Najbardziej zaawansowanym narzędziem w ramach trzeciego filaru DORA są tzw. testy penetracyjne ukierunkowane przez analizę zagrożeń — w skrócie TLPT (Threat-Led Penetration Testing). Wymóg ten wprowadza art. 26 i 27 rozporządzenia 2022/2554 i — w przeciwieństwie do ogólnego programu testowania z art. 24–25 DORA — dotyczy wyłącznie podmiotów wyznaczonych przez właściwy organ. Nie wszyscy będą musieli takie testy przeprowadzać, ale ci, którzy będą — muszą się do nich dobrze przygotować.
Czym jest TLPT?
TLPT to test penetracyjny prowadzony na działających systemach produkcyjnych podmiotu finansowego, ukierunkowany przez analizę aktualnych cyberzagrożeń specyficznych dla danego sektora.
Ramy metodyczne TLPT pochodzą z TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) — co potwierdza wprost art. 26 ust. 11 DORA, mówiący o opracowaniu RTS „zgodnie z ramami TIBER-EU". Zgodnie z art. 26 ust. 2 akapit pierwszy DORA: „Każdy test penetracyjny ukierunkowany przez analizę zagrożeń obejmuje kilka krytycznych lub istotnych funkcji podmiotu finansowego lub wszystkie te funkcje i jest przeprowadzany na działających systemach produkcyjnych wspierających takie funkcje".
Kogo dotyczy TLPT?
TLPT dotyczy wyłącznie podmiotów wyznaczonych przez właściwy organ na podstawie kryteriów z art. 26 ust. 8 DORA — z wyłączeniem podmiotów z uproszczonych ram zarządzania ryzykiem (art. 16 DORA) i mikroprzedsiębiorstw.
Trzy konsekwencje praktyczne:
- TLPT nie obejmuje podmiotów objętych uproszczonymi ramami z art. 16 DORA (np. MIP, BUP, małe instytucje pieniądza elektronicznego, małe firmy inwestycyjne).
- TLPT nie obejmuje mikroprzedsiębiorstw.
- TLPT dotyczy podmiotów wyznaczonych przez właściwy organ na podstawie art. 26 ust. 8 DORA.
Wybór podmiotów do TLPT odbywa się na podstawie trzech kryteriów z art. 26 ust. 8 akapit trzeci DORA:
- Czynniki związane z wpływem podmiotu na sektor finansowy.
- Ewentualne obawy dotyczące stabilności finansowej, w tym systemowy charakter.
- Specyficzny profil ryzyka ICT, poziom zaawansowania pod względem ICT lub zastosowane rozwiązania technologiczne.
Jak często przeprowadzamy TLPT?
Art. 26 ust. 1 DORA wymaga przeprowadzania TLPT nie rzadziej niż co trzy lata, z możliwością modyfikacji przez właściwy organ.
W oparciu o profil ryzyka właściwy organ może zwrócić się o zmniejszenie lub zwiększenie częstotliwości testów. Z naszej oceny — biorąc pod uwagę koszt, złożoność operacyjną i czasochłonność TLPT — trzy lata to realna kadencja, ale wymaga rocznego planowania budżetu i zasobów.
Kto może być testerem TLPT?
Art. 27 ust. 1 DORA wymienia pięć obowiązkowych warunków, jakie musi spełniać tester TLPT.
- a) Renoma i odpowiedniość
- Tester musi być najbardziej odpowiedni do zadania i cieszyć się największą renomą.
- b) Wiedza fachowa
- Zdolności techniczne i organizacyjne oraz wiedza fachowa w zakresie analizy zagrożeń, testów penetracyjnych i testów z udziałem zespołów typu red team.
- c) Certyfikacja lub kodeks postępowania
- Certyfikat wydany przez jednostkę akredytującą w państwie członkowskim lub przystąpienie do formalnych kodeksów postępowania albo ram etycznych.
- d) Niezależne zapewnienie
- Niezależne zapewnienie lub sprawozdanie z audytu dotyczące należytego zarządzania ryzykiem związanym z przeprowadzaniem TLPT, w tym ochrony poufnych informacji.
- e) Ubezpieczenie OC zawodowe
- Pełne objęcie ubezpieczeniem od odpowiedzialności cywilnej z tytułu wykonywania zawodu, w tym od ryzyka uchybień i zaniedbań.
Z art. 26 ust. 8 akapit pierwszy DORA wynika, że co trzeci test musi być przeprowadzony przez testera zewnętrznego (gdy podmiot korzysta z testerów wewnętrznych). Istotne instytucje kredytowe są zobowiązane do korzystania wyłącznie z testerów zewnętrznych.
Co z dostawcami zewnętrznymi w TLPT?
Art. 26 ust. 3 DORA wymaga zapewnienia udziału dostawców zewnętrznych w TLPT, z możliwością testowania zbiorczego dla kilku podmiotów (art. 26 ust. 4 DORA).
Pełne brzmienie art. 26 ust. 3 DORA: „W przypadku gdy zakres TLPT obejmuje zewnętrznych dostawców usług ICT, podmiot finansowy stosuje niezbędne środki i zabezpieczenia w celu zapewnienia udziału takich zewnętrznych dostawców usług ICT w TLPT i przez cały czas ponosi pełną odpowiedzialność za zapewnianie zgodności z niniejszym rozporządzeniem".
Art. 26 ust. 4 DORA wprowadza konstrukcję testowania zbiorczego — gdy udział dostawcy mógłby negatywnie wpłynąć na jakość lub bezpieczeństwo usług świadczonych klientom spoza DORA, dostawca może zawrzeć ustalenia z testerem zewnętrznym i przeprowadzić zbiorcze TLPT z udziałem kilku podmiotów finansowych.
Co z dokumentacją po TLPT?
Po zakończeniu TLPT podmiot przedstawia wyznaczonemu organowi podsumowanie ustaleń, plany naprawcze i dokumentację — a organ wydaje poświadczenie umożliwiające wzajemne uznawanie testów (art. 26 ust. 6 i 7 DORA).
Zgodnie z art. 26 ust. 6 DORA: „Na koniec testowania, po uzgodnieniu sprawozdań i planów naprawczych, podmiot finansowy i, w stosownych przypadkach, testerzy zewnętrzni przedstawiają organowi wyznaczonemu zgodnie z ust. 9 lub 10 podsumowanie odpowiednich ustaleń, plany naprawcze i dokumentację wykazującą, że TLPT przeprowadzono zgodnie z wymogami". Poświadczenie organu pozwala na wzajemne uznawanie testów między państwami członkowskimi — kluczowe dla podmiotów działających transgranicznie.
Co teraz zrobić?
Z naszego doświadczenia dla podmiotów, które mogą zostać wyznaczone do TLPT, rekomendujemy następującą sekwencję przygotowawczą:
- Sprawdzić, czy podmiot mieści się w kategorii adresatów art. 26 ust. 1 DORA.
- Przeprowadzić wstępną analizę pod kątem kryteriów z art. 26 ust. 8 akapit trzeci DORA.
- Przygotować plan budżetowy obejmujący koszt TLPT raz na 3 lata oraz środki naprawcze.
- Zinwentaryzować dostawców ICT obsługujących krytyczne lub istotne funkcje — z myślą o ich udziale w TLPT.
- W umowach z dostawcami ICT zapewnić klauzule umożliwiające ich udział w TLPT (art. 30 ust. 3 lit. d DORA).
W kolejnym wpisie przechodzimy do czwartego filaru DORA — zarządzania ryzykiem zewnętrznych dostawców usług ICT.
