Pubblicato in Gazzetta Ufficiale dell’Unione europea, Serie L, del 18 giungo 2025, il Regolamento (UE) 2025/1190 del 13 febbraio 2025, che integra il Regolamento DORA con le norme tecniche di regolamentazione sul processo e la struttura dei test di penetrazione guidati dalla minaccia (threat-led penetration testing, TLPT).
In particolare, il Regolamento delegato specifica:
- i criteri utilizzati per identificare le entità finanziarie che hanno l’obbligo di svolgere test di penetrazione guidati dalla minaccia: in considerazione della complessità del TLPT e dei rischi connessi, l’uso di tali test dovrebbe essere limitato alle entità finanziarie per le quali è giustificato; le autorità responsabili delle questioni relative ai TLPT (autorità competenti per i TLPT, a livello dell’Unione o nazionale) dovrebbero quindi escludere dall’ambito di applicazione dei TLPT le entità finanziarie che operano in sottosettori chiave dei servizi finanziari per i quali un TLPT non è giustificato
- i requisiti e le norme che disciplinano il ricorso a soggetti incaricati dello svolgimento dei test interni: i responsabili dei test dovrebbero disporre delle competenze e delle capacità necessarie per fornire consulenza e per contestare le proposte dei soggetti incaricati dello svolgimento dei test
- i requisiti concernenti l’ambito, l’approccio e la metodologia da seguire per i test in ciascuna fase dei test, nonché sui risultati, la chiusura e le fasi correttive: per rispecchiare il quadro di riferimento TIBER-EU, è necessario che la metodologia da seguire per i test preveda il coinvolgimento dell’entità finanziaria, con un team di controllo e un blue team, e l’autorità competente per il TLPT, sotto forma di un team informatico TLPT, un soggetto che fornisce analisi delle minacce e soggetti incaricati dello svolgimento dei test; i team informatici TLPT, poi:
- dovrebbero disporre di responsabili dei test incaricati della supervisione dei singoli TLPT, nonché della pianificazione e del coordinamento dei singoli test
- dovrebbero fungere da punto di contatto unico per la comunicazione relativa ai test ai portatori di interessi interni ed esterni, per la raccolta e il trattamento dei riscontri e degli insegnamenti tratti dai test condotti in precedenza e per il sostegno alle entità finanziarie sottoposte a TLP
- il tipo di cooperazione di vigilanza e altri tipi di cooperazione pertinenti necessari per svolgere i TLPT e per la facilitazione del riconoscimento reciproco: l’autorità competente per il TLPT deve seguire da vicino il test in ciascuna delle sue fasi; in considerazione della natura del test e dei rischi ad esso associati, deve in particolare essere coinvolta in ciascuna fase specifica del test; in particolare dovrebbe convalidare le valutazioni o le decisioni delle entità finanziarie che possono, da un lato, influenzare l’efficacia del test e, dall’altro, avere un impatto sui rischi associati al test.
