Artikel 15 VO (EU) 2025/1190
Einsatz interner Tester
(1) Die Finanzunternehmen treffen alle folgenden Vorkehrungen für den Einsatz interner Tester:
- a)
- Festlegung und Umsetzung einer Strategie für das Management interner Tester bei einem TLPT,
- b)
- Maßnahmen, mit denen sichergestellt wird, dass sich der Einsatz interner Tester für die Durchführung eines TLPT nicht nachteilig auf die allgemeinen Verteidigungs- oder Resilienzfähigkeiten des Finanzunternehmens in Bezug auf IKT-bezogene Vorfälle auswirkt oder sich erheblich auf die Verfügbarkeit von Ressourcen auswirkt, die während eines TLPT für IKT-bezogene Aufgaben eingesetzt werden,
- c)
- Maßnahmen, mit denen sichergestellt wird, dass interne Tester über ausreichende Ressourcen und Fähigkeiten verfügen, um einen TLPT durchzuführen.
Die unter Buchstabe a genannte Strategie muss
- a)
- Kriterien für die Beurteilung von Eignung, Kompetenz und potenziellen Interessenkonflikten der internen Tester enthalten und die Zuständigkeiten der Geschäftsleitung in dem Testverfahren enthalten,
- b)
- dokumentiert und regelmäßig überprüft werden,
- c)
- vorsehen, dass dem internen Testteam ein Testmanager und mindestens zwei zusätzliche Mitglieder angehören,
- d)
- verlangen, dass alle Mitglieder des Testteams in den vorangegangenen zwölf Monaten bei dem Finanzunternehmen oder einem gruppeninternen IKT-Dienstleister beschäftigt waren,
- e)
- Schulungen zur Durchführung von Penetrationstests und Red-Team-Tests für die internen Tester vorsehen.
(2) Wenn eine TLPT-Behörde den Einsatz interner Tester gemäß Artikel 27 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 genehmigt, berücksichtigt die TLPT-Behörde die in Artikel 7 Absatz 1 der vorliegenden Verordnung festgelegten Anforderungen.
(3) Beim Einsatz interner Tester stellt das Finanzunternehmen sicher, dass in den folgenden Dokumenten darauf verwiesen wird:
- a)
- Informationen über die Einleitung des Tests gemäß Artikel 9,
- b)
- Red-Team-Testbericht gemäß Artikel 12 Absatz 2,
- c)
- Bericht mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß den Artikeln 26 Absatz 6 der Verordnung (EU) 2022/2554.
(4) Tester, die bei einem gruppeninternen IKT-Dienstleister beschäftigt sind, gelten als interne Tester des Finanzunternehmens.
© Europäische Union 1998-2021
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.