Datum: 01.02.2024Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?
Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für als bedeutend eingestufte Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.
