Η Ευρωπαϊκή Ένωση δημοσίευσε έναν Κατ' Εξουσιοδότηση Κανονισμό στην Επίσημη Εφημερίδα της, θεσπίζοντας τα τελικά ρυθμιστικά τεχνικά πρότυπα (RTS) για τις δοκιμές διείσδυσης βάσει απειλών (TLPT) στο πλαίσιο του νόμου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA).
Αυτά τα RTS εξειδικεύουν το Άρθρο 26 του DORA, περιγράφοντας τις ειδικές απαιτήσεις για τις χρηματοοικονομικές οντότητες. Προσδιορίζουν τα κριτήρια για τον εντοπισμό των εταιρειών που πρέπει να διενεργούν TLPT και θέτουν τα πρότυπα για το πεδίο εφαρμογής των δοκιμών, τη μεθοδολογία και τον χειρισμό των αποτελεσμάτων. Ο κανονισμός καθορίζει επίσης τους κανόνες για τη χρήση εσωτερικών ελεγκτών και για τη συνεργασία εποπτείας, συμπεριλαμβανομένης της αμοιβαίας αναγνώρισης των δοκιμών μεταξύ των αρχών.
Οι δοκιμές TLPT είναι πλέον υποχρεωτικές για τις χρηματοοικονομικές οντότητες που καλύπτονται από τον DORA και θεωρείται ότι έχουν σημαντικό αντίκτυπο, προφίλ κινδύνου ή συστημική σημασία.
Η διαδικασία για αυτές τις οντότητες ξεκινά με τη λήψη ειδοποίησης από την καθορισμένη «αρχή TLPT» ότι απαιτείται η διενέργεια δοκιμών. Μόλις ειδοποιηθεί, η εταιρεία εισέρχεται σε μια επίσημη φάση προετοιμασίας και πρέπει:
Εντός τριών μηνών, να παράσχει τις πληροφορίες έναρξης TLPT, οι οποίες περιλαμβάνουν ένα υψηλού επιπέδου σχέδιο έργου και λεπτομέρειες για τις ομάδες ελέγχου και επικοινωνίας.
Εντός έξι μηνών, να υποβάλει ένα λεπτομερές έγγραφο προδιαγραφών πεδίου εφαρμογής που προσδιορίζει τις κρίσιμες λειτουργίες και τα υποκείμενα συστήματα πληροφορικής που θα δοκιμαστούν.
Η δομή TLPT που περιγράφεται στα RTS είναι συνεπής με το υφιστάμενο πλαίσιο της ΕΕ για την ηθική «red teaming» βάσει πληροφοριών για απειλές (TIBER-EU).
Τα RTS τέθηκαν σε ισχύ στις 8 Ιουλίου 2025.
Τα RTS είναι διαθέσιμα εδώ.