Nowe przepisy Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 powszechnie nazywanego „DORA” nakładają na wszystkie podmioty rynku finansowego szereg obowiązków, celem zapewnienia odporności operacyjnej w przypadku wystąpienia poważnych zakłóceń związanych z cyber-bezpieczeństwem oraz ICT (technologiami informacyjno-komunikacyjnymi).
Jednym z wymogów, które zaczną obowiązywać m.in. krajowe instytucje płatnicze oraz małe instytucje płatnicze, to ustanowienie kompleksowego programu testowania operacyjnej odporności cyfrowej. Testy wszystkich systemów i aplikacji ICT mają być przeprowadzane przez podmioty finansowe przynajmniej raz w roku (warunek nie dotyczy mikroprzedsiębiorstw) w zakresie:
-
- oceny podatności i skanowania pod tym kątem,
- analizy otwartego oprogramowania,
- oceny bezpieczeństwa sieci,
- fizycznych kontroli bezpieczeństwa,
- kwestionariuszy i rozwiązań w zakresie oprogramowania skanującego,
- przeglądu kodu źródłowego,
- testów scenariuszowych, testów kompatybilności, testów wydajności, testów kompleksowych i testów penetracyjnych.
Okresowy obowiązek przeprowadzania zaawansowanych testów za pomocą TLPT (ang. Threat-Led Penetration Testing )
Dodatkowy obowiązek, nałożony m.in. na KIP (z wyłączeniem małych instytucji płatniczych) dotyczy również przeprowadzania zaawansowanych testów penetracyjnych pod kątem wyszukiwania zagrożeń, nie rzadziej niż co 3 lata. Zakres TLPT jest definiowany przez sam podmiot finansowy, ale następnie podlega również zatwierdzeniu przez właściwy wyznaczony organ. Każdy test penetracyjny pod kątem wyszukiwania zagrożeń ma obejmować kilka krytycznych lub istotnych funkcji podmiotu finansowego i ma być przeprowadzany na działających systemach produkcyjnych wspierających takie funkcje. Wymaga odnotowania, że jeśli zakres TLPT obejmuje zewnętrznych dostawców usług ICT, podmiot finansowy ma obowiązek stosowania niezbędnych środków i zabezpieczeń w celu zapewnienia udziału tych zewnętrznych dostawców usług ICT w TLPT.
Po zakończeniu testów, uzgodnieniu sprawozdań i planów naprawczych, podmiot finansowy i testerzy zewnętrzni, z których usług korzystano przy przeprowadzaniu TLPT, przedstawiają wyznaczonemu organowi krajowemu w sektorze finansowym podsumowanie najbardziej istotnych ustaleń, plany naprawcze i dokumentację wykazującą, że TLPT przeprowadzono zgodnie z wymogami wskazanymi w DORA.
Wymogi dotyczące testerów na potrzeby przeprowadzania TLPT określone zostały w art. 27 Rozporządzenia DORA oraz w projektach regulacyjnych standardów technicznych (RTS) opracowywanych zgodnie z ramami TIBER–EU przez Europejskie Urzędy Nadzoru. Wyżej wskazane RTS mają zostać przedłożone Komisji UE do dnia 17 lipca 2024 r. i powstaną w celu doprecyzowania także m.in. wymogów dotyczących dokładnego zakresu TLPT, metodyki testowania i podejścia, które należy stosować na każdym konkretnym etapie procesu testowania oraz etapów testów odnoszących się do wyników, zamykania i środków naprawczych.