Il-Ġurnal Uffiċjali
ta'l-Unjoni Ewropea
MT
Is-serje L
|
|
Il-Ġurnal Uffiċjali |
MT Is-serje L |
|
2025/1190 |
18.6.2025 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2025/1190
tat-13 ta’ Frar 2025
li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw il-kriterji użati għall-identifikazzjoni tal-entitajiet finanzjarji meħtieġa biex jagħmlu l-ittestjar tal-penetrazzjoni bbażat fuq it-theddid, ir-rekwiżiti u l-istandards li jirregolaw l-użu ta’ testers interni, ir-rekwiżiti fir-rigward tal-kamp ta’ applikazzjoni, il-metodoloġija tal-ittestjar u l-approċċ għal kull fażi tal-istadji tal-ittestjar, tar-riżultati, tal-istadji tal-għeluq u tar-rimedju u t-tip ta’ kooperazzjoni superviżorja u kooperazzjoni rilevanti oħra meħtieġa għall-implimentazzjoni tat-TLPT u għall-faċilitazzjoni tar-rikonoxximent reċiproku
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 26(11), ir-raba’ subparagrafu tiegħu,
Billi:
|
(1) |
Dan ir-Regolament ġie abbozzat f’konformità mal-qafas TIBER-UE u jirrifletti l-metodoloġija, il-proċess u l-istruttura tal-ittestjar tal-penetrazzjoni bbażat fuq it-theddid (TLPT, threat-led penetration testing) kif deskritt f’TIBER-UE. L-entitajiet finanzjarji soġġetti għat-TLPT jistgħu jirreferu għall-qafas TIBER-UE u japplikaw lilu jew waħda mill-implimentazzjonijiet nazzjonali tiegħu, sakemm dak il-qafas jew dik l-implimentazzjoni tkun konsistenti mar-rekwiżiti stabbiliti fl-Artikoli 26 u 27 tar-Regolament (UE) 2022/2554 u f’dan ir-Regolament. Id-deżinjazzjoni ta’ awtorità pubblika unika fis-settur finanzjarju li tkun responsabbli għal kwistjonijiet relatati mat-TLPT fil-livell nazzjonali f’konformità mal-Artikolu 26(9) tar-Regolament (UE) 2022/2554 jenħtieġ li tkun mingħajr preġudizzju għall-kompetenza tal-awtoritajiet kompetenti fdati fil-livell tal-Unjoni għas-superviżjoni ta’ ċerti entitajiet finanzjarji f’konformità mal-Artikolu 46 ta’ dak ir-Regolament bħal, pereżempju, il-Bank Ċentrali Ewropew għal istituzzjonijiet ta’ kreditu sinifikanti li għandhom jitqiesu kompetenti għal kwistjonijiet relatati mat-TLPT. Meta xi wħud biss mill-kompiti relatati mat-TLPTs jiġu ddelegati lil awtorità nazzjonali oħra fis-settur finanzjarju skont l-Artikolu 26(10) tar-Regolament (UE) 2022/2554, jenħtieġ li l-awtorità kompetenti tal-entità finanzjarja msemmija fl-Artikolu 46 ta’ dak ir-Regolament tibqa’ l-awtorità għall-kompiti relatati mat-TLPT li ma jkunux ġew iddelegati. |
|
(2) |
Meta titqies il-kumplessità tat-TLPT u r-riskji relatati miegħu, jenħtieġ li l-użu tiegħu jkun ristrett għal dawk l-entitajiet finanzjarji li għalihom huwa ġġustifikat. Għalhekk, jenħtieġ li l-awtoritajiet responsabbli għall-kwistjonijiet tat-TLPT (l-awtoritajiet tat-TLPT, fil-livell tal-Unjoni jew f’dak nazzjonali) jeskludu mill-ambitu tat-TLPT dawk l-entitajiet finanzjarji li joperaw f’subsetturi ewlenin tas-servizzi finanzjarji li għalihom it-TLPT mhuwiex iġġustifikat. Dan ifisser li l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament u tal-flus elettroniċi, id-depożitorji ċentrali tat-titoli, il-kontropartijiet ċentrali, iċ-ċentri ta’ negozjar, l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni, minkejja li jissodisfaw il-kriterji kwantitattivi, jistgħu jiġu rilaxxati mir-rekwiżit tat-TLPT fid-dawl ta’ valutazzjoni ġenerali tal-profil tar-riskju u tal-maturità tal-ICT tagħhom, l-impatt fuq is-settur finanzjarju, u t-tħassib relatat dwar l-istabbiltà finanzjarja. |
|
(3) |
L-awtoritajiet tat-TLPT jenħtieġ li jivvalutaw, fid-dawl ta’ valutazzjoni ġenerali tal-profil tar-riskju u tal-maturità tal-ICT, tal-impatt fuq is-settur finanzjarju, u tat-tħassib relatat dwar l-istabbiltà finanzjarja, jekk kwalunkwe tip ta’ entità finanzjarja għajr l-istituzzjonijiet ta’ kreditu, l-istituzzjonijiet ta’ pagament, l-istituzzjonijiet tal-flus elettroniċi, il-kontropartijiet ċentrali, id-depożitorji ċentrali tat-titoli, iċ-ċentri ta’ negozjar, l-impriżi tal-assigurazzjoni u tar-riassigurazzjoni jenħtieġx li tkun soġġetta għat-TLPT. Jenħtieġ li l-valutazzjoni ta’ jekk tali entitajiet finanzjarji jissodisfawx dawk il-kriterji kwalitattivi jkollha l-għan li tidentifika entitajiet finanzjarji li għalihom it-TLPT ikun xieraq bl-użu ta’ indikaturi transsettorjali u oġġettivi. Fl-istess ħin, jenħtieġ li l-valutazzjoni ta’ jekk entità finanzjarja tissodisfax dawk il-kriterji kwalitattivi tillimita l-entitajiet soġġetti għat-TLPT għal dawk li għalihom l-ittestjar huwa ġġustifikat. Jenħtieġ li jiġi vvalutat ukoll jekk entità finanzjarja tissodisfax dawk il-kriterji kwalitattivi fid-dawl tal-iżviluppi ġodda tas-suq u tal-importanza dejjem akbar ta’ parteċipanti ġodda fis-suq għas-settur finanzjarju fil-futur, inklużi l-fornituri ta’ servizzi tal-kriptoassi awtorizzati f’konformità mal-Artikolu 59 tar-Regolament (UE) 2023/1114 tal-Parlament Ewropew u tal-Kunsill (2). |
|
(4) |
L-entitajiet finanzjarji jista’ jkollhom l-istess fornitur intragrupp ta’ servizzi tal-ICT jew jistgħu jappartjenu għall-istess grupp u jiddependu fuq l-użu ta’ sistemi tal-ICT kondiviżi. F’dak il-każ, huwa importanti li l-awtoritajiet tat-TLPT iqisu l-istruttura u l-karattru sistemiku jew l-importanza għas-settur finanzjarju ta’ dik l-entità finanzjarja fil-livell nazzjonali jew f’dak tal-Unjoni fil-valutazzjoni ta’ jekk entità finanzjarja jenħtieġx li tkun soġġetta għat-TLPT u ta’ jekk it-TLPT jenħtieġx li jsir fil-livell tal-entità jew fil-livell tal-grupp (permezz ta’ TLPT konġunt). |
|
(5) |
Biex isir l-istess bħal fil-qafas TIBER-UE, huwa meħtieġ li l-metodoloġija tal-ittestjar tipprevedi l-involviment tal-parteċipanti ewlenin li ġejjin: l-entità finanzjarja, b’tim ta’ kontroll (li jirrifletti t-“tim ta’ kontroll” ta’ TIBER-UE) u tim blu (li jirrifletti t-“tim il-blu” ta’ TIBER-UE), u l-awtorità tat-TLPT, fil-forma ta’ tim ċibernetiku tat-TLPT (li jirrifletti t-“timijiet ċibernetiċi TIBER” ta’ TIBER-UE), fornitur tal-intelligence dwar it-theddid, u testers (fejn it-testers jirriflettu l-“fornitur tat-tim l-aħmar” ta’ TIBER-UE). |
|
(6) |
Biex jiġi żgurat li t-TLPT jibbenefika mill-esperjenza żviluppata fil-qafas tal-implimentazzjoni ta’ TIBER-UE u biex jitnaqqsu r-riskji assoċjati mat-twettiq tat-TLPT, jenħtieġ li jiġi żgurat li r-responsabbiltajiet tat-timijiet ċibernetiċi tat-TLPT, li għandhom jiġu stabbiliti fil-livell tal-awtoritajiet tat-TLPT, jaqblu kemm jista’ jkun ma’ dawk tat-timijiet ċibernetiċi ta’ TIBER-UE. Għalhekk, jenħtieġ li t-timijiet ċibernetiċi tat-TLPT ikollhom maniġers tat-testijiet li jkunu responsabbli għas-sorveljanza tat-TLPTs individwali u għall-ippjanar u l-koordinazzjoni ta’ testijiet individwali. It-timijiet ċibernetiċi tat-TLPT jenħtieġ li jservu bħala punt uniku ta’ kuntatt għall-komunikazzjoni relatata mat-testijiet mal-partijiet ikkonċernati interni u esterni, għall-ġbir u l-ipproċessar tal-feedback u tat-tagħlimiet meħuda minn testijiet li jkunu saru qabel, u għall-appoġġ tal-entitajiet finanzjarji li jkunu qed jagħmlu l-ittestjar tat-TLPT. |
|
(7) |
Biex isir l-istess bħal fil-metodoloġija ta’ qafas TIBER-UE, jenħtieġ li l-maniġers tat-testijiet ikollhom il-ħiliet u l-kapaċitajiet meħtieġa biex jipprovdu pariri u biex jikkontestaw il-proposti tat-testers. L-esperjenza fil-qafas TIBER-UE wriet li huwa siewi li jkun hemm tim ta’ mill-anqas żewġ maniġers tat-testijiet assenjati ma’ kull test. Biex jiġi rifless li t-TLPT qed jintuża għall-inċentivar tal-esperjenza ta’ tagħlim, għas-salvagwardja tal-kunfidenzjalità tat-testijiet, u sakemm ma jkollhomx kwistjonijiet ta’ riżorsi jew ta’ għarfien espert, l-awtoritajiet tat-TLPT huma mħeġġa bil-kbir biex jikkunsidraw li, għad-durata ta’ TLPT, il-maniġers tat-testijiet jenħtieġ ma jwettqux attivitajiet superviżorji fuq l-istess entità finanzjarja li tkun għaddejja minn TLPT. |
|
(8) |
Huwa importanti, għall-konsistenza mal-qafas TIBER-UE, li l-awtorità tat-TLPT issegwi mill-qrib l-ittestjar f’kull wieħed mill-istadji tiegħu. Meta titqies in-natura tal-ittestjar u r-riskji assoċjati miegħu, huwa fundamentali li l-awtorità tat-TLPT tkun involuta f’kull fażi speċifika tal-ittestjar. B’mod partikolari, jenħtieġ li l-awtorità tat-TLPT tiġi kkonsultata u jenħtieġ li tivvalida dawk il-valutazzjonijiet jew id-deċiżjonijiet tal-entitajiet finanzjarji li jistgħu, minn naħa waħda, jinfluwenzaw l-effettività tat-test u, minn naħa oħra, ikollhom impatt fuq ir-riskji assoċjati mat-test. Il-passi fundamentali li fuqhom huwa meħtieġ l-involviment speċifiku tal-awtorità tat-TLPT jinkludu l-validazzjoni ta’ ċerta dokumentazzjoni fundamentali tal-ittestjar, u l-għażla ta’ fornituri tal-intelligence dwar it-theddid u testers u miżuri ta’ ġestjoni tar-riskju. L-involviment tal-awtoritajiet tat-TLPT, u b’mod partikolari għall-validazzjonijiet, jenħtieġ li ma jirriżultax f’piż eċċessiv għal dawk l-awtoritajiet u għalhekk jenħtieġ li jkun limitat għal dik id-dokumentazzjoni u dawk id-deċiżjonijiet li jaffettwaw direttament it-twettiq tat-TLPT. Permezz tal-parteċipazzjoni attiva f’kull fażi tal-ittestjar, l-awtoritajiet tat-TLPT jistgħu jivvalutaw b’mod effettiv il-konformità tal-entitajiet finanzjarji mar-rekwiżiti rilevanti, li jenħtieġ li jippermetti lil dawk l-awtoritajiet joħorġu attestazzjonijiet skont l-Artikolu 26(7) tar-Regolament (UE) 2022/2554. |
|
(9) |
Is-segretezza tat-TLPT hija tal-akbar importanza biex jiġi żgurat li l-kundizzjonijiet tal-ittestjar ikunu realistiċi. Għal dik ir-raġuni, jenħtieġ li l-ittestjar isir bil-moħbi, u jenħtieġ li jittieħdu prekawzjonijiet biex it-TLPT jinżamm kunfidenzjali, inkluża l-għażla ta’ ismijiet kodiċi li jenħtieġ li jitfasslu biex jipprevjenu l-identifikazzjoni tat-TLPT minn partijiet terzi. Jekk il-membri tal-persunal responsabbli għas-sigurtà tat-tim finanzjarju jkunu konxji ta’ TLPT ippjanat jew li jkun għaddej, x’aktarx li jkunu aktar osservanti u attenti milli waqt il-kundizzjonijiet normali tax-xogħol, b’dan jirriżulta f’eżitu alterat tal-ittestjar. Il-membri tal-persunal tal-entità finanzjarja barra mit-tim ta’ kontroll jenħtieġ li jiġu mgħarrfa biss bi kwalunkwe TLPT ippjanat jew li jkun għaddej meta jkun hemm raġunijiet konvinċenti u soġġett għall-qbil minn qabel tal-maniġers tat-testijiet, inter alia biex tiġi żgurata s-segretezza tat-test f’każ li membru tat-tim il-blu jkun induna bl-ittestjar. |
|
(10) |
Kif muri mill-esperjenza miġbura fil-qafas TIBER-UE fir-rigward tat-“tim ta’ kontroll”, l-għażla ta’ kap adegwat tat-tim ta’ kontroll hija indispensabbli għat-twettiq sikur tat-TLPT. Il-kap tat-tim ta’ kontroll jenħtieġ li jkollu l-mandat meħtieġ fi ħdan l-entità finanzjarja biex jiggwida l-aspetti kollha tal-ittestjar, mingħajr ma tiġi kompromessa l-kunfidenzjalità tiegħu. Għall-istess raġuni, il-membri tat-tim ta’ kontroll jenħtieġ li jkollhom għarfien profond tal-entità finanzjarja, tar-rwol tal-impjieg u tal-pożizzjonament strateġiku tal-kap tat-tim ta’ kontroll, jenħtieġ li jkollhom l-anzjanità meħtieġa fil-kariga tagħhom u jenħtieġ li jkollhom aċċess għall-bord maniġerjali. Biex jitnaqqas ir-riskju li t-TLPT jiġi kompromess, it-tim ta’ kontroll jenħtieġ li jkun żgħir kemm jista’ jkun. |
|
(11) |
Hemm elementi inerenti ta’ riskji assoċjati mat-TLPT peress li l-funzjonijiet kritiċi jiġu ttestjati f’ambjent ta’ produzzjoni attiv, bil-possibbiltà li jiġu kkawżati inċidenti li jwaqqfu s-servizz, kraxxijiet fis-sistema mhux mistennija, ħsarat lil sistemi ta’ produzzjoni attivi kritiċi, jew it-telf, il-modifika, jew id-divulgazzjoni tad-data. Dawk ir-riskji jenfasizzaw il-ħtieġa għal miżuri robusti ta’ ġestjoni tar-riskju. Biex jiġi żgurat li t-TLPT isir b’mod ikkontrollat matul l-ittestjar kollu, huwa importanti ħafna li l-entitajiet finanzjarji jkunu f’kull punt konxji tar-riskji partikolari li jinqalgħu f’TLPT u li dawk ir-riskji jiġu mmitigati. F’dak ir-rigward, mingħajr preġudizzju għall-proċessi interni tal-entità finanzjarja u għar-responsabbiltà u d-delegazzjonijiet diġà pprovduti lill-kap tat-tim ta’ kontroll, l-informazzjoni dwar il-miżuri ta’ ġestjoni tar-riskju tat-TLPT, jew, f’każijiet partikolari l-approvazzjoni ta’ dawk il-miżuri ta’ ġestjoni tar-riskju mill-korp maniġerjali stess tal-entità finanzjarja, tista’ tkun xierqa. Biex ikunu jistgħu jipprovdu servizzi professjonali effettivi u l-aktar kwalifikati u biex jitnaqqsu dawk ir-riskji, huwa essenzjali wkoll li t-testers u l-fornituri tal-intelligence dwar it-theddid (flimkien, il-fornituri tat-TLPT) ikollhom l-ogħla livell ta’ ħiliet, għarfien espert, u esperjenza xierqa fl-intelligence dwar it-theddid u fit-TLPT fl-industrija tas-servizzi finanzjarji. |
|
(12) |
It-testijiet tal-penetrazzjoni konvenzjonali spiss jipprovdu valutazzjoni dettaljata u utli tal-vulnerabbiltajiet tekniċi u tal-konfigurazzjoni ta’ sistema jew ambjent wieħed f’iżolament, iżda għall-kuntrarju tat-test tat-tim l-aħmar immexxi mill-intelligence, ma jivvalutawx ix-xenarju sħiħ ta’ attakk immirat kontra entità sħiħa, inkluż l-ambitu sħiħ tan-nies, il-proċessi u t-teknoloġiji tagħha. Għalhekk, matul il-proċess tal-għażla tal-fornituri tat-TLPT, l-entitajiet finanzjarji jenħtieġ li jiżguraw li dawk il-fornituri jkollhom il-ħiliet meħtieġa biex jagħmlu testijiet tat-tim l-aħmar immexxija mill-intelligence, u mhux biss testijiet tal-penetrazzjoni. Għalhekk, huwa meħtieġ li jiġu stabbiliti kriterji komprensivi għat-testers, kemm interni kif ukoll esterni, u għall-fornituri tal-intelligence dwar it-theddid, dejjem esterni. Meta l-fornituri tat-TLPT ikunu jappartjenu għall-istess kumpanija, jenħtieġ li l-persunal assenjat għal TLPT jiġi separat b’mod adegwat. |
|
(13) |
Jista’ jkun hemm ċirkostanzi eċċezzjonali fejn l-entitajiet finanzjarji ma jkunux jistgħu jikkuntrattaw fornituri tat-TLPT li jissodisfaw il-kriterji komprensivi. L-entitajiet finanzjarji, wara li jagħtu evidenza tan-nuqqas ta’ disponibbiltà ta’ tali fornituri tal-intelligence dwar it-theddid, jenħtieġ għalhekk li jitħallew jimpjegaw persuni li ma jissodisfawx il-kriterji komprensivi kollha, dment li jimmitigaw kif xieraq kwalunkwe riskju addizzjonali li jirriżulta u li l-awtorità tat-TLPT tivvaluta dawk il-kriterji kollha. |
|
(14) |
Meta diversi entitajiet finanzjarji u diversi awtoritajiet tat-TLPT ikunu involuti f’TLPT, jenħtieġ li r-rwoli tal-partijiet kollha fil-proċess tat-TLPT jiġu speċifikati biex isir l-aktar test effiċjenti u sikur. Għall-finijiet tal-ittestjar aggregat, huma meħtieġa rekwiżiti speċifiċi biex jiġi speċifikat ir-rwol tal-entità finanzjarja deżinjata, jiġifieri li jenħtieġ li tkun inkarigata tipprovdi d-dokumentazzjoni kollha meħtieġa lill-awtorità ewlenija tat-TLPT u timmonitorja l-proċess tat-test. L-entità finanzjarja deżinjata jenħtieġ li tkun ukoll inkarigata mill-aspetti komuni tal-valutazzjoni tal-ġestjoni tar-riskju. Minkejja r-rwol tal-entità finanzjarja deżinjata, jenħtieġ li l-obbligi ta’ kull entità finanzjarja li tipparteċipa fil-proċess tat-TLPT aggregat jibqgħu mhux affettwati matul it-test aggregat. L-istess prinċipju jenħtieġ li japplika għal TLPTs konġunti. |
|
(15) |
Kif muri mill-esperjenza tal-implimentazzjoni tal-qafas TIBER-UE, il-laqgħat li jsiru wiċċ imb wiċċ jew virtwalment li jinkludu l-partijiet ikkonċernati kollha (entitajiet finanzjarji, awtoritajiet, testers u fornituri tal-intelligence dwar it-theddid) huma l-aktar mod effiċjenti biex jiġi żgurat it-twettiq xieraq tal-ittestjar. Għalhekk, il-laqgħat wiċċ imb wiċċ u virtwali jenħtieġ li jsiru f’diversi stadji tal-proċess, u b’mod partikolari matul il-fażi ta’ tħejjija fit-tnedija tat-TLPT u biex jiġi ffinalizzat l-ambitu tiegħu, matul il-fażi tal-ittestjar, biex jiġi ffinalizzat ir-rapport tal-intelligence dwar it-theddid u l-pjan tat-test tat-tim l-aħmar u għall-aġġornamenti ta’ kull ġimgħa, u matul il-fażi tal-għeluq biex jiġu ripetuti l-azzjonijiet tat-testers u tat-tim il-blu, biex jintuża t-tim il-vjola u biex jiġi skambjat il-feedback dwar it-TLPT. |
|
(16) |
Biex jiġi żgurat it-twettiq bla xkiel tat-TLPT, jenħtieġ li l-awtorità tat-TLPT tippreżenta b’mod ċar lill-entità finanzjarja l-aspettattivi tagħha fir-rigward tal-ittestjar. F’dak ir-rigward, jenħtieġ li l-maniġers tat-testijiet jiżguraw li jiġi stabbilit fluss xieraq ta’ informazzjoni mat-tim ta’ kontroll fi ħdan l-entità finanzjarja, u mal-fornituri tat-TLPT. |
|
(17) |
L-entità finanzjarja jenħtieġ li tagħżel il-funzjonijiet kritiċi jew importanti li se jkunu fl-ambitu tat-TLPT. Meta tagħżel dawk il-funzjonijiet, l-entità finanzjarja jenħtieġ li tibbaża ruħha fuq diversi kriterji relatati mal-importanza ta’ kull funzjoni għall-entità finanzjarja nnifisha u għas-settur finanzjarju, fil-livell tal-Unjoni u f’dak nazzjonali, mhux biss f’termini ekonomiċi iżda wkoll b’kunsiderazzjoni tal-istatus simboliku jew politiku tal-funzjoni. Biex tiġi ffaċilitata tranżizzjoni bla xkiel għall-fażi tal-ġbir ta’ intelligence dwar it-theddid, it-tim ta’ kontroll jenħtieġ li jipprovdi lit-testers u lill-fornitur tal-intelligence dwar it-theddid li mhumiex involuti fil-proċess tal-identifikazzjoni tal-ambitu b’informazzjoni dettaljata dwar l-ambitu maqbul. |
|
(18) |
Biex it-testers jiġu pprovduti l-informazzjoni meħtieġa ħalli jiġi ssimulat attakk fil-ħajja reali u realistiku fuq is-sistemi attivi tal-entità finanzjarja li jirfdu l-funzjonijiet kritiċi jew importanti tagħha, il-fornitur tal-intelligence dwar it-theddid jenħtieġ li jiġbor intelligence jew informazzjoni li tkopri mill-anqas żewġ oqsma ewlenin ta’ interess: il-miri, billi jiġu identifikati is-superfiċji potenzjali ta’ attakk fl-entità finanzjarja kollha, u t-theddid, billi jiġu identifikati l-atturi ta’ theddid rilevanti u x-xenarji ta’ theddid probabbli. Biex jiġi żgurat li l-fornitur tal-intelligence dwar it-theddid iqis it-theddid rilevanti għall-entità finanzjarja, it-testers, it-tim ta’ kontroll, u l-maniġers tat-testijiet jenħtieġ li jipprovdu feedback dwar l-abbozz tar-rapport tal-intelligence dwar it-theddid. Jekk ikun disponibbli, il-fornitur tal-intelligence dwar it-theddid jista’ juża xenarju ġeneriku ta’ theddid provdut mill-awtorità tat-TLPT għas-settur finanzjarju ta’ Stat Membru bħala linja bażi għax-xenarju nazzjonali ta’ theddid. Abbażi tal-applikazzjoni tal-qafas TIBER-UE, il-proċess ta’ ġbir tal-intelligence dwar it-theddid tipikament idum madwar 4 ġimgħat. |
|
(19) |
Biex it-testers ikunu jistgħu jiksbu fehim profond u jirrieżaminaw aktar id-dokument tal-ispeċifikazzjoni tal-ambitu u r-rapport tal-intelligence dwar it-theddid immirat ħalli jiġi ffinalizzat il-pjan tal-ittestjar tat-tim l-aħmar, huwa essenzjali li, qabel il-fażi tal-ittestjar tat-tim l-aħmar tat-TLPT, it-testers jirċievu mingħand il-fornitur tal-intelligence dwar it-theddid spjegazzjonijiet dettaljati dwar ir-rapport tal-intelligence dwar it-theddid immirat u l-analiżi tax-xenarji ta’ theddid possibbli. |
|
(20) |
Biex it-testers ikunu jistgħu jwettqu ttestjar realistiku u komprensiv li fih jiġu eżegwiti l-fażijiet kollha tal-attakk u jintlaħqu l-marki, jenħtieġ li jiġi allokat biżżejjed żmien għall-fażi attiva tal-ittestjar tat-tim l-aħmar. Abbażi tal-esperjenza miksuba bil-qafas TIBER-UE, iż-żmien allokat jenħtieġ li jkun mill-anqas 12-il ġimgħa u jenħtieġ li jiġi ddeterminat billi jitqiesu l-għadd ta’ partijiet involuti, l-ambitu tat-TLPT, ir-riżorsi tal-entità jew tal-entitajiet finanzjarji involuti, kwalunkwe rekwiżit estern, u d-disponibbiltà tal-informazzjoni ta’ appoġġ provduta mill-entità finanzjarja. |
|
(21) |
Matul il-fażi attiva tal-ittestjar tat-tim l-aħmar, it-testers jenħtieġ li jużaw firxa ta’ tattiki, tekniki, u proċeduri (TTPs, tactics, techniques, and procedures) biex jittestjaw b’mod adegwat is-sistemi ta’ produzzjoni waqt l-operat tal-entità finanzjarja. It-TTPs jenħtieġ li jkun fihom, kif xieraq, ir-rikonjizzjoni (jiġifieri l-ġbir ta’ kemm jista’ jkun informazzjoni dwar mira), l-istrumentalizzazzjoni (jiġifieri l-analiżi ta’ informazzjoni dwar l-infrastruttura, il-faċilitajiet, u l-impjegati u t-tħejjija għall-operazzjonijiet speċifiċi għall-mira), l-implimentazzjoni (jiġifieri t-tnedija attiva tal-operazzjoni sħiħa fuq il-mira), l-isfruttament (jiġifieri fejn l-għan tat-testers huwa li jikkompromettu s-servers, in-networks tal-entità finanzjarja u li jisfruttaw il-persunal tagħha permezz tas-social engineering), il-kontroll u l-moviment (jiġifieri tentattivi biex nimxu mis-sistemi kompromessi għal dawk vulnerabbli jew ta’ valur għoli), u l-azzjonijiet fuq il-mira (jiġifieri l-kisba ta’ aċċess ulterjuri għal sistemi kompromessi u l-kisba ta’ aċċess għall-informazzjoni u d-data fil-mira miftiehma preċedentement, kif miftiehem qabel fil-pjan tal-ittestjar tat-tim l-aħmar). |
|
(22) |
Waqt li jagħmlu TLPT, it-testers jenħtieġ li jaġixxu filwaqt li jqisu ż-żmien disponibbli biex iwettqu l-attakk, ir-riżorsi, u l-limiti etiċi u legali. Jekk it-testers ma jkunux jistgħu javvanzaw għall-istadju programmat li jmiss tal-attakk, jenħtieġ li tiġi pprovduta assistenza okkażjonali mit-tim ta’ kontroll, bi qbil mal-awtorità tat-TLPT, fil-forma ta’ “leg-ups”. Il-leg-ups jistgħu jiġu kkategorizzati b’mod wiesa’ fil-leg-ups tal-informazzjoni u tal-aċċess u jistgħu jikkonsistu mill-għoti ta’ aċċess għas-sistemi tal-ICT jew għan-networks interni biex jitkompla t-test u tingħata attenzjoni lill-passi ta’ attakk li ġejjin. |
|
(23) |
Matul l-użu attiv tat-tim l-aħmar fil-fażi tal-ittestjar, jekk ikun meħtieġ biex ikun jista’ jitkompla t-TLPT bħala l-aħħar alternattiva f’ċirkostanzi eċċezzjonali u hekk kif l-għażliet alternattivi kollha jkunu ġew eżawriti, jenħtieġ li tintuża attività kollaborattiva tal-ittestjar li tinvolvi kemm lit-testers kif ukoll lit-tim il-blu. Fil-kuntest ta’ eżerċizzju limitat bħal dan bl-użu tat-tim il-vjola, jistgħu jintużaw il-metodi li ġejjin: “qbid u rilaxx”, fejn it-testers jippruvaw ikomplu x-xenarji, jinqabdu u mbagħad ikomplu l-ittestjar, “logħob tal-gwerra”, li jippermetti xenarji aktar kumplessi biex jiġi ttestjat it-teħid ta’ deċiżjonijiet strateġiċi, jew “prova kollaborattiva tal-kunċett”, li tippermetti lit-testers u lill-membri tat-tim il-blu jivvalidaw b’mod konġunt miżuri ta’ sigurtà, għodod, jew tekniki speċifiċi f’ambjent ikkontrollat u kooperattiv. |
|
(24) |
It-TLPT jenħtieġ li jintuża bħala esperjenza ta’ tagħlim biex tissaħħaħ ir-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji. F’dak ir-rigward, it-tim il-blu u t-testers jenħtieġ li jerġgħu jagħmlu l-attakk u jirrieżaminaw il-passi meħuda biex jitgħallmu mill-esperjenza tal-ittestjar f’kollaborazzjoni mat-testers. Għal dak l-għan u biex tkun tista’ ssir tħejjija adegwata, ir-rapport tat-test tat-tim l-aħmar u r-rapport tat-test tat-tim il-blu jenħtieġ li jkunu disponibbli għall-partijiet kollha involuti fl-attivitajiet ta’ ripetizzjoni, qabel ma ssir kwalunkwe attività ta’ ripetizzjoni. Barra minn hekk, jenħtieġ li jsir eżerċizzju bl-użu tat-tim il-vjola fil-fażi tal-għeluq biex tiġi mmassimizzata l-esperjenza ta’ tagħlim. Il-metodi li jistgħu jintużaw għall-użu tat-tim il-vjola fil-fażi tal-għeluq jenħtieġ li jinkludu diskussjonijiet dwar xenarji alternattivi ta’ attakk, esplorazzjoni fuq sistemi attivi ta’ xenarji alternattivi jew l-esplorazzjoni mill-ġdid ta’ xenarji ppjanati fuq sistemi attivi li t-testers ma setgħux jikkompletaw jew jeżegwixxu matul il-fażi tal-ittestjar. |
|
(25) |
Biex tiġi ffaċilitata aktar l-esperjenza ta’ tagħlim tal-partijiet kollha involuti fit-TLPT, għall-benefiċċju ta’ testijiet futuri, u biex tiġi promossa r-reżiljenza operazzjonali diġitali tal-entitajiet finanzjarji, il-partijiet ikkonċernati jenħtieġ li jipprovdu feedback lil xulxin dwar il-proċess ġenerali, u b’mod partikolari jidentifikaw liema attivitajiet għamlu progress tajjeb jew setgħu jittejbu, u liema aspetti tal-proċess tat-TLPT ħadmu tajjeb jew setgħu jittejbu. |
|
(26) |
L-awtoritajiet kompetenti msemmija fl-Artikolu 46 tar-Regolament (UE) 2022/2554 u l-awtoritajiet tat-TLPT, fejn differenti, jenħtieġ li jikkooperaw biex jinkorporaw l-ittestjar avvanzat permezz tat-TLPT fil-proċessi superviżorji eżistenti. F’dak ir-rigward u biex jiġi kondiviż il-fehim korrett tas-sejbiet tat-TLPT u ta’ kif dawn jenħtieġ li jiġu interpretati, huwa xieraq li, b’mod partikolari għar-rapport ta’ sinteżi tat-test u għall-pjanijiet ta’ rimedju, tiġi stabbilita kooperazzjoni mill-qrib bejn il-maniġers tat-testijiet li kienu involuti fit-TLPT u s-superviżuri responsabbli. |
|
(27) |
L-Artikolu 26(8), l-ewwel subparagrafu, tar-Regolament (UE) 2022/2554 jirrikjedi li l-entitajiet finanzjarji jikkuntrattaw testers esterni kull tliet testijiet. Meta l-entitajiet finanzjarji jinkludu fit-tim ta’ testers kemm testers interni kif ukoll esterni, dan jenħtieġ li jitqies bħala TLPT li sar b’testers interni għall-finijiet ta’ dak l-Artikolu. |
|
(28) |
Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtorità Bankarja Ewropea, l-Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol, l-Awtorità Ewropea tat-Titoli u s-Swieq (l-Awtoritajiet Superviżorji Ewropej), bi qbil mal-Bank Ċentrali Ewropew. |
|
(29) |
L-Awtoritajiet Superviżorji Ewropej wettqu konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqu huwa bbażat dan ir-Regolament, analizzaw il-kostijiet u l-benefiċċji potenzjali relatati u talbu l-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (3), tal-Grupp tal-Partijiet Interessati tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (4), u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (5). |
|
(30) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta opinjoni fl-20 ta’ Awwissu 2024, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Definizzjonijiet
Għall-finijiet ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:
|
(1) |
“tim ta’ kontroll” tfisser it-tim magħmul minn persunal tal-entità finanzjarja ttestjata u, fejn rilevanti b’kunsiderazzjoni tal-ambitu tat-TLPT, persunal tal-fornituri terzi ta’ servizzi tiegħu u kwalunkwe parti oħra, li jimmaniġġja t-test; |
|
(2) |
“kap tat-tim ta’ kontroll” tfisser il-membru tal-persunal tal-entità finanzjarja responsabbli għat-twettiq tal-attivitajiet kollha relatati mat-TLPT għall-entità finanzjarja fil-kuntest ta’ test partikolari; |
|
(3) |
“tim il-blu” tfisser il-persunal tal-entità finanzjarja u, fejn rilevanti, il-persunal tal-fornituri terzi ta’ servizzi tal-entità finanzjarja u kwalunkwe parti oħra meqjusa rilevanti b’kunsiderazzjoni tal-ambitu tat-TLPT, tal-fornituri terzi ta’ servizzi tal-entità finanzjarja, li qed jiddefendu l-użu tan-network u tas-sistemi tal-informazzjoni ta’ entità finanzjarja billi jżommu l-qagħda tas-sigurtà tagħha kontra attakki simulati jew reali u li ma jkunux konxji bit-TLPT; |
|
(4) |
“kompiti tat-tim il-blu” tfisser kompiti li tipikament jitwettqu mit-tim il-blu bħaċ-ċentru tal-operazzjonijiet tas-sigurtà (SOC, security operation centre), is-servizzi tal-infrastruttura tal-ICT, is-servizzi tal-helpdesk, is-servizzi tal-ġestjoni tal-inċidenti fil-livell operazzjonali; |
|
(5) |
“tim l-aħmar” tfisser it-testers, interni jew esterni, ikkuntrattati għal TLPT jew assenjati miegħu; |
|
(6) |
“użu tat-tim il-vjola” tfisser attività kollaborattiva ta’ ttestjar li tinvolvi kemm lit-testers kif ukoll lit-tim il-blu; |
|
(7) |
“awtorità tat-TLPT” tfisser kwalunkwe waħda minn dawn li ġejjin:
|
|
(8) |
“Tim Ċibernetiku tat-TLPT” jew “TCT” (TLPT Cyber Team) tfisser il-persunal fi ħdan l-awtoritajiet tat-TLPT li huwa responsabbli għal kwistjonijiet relatati mat-TLPT; |
|
(9) |
“maniġers tat-testijiet” tfisser persunal deżinjat biex imexxi l-attivitajiet tal-awtorità tat-TLPT għal TLPT speċifiku biex tiġi mmonitorjata l-konformità ma’ dan ir-Regolament; |
|
(10) |
“fornitur tal-intelligence dwar it-theddid” tfisser l-esperti, ikkuntrattati mill-entità finanzjarja għal kull TLPT, u li jkunu esterni għall-entità finanzjarja u għall-fornituri intragrupp ta’ servizzi tal-ICT jekk ikun hemm, li jiġbru u janalizzaw l-intelligence dwar it-theddid immirat rilevanti għall-entitajiet finanzjarji fl-ambitu ta’ eżerċizzju speċifiku tat-TLPT u li jiżviluppaw xenarji ta’ theddid rilevanti u realistiċi korrispondenti; |
|
(11) |
“fornituri tat-TLPT” tfisser testers u fornituri tal-intelligence dwar it-theddid; |
|
(12) |
“leg-up” tfisser l-assistenza jew l-informazzjoni provduta mit-tim ta’ kontroll lit-testers biex it-testers ikunu jistgħu jkomplu l-eżekuzzjoni ta’ perkors ta’ attakk meta ma jkunux jistgħu javvanzaw waħedhom, u fejn ma tkun teżisti l-ebda alternattiva raġonevoli oħra, inkluż minħabba żmien jew riżorsi insuffiċjenti f’TLPT partikolari; |
|
(13) |
“perkors ta’ attakk” tfisser ir-rotta segwita mit-testers matul il-fażi attiva tal-ittestjar tat-tim l-aħmar tat-TLPT biex jintlaħqu l-marki speċifikati għal dak it-TLPT; |
|
(14) |
“marki” huma objettivi ewlenin fis-sistemi tal-ICT li jappoġġjaw funzjonijiet kritiċi jew importanti ta’ entità finanzjarja li t-testers jippruvaw jiksbu permezz tat-test; |
|
(15) |
“informazzjoni sensittiva” tfisser informazzjoni li tista’ tiġi sfruttata faċilment biex isiru attakki kontra s-sistemi tal-ICT tal-entità finanzjarja, il-proprjetà intellettwali, id-data kummerċjali kunfidenzjali, jew id-data personali, li tista’ tagħmel ħsara direttament jew indirettament lill-entità finanzjarja u lill-ekosistema tagħha jekk din taqa’ f’idejn atturi malizzjużi; |
|
(16) |
“aggregazzjoni” tfisser l-entitajiet finanzjarji kollha li jipparteċipaw f’TLPT aggregat skont l-Artikolu 26(4) tar-Regolament (UE) 2022/2554; |
|
(17) |
“Stat Membru ospitanti” tfisser l-Istat Membru ospitanti f’konformità mal-liġi settorjali tal-Unjoni applikabbli għal kull entità finanzjarja; |
|
(18) |
“TLPT konġunt” tfisser TLPT, għajr TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554, li jinvolvi diversi entitajiet finanzjarji li jużaw l-istess fornitur intragrupp ta’ servizzi tal-ICT, jew li jappartjenu għall-istess grupp u jikkondividu s-sistemi tal-ICT. |
Artikolu 2
Identifikazzjoni tal-entitajiet finanzjarji meħtieġa li jagħmlu TLPT
1. L-awtoritajiet tat-TLPT għandhom jivvalutaw jekk xi entità finanzjarja hijiex meħtieġa tagħmel TLPT, filwaqt li jqisu l-impatt ta’ dawk l-entitajiet finanzjarji, il-karattru sistemiku tagħhom u l-profil tar-riskju tal-ICT tagħhom, abbażi tal-kriterji kollha li ġejjin:
|
(a) |
fatturi relatati mal-impatt u mal-karattru sistemiku:
|
|
(b) |
Fatturi relatati mar-riskju tal-ICT:
|
Għall-finijiet tal-punt (a)(i), l-awtorità tat-TLPT għandha, fejn possibbli, tqis:
|
(a) |
il-pożizzjoni tas-sehem mis-suq tal-entità finanzjarja fil-livell tal-Unjoni u f’dak nazzjonali; |
|
(b) |
il-firxa ta’ attivitajiet offruti mill-entità finanzjarja; |
|
(c) |
is-sehem mis-suq tas-servizzi provduti mill-entità finanzjarja jew tal-attivitajiet li jsiru fil-livell tal-Unjoni u f’dak nazzjonali. |
Għall-finijiet tal-punt (a)(v), l-awtorità tat-TLPT għandha, fejn possibbli, tqis;
|
(a) |
jekk l-entità finanzjarja toperax aktar minn mudell ta’ negozju wieħed; |
|
(b) |
l-interkonnettività tal-proċessi tan-negozju differenti u s-servizzi relatati. |
2. L-awtoritajiet tat-TLPT għandhom jirrikjedu li l-entitajiet finanzjarji kollha li ġejjin jagħmlu TLPT, sakemm il-valutazzjoni msemmija fil-paragrafu 1 fir-rigward ta’ entità finanzjarja ma tindikax li l-impatt tagħha, it-tħassib dwar l-istabbiltà finanzjarja relatat ma’ dik l-entità finanzjarja, jew il-profil tar-riskju tal-ICT tagħha, ma tiġġustifikax il-prestazzjoni ta’ TLPT:
|
(a) |
istituzzjonijiet ta’ kreditu li jissodisfaw kwalunkwe waħda mill-kundizzjonijiet li ġejjin:
|
|
(b) |
istituzzjonijiet ta’ pagament li f’kull waħda mis-sentejn kalendarji ta’ qabel il-valutazzjoni mill-awtorità tat-TLPT qabżu l-EUR 150 biljun tal-valur totali tat-tranżazzjonijiet ta’ pagament kif definiti fl-Artikolu 4, il-punt (5), tad-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (8); |
|
(c) |
istituzzjonijiet tal-flus elettroniċi li f’kull waħda mis-sentejn kalendarji ta’ qabel il-valutazzjoni mill-awtorità tat-TLPT qabżu il-EUR 150 biljun tal-valur totali tat-tranżazzjonijiet ta’ pagament kif definiti fl-Artikolu 4, il-punt (5), tad-Direttiva (UE) 2015/2366 jew l-EUR 40 biljun tal-valur totali tal-ammont ta’ flus elettroniċi pendenti; |
|
(d) |
depożitorji ċentrali tat-titoli; |
|
(e) |
kontropartijiet ċentrali; |
|
(f) |
ċentri ta’ negozjar b’sistema elettronika ta’ negozjar li jissodisfaw kwalunkwe wieħed mill-kriterji li ġejjin:
|
|
(g) |
impriżi tal-assigurazzjoni u tar-riassigurazzjoni li jissodisfaw il-kriterji kollha li ġejjin:
|
Għall-finijiet ta’ (f)(ii), meta ċ-ċentru ta’ negozjar ikun parti minn grupp li jikkondividi s-sistemi tal-ICT jew l-istess fornitur intragrupp ta’ servizzi tal-ICT, għandu jitqies il-fatturat tal-kuntratti tat-titoli u tad-derivattivi fiċ-ċentri ta’ negozjar kollha li jappartjenu għall-istess grupp u li jkunu stabbiliti fl-Unjoni.
Għall-finijiet tal-punt (g), l-awtoritajiet tat-TLPT għandhom jidentifikaw subsett tal-impriżi kollha tal-assigurazzjoni u tar-riassigurazzjoni billi japplikaw il-kriterji stabbiliti fil-punti (g)(i), (ii), u (iii). L-impriżi tal-assigurazzjoni u tar-riassigurazzjoni inklużi f’dak is-subsett għandhom ikunu meħtieġa jagħmlu TLPT meta jissodisfaw ukoll kwalunkwe wieħed mill-kriterji li ġejjin:
|
(a) |
primjum gross miktub (GWP) li jaqbeż it-EUR 3 000 000 000; |
|
(b) |
dispożizzjonijiet tekniċi li jaqbżu t-EUR 30 000 000 000; |
|
(c) |
assi totali li jaqbżu l-10 % tas-somma tal-assi totali stmati f’konformità mal-Artikolu 75 tad-Direttiva 2009/138/KE tal-impriżi tal-assigurazzjoni u tar-riassigurazzjoni stabbiliti fl-Istat Membru. |
3. Meta aktar minn entità finanzjarja waħda li tappartjeni għall-istess grupp u li tikkondividi s-sistemi tal-ICT, jew meta aktar minn entità finanzjarja waħda li tuża l-istess fornitur intragrupp ta’ servizzi tal-ICT, jissodisfaw il-kriterji stabbiliti fil-paragrafu 2, l-awtoritajiet tat-TLPT ta’ dawk l-entitajiet finanzjarji għandhom, f’konformità mal-Artikolu 16(2), jiddeċiedu jekk ir-rekwiżit li jsir TLPT fuq bażi individwali huwiex rilevanti għal dawk l-entitajiet finanzjarji.
Meta l-awtorità tat-TLPT tal-impriża prinċipali ta’ grupp ta’ entitajiet finanzjarji msemmija fl-ewwel subparagrafu tkun differenti mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji tal-grupp, dik l-awtorità għandha tiġi kkonsultata mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li jappartjenu għal dak il-grupp dwar jekk huwiex xieraq li jsir TLPT fuq bażi individwali.
Artikolu 3
Maniġers tat-Testijiet tat-TCT u tat-TLPT
1. Awtorità tat-TLPT għandha tassenja r-responsabbiltà għall-koordinazzjoni ta’ attivitajiet relatati mat-TLPT lil TCT. TCT għandu jkun magħmul minn maniġers tat-testijiet li huma assenjati biex jissorveljaw TLPT individwali.
2. Għal kull test, l-awtorità tat-TLPT għandha tiddeżinja maniġer tat-testijiet u mill-anqas sostitut wieħed.
3. Il-maniġers tat-testijiet għandhom jimmonitorjaw jekk hemmx konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament u jiżguraw din il-konformità.
4. Il-maniġer tat-testijiet għandu jikkomunika d-dettalji ta’ kuntatt tat-TCT lill-entità finanzjarja permezz tan-notifika msemmija fl-Artikolu 9(1).
5. L-awtorità tat-TLPT għandha tipparteċipa fil-fażijiet kollha tat-TLPT.
Artikolu 4
Arranġamenti organizzazzjonali għall-entitajiet finanzjarji
1. L-entitajiet finanzjarji għandhom jaħtru kap tat-tim ta’ kontroll li għandu jkun responsabbli għall-ġestjoni ta’ kuljum tat-TLPT u għad-deċiżjonijiet u l-azzjonijiet tat-tim ta’ kontroll.
2. L-entitajiet finanzjarji għandhom jistabbilixxu miżuri organizzazzjonali u proċedurali biex jiżguraw li:
|
(a) |
l-aċċess għal informazzjoni relatata ma’ kwalunkwe TLPT ippjanat jew li jkun għaddej ikun limitat fuq bażi ta’ ħtieġa għall-informazzjoni għat-tim ta’ kontroll, il-korp maniġerjali, it-testers, il-fornitur tal-intelligence dwar it-theddid u l-awtorità tat-TLPT; |
|
(b) |
it-tim ta’ kontroll jikkonsulta lill-maniġers tat-testijiet qabel ma jinvolvi kwalunkwe membru tat-tim il-blu f’TLPT; |
|
(c) |
it-tim ta’ kontroll jiġi infurmat bi kwalunkwe individwazzjoni tat-TLPT minn membri tal-persunal tal-entità finanzjarja jew tal-fornituri terzi ta’ servizzi tagħha; f’każ ta’ eskalazzjoni tar-rispons għal inċidenti li jirriżultaw, fejn meħtieġ, it-tim ta’ kontroll jikkontrolla tali eskalazzjoni; |
|
(d) |
l-arranġamenti relatati mas-segretezza tat-TLPT, applikabbli għall-persunal tal-entità finanzjarja, għall-persunal tal-fornituri terzi ta’ servizzi tal-ICT ikkonċernati, għat-testers u għall-fornitur tal-intelligence dwar it-theddid ikunu fis-seħħ; |
|
(e) |
it-tim ta’ kontroll jipprovdi kwalunkwe informazzjoni relatata mat-TLPT lill-maniġers tat-testijiet fuq talba; |
|
(f) |
fejn possibbli, il-partijiet involuti fit-TLPT jirreferu għalih bl-isem kodiċi biss. |
Artikolu 5
Ġestjoni tar-riskju għal TLPT
1. Matul il-fażi ta’ tħejjija msemmija fl-Artikolu 9, it-tim ta’ kontroll għandu jivvaluta r-riskji assoċjati mal-ittestjar ta’ sistemi attivi ta’ produzzjoni ta’ funzjonijiet kritiċi jew importanti tal-entità finanzjarja, inklużi l-impatti potenzjali fuq:
|
(a) |
is-settur finanzjarju; |
|
(b) |
l-istabbiltà finanzjarja fil-livell tal-Unjoni jew f’dak nazzjonali. |
It-tim ta’ kontroll għandu jirrieżamina dawk l-impatti matul l-ittestjar.
2. Għall-finijiet tal-valutazzjoni u tal-ġestjoni tar-riskju, it-tim ta’ kontroll għandu jqis mill-anqas it-tipi ta’ riskji li ġejjin relatati ma’:
|
(a) |
l-għoti ta’ aċċess lill-fornitur tal-intelligence dwar it-theddid u lit-testers esterni, fejn applikabbli, għal informazzjoni sensittiva dwar l-entità finanzjarja; |
|
(b) |
nuqqas ta’ konformità tat-TLPT mar-Regolament (UE) 2022/2554 u ma’ dan ir-Regolament fejn tali nuqqas ta’ konformità jirriżulta fin-nuqqas tal-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554, inkluż meta tali nuqqas ta’ konformità jkun dovut għal ksur tal-kunfidenzjalità dwar it-TLPT jew għal nuqqas ta’ mġiba etika; |
|
(c) |
l-eskalazzjoni tal-kriżijiet u tal-inċidenti; |
|
(d) |
il-fażi attiva tat-tim l-aħmar, inklużi r-riskji relatati mal-interruzzjoni tal-attivitajiet kritiċi u mal-korruzzjoni tad-data minħabba l-attivitajiet tat-testers, u l-impatti potenzjali tagħha fuq partijiet terzi; |
|
(e) |
l-attività tat-tim il-blu, inklużi r-riskji relatati mal-interruzzjoni tal-attivitajiet kritiċi u mal-korruzzjoni tad-data minħabba l-attivitajiet tat-tim il-blu, u l-impatti potenzjali tagħha fuq partijiet terzi; |
|
(f) |
ir-restawr mhux komplut tas-sistemi affettwati mit-TLPT. |
Artikolu 6
Ġestjoni tar-riskju għal TLPTs aggregati jew konġunti
1. Fil-każ ta’ TLPT konġunt jew TLPT aggregat, it-tim ta’ kontroll ta’ kull entità finanzjarja għandu jwettaq il-valutazzjoni tar-riskju tiegħu stess u jistabbilixxi l-miżuri ta’ ġestjoni tar-riskju tiegħu stess.
2. It-tim ta’ kontroll tal-entità finanzjarja deżinjata msemmija fl-Artikolu 16(3), il-punt (b), ta’ dan ir-Regolament, jew l-entità finanzjarja deżinjata f’konformità mal-Artikolu 26(4) tar-Regolament (UE) 2022/2554, għandu jivvaluta r-riskji relatati mal-involviment fit-TLPT ta’ diversi entitajiet finanzjarji. It-timijiet ta’ kontroll tal-entitajiet finanzjarji involuti għandhom jikkooperaw mat-tim ta’ kontroll tal-entità finanzjarja deżinjata biex jidentifikaw riskji konġunti potenzjali.
Artikolu 7
Għażla tal-fornituri tat-TLPT
1. It-tim ta’ kontroll għandu jieħu miżuri biex jimmaniġġja r-riskji relatati mat-TLPT u għandu b’mod partikolari jiżgura li, għal kull TLPT:
|
(a) |
il-fornitur tal-intelligence dwar it-theddid u t-testers esterni jipprovdu lit-tim ta’ kontroll b’curriculum vitae dettaljat u kopji taċ-ċertifikazzjonijiet li, skont standards tas-suq rikonoxxuti, ikunu xierqa għat-twettiq tal-attivitajiet tagħhom; |
|
(b) |
il-fornitur tal-intelligence dwar it-theddid u t-tester estern ikunu koperti kif xieraq u kompletament minn assigurazzjonijiet ta’ indennizz professjonali xierqa inkluż kontra riskji ta’ mġiba ħażina u negliġenza; |
|
(c) |
il-fornitur tal-intelligence dwar it-theddid jipprovdi mill-anqas tliet referenzi minn inkarigi preċedenti fil-kuntest tal-ittestjar tal-penetrazzjoni u tal-ittestjar tat-tim l-aħmar; |
|
(d) |
it-testers esterni jipprovdu mill-anqas ħames referenzi minn inkarigi preċedenti relatati mal-ittestjar tal-penetrazzjoni u mal-ittestjar tat-tim l-aħmar; |
|
(e) |
il-persunal tal-fornitur tal-intelligence dwar it-theddid assenjat għat-TLPT:
|
|
(f) |
għal testers esterni, it-tim l-aħmar assenjat lit-TLPT:
|
|
(g) |
it-testers u l-fornitur tal-intelligence dwar it-theddid iwettqu proċeduri ta’ restawr fi tmiem l-ittestjar, inkluż it-tħassir sikur ta’ informazzjoni relatata ma’ passwords, kredenzjali, u kjavi sigrieti oħrajn kompromessi matul it-TLPT, il-komunikazzjoni sikura lill-entitajiet finanzjarji tal-kontijiet kompromessi, il-ġbir, il-ħżin, il-ġestjoni, u d-disponiment sikuri ta’ data oħra miġbura matul l-ittestjar; |
|
(h) |
it-testers, minbarra l-proċeduri ta’ restawr fi tmiem l-ittestjar kif imsemmi fil-punt (g), iwettqu l-proċeduri ta’ restawr li ġejjin:
|
|
(i) |
it-testers u l-fornitur tal-intelligence dwar it-theddid ma jwettqu jew ma jipparteċipaw fl-ebda waħda mill-attivitajiet li ġejjin:
|
2. It-tim ta’ kontroll għandu jżomm rekord tad-dokumentazzjoni provduta mit-testers u mill-fornituri tal-intelligence dwar it-theddid bħala evidenza tal-konformità mal-paragrafu 1, il-punti minn (a) sa (f).
F’ċirkostanzi eċċezzjonali, l-entitajiet finanzjarji jistgħu jikkuntrattaw testers u fornituri tal-intelligence dwar it-theddid esterni li ma jissodisfawx rekwiżit wieħed jew aktar stabbiliti fil-paragrafu 1, il-punti minn (a) sa (f), dment li dawk l-entitajiet finanzjarji jadottaw miżuri li jkunu xierqa biex jittaffew ir-riskji relatati man-nuqqas ta’ konformità ma’ tali punti u li jirreġistraw dawk il-miżuri.
Artikolu 8
Speċifiċitajiet għal TLPTs aggregati jew konġunti
1. Sakemm ma jiġix deċiż mod ieħor mill-awtorità ewlenija tat-TLPT, meta diversi entitajiet finanzjarji, identifikati f’konformità mal-Artikolu 16(2) jew (4), ikunu involuti f’TLPT aggregat jew konġunt, kull entità finanzjarja għandha ssegwi kull wieħed mill-passi stabbiliti fl-Artikoli minn 9 sa 15.
2. Sakemm ma jkunx previst mod ieħor f’dan ir-Regolament, meta diversi awtoritajiet tat-TLPT ikunu involuti f’TLPT konġunt jew f’TLPT aggregat, kif imsemmi fl-Artikolu 16(3) jew 16(5), ir-referenzi fl-Artikoli minn 9 sa 15 għall-“awtorità tat-TLPT” għandhom jinftiehmu bħala referenza għall-awtorità ewlenija tat-TLPT għal tali TLPT aggregat jew konġunt.
Artikolu 9
Fażi ta’ tħejjija
1. Entità finanzjarja identifikata skont l-Artikolu 26, il-paragrafu 8, it-tielet subparagrafu tar-Regolament (UE) 2022/2554 għandha tibda TLPT wara notifika mill-awtorità tat-TLPT li għandu jsir TLPT.
2. Entità finanzjarja għandha, fi żmien 3 xhur minn meta tkun irċeviet in-notifika msemmija fil-paragrafu 1, tissottometti lill-maniġers tat-testijiet l-informazzjoni kollha li ġejja dwar il-bidu tat-TLPT:
|
(a) |
karta tal-proġett li tinkludi pjan tal-proġett ta’ livell għoli, li jkun fiha l-informazzjoni stabbilita fl-Anness I; |
|
(b) |
id-dettalji ta’ kuntatt tal-kap tat-tim ta’ kontroll; |
|
(c) |
informazzjoni dwar l-użu maħsub ta’ testers interni jew esterni jew it-tnejn, fejn rilevanti kif dettaljat fl-Artikolu 15; |
|
(d) |
informazzjoni dwar il-kanali ta’ komunikazzjoni li għandhom jintużaw waqt it-TLPT; |
|
(e) |
l-isem kodiċi għat-TLPT. |
3. Meta l-informazzjoni msemmija fil-paragrafu 2, il-punti (a) sa (e), tkun kompluta u tiżgura l-adegwatezza u l-prestazzjoni effettiva tat-TLPT, l-awtorità tat-TLPT għandha tivvalida l-informazzjoni għall-bidu tat-TLPT tal-entità finanzjarja u tinnotifika lill-entità finanzjarja b’dan.
4. Wara l-validazzjoni tal-informazzjoni għall-bidu tat-TLPT mill-awtorità tat-TLPT, l-entità finanzjarja għandha tistabbilixxi tim ta’ kontroll biex jappoġġja lill-kap tat-tim ta’ kontroll fil-kompiti tiegħu li:
|
(a) |
jispeċifika l-kanali u l-proċessi ta’ komunikazzjoni fi ħdan it-tim ta’ kontroll, mat-testers u mal-fornituri tal-intelligence dwar it-theddid fil-kwistjonijiet kollha relatati mat-TLPT; |
|
(b) |
jinforma lill-korp maniġerjali tal-entità finanzjarja dwar il-progress tat-TLPT u r-riskji assoċjati; |
|
(c) |
jieħu deċiżjonijiet ibbażati fuq għarfien espert dwar is-suġġett waqt it-TLPT kollu; |
|
(d) |
jeżegwixxi t-TLPT f’konformità ma’ dan ir-Regolament; |
|
(e) |
jagħżel il-fornitur tal-intelligence dwar it-theddid għat-TLPT; |
|
(f) |
jagħżel it-testers esterni, it-testers interni jew it-tnejn li huma; |
|
(g) |
iħejji d-dokument tal-ispeċifikazzjoni tal-ambitu. |
5. Meta l-awtorità tat-TLPT tqis li l-kompożizzjoni inizjali tat-tim ta’ kontroll u kwalunkwe bidla sussegwenti fih huma adegwati għat-twettiq tal-kompiti msemmija fil-paragrafu 4, l-awtorità tat-TLPT għandha tivvalida t-tim ta’ kontroll u tinnotifika lill-kap tat-tim ta’ kontroll b’dan.
6. L-entità finanzjarja għandha tippreżenta dokument tal-ispeċifikazzjoni tal-ambitu li jkun fih l-informazzjoni kollha stabbilita fl-Anness II lill-maniġers tat-testijiet fi żmien 6 xhur minn meta tkun irċeviet in-notifika mill-awtorità tat-TLPT imsemmija fil-paragrafu 1. Il-korp maniġerjali tal-entità finanzjarja għandu japprova d-dokument tal-ispeċifikazzjoni tal-ambitu.
7. L-entitajiet finanzjarji għandhom iqisu l-kriterji li ġejjin għall-inklużjoni ta’ funzjonijiet kritiċi jew importanti fl-ambitu tat-TLPT:
|
(a) |
il-kritikalità jew l-importanza tal-funzjoni u l-impatt possibbli tagħha fuq is-settur finanzjarju u fuq l-istabbiltà finanzjarja fil-livell tal-Unjoni u f’dak nazzjonali; |
|
(b) |
l-importanza tal-funzjoni għall-operazzjonijiet tan-negozju ta’ kuljum tal-entità finanzjarja; |
|
(c) |
l-iskambjabbiltà tal-funzjoni; |
|
(d) |
l-interkonnettività ma’ funzjonijiet oħrajn; |
|
(e) |
il-pożizzjoni ġeografika tal-funzjoni; |
|
(f) |
id-dipendenza settorjali ta’ entitajiet oħrajn fuq il-funzjoni; |
|
(g) |
fejn disponibbli, intelligence dwar it-theddid li tikkonċerna l-funzjoni. |
8. It-tim ta’ kontroll għandu jikkondividi l-informazzjoni għall-bidu tat-TLPT u d-dokument tal-ispeċifikazzjoni tal-ambitu mat-testers u mal-fornituri tal-intelligence dwar it-theddid hekk kif dawn jiġu kkuntrattati. It-tim ta’ kontroll għandu jinforma lit-testers u lill-fornituri tal-intelligence dwar it-theddid bil-proċess tal-ittestjar li għandu jiġi segwit.
9. L-entità finanzjarja għandha tiżgura li l-akkwist jew l-assenjazzjoni tat-testers u tal-fornituri tal-intelligence dwar it-theddid titlesta qabel il-bidu tal-fażi tal-ittestjar.
10. Qabel il-bidu tal-fażi tal-ittestjar, it-tim ta’ kontroll għandu jikkonsulta lill-maniġers tat-testijiet dwar il-valutazzjoni tar-riskju tat-TLPT u dwar il-miżuri ta’ ġestjoni tar-riskju. It-tim ta’ kontroll għandu jirrieżamina l-valutazzjoni tar-riskju jew il-miżuri ta’ ġestjoni tar-riskju meta l-awtorità tat-TLPT tkun tal-fehma li dawn ma jindirizzawx b’mod adegwat ir-riskji tat-TLPT.
11. It-tim ta’ kontroll għandu jivvaluta l-konformità tal-fornituri tal-intelligence dwar it-theddid u tat-testers li qed jikkunsidraw biex jinvolvu fit-TLPT mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554 u mal-Artikolu 7(1) ta’ dan ir-Regolament, u jiddokumenta l-eżitu ta’ dik il-valutazzjoni. It-tim ta’ kontroll għandu jagħżel il-fornituri tal-intelligence dwar it-theddid f’konformità ma’ dik il-valutazzjoni u mal-prattiki tiegħu ta’ ġestjoni tar-riskju. Qabel ma jiġu kkuntrattati l-fornituri tal-intelligence dwar it-theddid u t-testers esterni magħżula, it-tim ta’ kontroll għandu jipprovdi lill-maniġers tat-testijiet evidenza tal-konformità ta’ dawk il-fornituri tal-intelligence dwar it-theddid u t-testers mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554 u mal-Artikolu 7(1) ta’ dan ir-Regolament. It-tim ta’ kontroll ma għandux jipproċedi bl-ikkuntrattar tal-fornituri tal-intelligence dwar it-theddid u tat-testers esterni magħżula meta l-awtorità tat-TLPT tkun tal-fehma li l-fornituri tal-intelligence dwar it-theddid u t-testers esterni magħżula ma jikkonformawx mar-rekwiżiti stabbiliti fl-Artikolu 27 tar-Regolament (UE) 2022/2554, jew mar-rekwiżiti stabbiliti fl-Artikolu 7(1) ta’ dan ir-Regolament jew ma’ rekwiżiti addizzjonali li jirriżultaw mil-leġiżlazzjonijiet tas-sigurtà nazzjonali f’konformità mad-dritt tal-Unjoni, jew meta l-entità finanzjarja ma tikkonformax mal-Artikolu 7(2), l-ewwel subparagrafu, ta’ dan ir-Regolament, jew meta ċ-ċirkostanzi msemmija fl-Artikolu 7(2), it-tieni subparagrafu, ta’ dan ir-Regolament ma jiġux issodisfati.
12. Meta d-dokument tal-ambitu ta’ applikazzjoni jkun komplut u jiżgura t-twettiq ta’ TLPT xieraq u effettiv, l-awtorità tat-TLPT għandha tapprova dak id-dokument u tinforma lill-kap tat-tim ta’ kontroll b’dan.
Artikolu 10
Fażi tal-ittestjar: Intelligence dwar it-theddid
1. Wara l-approvazzjoni tad-dokument tal-ispeċifikazzjoni tal-ambitu mill-awtorità tat-TLPT, il-fornitur tal-intelligence dwar it-theddid għandu janalizza intelligence dwar it-theddid ġenerika u speċifika għas-settur li tkun rilevanti għall-entità finanzjarja. Meta jkun ġie pprovdut xenarju ta’ theddid ġeneriku mill-awtorità tat-TLPT għas-settur finanzjarju ta’ Stat Membru, il-fornitur tal-intelligence dwar it-theddid jista’ juża dak ix-xenarju bħala linja bażi għax-xenarju ta’ theddid nazzjonali. Il-fornitur tal-intelligence dwar it-theddid għandu jidentifika t-theddid ċibernetiku u l-vulnerabbiltajiet eżistenti jew potenzjali li jikkonċernaw l-entità finanzjarja. Barra minn hekk, il-fornitur tal-intelligence dwar it-theddid għandu jiġbor informazzjoni fuq l-intelligence dwar il-mira u dwar it-theddid konkreta, azzjonabbli u f’kuntest li tikkonċerna lill-entità finanzjarja u janalizzaha, anki permezz ta’ konsultazzjoni mat-tim ta’ kontroll u mal-maniġers tat-testijiet.
2. Il-fornitur tal-intelligence dwar it-theddid għandu jippreżenta t-theddid rilevanti u l-intelligence dwar it-theddid immirat, u jipproponi x-xenarji meħtieġa lit-tim ta’ kontroll, lit-testers u lill-maniġers tat-testijiet. Ix-xenarji proposti għandhom ivarjaw b’referenza għall-atturi ta’ theddid identifikati u t-tattiki, it-tekniki u l-proċeduri assoċjati u għandhom jimmiraw lejn kull funzjoni kritika jew importanti fl-ambitu tat-TLPT.
3. Il-kap tat-tim ta’ kontroll għandu jagħżel mill-anqas tliet xenarji biex jagħmel it-TLPT abbażi tal-elementi kollha li ġejjin:
|
(a) |
ir-rakkomandazzjoni mill-fornitur tal-intelligence dwar it-theddid u n-natura ta’ kull xenarju bbażata fuq it-theddid; |
|
(b) |
l-input provdut mill-maniġers tat-testijiet; |
|
(c) |
il-fattibbiltà tax-xenarji proposti għall-eżekuzzjoni, abbażi tal-ġudizzju espert tat-testers; |
|
(d) |
id-daqs, il-kumplessità u l-profil ġenerali tar-riskju tal-entità finanzjarja u n-natura, l-iskala u l-kumplessità tas-servizzi, l-attivitajiet, u l-operazzjonijiet tagħha. |
4. Mhux aktar minn wieħed mix-xenarji magħżula jista’ ma jkunx ibbażat fuq it-theddid u jista’ jkun ibbażat fuq theddida li tħares ’il quddiem u li tkun potenzjalment fittizja b’valur ta’ previżjoni, antiċipattiv, opportunistiku, jew prospettiv għoli fid-dawl tal-iżviluppi antiċipati tax-xenarju ta’ theddid li jikkonċerna l-entità finanzjarja.
Għat-TLPTs aggregati, mingħajr preġudizzju għax-xenarji li jimmiraw direttament lejn il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji involuti fl-ittestjar, tal-anqas xenarju wieħed għandu jinkludi s-sistemi, il-proċessi, u t-teknoloġiji tal-ICT sottostanti rilevanti tal-fornitur terz ta’ servizzi tal-ICT li jappoġġjaw il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji li huma fl-ambitu.
Meta test ikun TLPT konġunt li jinvolvi fornitur intragrupp ta’ servizzi tal-ICT, mingħajr preġudizzju għax-xenarji li jimmiraw direttament lejn il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji involuti fit-test, tal-anqas xenarju wieħed għandu jinkludi s-sistemi, il-proċessi, u t-teknoloġiji tal-ICT sottostanti rilevanti tal-fornitur intragrupp ta’ servizzi tal-ICT li jappoġġjaw il-funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji li huma fl-ambitu.
5. Il-fornitur tal-intelligence dwar it-theddid għandu jipprovdi r-rapport tal-intelligence dwar it-theddid immirat lit-tim ta’ kontroll, inklużi x-xenarji magħżula f’konformità mal-paragrafi 3 u 4. Ir-rapport tal-intelligence dwar it-theddid għandu jkun fih l-informazzjoni stabbilita fl-Anness III.
6. It-tim ta’ kontroll għandu jippreżenta r-rapport tal-intelligence dwar it-theddid immirat lill-maniġer tat-testijiet għall-approvazzjoni. Meta r-rapport tal-intelligence dwar it-theddid immirat ikun komplut u jiżgura t-twettiq ta’ TLPT effettiv, l-awtorità tat-TLPT għandha tapprova r-rapport tal-intelligence dwar it-theddid immirat u tinforma lill-kap tat-tim ta’ kontroll b’dan.
Artikolu 11
Fażi tal-ittestjar: Test tat-Tim l-Aħmar
1. Wara l-approvazzjoni tar-rapport tal-intelligence dwar it-theddid immirat mill-awtorità tat-TLPT, it-testers għandhom iħejju l-pjan tat-test tat-tim l-aħmar li għandu jkun fih l-informazzjoni stabbilita fl-Anness IV. It-testers għandhom jużaw id-dokument tal-ispeċifikazzjoni tal-ambitu u r-rapport tal-intelligence dwar it-theddid immirat bħala bażi għall-produzzjoni tax-xenarji ta’ attakk.
2. It-testers għandhom jikkonsultaw lit-tim ta’ kontroll, lill-fornitur tal-intelligence dwar it-theddid, u lill-maniġers tat-testijiet dwar il-pjan tat-test tat-tim l-aħmar, li jinkludi l-arranġament tal-komunikazzjoni, proċedurali u tal-ġestjoni tal-proġetti, it-tħejjija u l-każijiet ta’ użu għall-attivazzjoni leg-up, u l-ftehimiet ta’ rapportar lit-tim ta’ kontroll u lill-maniġers tat-testijiet.
3. Meta l-pjan tat-test tat-tim l-aħmar ikun komplut u jiżgura t-twettiq ta’ TLPT effettiv, it-tim ta’ kontroll u l-awtorità tat-TLPT għandhom japprovaw il-pjan tat-test tat-tim l-aħmar u t-TLPT għandu jinforma lill-kap tat-tim ta’ kontroll b’dan.
4. Mal-approvazzjoni tal-pjan tat-test tat-tim l-aħmar f’konformità mal-paragrafu 3, it-testers għandhom jagħmlu t-TLPT waqt il-fażi attiva tal-ittestjar tat-tim l-aħmar.
5. Id-durata tal-fażi attiva tal-ittestjar tat-tim l-aħmar għandha tkun proporzjonata mal-ambitu tat-TLPT, mal-iskala, l-attività, il-kumplessità u l-għadd tal-entitajiet finanzjarji u tal-fornituri terzi jew intragrupp ta’ servizzi tal-ICT involuti fit-TLPT, u fi kwalunkwe każ għandha ddum mill-anqas 12-il ġimgħa. Ix-xenarji ta’ attakk jistgħu jiġu eżegwiti f’sekwenza jew fl-istess ħin. It-tim ta’ kontroll, il-fornitur tal-intelligence dwar it-theddid, it-testers u l-maniġers tat-testijiet għandhom jaqblu dwar it-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar.
6. Soġġett għall-iżgurar li l-pjan tal-ittestjar tat-tim l-aħmar jibqa’ komplut u jippermetti t-twettiq ta’ TLPT effettiv, il-kap tat-tim ta’ kontroll u l-maniġers tat-testijiet għandhom japprovaw kwalunkwe bidla fil-pjan tal-ittestjar tat-tim l-aħmar wara l-approvazzjoni tiegħu, inklużi l-iskeda ta’ żmien, l-ambitu, is-sistemi fil-mira jew il-marki.
7. Matul il-fażi attiva kollha tal-ittestjar tat-tim l-aħmar, it-testers għandhom jirrapportaw mill-anqas darba fil-ġimgħa lit-tim ta’ kontroll u lill-maniġers tat-testijiet dwar il-progress li jkun sar fit-TLPT, u l-fornitur tal-intelligence dwar it-theddid għandu jibqa’ disponibbli għall-konsultazzjoni u għal intelligence addizzjonali dwar it-theddid meta mitlub mit-tim ta’ kontroll.
8. It-tim ta’ kontroll għandu jipprovdi leg-ups f’waqthom imfassla abbażi tal-pjan tat-test tat-tim l-aħmar. Il-leg-ups jistgħu jiżdiedu jew jiġu adattati mal-approvazzjoni mit-tim ta’ kontroll u mill-maniġers tat-testijiet.
9. Fil-każ li l-attivitajiet tal-ittestjar jiġu individwati minn kwalunkwe membru tal-persunal tal-entità finanzjarja jew tal-fornituri terzi ta’ servizzi tal-ICT jew tal-fornitur intragrupp ta’ servizzi tal-ICT tagħha, fejn rilevanti, it-tim ta’ kontroll, f’konsultazzjoni mat-testers u mingħajr preġudizzju għall-paragrafu 10, għandu jipproponi u jippreżenta miżuri li jippermettu li t-TLPT jitkompla filwaqt li tiġi żgurata s-segretezza tiegħu lill-maniġers tat-testijiet għall-validazzjoni.
10. F’ċirkostanzi eċċezzjonali li jiskattaw riskji ta’ impatt fuq id-data, ħsara lill-assi, u tfixkil għal funzjonijiet, servizzi jew operazzjonijiet kritiċi jew importanti tal-entità finanzjarja nnifisha, tal-fornituri terzi ta’ servizzi tal-ICT tagħha jew tal-fornituri intragrupp ta’ servizzi tal-ICT, jew tfixkil għall-kontropartijiet tagħha jew għas-settur finanzjarju, it-tim ta’ kontroll jista’ jissospendi t-TLPT, jew, bħala l-aħħar alternattiva, meta l-kontinwazzjoni tat-TLPT ma tkunx possibbli b’mod ieħor u soġġetta għall-validazzjoni minn qabel mill-awtorità tat-TLPT, ikompli t-TLPT bl-użu ta’ eżerċizzju limitat bit-tim il-vjola. Id-durata tal-eżerċizzju limitat bl-użu tat-tim il-vjola għandha tingħadd għall-fini tad-durata minima ta’ 12-il ġimgħa tal-fażi attiva tal-ittestjar tat-tim l-aħmar imsemmi fil-paragrafu 5.
Artikolu 12
Fażi tal-għeluq
1. Wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, il-kap tat-tim ta’ kontroll għandu jinforma lit-tim il-blu li jkun sar TLPT.
2. Fi żmien 4 ġimgħat mit-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-testers għandhom jippreżentaw lit-tim ta’ kontroll rapport tat-test tat-tim l-aħmar li jkun fih l-informazzjoni stabbilita fl-Anness V.
3. It-tim ta’ kontroll għandu jipprovdi r-rapport tat-test tat-tim l-aħmar lit-tim il-blu u lill-maniġers tat-testijiet mingħajr dewmien żejjed.
Fuq talba tal-maniġers tat-testijiet, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
4. Malli jirċievi r-rapport tat-test tat-tim l-aħmar, u mhux aktar tard minn 10 ġimgħat wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-tim il-blu għandu jippreżenta lit-tim ta’ kontroll rapport tat-test tat-tim il-blu li jkun fih l-informazzjoni stabbilita fl-Anness VI. It-tim ta’ kontroll għandu jipprovdi r-rapport tat-test tat-tim il-blu lit-testers u lill-maniġers tat-testijiet mingħajr dewmien żejjed.
Fuq talba tal-maniġers tat-testijiet, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
5. Mhux aktar tard minn 10 ġimgħat wara t-tmiem tal-fażi attiva tal-ittestjar tat-tim l-aħmar, it-tim il-blu u t-testers għandhom jirrepetu l-azzjonijiet offensivi u difensivi mwettqa matul it-TLPT. It-tim ta’ kontroll għandu jwettaq ukoll eżerċizzju bl-użu tat-tim il-vjola fuq suġġetti identifikati b’mod konġunt mit-tim il-blu u mit-testers, abbażi tal-vulnerabbiltajiet identifikati matul it-test u, fejn rilevanti, fuq kwistjonijiet li ma setgħux jiġu ttestjati matul il-fażi attiva tal-ittestjar tat-tim l-aħmar.
6. Wara t-tlestija tal-eżerċizzji ta’ ripetizzjoni u bl-użu tat-tim il-vjola, it-tim ta’ kontroll, it-tim il-blu, it-testers, u l-fornituri tal-intelligence dwar it-theddid għandhom jipprovdu feedback lil xulxin dwar il-proċess tat-TLPT. Il-maniġers tat-testijiet jistgħu jipprovdu feedback.
7. Hekk kif l-awtorità tat-TLPT tkun innotifikat lill-kap tat-tim ta’ kontroll li tkun ivvalutat li r-rapport tat-test tat-tim il-blu u r-rapport tat-test tat-tim l-aħmar ikun fihom l-informazzjoni stabbilita fl-Annessi V u VI, l-entità finanzjarja għandha fi żmien 8 ġimgħat tippreżenta r-rapport li jiġbor fil-qosor is-sejbiet rilevanti tat-TLPT lill-awtorità tat-TLPT, kif imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554, li jkun fih l-elementi stabbiliti fl-Anness VII għall-approvazzjoni.
Fuq talba tal-awtorità tat-TLPT, ir-rapport imsemmi fl-ewwel subparagrafu ma għandux ikun fih informazzjoni sensittiva.
Artikolu 13
Pjan ta’ rimedju
1. Fi żmien 8 ġimgħat min-notifika msemmija fl-Artikolu 12(7) ta’ dan ir-Regolament, l-entità finanzjarja għandha tipprovdi l-pjanijiet ta’ rimedju u d-dokumentazzjoni msemmija fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554 lill-awtorità tat-TLPT u, fejn differenti, lill-awtorità kompetenti tal-entità finanzjarja.
2. Il-pjan ta’ rimedju msemmi fil-paragrafu 1 għandu jinkludi, għal kull sejba li tkun instabet fil-qafas tat-TLPT:
|
(a) |
deskrizzjoni tan-nuqqasijiet identifikati; |
|
(b) |
deskrizzjoni tal-miżuri ta’ rimedju proposti u tal-prijoritizzazzjoni u t-tlestija mistennija tagħhom, inklużi, fejn rilevanti, miżuri biex jittejbu l-kapaċitajiet ta’ identifikazzjoni, protezzjoni, individwazzjoni u rispons; |
|
(c) |
analiżi tal-kawża ewlenija; |
|
(d) |
il-persunal jew il-funzjonijiet tal-entità finanzjarja responsabbli għall-implimentazzjoni tal-miżuri ta’ rimedju jew tat-titjib propost; |
|
(e) |
ir-riskji assoċjati man-nuqqas ta’ implimentazzjoni tal-miżuri msemmija fil-punt (b) u, fejn rilevanti, ir-riskji assoċjati mal-implimentazzjoni ta’ tali miżuri. |
Artikolu 14
Attestazzjoni
1. L-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554 għandu jkun fiha l-informazzjoni stabbilita fl-Anness VIII.
2. Meta diversi awtoritajiet tat-TLPT ikunu ġew involuti f’TLPT, l-awtorità ewlenija tat-TLPT għandha tipprovdi l-attestazzjoni msemmija fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554 lill-entitajiet finanzjarji ttestjati.
Artikolu 15
Użu ta’ testers interni
1. L-entitajiet finanzjarji għandhom jistabbilixxu l-arranġamenti kollha li ġejjin għall-użu ta’ testers interni:
|
(a) |
l-istabbiliment u l-implimentazzjoni ta’ politika għall-ġestjoni ta’ testers interni f’TLPT; |
|
(b) |
miżuri biex jiġi żgurat li l-użu ta’ testers interni biex isir TLPT ma jkollux impatt negattiv fuq il-kapaċitajiet ġenerali ta’ difiża jew ta’ reżiljenza tal-entità finanzjarja rigward inċidenti relatati mal-ICT jew ikollu impatt sinifikanti fuq id-disponibbiltà ta’ riżorsi dedikati għal kompiti relatati mal-ICT waqt TLPT; |
|
(c) |
miżuri biex jiġi żgurat li t-testers interni jkollhom biżżejjed riżorsi u kapaċitajiet biex jagħmlu TLPT. |
Il-politika msemmija fil-punt (a) għandha:
|
(a) |
ikun fiha kriterji għall-valutazzjoni tal-adegwatezza, il-kompetenza, il-kunflitti ta’ interess potenzjali tat-testers interni u tispeċifika r-responsabbiltajiet ta’ ġestjoni fil-proċess tal-ittestjar; |
|
(b) |
tkun dokumentata u rieżaminata perjodikament; |
|
(c) |
tipprevedi li t-tim tal-ittestjar intern jinkludi kap tat-test, u mill-anqas żewġ membri addizzjonali; |
|
(d) |
tirrikjedi li l-membri kollha tat-tim tat-test ikunu ġew impjegati mill-entità finanzjarja jew minn fornitur intragrupp ta’ servizzi tal-ICT għat-12-il xahar preċedenti; |
|
(e) |
tinkludi dispożizzjonijiet fuq it-taħriġ dwar kif isir l-ittestjar tal-penetrazzjoni u l-ittestjar tat-tim l-aħmar tat-testers interni. |
2. Meta awtorità tat-TLPT tapprova l-użu ta’ testers interni f’konformità mal-Artikolu 27(2), il-punt (a), tar-Regolament (UE) 2022/2554, l-awtorità tat-TLPT għandha tqis ir-rekwiżiti stabbiliti fl-Artikolu 7(1) ta’ dan ir-Regolament.
3. Meta tuża testers interni, l-entità finanzjarja għandha tiżgura li tali użu jissemma fid-dokumenti li ġejjin:
|
(a) |
l-informazzjoni għall-bidu tat-test imsemmija fl-Artikolu 9; |
|
(b) |
ir-rapport tat-test tat-tim l-aħmar imsemmi fl-Artikolu 12(2); |
|
(c) |
ir-rapport li jiġbor fil-qosor is-sejbiet rilevanti tat-TLPT imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554. |
4. It-testers impjegati minn fornitur intragrupp ta’ servizzi tal-ICT għandhom jitqiesu bħala testers interni tal-entità finanzjarja.
Artikolu 16
Kooperazzjoni u rikonoxximent reċiproku
1. Għall-finijiet li jsir TLPT fir-rigward ta’ entità finanzjarja li tipprovdi servizzi f’aktar minn Stat Membru wieħed, inkluż permezz ta’ fergħa, l-awtorità tat-TLPT tagħha għandha:
|
(a) |
tiddetermina liema awtoritajiet tat-TLPT fl-Istati Membri ospitanti għandhom ikunu involuti, filwaqt li tqis jekk funzjoni kritika jew importanti waħda jew aktar humiex operati fl-Istati Membri ospitanti jew kondiviżi bejniethom; |
|
(b) |
tinforma lill-awtoritajiet tat-TLPT identifikati f’konformità mal-punt (a) bid-deċiżjoni li jsir test tat-TLPT fuq l-entità finanzjarja; |
|
(c) |
sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT, l-awtorità tat-TLPT tal-entità finanzjarja għandha tmexxi t-TLPT. |
L-awtoritajiet tat-TLPT tal-Istati Membri ospitanti jistgħu, fi żmien 20 jum tax-xogħol minn meta jirċievu l-informazzjoni dwar twettiq futur ta’ TLPT, jew jesprimu l-interess tagħhom li jsegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet biex jipparteċipa fit-TLPT. L-awtorità ewlenija tat-TLPT għandha tipprovdi lill-awtoritajiet kollha tat-TLPT li qed jaġixxu bħala osservaturi fit-TLPT bid-dokument tal-ispeċifikazzjoni tal-ambitu, ir-rapport ta’ sinteżi tat-test, il-pjan ta’ rimedju u l-attestazzjoni.
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT parteċipanti matul it-test u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT isir b’mod xieraq u effettiv. L-awtorità ewlenija tat-TLPT tista’ tistabbilixxi għadd massimu ta’ awtoritajiet tat-TLPT parteċipanti, fejn it-twettiq effiċjenti tat-TLPT jista’ inkella jiġi kompromess.
2. Meta entità finanzjarja tuża l-istess fornitur intragrupp ta’ servizzi tal-ICT bħal entitajiet finanzjarji stabbiliti fi Stati Membri oħrajn, jew tappartjeni għal grupp u tikkondividi sistemi tal-ICT ma’ entitajiet finanzjarji tal-istess grupp stabbiliti fi Stati Membri oħrajn, l-awtorità tat-TLPT tal-entità finanzjarja għandha tikkuntattja lill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji l-oħrajn li jużaw l-istess fornitur intragrupp ta’ servizzi tal-ICT jew jikkondividu sistemi tal-ICT bħala parti mill-grupp u tivvaluta magħhom il-fattibbiltà u l-adegwatezza tat-twettiq ta’ TLPT konġunt fir-rigward tagħhom. TLPT konġunt għandu jiġi ppreferut minn TLPT individwali meta dan jista’ jirriżulta fi tnaqqis tal-kostijiet u tar-riżorsi għall-entitajiet finanzjarji u għall-awtoritajiet tat-TLPT, dment li ma jiġux ippreġudikati s-solidità u l-effikaċja tal-ittestjar.
3. Għall-finijiet tat-twettiq ta’ TLPT konġunt:
|
(a) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għandhom jaqblu dwar liema entità finanzjarja għandha tiġi ddeżinjata biex twettaq it-TLPT, filwaqt li jqisu l-istruttura tal-grupp u l-effiċjenza tat-test; |
|
(b) |
l-awtorità tat-TLPT tal-entità finanzjarja deżinjata f’konformità mal-punt (a) għandha tmexxi t-TLPT, sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li qed jipparteċipaw fit-TLPT konġunt; |
|
(c) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għajr l-entità finanzjarja deżinjata biex tmexxi t-TLPT konġunt jistgħu jew jesprimu l-interess tagħhom biex isegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet għal dak it-TLPT. |
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT involuti fit-TLPT konġunt u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT konġunt isir b’mod għaqli u effettiv.
4. Meta entità finanzjarja jkollha l-ħsieb li twettaq TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554 li possibbilment jinvolvi entitajiet finanzjarji stabbiliti fi Stati Membri oħrajn, l-awtorità tat-TLPT tagħha għandha tikkuntattja lill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji l-oħrajn u tivvaluta magħhom il-fattibbiltà u l-adegwatezza tat-twettiq ta’ TLPT aggregat fir-rigward tagħhom f’konformità mal-Artikolu 26(4) tar-Regolament (UE) 2022/2554.
5. Għall-finijiet li jsir TLPT aggregat kif imsemmi fl-Artikolu 26(4) tar-Regolament (UE) 2022/2554:
|
(a) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għandhom jaqblu dwar liema entità finanzjarja għandha tiġi ddeżinjata biex twettaq it-TLPT aggregat, filwaqt li jqisu s-servizzi tal-ICT provduti mill-fornitur terz ta’ servizzi tal-ICT lill-entitajiet finanzjarji u l-effiċjenza tat-test; |
|
(b) |
l-awtorità tat-TLPT tal-entità finanzjarja deżinjata f’konformità mal-punt (a) għandha tmexxi t-TLPT, sakemm ma jkunx miftiehem mod ieħor mill-awtoritajiet tat-TLPT tal-entitajiet finanzjarji li jipparteċipaw fit-TLPT konġunt aggregat; |
|
(c) |
l-awtoritajiet tat-TLPT tal-entitajiet finanzjarji għajr l-entità finanzjarja deżinjata biex tmexxi t-TLPT aggregat jistgħu jew jesprimu l-interess tagħhom biex isegwu t-TLPT bħala osservaturi jew jassenjaw maniġer tat-testijiet għal dak it-TLPT. |
L-awtorità ewlenija tat-TLPT għandha tikkoordina l-awtoritajiet kollha tat-TLPT involuti fit-TLPT aggregat u tadotta d-deċiżjonijiet kollha meħtieġa biex it-TLPT aggregat isir b’mod għaqli u effettiv.
6. Fir-rigward ta’ entità finanzjarja meħtieġa twettaq TLPT, meta l-awtorità tat-TLPT tagħha tkun differenti mill-awtorità kompetenti tagħha kif imsemmi fl-Artikolu 46 tar-Regolament (UE) 2022/2554, dawk l-awtoritajiet għandhom jikkondividu kwalunkwe informazzjoni rilevanti fir-rigward tal-kwistjonijiet kollha relatati mat-TLPT għall-finijiet tat-twettiq tat-TLPT jew biex iwettqu dmirijiethom f’konformità ma’ dak ir-Regolament.
Artikolu 17
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u jkun direttament applikabbli fl-Istati Membri kollha.
Magħmul fi Brussell, it-13 ta’ Frar 2025.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Ir-Regolament (UE) 2023/1114 tal-Parlament Ewropew u tal-Kunsill tal-31 ta’ Mejju 2023 dwar is-swieq fil-kriptoassi, u li jemenda r-Regolamenti (UE) Nru 1093/2010 u (UE) Nru 1095/2010 u d-Direttivi 2013/36/UE u (UE) 2019/1937 (ĠU L 150, 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj).
(3) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Id-Direttiva 2013/36/UE tal-Parlament Ewropew u tal-Kunsill tas-26 ta’ Ġunju 2013 dwar l-aċċess għall-attività tal-istituzzjonijiet ta’ kreditu u s-superviżjoni prudenzjali tal-istituzzjonijiet ta’ kreditu u tad-ditti tal-investiment, li temenda d-Direttiva 2002/87/KE u li tħassar id-Direttivi 2006/48/KE u 2006/49/KE (ĠU L 176, 27.6.2013, p. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
(8) Id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2015 dwar is-servizzi ta’ pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (ĠU L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(9) Id-Direttiva 2014/65/UE tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq fl-istrumenti finanzjarji u li temenda d-Direttiva 2002/92/KE u d-Direttiva 2011/61/UE (ĠU L 173, 12.6.2014, p. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).
(10) Ir-Regolament (UE) Nru 600/2014 tal-Parlament Ewropew u tal-Kunsill tal-15 ta’ Mejju 2014 dwar is-swieq tal-istrumenti finanzjarji u li jemenda r-Regolament (UE) Nru 648/2012 (ĠU L 173 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj).
(11) Id-Direttiva 2009/138/KE tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2009 dwar il-bidu u l-eżerċizzju tan-negozju tal-assigurazzjoni u tar-riassigurazzjoni (Solvibbiltà II) (ĠU L 335, 17.12.2009, p. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj).
ANNESS I
Kontenut tal-karta tal-proġett (l-Artikolu 9(2)(a))
|
Punt ta’ Informazzjoni |
Informazzjoni meħtieġa |
||||||
|
Persuna responsabbli għall-pjan tal-proġett, jiġifieri l-Kap tat-Tim ta’ Kontroll |
Isem Dettalji ta’ kuntatt |
||||||
|
Testers |
|
||||||
|
Kanali ta’ komunikazzjoni magħżula f’konformità mal-Artikolu 9(2), il-punt (d), u l-Artikolu 9(4), il-punt (a), inkluż:
|
|
||||||
|
Isem kodiċi għat-TLPT |
|
||||||
|
Fejn applikabbli, il-funzjonijiet kritiċi jew importanti li l-entità finanzjarja twettaq fi Stati Membri oħra |
|
||||||
|
Fejn applikabbli, funzjonijiet kritiċi jew importanti appoġġati minn fornituri terzi ta’ servizzi tal-ICT |
|
||||||
|
Skadenzi għat-tlestija ta’: |
|||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
|
ssss-xx-jj |
||||||
ANNESS II
Kontenut tad-dokument tal-ispeċifikazzjoni tal-kamp ta’ applikazzjoni (l-Artikolu 9(6))
1.
Id-dokument tal-ispeċifikazzjoni tal-kamp ta’ applikazzjoni għandu jkun fih lista tal-funzjonijiet kritiċi jew importanti kollha identifikati mill-entità finanzjarja.
2.
Għal kull funzjoni kritika jew importanti identifikata, għandha tiġi inkluża l-informazzjoni li ġejja:|
(a) |
jekk il-funzjoni kritika jew importanti ma tkunx inkluża fil-kamp ta’ applikazzjoni tat-TLPT, l-ispjegazzjoni tar-raġunijiet għaliex ma ġietx inkluża; |
|
(b) |
jekk il-funzjoni kritika jew importanti tkun inkluża fil-kamp ta’ applikazzjoni tat-TLPT:
|
ANNESS III
Kontenut tar-rapport tal-intelligence dwar it-theddid immirat (l-Artikolu 10(5))
Ir-rapport tal-intelligence dwar it-theddid immirat għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
1. |
Il-kamp ta’ applikazzjoni ġenerali tar-riċerka tal-intelligence inkluż mill-inqas dan li ġej:
|
|
2. |
Il-valutazzjoni ġenerali ta’ liema intelligence azzjonabbli konkreta tista’ tinstab dwar l-entità finanzjarja, inkluż:
|
|
3. |
Analiżi tal-intelligence dwar it-theddid li tqis ix-xenarju ġenerali tat-theddid u s-sitwazzjoni partikolari tal-entità finanzjarja, inkluż, mill-inqas:
|
|
4. |
Il-profili ta’ theddid tal-atturi malizzjużi (individwu/grupp speċifiku jew klassi ġenerika) li jistgħu jimmiraw lejn l-entità finanzjarja, inklużi s-sistemi tal-entità finanzjarja li atturi malizzjużi x’aktarx li jikkompromettu jew jimmiraw għalihom, il-motivazzjoni, l-intenzjoni u r-raġunament possibbli għall-immirar potenzjali u l-modus operandi possibbli tal-aggressuri. |
|
5. |
Ix-xenarji ta’ theddid: mill-inqas tliet xenarji minn tarf sa tarf ta’ theddid għall-profili ta’ theddid identifikati f’konformità mal-punt 4 li juru l-ogħla punteġġi ta’ severità tat-theddid. Ix-xenarji ta’ theddid għandhom jiddeskrivu l-perkors minn tarf sa tarf tal-attakk u għandhom jinkludu, mill-inqas:
|
|
6. |
Fejn rilevanti, id-deskrizzjoni tax-xenarju mhux immexxi mit-theddid imsemmi fl-Artikolu 10(4). |
ANNESS IV
Kontenut tal-pjan tat-test tat-tim l-aħmar (l-Artikolu 11(1))
Il-pjan tal-ittestjar tat-tim l-aħmar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
kanali u proċeduri ta’ komunikazzjoni; |
|
(b) |
it-tattiċi, it-tekniki u l-proċeduri permessi u mhux permessi għall-użu fl-attakk, inklużi l-limiti etiċi għall-inġinerija soċjali; |
|
(c) |
il-miżuri tal-ġestjoni tar-riskju li għandhom jiġu segwiti mit-testers; |
|
(d) |
deskrizzjoni għal kull xenarju, inkluż:
|
|
(e) |
id-deskrizzjoni dettaljata ta’ kull perkors ta’ attakk mistenni, inklużi l-prerekwiżiti u l-leg-ups possibbli li għandhom jiġu pprovduti mit-tim ta’ kontroll, inklużi l-iskadenzi għall-forniment u l-użu potenzjali tagħhom; |
|
(f) |
l-iskedar tal-attivitajiet ta’ timijiet ħomor, inkluż l-ippjanar tal-ħin għall-eżekuzzjoni ta’ kull xenarju, maqsum almenu fuq il-bażi ta’ tliet fażijiet li tester jieħu matul il-fażijiet kollha tal-ittestjar, li jidħol rispettivament fis-sistemi tal-ICT tal-entitajiet finanzjarji, jiċċirkola fis-sistemi tal-ICT u fl-aħħar mill-aħħar jeżegwixxi azzjonijiet fuq l-objettivi u eventwalment joħroġ mis-sistemi tal-ICT (il-fażijiet ta’ dħul, ċirkolazzjoni u ħruġ); |
|
(g) |
il-partikolaritajiet tal-infrastruttura tal-entitajiet finanzjarji li għandhom jiġu kkunsidrati matul l-ittestjar; |
|
(h) |
fejn applikabbli, informazzjoni addizzjonali jew riżorsi oħra meħtieġa għat-testers għall-eżekuzzjoni tax-xenarji. |
ANNESS V
Kontenut tar-rapport tal-ittestjar tat-tim l-aħmar (l-Artikolu 12(2))
Ir-rapport tal-ittestjar tat-tim l-aħmar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
informazzjoni dwar l-attakk imwettaq, inkluż:
|
|
(b) |
l-azzjonijiet kollha li t-testers huma konxji minnhom li twettqu mit-tim blu biex jerġa’ jibni l-attakk u biex itaffi l-effetti tiegħu; |
|
(c) |
il-vulnerabbiltajiet skoperti u sejbiet oħra, inkluż:
|
ANNESS VI
Kontenut tar-rapport tal-ittestjar tat-tim il-blu (l-Artikolu 12(4))
Ir-rapport tal-ittestjar tat-tim il-blu għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
1. |
għal kull pass tal-attakk deskritt mit-testers fir-rapport tat-test tat-tim l-aħmar:
|
|
2. |
il-valutazzjoni tas-sejbiet u r-rakkomandazzjonijiet tat-testers; |
|
3. |
l-evidenza tal-attakk mit-testers miġbura mit-tim il-blu; |
|
4. |
l-analiżi tal-kawżi ewlenin imwettqa mit-tim il-blu ta’ attakki b’suċċess mit-testers; |
|
5. |
il-lista ta’ tagħlimiet meħuda u l-potenzjal identifikat għal titjib; |
|
6. |
il-lista ta’ suġġetti li għandhom jiġu indirizzati fil-kuntest ta’ kollaborazzjoni vjola (purple teaming). |
ANNESS VII
Dettalji tar-rapport ta’ sinteżi tas-sejbiet rilevanti tat-TLPT imsemmi fl-Artikolu 26(6) tar-Regolament (UE) 2022/2554
Ir-rapport ta’ sinteżi tal-ittestjar għandu jkun fih informazzjoni dwar dan kollu li ġej:
|
(a) |
il-partijiet involuti; |
|
(b) |
il-pjan tal-proġett; |
|
(c) |
il-kamp ta’ applikazzjoni vvalidat, inkluż ir-raġunament wara l-inklużjoni jew l-esklużjoni ta’ funzjonijiet kritiċi jew importanti u s-sistemi, il-proċessi u t-teknoloġiji tal-ICT identifikati li jappoġġaw il-funzjonijiet kritiċi jew importanti koperti mit-TLPT; |
|
(d) |
ix-xenarji magħżula u kwalunkwe devjazzjoni sinifikanti mir-rapport tal-intelligence dwar it-theddid immirat; |
|
(e) |
il-perkorsi ta’ attakk eżegwiti, u t-tattiċi, it-tekniki u l-proċeduri użati; |
|
(f) |
il-marki maqbuda u mhux maqbuda; |
|
(g) |
devjazzjonijiet mill-pjan tal-ittestjar tat-tim l-aħmar, jekk ikun hemm; |
|
(h) |
id-detezzjonijiet tat-tim il-blu, jekk ikun hemm; |
|
(i) |
il-kollaborazzjoni vjola fil-fażi tal-ittestjar, jekk ikun hemm u l-kundizzjonijiet relatati; |
|
(j) |
il-leg-ups użati, jekk ikun hemm; |
|
(k) |
il-miżuri ta’ ġestjoni tar-riskji meħuda; |
|
(l) |
il-vulnerabbiltajiet identifikati u sejbiet oħra, inkluża l-kritikalità tagħhom; |
|
(m) |
l-analiżi tal-kawżi ewlenin tal-attakki li rnexxew; |
|
(n) |
il-pjan ta’ livell għoli għar-rimedju, li jgħaqqad il-vulnerabbiltajiet u sejbiet oħra, il-kawżi ewlenin tagħhom u l-prijorità ta’ rimedju; |
|
(o) |
il-tagħlimiet miksuba mill-feedback riċevut. |
ANNESS VIII
Dettalji tal-attestazzjoni tat-TLPT imsemmi fl-Artikolu 26(7) tar-Regolament (UE) 2022/2554
L-attestazzjoni għandu jkun fiha tal-anqas l-informazzjoni kollha li ġejja:
|
(a) |
dwar it-TLPT imwettaq:
|
|
(b) |
fejn diversi awtoritajiet tat-TLPT kienu involuti fit-TLPT, l-awtoritajiet l-oħra tat-TLPT, u f’liema kapaċità; |
|
(c) |
il-lista tad-dokumenti eżaminati mill-awtorità tat-TLPT għall-finijiet tal-attestazzjoni. |
ELI: http://data.europa.eu/eli/reg_del/2025/1190/oj
ISSN 1977-074X (electronic edition)