DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 16 (vereinfachter IKT-Risikomanagementrahmen) genannt sind.

Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen. Auf diese Weise sollen die Finanzunternehmen unter anderem erkennen, wie sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben. Das Testprogramm ist integraler Bestandteil des IKT-Risikomanagementrahmens eines jeden Finanzunternehmens.

Threat-led Penetration Testing (TLPT)

Neben den allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen, wie es in den Artikel 24 und 25 DORA beschrieben ist, führt DORA ebenfalls erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT ein (Artikel 26 und 27 DORA).

Threat-led Penetration Testing (TLPT)

Quelle: BaFin

Im Gegensatz zu den allgemeinen Anforderungen für das Testen gelten die erweiterten Tests auf Basis von TLPT nur für eine kleine Anzahl an Finanzunternehmen, die anhand der Kriterien von Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert werden. Diese identifizierten Unternehmen werden von der BaFin als zuständigen Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung eines TLPT informiert.

Die Kriterien sind in Artikel 26 Absatz 8 Unterabsatz 3 DORA beschrieben. Bei der Identifikation von Finanzunternehmen, die TLPT durchzuführen haben, sollen sich zuständige Behörden neben dem allgemeinen Proportionalitätsgrundsatz im Sinne von Artikel 4 Absatz 2 DORA auf die Bewertung folgender Kriterien stützen:

a) wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
b) etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
c) dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.

Diese Kriterien werden in dem technischen Regulierungsstandard (nachfolgend RTS) zu TLPT (siehe unten) spezifiziert.

Kriterien RTS

Quelle: BaFin

Technischer Regulierungsstandard zu TLPT

Zur Ergänzung der Anforderungen aus Artikel 26 und 27 DORA zu TLPT hat die Europäische Kommission einen technischen Regulierungsstandard erlassen Dieser technische Regulierungsstandard (kurz RTS zu TLPT) umfasst die folgenden Themen:

a) Festlegung der Kriterien für die Bestimmung der Finanzunternehmen, die zur Durchführung von bedrohungsorientierten Penetrationstests verpflichtet sind,
b) Anforderungen und Standards für den Einsatz interner Tester,
c) Anforderungen hinsichtlich des Testumfangs, der Testmethodik und des Testkonzepts für jede einzelne Phase des Testverfahrens sowie der Ergebnisse, des Abschlusses und der Behebungsphasen der Tests,

d) die Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Umsetzung von bedrohungsorientierten Penetrationstests und die Erleichterung der gegenseitigen Anerkennung dieser Tests erforderlich ist.

Der RTS zu TLPT ist als Delegierte Verordnung (EU) 2025/1190 im Amtsblatt der EU veröffentlicht. Basierend auf den RTS zu TLPT ist das europäischen TIBER-EU-Rahmenwerk aktualisiert worden, das auch, wenn es keinen bindenden Charakter hat, Best Practices und Hinweise für die Durchführung von TLPT liefert.

Testmethodik & Kooperation mit der Deutschen Bundesbank

Die Testmethodik für TLPT unter DORA orientiert sich an den wesentlichen Inhalten des bereits bestehenden freiwilligen TIBER-EU-Rahmenwerks. Erfahrungen und Erkenntnisse aus den freiwilligen Tests sind in die Ausgestaltung des RTS zu TLPT eingeflossen. Dementsprechend werden die Prozesse zur konkreten Durchführung von TLPT auf den TIBER-DE-Prozessen aufbauen. Auch wird die bestehende Zusammenarbeit von Bundesbank und BaFin weiter ausgebaut und Synergien ausgenutzt. Konkret bedeutet dies: die BaFin ist zuständige Ausichtsbehörde und für die aufsichtlichen Aufgaben zum Thema TLPT verantwortlich, die operative Begleitung der TLPT obliegt der Deutschen Bundesbank.

Testmethodik & Kooperation mit der Deutschen Bundesbank

Quelle: Bundesbank und BaFin

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.