħux jiġu ttestjati matul il-fażi attiva tal-ittestjar tat-tim l-aħmar.
6. Wara t-tlestija tal-eżerċizzji ta’ ripetizzjoni u bl-użu tat-tim il-vjola, it-tim ta’ kontroll, it-tim il-blu, it-testers, u l-fornituri tal-intelligence dwar it-theddid għandhom jipprovdu feedback lil xulxin dwar il-proċess tat-TLPT. Il-maniġers tat-testijiet jistgħu jipprovdu feedback.
7. Hekk kif l-awtorità tat-TLPT tkun innotifikat lill-kap tat-tim ta’ kontroll li tkun ivvalutat li r-rapport tat-test tat-tim il-blu u r-rapport tat-test tat-tim l-aħmar ikun fihom l-informazzjoni stabbilita fl-Annessi V u VI, l-entità finanzjarja għandha fi żmien 8 ġimgħat tippreżenta r-rapport li jiġbor fil-qosor is-sejbiet rilevanti tat-TLPT lill-awtorità tat-TLPT, kif imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554, li jkun fih l-elementi stabbiliti fl-Anness VII għall-approvazzjoni.
Fuq talba tal-awtorità tat-TLPT, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
Artikolu 13
Pjan ta’ rimedju
1. Fi żmien 8 ġimgħat min-notifika msemmija fl-Artikolu 12(7) ta’ dan ir-Regolament, l-entità finanzjarja għandha tipprovdi l-pjanijiet ta’ rimedju u d-dokumentazzjoni msemmija fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554 lill-awtorità tat-TLPT u, fejn differenti, lill-awtorità kompetenti tal-entità finanzjarja.
2. Il-pjan ta’ rimedju msemmi fil-paragrafu 1 għandu jinkludi, għal kull sejba li tkun instabet fil-qafas tat-TLPT:
|
(a) |
deskrizzjoni tan-nuqqasijiet identifikati; |
|
(b) |
deskrizzjoni tal-miżuri ta’ rimedju proposti u tal-prijoritizzazzjoni u t-tlestija mistennija tagħhom, inklużi, fejn rilevanti, miżuri biex jittejbu l-kapaċitajiet ta’ identifikazzjoni, protezzjoni, individwazzjoni u rispons; |
|
(c) |
analiżi tal-kawża ewlenija; |
|
(d) |
il-persunal jew il-funzjonijiet tal-entità finanzjarja responsabbli għall-implimentazzjoni tal-miżuri ta’ rimedju jew tat-titjib propost; |
|
(e) |
ir-riskji assoċjati man-nuqqas ta’ implimentazzjoni tal-miżuri msemmija fil-punt (b) u, fejn rilevanti, ir-riskji assoċjati mal-implimentazzjoni ta’ tali miżuri. |
Artikolu 14
Attestazzjoni
1. L-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554 għandu jkun fiha l-informazzjoni stabbilita fl-Anness VIII.
2. Meta diversi awtoritajiet tat-TLPT ikunu ġew involuti f’TLPT, l-awtorità ewlenija tat-TLPT għandha tipprovdi l-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554 lill-entitajiet finanzjarji ttestjati.
Artikolu 15
Użu ta’ testers interni
1. L-entitajiet finanzjarji għandhom jistabbilixxu l-arranġamenti kollha li ġejjin għall-użu ta’ testers interni:
|
(a) |
l-istabbiliment u l-implimentazzjoni ta’ politika għall-ġestjoni ta’ testers interni f’TLPT; |
|
(b) |
miżuri biex jiġi żgurat li l-użu ta’ testers interni biex isir TLPT ma jkollux impatt negattiv fuq il-kapaċitajiet ġenerali ta’ difiża jew ta’ reżiljenza tal-entità finanzjarja rigward inċidenti relatati mal-ICT jew ikollu impatt sinifikanti fuq id-disponibbiltà ta’ riżorsi dedikati għal kompiti relatati mal-ICT waqt TLPT; |
|
(c) |
miżuri biex jiġi żgurat li t-testers interni jkollhom biżżejjed riżorsi u kapaċitajiet biex jagħmlu TLPT. |
Il-politika msemmija fil-punt (a) għandha:
|
(a) |
ikun fiha kriterji għall-valutazzjoni tal-adegwatezza, il-kompetenza, il-kunflitti ta’ interess potenzjali tat-testers interni u tispeċifika r-responsabbiltajiet ta’ ġestjoni fil-proċess tal-ittestjar; |
|
(b) |
tkun dokumentata u rieżaminata perjodikament; |
|
(c) |
tipprevedi li t-tim tal-ittestjar intern jinkludi kap tat-test, u mill-anqas żewġ membri addizzjonali; |
|
(d) |
tirrikjedi li l-membri kollha tat-tim tat-test ikunu ġew impjegati mill-entità finanzjarja jew minn fornitur intragrupp ta’ servizzi tal-ICT għat-12-il xahar preċedenti; |
|
(e) |
tinkludi dispożizzjonijiet fuq it-taħriġ dwar kif isir l-ittestjar tal-penetrazzjoni u l-ittestjar tat-tim l-aħmar tat-testers interni. |
2. Meta awtorità tat-TLPT tapprova l-użu ta’ testers interni f’konformità mal-Artikolu 27(2), il-punt (a), tar-Regolament (UE) 2022/2554, l-awtorità tat-TLPT għandha tqis ir-rekwiżiti stabbiliti fl-Artikolu 7(1) ta’ dan ir-Regolament.
3. Meta tuża testers interni, l-entità finanzjarja għandha tiżgura li tali użu jissemma fid-dokumenti li ġejjin:
|
(a) |
l-informazzjoni għall-bidu tat-test imsemmija fl-Artikolu 9; |
|
(b) |
ir-rapport tat-test tat-tim l-aħmar imsemmi fl-Artikolu 12(2); |
|
(c) |
ir-rapport li jiġbor fil-qosor is-sejbiet rilevanti tat-TLPT imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554. |
4. It-testers impjegati minn fornitur intragrupp ta’ servizzi tal-ICT għandhom jitqiesu bħala testers interni tal-entità finanzjarja.
Artikolu 16
Kooperazzjoni u rikonoxximent reċiproku
1. Għall-finijiet li jsir TLPT fir-rigward ta’ entità finanzjarja li tipprovdi servizzi f’aktar minn Stat Membru wieħed, inkluż permezz ta’ fergħa, l-awtorità tat-TLPT tagħha għandha:
|
(a) |
tiddetermina liema awtoritajiet tat-TLPT fl-Istati Membri ospitanti għandhom ikunu involuti, filwaqt li tqis jekk funzjoni kritika jew importanti waħda jew aktar humiex operati fl-Istati Membri ospitanti jew kondiviżi bejniethom; |
|
(b) |
tinforma lill-awtoritajiet tat-TLPT identifikati f’konformità mal-punt (a) bid-deċiżjoni li jsir test tat-TLPT fuq l-entità finanzjarja; |
|
(c) |
sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT, l-awtorità tat-TLPT tal-entità finanzjarja għandha tmexxi t-TLPT. |
L-awtoritajiet tat-TLPT tal-Istati Membri ospitanti jistgħu, fi żmien 20 jum tax-xogħol minn meta jirċievu l-informazzjoni dwar twettiq futur ta’ TLPT, jew jesprimu l-interess tagħhom li jsegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet biex jipparteċipa fit-TLPT. L-awtorità ewlenija tat-TLPT għandha tipprovdi lill-awtoritajiet kollha tat-TLPT li qed jaġixxu bħala osservaturi fit-TLPT bid-dokument tal-ispeċifikazzjoni tal-ambitu, ir-rapport ta’ sinteżi tat-test, il-pjan ta’ rimedju u l-attestazzjoni.
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT parteċipanti matul it-test u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT isir b’mod xieraq u effettiv. L-awtorità ewlenija tat-TLPT tista’ tistabbilixxi għadd massimu ta’ awtoritajiet tat-TLPT parteċipanti, fejn it-twettiq effiċjenti tat-TLPT jista’ inkella jiġi kompromess.
2. Meta entità finanzjarja tuża l-istess fornitur intragrupp ta’ servizzi tal-ICT bħal entitajiet finanzjarji stabbiliti fi Stati Membri oħrajn, jew tappartjeni għal grupp u tikkondividi sistemi tal-ICT ma’ entitajiet finanzjarji tal-istess grupp stabbiliti fi Stati Membri oħrajn, l-awtorità tat-TLPT tal-entità finanzjarja għandha tikkuntattja lill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji l-oħrajn li jużaw l-istess fornitur intragrupp ta’ servizzi tal-ICT jew jikkondividu sistemi tal-ICT bħala parti mill-grupp u tivvaluta magħhom il-fattibbiltà u l-adegwatezza tat-twettiq ta’ TLPT konġunt fir-rigward tagħhom. TLPT konġunt għandu jiġi ppreferut minn TLPT individwali meta dan jista’ jirriżulta fi tnaqqis tal-kostijiet u tar-riżorsi għall-entitajiet finanzjarji u għall-awtoritajiet tat-TLPT, dment li ma jiġux ippreġudikati s-solidità u l-effikaċja tal-ittestjar.
3. Għall-finijiet tat-twettiq ta’ TLPT konġunt:
|
(a) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għandhom jaqblu dwar liema entità finanzjarja għandha tiġi ddeżinjata biex twettaq it-TLPT, filwaqt li jqisu l-istruttura tal-grupp u l-effiċjenza tat-test; |
|
(b) |
l-awtorità tat-TLPT tal-entità finanzjarja deżinjata f’konformità mal-punt (a) għandha tmexxi t-TLPT, sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li qed jipparteċipaw fit-TLPT konġunt; |
|
(c) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għajr l-entità finanzjarja deżinjata biex tmexxi t-TLPT konġunt jistgħu jew jesprimu l-interess tagħhom biex isegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet għal dak it-TLPT. |
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT involuti fit-TLPT konġunt u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT konġunt isir b’mod għaqli u effettiv.
4. Meta entità finanzjarja jkollha l-ħsieb li twettaq TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554 li possibbilment jinvolvi entitajiet finanzjarji stabbiliti fi Stati Membri oħrajn, l-awtorità tat-TLPT tagħha għandha tikkuntattja lill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji l-oħrajn u tivvaluta magħhom il-fattibbiltà u l-adegwatezza tat-twettiq ta’ TLPT aggregat fir-rigward tagħhom f’konformità mal-Artikolu 26(4) tar-Regolament (UE) 2022/2554.
5. Għall-finijiet li jsir TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554:
|
(a) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għandhom jaqblu dwar liema entità finanzjarja għandha tiġi ddeżinjata biex twettaq it-TLPT aggregat, filwaqt li jqisu s-servizzi tal-ICT provduti mill-fornitur terz ta’ servizzi tal-ICT lill-entitajiet finanzjarji u l-effiċjenza tat-test; |
|
(b) |
l-awtorità tat-TLPT tal-entità finanzjarja deżinjata f’konformità mal-punt (a) għandha tmexxi t-TLPT, sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li jipparteċipaw fit-TLPT konġunt aggregat; |
|
(c) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għajr l-entità finanzjarja deżinjata biex tmexxi t-TLPT aggregat jistgħu jew jesprimu l-interess tagħhom biex isegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet għal dak it-TLPT. |
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT involuti fit-TLPT aggregat u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT aggregat isir b’mod għaqli u effettiv.
6. Fir-rigward ta’ entità finanzjarja meħtieġa twettaq TLPT, meta l-awtorità tat-TLPT tagħha tkun differenti mill-awtorità kompetenti tagħha kif imsemmi fl-Artikolu 46 tar-Regolament (UE) 2022/2554, dawk l-awtoritajiet għandhom jikkondividu kwalunkwe informazzjoni rilevanti fir-rigward tal-kwistjonijiet kollha relatati mat-TLPT għall-finijiet tat-twettiq tat-TLPT jew biex iwettqu dmirijiethom f’konformità ma’ dak ir-Regolament.
Artikolu 17
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u jkun direttament applikabbli fl-Istati Membri kollha.
Magħmul fi Brussell, it-13 ta’ Frar 2025.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Ir-Regolament (UE) 2023/1114 tal-Parlament Ewropew u tal-Kunsill tal-31 ta’ Mejju 2023 dwar is-swieq fil-kriptoassi, u li jemenda r-Regolamenti (UE) Nru 1093/2010 u (UE) Nru 1095/2010 u d-Direttivi 2013/36/UE u (UE) 2019/1937 (ĠU L 150, 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj).
(3) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Id-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill tas-26 ta’ Ġunju 2013 dwar l-aċċess għall-attività tal-istituzzjonijiet ta’ kreditu u s-superviżjoni prudenzjali tal-istituzzjonijiet ta’ kreditu u tad-ditti tal-investiment, li temenda d-Direttiva 2002/87/KE u li tħassar id-Direttivi 2006/48/KE u 2006/49/KE (ĠU L 176, 27.6.2013, p. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
(8) Id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2015 dwar is-servizzi ta’ pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (ĠU L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(9) Id-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq fl-istrumenti finanzjarji u li temenda d-Direttiva 2002/92/KE u d-Direttiva 2011/61/UE (ĠU L 173, 12.6.2014, p. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).
(10) Ir-Regolament (UE) Nru 600/2014 tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq tal-istrumenti finanzjarji u li jemenda r-Regolament (UE) Nru 648/2012 (ĠU L 173 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj).
(11) Id-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2009 dwar il-bidu u l-eżerċizzju tan-negozju tal-assigurazzjoni u tar-riassigurazzjoni (Solvibbiltà II) (ĠU L 335, 17.12.2009, p. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj).
ANNESS I
Kontenut tal-karta tal-proġett (l-Artikolu 9(2)(a))
|
Punt ta’ Informazzjoni |
Informazzjoni meħtieġa |
||||||
|
Persuna responsabbli għall-pjan tal-proġett, jiġifieri l-Kap tat-Tim ta’ Kontroll |
Isem Dettalji ta’ kuntatt |
||||||
|
Testers |
|
||||||
|
Kanali ta’ komunikazzjoni magħżula f’konformità mal-Artikolu 9(2), il-punt (d), u l-Artikolu 9(4), il-punt (a), inkluż:
|
|
||||||
|
Isem kodiċi għat-TLPT |
|
||||||
|
Fejn applikabbli, il-funzjonijiet kritiċi jew importanti li l-entità finanzjarja twettaq fi Stati Membri oħra |
|
||||||
|
Fejn applikabbli, funzjonijiet kritiċi jew importanti appoġġati minn fornituri terzi ta’ servizzi tal-ICT |
|
||||||
|
Skadenzi għat-tlestija ta’: |
|||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
ANNESS II
Kontenut tad-dokument tal-ispeċifikazzjoni tal-kamp ta’ applikazzjoni (l-Artikolu 9(6))
1.
Id-dokument tal-ispeċifikazzjoni tal-kamp ta’ applikazzjoni għandu jkun fih lista tal-funzjonijiet kritiċi jew importanti kollha identifikati mill-entità finanzjarja.
2.
Għal kull funzjoni kritika jew importanti identifikata, għandha tiġi inkluża l-informazzjoni li ġejja:|
(a) |
jekk il-funzjoni kritika jew importanti ma tkunx inkluża fil-kamp ta’ applikazzjoni tat-TLPT, l-ispjegazzjoni tar-raġunijiet għaliex ma ġietx inkluża; |
|
(b) |
jekk il-funzjoni kritika jew importanti tkun inkluża fil-kamp ta’ applikazzjoni tat-TLPT:
|
ANNESS III
Kontenut tar-rapport tal-intelligence dwar it-theddid immirat (l-Artikolu 10(5))
Ir-rapport tal-intelligence dwar it-theddid immirat għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
1. |
Il-kamp ta’ applikazzjoni ġenerali tar-riċerka tal-intelligence inkluż mill-inqas dan li ġej:
|
|
2. |
Il-valutazzjoni ġenerali ta’ liema intelligence azzjonabbli konkreta tista’ tinstab dwar l-entità finanzjarja, inkluż:
|
|
3. |
Analiżi tal-intelligence dwar it-theddid li tqis ix-xenarju ġenerali tat-theddid u s-sitwazzjoni partikolari tal-entità finanzjarja, inkluż, mill-inqas:
|
|
4. |
Il-profili ta’ theddid tal-atturi malizzjużi (individwu/grupp speċifiku jew klassi ġenerika) li jistgħu jimmiraw lejn l-entità finanzjarja, inklużi s-sistemi tal-entità finanzjarja li atturi malizzjużi x’aktarx li jikkompromettu jew jimmiraw għalihom, il-motivazzjoni, l-intenzjoni u r-raġunament possibbli għall-immirar potenzjali u l-modus operandi possibbli tal-aggressuri. |
|
5. |
Ix-xenarji ta’ theddid: mill-inqas tliet xenarji minn tarf sa tarf ta’ theddid għall-profili ta’ theddid identifikati f’konformità mal-punt 4 li juru l-ogħla punteġġi ta’ severità tat-theddid. Ix-xenarji ta’ theddid għandhom jiddeskrivu l-perkors minn tarf sa tarf tal-attakk u għandhom jinkludu, mill-inqas:
|
|
6. |
Fejn rilevanti, id-deskrizzjoni tax-xenarju mhux immexxi mit-theddid imsemmi fl-Artikolu 10(4). |
ANNESS IV
Kontenut tal-pjan tat-test tat-tim l-aħmar (l-Artikolu 11(1))
Il-pjan tal-ittestjar tat-tim l-aħmar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
kanali u proċeduri ta’ komunikazzjoni; |
|
(b) |
it-tattiċi, it-tekniki u l-proċeduri permessi u mhux permessi għall-użu fl-attakk, inklużi l-limiti etiċi għall-inġinerija soċjali; |
|
(c) |
il-miżuri tal-ġestjoni tar-riskju li għandhom jiġu segwiti mit-testers; |
|
(d) |
deskrizzjoni għal kull xenarju, inkluż:
|
|
(e) |
id-deskrizzjoni dettaljata ta’ kull perkors ta’ attakk mistenni, inklużi l-prerekwiżiti u l-leg-ups possibbli li għandhom jiġu pprovduti mit-tim ta’ kontroll, inklużi l-iskadenzi għall-forniment u l-użu potenzjali tagħhom; |
|
(f) |
l-iskedar tal-attivitajiet ta’ timijiet ħomor, inkluż l-ippjanar tal-ħin għall-eżekuzzjoni ta’ kull xenarju, maqsum almenu fuq il-bażi ta’ tliet fażijiet li tester jieħu matul il-fażijiet kollha tal-ittestjar, li jidħol rispettivament fis-sistemi tal-ICT tal-entitajiet finanzjarji, jiċċirkola fis-sistemi tal-ICT u fl-aħħar mill-aħħar jeżegwixxi azzjonijiet fuq l-objettivi u eventwalment joħroġ mis-sistemi tal-ICT (il-fażijiet ta’ dħul, ċirkolazzjoni u ħruġ); |
|
(g) |
il-partikolaritajiet tal-infrastruttura tal-entitajiet finanzjarji li għandhom jiġu kkunsidrati matul l-ittestjar; |
|
(h) |
fejn applikabbli, informazzjoni addizzjonali jew riżorsi oħra meħtieġa għat-testers għall-eżekuzzjoni tax-xenarji. |
ANNESS V
Kontenut tar-rapport tal-ittestjar tat-tim l-aħmar (l-Artikolu 12(2))
Ir-rapport tal-ittestjar tat-tim l-aħmar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
informazzjoni dwar l-attakk imwettaq, inkluż:
|
|
(b) |
l-azzjonijiet kollha li t-testers huma konxji minnhom li twettqu mit-tim blu biex jerġa’ jibni l-attakk u biex itaffi l-effetti tiegħu; |
|
(c) |
il-vulnerabbiltajiet skoperti u sejbiet oħra, inkluż:
|
ANNESS VI
Kontenut tar-rapport tal-ittestjar tat-tim il-blu (l-Artikolu 12(4))
Ir-rapport tal-ittestjar tat-tim il-blu għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
1. |
għal kull pass tal-attakk deskritt mit-testers fir-rapport tat-test tat-tim l-aħmar:
|
|
2. |
il-valutazzjoni tas-sejbiet u r-rakkomandazzjonijiet tat-testers; |
|
3. |
l-evidenza tal-attakk mit-testers miġbura mit-tim il-blu; |
|
4. |
l-analiżi tal-kawżi ewlenin imwettqa mit-tim il-blu ta’ attakki b’suċċess mit-testers; |
|
5. |
il-lista ta’ tagħlimiet meħuda u l-potenzjal identifikat għal titjib; |
|
6. |
il-lista ta’ suġġetti li għandhom jiġu indirizzati fil-kuntest ta’ kollaborazzjoni vjola (purple teaming). |
ANNESS VII
Dettalji tar-rapport ta’ sinteżi tas-sejbiet rilevanti tat-TLPT imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554
Ir-rapport ta’ sinteżi tal-ittestjar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
il-partijiet involuti; |
|
(b) |
il-pjan tal-proġett; |
|
(c) |
il-kamp ta’ applikazzjoni vvalidat, inkluż ir-raġunament wara l-inklużjoni jew l-esklużjoni ta’ funzjonijiet kritiċi jew importanti u s-sistemi, il-proċessi u t-teknoloġiji tal-ICT identifikati li jappoġġaw il-funzjonijiet kritiċi jew importanti koperti mit-TLPT; |
|
(d) |
ix-xenarji magħżula u kwalunkwe devjazzjoni sinifikanti mir-rapport tal-intelligence dwar it-theddid immirat; |
|
(e) |
il-perkorsi ta’ attakk eżegwiti, u t-tattiċi, it-tekniki u l-proċeduri użati; |
|
(f) |
il-marki maqbuda u mhux maqbuda; |
|
(g) |
devjazzjonijiet mill-pjan tal-ittestjar tat-tim l-aħmar, jekk ikun hemm; |
|
(h) |
id-detezzjonijiet tat-tim il-blu, jekk ikun hemm; |
|
(i) |
il-kollaborazzjoni vjola fil-fażi tal-ittestjar, jekk ikun hemm u l-kundizzjonijiet relatati; |
|
(j) |
il-leg-ups użati, jekk ikun hemm; |
|
(k) |
il-miżuri ta’ ġestjoni tar-riskji meħuda; |
|
(l) |
il-vulnerabbiltajiet identifikati u sejbiet oħra, inkluża l-kritikalità tagħhom; |
|
(m) |
l-analiżi tal-kawżi ewlenin tal-attakki li rnexxew; |
|
(n) |
il-pjan ta’ livell għoli għar-rimedju, li jgħaqqad il-vulnerabbiltajiet u sejbiet oħra, il-kawżi ewlenin tagħhom u l-prijorità ta’ rimedju; |
|
(o) |
il-tagħlimiet miksuba mill-feedback riċevut. |
ANNESS VIII
Dettalji tal-attestazzjoni tat-TLPT imsemmi fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554
L-attestazzjoni għandu jkun fiha tal-anqas l-informazzjoni kollha li ġejja:
|
(a) |
dwar it-TLPT imwettaq:
|
|
(b) |
fejn diversi awtoritajiet tat-TLPT kienu involuti fit-TLPT, l-awtoritajiet l-oħra tat-TLPT, u f’liema kapaċità; |
|
(c) |
il-lista tad-dokumenti eżaminati mill-awtorità tat-TLPT għall-finijiet tal-attestazzjoni. |
ELI: http://data.europa.eu/eli/reg_del/2025/1190/oj
ISSN 1977-074X (electronic edition)