Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für als bedeutend eingestufte Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.

Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:

• wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
• etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
• dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.

Diese Kriterien werden durch einen technischen Regulierungsstandard zu TLPT (bisher nur in der Entwurfsversion vorliegend) spezifiziert. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.

Da die Testmethodik von TIBER-Tests und TLPT in wesentlichen Teilen im Einklang sind, wird die BaFin bei der Anordnung eines TLPT ab 2025 bis dahin durchgeführte TIBER-DE-Tests positiv berücksichtigen.

Als von der BaFin beaufsichtigtes Institut oder Unternehmen erhalten Sie von der BaFin einen Bescheid über die Identifikation zur Verpflichtung, TLPT in einem Dreijahresrhythmus oder mit einer anderen Frequenz durchzuführen. Separat davon erfolgt die konkrete Testanordnung.

Die BaFin wird die von ihr beaufsichtigten Institute oder Unternehmen, die die Kriterien aus Artikel 26 Absatz 8 Unterabsatz 3 DORA erfüllen zeitnah ermitteln und diese dann über ihre Identifikation zur Verpflichtung TLPT durchzuführen, informieren. Die BaFin wird diesen Identifikationsprozess Ende 2024/Anfang 2025 das erste Mal durchführen und dann regelmäßig wiederholen. Separat davon wird die BaFin in Abstimmung mit der Bundesbank die jeweiligen Institute und Unternehmen über den konkreten individuellen Testbeginn (Testanordnung) informieren.

Bitte wenden Sie sich an das Funktionspostfach TLPT@bafin.de oder an das TIBER Cyber Teams der Bundesbank.

In diesen Fällen ist die zuständige Aufsichtsbehörde - also die EZB oder die Börsenaufsichtsbehörden der Länder - auch für das Thema TLPT zuständig.

Nein, die BaFin führt keine Liste von Personen, die als Tester für TLPT nach Artikel 27 Absatz 1 DORA herangezogen werden können. Die Auswahl von geeigneten Testern, genauso wie Threat-Intelligence-Dienstleistern, obliegt dem zu testenden Unternehmen. Hierbei sind auch die erweiterten Anforderungen im technischen Regulierungsstandard zu TLPT (bisher nur in der Entwurfsversion vorliegend)zu berücksichtigen. Eine Akkreditierungsstelle zur Zertifizierung von Testern nach Artikel 27 Absatz 1 Buchstabe c DORA existiert in Deutschland nicht.

Pooled oder in Deutsch gebündelte Tests sind in Artikel 26 Absatz 4 DORA definiert. Spezifika hinsichtlich der Testmethodik werden im technischen Regulierungsstandard zu TLPT weiter ausgeführt. Grundsätzlich gilt, dass jeder TLPT die kritischen oder wichtigen Funktionen sowie die zugrundeliegenden IKT-Systeme, -Prozesse und –Technologien des identifizierten Finanzunternehmens umfassen soll. Wenn derartige Funktionen, Systeme, Prozesse oder Technologien an IKT-Drittdienstleistern ausgelagert sind, ist vom Finanzunternehmen zu prüfen, ob diese Dienstleister in den TLPT einzubinden sind. Darüber hinaus können, wenn die Anforderungen für einen Pooled Test aus Artikel 26 Absatz 4 DORA erfüllt sind, sich mehrere identifizierte Finanzunternehmen unter der Leitung eines Finanzunternehmens zusammenschließen und mit dem IKT-Drittdienstleister gemeinsam einen Pooled Test durchführen. Eine vollständige Übertragung der Testpflicht von den Finanzunternehmen auf den IKT-Drittdienstleister ist nicht möglich.

Nein, eine solche Bescheinigung erhalten nur Unternehmen, die von der zuständigen Aufsichtsbehörde gemäß Artikel 26 Absatz 8 Unterabsatz 3 DORA ermittelt worden sind.