Penetration Testing v súlade s DORA: Čo potrebujú vedieť finančné subjekty v EÚ
Akt o digitálnej prevádzkovej odolnosti – DORA – predstavuje najvýznamnejší posun v regulácii kybernetickej bezpečnosti, aký kedy finančný sektor EÚ zažil. Jeho základom, priamo vedľa rámcov riadenia rizík IKT a povinností hlásenia incidentov, je súbor požiadaviek na testovanie, ktorý mení Penetration Testing z dobrovoľného cvičenia na zákonom prikázanú činnosť s definovanou frekvenciou, pravidlami rozsahu, kvalifikáciou testerov a dohľadom zo strany orgánov dohľadu.
Ak ste banka, poisťovňa, platobná inštitúcia, investičná spoločnosť alebo iný subjekt regulovaný podľa práva EÚ o finančných službách, toto sa vás týka. Ak ste systémovo dôležitý, situácia je ešte intenzívnejšia. A ak ste poskytovateľom IKT tretích strán, ktorý slúži týmto subjektom, ani vy sa tomu nevyhnete.
Táto príručka vás prevedie všetkým, čo potrebujete pochopiť: čo DORA vyžaduje, na koho sa vzťahuje, aký je rozdiel medzi štandardným ročným testovaním a pokročilým režimom Threat-Led Penetration Testing (TLPT) a ako vytvoriť program testovania, ktorý vás udrží v súlade bez toho, aby ste sa utopili v regulačnej zložitosti.
Čo je DORA a prečo existuje?
Akt o digitálnej prevádzkovej odolnosti (Nariadenie EÚ 2022/2554) bol prijatý Európskou radou v decembri 2022, nadobudol platnosť 16. januára 2023 a stal sa uplatniteľným 17. januára 2025. Na rozdiel od smernice, ktorá vyžaduje transpozíciu do vnútroštátneho práva, DORA je nariadenie – čo znamená, že je priamo uplatniteľné vo všetkých členských štátoch EÚ bez úprav.
DORA existuje, pretože finančný sektor EÚ mal problém s roztrieštenosťou. Predtým rôzne krajiny uplatňovali rôzne požiadavky na kybernetickú bezpečnosť svojich finančných inštitúcií. Niektoré mali robustné testovacie rámce (Holandsko malo TIBER-NL, Nemecko malo TIBER-DE), zatiaľ čo iné mali minimálne technické požiadavky. Cezhraničná banka mohla čeliť trom rôznym testovacím režimom v závislosti od toho, ktorá jurisdikcia sa na ňu pozerala.
Medzitým sa finančný sektor stával čoraz viac závislým od digitálnej infraštruktúry a poskytovateľov IKT tretích strán. Jeden výpadok cloudu alebo kybernetický útok sa mohol preniesť cez inštitúcie, hranice a trhy. DORA bola navrhnutá tak, aby vytvorila harmonizovaný rámec, ktorý zabezpečí, že každý finančný subjekt v EÚ bude schopný odolať, reagovať a zotaviť sa z narušení súvisiacich s IKT.
Nariadenie spočíva na piatich pilieroch: riadenie rizík IKT, riadenie incidentov súvisiacich s IKT a hlásenie, testovanie digitálnej prevádzkovej odolnosti, riadenie rizík IKT tretích strán a zdieľanie informácií. Penetration Testing spadá pod tretí pilier, ktorý je pokrytý v kapitole IV (články 24 až 27) nariadenia – a je to pilier s najostrejšími zubami pre každodenné bezpečnostné tímy.
Na koho sa vzťahuje?
DORA sa uplatňuje široko v celom finančnom sektore. Medzi subjekty, na ktoré sa vzťahujú jej požiadavky, patria úverové inštitúcie (banky), platobné inštitúcie, inštitúcie elektronických peňazí, investičné spoločnosti, poisťovne a zaisťovne, poskytovatelia služieb kryptoaktív podľa MiCA, centrálne depozitáre cenných papierov, obchodné miesta, registre obchodných transakcií, spoločnosti spravujúce fondy, ratingové agentúry a poskytovatelia služieb crowdfundingu, okrem iných.
V praxi: ak je vaša organizácia regulovaná podľa práva EÚ o finančných službách, takmer určite spadáte do rozsahu pôsobnosti DORA. Nariadenie zámerne rozširuje rozsah, aby sa zabezpečilo, že digitálna prevádzková odolnosť je v celom sektore konzistentná.
Existuje jedna výnimka, ktorú stojí za to spomenúť. Mikropodniky – definované ako subjekty s menej ako 10 zamestnancami a ročným obratom alebo bilančnou sumou pod 2 milióny EUR – čelia miernejšiemu režimu testovania. Stále musia uplatňovať prístup k testovaniu IKT založený na posúdení rizík, ale požiadavky sú proporcionálne upravené. Pre všetkých ostatných platia plné povinnosti testovania.
A čo je dôležité, dosah DORA sa rozširuje aj za hranice samotných finančných subjektov. Poskytovatelia služieb IKT tretích strán – cloudové platformy, SaaS dodávatelia, poskytovatelia riadených služieb, firmy zaoberajúce sa analýzou dát – spadajú pod rámec dohľadu DORA, najmä ak sa považujú za kritické pre stabilitu finančného sektora. Ak ste dodávateľom technológií, ktorý slúži finančným inštitúciám EÚ, povinnosti DORA vašich zákazníkov sa rýchlo stávajú vašim problémom.
Dve úrovne testovania DORA
DORA zavádza dvojúrovňový prístup k testovaniu odolnosti. Pochopenie tejto štruktúry je nevyhnutné, pretože požiadavky, frekvencia a zložitosť sa medzi úrovňami výrazne líšia.
| Rozmer | Úroveň 1: Štandardné testovanie | Úroveň 2: TLPT (pokročilé) |
|---|---|---|
| Kto | Všetky subjekty regulované DORA (okrem mikropodnikov) | Systémovo dôležité subjekty identifikované príslušnými orgánmi |
| Frekvencia | Aspoň raz ročne pre kritické/dôležité funkcie | Aspoň každé 3 roky (orgán môže upraviť) |
| Rozsah | Systémy IKT podporujúce kritické alebo dôležité funkcie | Kritické funkcie v živých produkčných systémoch, vrátane IKT tretích strán |
| Prístup | Hodnotenia zraniteľností, Penetration Testing, testy založené na scenároch a iné | Cvičenie červeného tímu riadené spravodajskými informáciami, ktoré napodobňuje skutočné hrozby |
| Povedomie modrého tímu | Zvyčajne si vedomý testovania | Nevie – testovanie sa vykonáva v tajnosti |
| Regulačný dohľad | Program testovania je zdokumentovaný a dostupný na požiadanie | Rozsah validovaný príslušným orgánom; po dokončení sa vydáva osvedčenie |
Úroveň 1: Ročné Penetration Testing podľa článkov 24 a 25
Základná požiadavka na testovanie sa vzťahuje na každý finančný subjekt regulovaný DORA, ktorý nie je mikropodnik. Článok 24 vyžaduje, aby finančné subjekty zaviedli, udržiavali a preskúmavali komplexný program testovania digitálnej prevádzkovej odolnosti ako súčasť svojho rámca riadenia rizík IKT.
Článok 24 ods. 6 je kritická klauzula: finančné subjekty musia zabezpečiť, aby sa príslušné testy vykonávali na všetkých systémoch a aplikáciách IKT, ktoré podporujú kritické alebo dôležité funkcie, aspoň raz ročne.
Článok 25 potom uvádza typy testov, ktoré by mal program testovania zahŕňať. Nariadenie nevyžaduje, aby každý subjekt vykonal každý typ testu – uplatňuje sa zásada proporcionality – ale príklady poskytujú jasný obraz o tom, čo regulačné orgány očakávajú. Patrí sem hodnotenie a skenovanie zraniteľností, analýzy otvoreného kódu, hodnotenia bezpečnosti siete, analýzy nedostatkov, preskúmania fyzickej bezpečnosti, preskúmania zdrojového kódu (ak je to uskutočniteľné), testy založené na scenároch, testovanie kompatibility, testovanie výkonnosti, komplexné testovanie a Penetration Testing.
Pre väčšinu finančných subjektov s významnou infraštruktúrou IKT bude Penetration Testing kľúčovou súčasťou ich ročného programu. Nariadenie je jasné: musíte preukázať, že vaše systémy dokážu odolať technikám útokov v reálnom svete, nielen to, že boli skenované na známe zraniteľnosti.
Čo znamenajú "Kritické alebo dôležité funkcie"
DORA definuje kritickú alebo dôležitú funkciu ako funkciu, ktorej narušenie by významne narušilo výkonnosť finančného subjektu, spoľahlivosť alebo kontinuitu jeho služieb alebo jeho neustále dodržiavanie regulačných povinností. V praxi to zahŕňa vaše základné obchodné operácie: spracovanie platieb, obchodné platformy, portály pre zákazníkov, systémy rozhodovania o úveroch, platformy pre poistné udalosti, infraštruktúru vyrovnania a back-end systémy, ktoré ich podporujú.
Identifikácia týchto funkcií je prvým krokom pri určení rozsahu vášho programu testovania. Ak systém podporuje kritickú alebo dôležitú funkciu – priamo alebo prostredníctvom závislostí – spadá do rozsahu ročného testovania.
Proporcionalita: Prispôsobenie testov vášmu rizikovému profilu
DORA výslovne uznáva, že nie každý finančný subjekt má rovnakú veľkosť alebo čelí rovnakému rizikovému profilu. Článok 4 ods. 2 stanovuje zásadu proporcionality: hĺbka a frekvencia vášho testovania by mali byť prispôsobené veľkosti a zložitosti vášho subjektu, celkovému rizikovému profilu, kritickosti testovaných systémov IKT, expozícii prostredníctvom outsourcingu alebo cloudových závislostí, podstatným zmenám vo vašej infraštruktúre IKT a závažnosti a výsledkom predchádzajúcich incidentov.
To znamená, že od malej fintech spoločnosti s úzko zameraným produktom a obmedzenou infraštruktúrou sa neočakáva, že sa bude rovnať testovaciemu programu G-SII (globálna systémovo dôležitá inštitúcia). To však tiež znamená, že nemôžete použiť proporcionalitu ako paušálnu výhovorku na vykonávanie minimálneho testovania. Zásada upravuje hĺbku testovania, nie povinnosť testovať.
Úroveň 2: Threat-Led Penetration Testing (TLPT) podľa článkov 26 a 27
Ak je štandardné ročné testovanie základom DORA, TLPT je pokročilá úroveň – a je to zásadne odlišná záležitosť.
TLPT je rozsiahle cvičenie červeného tímu riadené spravodajskými informáciami, ktoré sa vykonáva na živých produkčných systémoch, v tajnosti pred obrannými tímami organizácie, napodobňujúce taktiky, techniky a postupy, ktoré by skutočné hrozby použili proti subjektu. Nie je to skenovanie zraniteľností s honosným názvom. Je to kontrolovaný kybernetický útok navrhnutý na otestovanie toho, či vaša inštitúcia – jej technológia, jej procesy a jej ľudia – dokáže odolať a odhaliť sofistikovaný, cielený prienik.
TLPT je povinná len pre určité finančné subjekty identifikované ich príslušnými orgánmi na základe systémovej dôležitosti, rizikového profilu a vyspelosti IKT. Medzi subjekty, ktoré budú s najväčšou pravdepodobnosťou určené, patria globálne systémovo dôležité banky (G-SII) a iné systémovo dôležité inštitúcie (O-SII), najväčšie platobné inštitúcie (tie, ktoré spracúvajú celkovo viac ako 150 miliárd EUR v transakciách počas každého z predchádzajúcich dvoch rokov), veľké poisťovne a zaisťovne, centrálne protistrany a centrálne depozitáre cenných papierov a hlavné obchodné miesta.
Ak vás príslušný orgán určí pre TLPT, musíte vykonať pokročilé testovanie aspoň každé tri roky. Orgán môže tiež zvýšiť alebo znížiť túto frekvenciu na základe vášho rizikového profilu a prevádzkových okolností.
Ako TLPT funguje: Šesť fáz
Regulačné technické normy pre TLPT (Delegované nariadenie Komisie (EÚ) 2025/1190, uverejnené v júni 2025) definujú štruktúrovaný proces, ktorý zahŕňa niekoľko odlišných fáz.
Prípravná fáza začína, keď príslušný orgán (váš orgán TLPT) oznámi vášmu subjektu, že musí vykonať TLPT. Zostavíte kontrolný tím – malú, dôveryhodnú skupinu vo vašej organizácii, ktorá riadi test – a identifikujete kritické funkcie, ktoré sa majú testovať. Rozsah sa potom predloží orgánu TLPT na validáciu.
Fáza spravodajských informácií o hrozbách zahŕňa poskytovateľa spravodajských informácií o hrozbách, ktorý vypracuje cielenú správu spravodajských informácií o hrozbách špecifickú pre vašu inštitúciu. Táto správa analyzuje hrozby, ktoré s najväčšou pravdepodobnosťou zacielia na váš subjekt, ich známe taktiky a techniky a scenáre útokov, ktoré sú najrelevantnejšie pre váš obchodný model, technologický zásobník a geografickú polohu. Tieto spravodajské informácie riadia celý test – zabezpečujú, že odráža skutočné hrozby, nie všeobecné príručky útokov.
Fáza testovania červeným tímom je samotná realizácia. Červený tím – pracujúci so spravodajskými informáciami o hrozbách – vedie rozsiahlu ofenzívnu kampaň proti vašim živým produkčným systémom. Na rozdiel od štandardného pentestingu, test beží dlhší čas (zvyčajne tri až štyri mesiace), modrý tím (vaši obrancovia) nie je informovaný a cieľom je simulovať skutočnú pokročilú pretrvávajúcu hrozbu.
Fáza ukončenia zahŕňa povinné cvičenie fialového tímu, čo je kľúčový rozdiel oproti predchádzajúcemu rámcu TIBER-EU, kde sa cvičenie fialového tímu len odporúčalo. Počas cvičenia fialového tímu červený a modrý tím spolupracujú na prechode scenármi útokov, preskúmaní toho, čo bolo zistené a čo bolo zmeškané, a spoločne identifikujú zlepšenia. To zaisťuje, že test generuje učenie, nielen zistenia.
Nakoniec, fáza hlásenia a nápravy vytvára dokumentáciu, ktorá sa predkladá príslušnému orgánu na validáciu a osvedčenie. Orgán potvrdí, že TLPT bola vykonaná v súlade s požiadavkami DORA, a vydá formálne osvedčenie.
TLPT vs. Štandardné pentesting: Pochopenie rozdielu
Rozlišovanie medzi TLPT a štandardným Penetration Testing je jedným z najdôležitejších konceptov pre súlad s DORA a jedným z najčastejšie nepochopených.
Štandardný Penetration Testing zvyčajne cieli na špecifický systém alebo aplikáciu – webovú aplikáciu, API, sieťový segment. Beží jeden až tri týždne. Bezpečnostný tím vie, že sa to deje. Rozsah je vopred ohraničený a dohodnutý. Tester hľadá technické zraniteľnosti, pokúša sa ich využiť a vytvára správu so zisteniami a usmerneniami na nápravu. Je to technické posúdenie definovaného povrchu.
TLPT pokrýva celú organizáciu. Cieli na kritické obchodné funkcie – nie na špecifické systémy. Beží mesiace, nie týždne. Obranný tím je úplne nevedomý. Test je riadený spravodajskými informáciami o hrozbách na mieru, nie všeobecnou metodológiou. Testeri simulujú celý životný cyklus skutočného útoku: prieskum, počiatočný prístup, perzistencia, bočný pohyb, eskalácia privilégií a exfiltrácia údajov alebo prevádzkové narušenie. A testuje nielen technológiu, ale aj ľudí (dopadne personál do phishing?) a procesy (odhalí SOC prienik? Funguje plán reakcie na incidenty?).
Predstavte si to takto: pentest sa pýta "môže sa niekto vlámať do tejto miestnosti?" TLPT sa pýta "môže sa sofistikovaný protivník dostať do našej budovy, nájsť trezor, otvoriť ho, vziať si, čo chce, a odísť bez toho, aby si to niekto všimol?"
TLPT nie je väčší pentest. Je to zásadne odlišná činnosť – kontrolovaná simulácia skutočného kybernetického útoku riadená spravodajskými informáciami proti vašim živým operáciám. Ak váš poskytovateľ testovania prezentuje TLPT ako "rozšírený Penetration Testing," nájdite si iného poskytovateľa.
Poskytovatelia IKT tretích strán: Nie ste z toho vonku
Jednou z najvýznamnejších inovácií DORA je jej zaobchádzanie s rizikom IKT tretích strán ako so systémovým problémom, a nie ako s bilaterálnou zmluvnou záležitosťou. Ak ste poskytovateľom cloudu, SaaS dodávateľom, riadenou bezpečnostnou službou alebo inou technologickou spoločnosťou, ktorá slúži finančným inštitúciám EÚ, DORA sa vás dotýka niekoľkými dôležitými spôsobmi.
Po prvé, finančné subjekty musia zmluvne vyžadovať, aby sa ich poskytovatelia služieb IKT tretích strán zúčastňovali na TLPT a spolupracovali pri nej, keď sú títo poskytovatelia zahrnutí do rozsahu testu. Článok 30 ods. 3 písm. d) DORA to explicitne uvádza. Ak vaša cloudová platforma hostí infraštruktúru spracovania platieb banky a táto banka je určená pre TLPT, banka musí zabezpečiť vašu účasť na teste – a vy ju musíte uľahčiť.
Po druhé, poskytovatelia IKT, ktorí sa považujú za kritické pre stabilitu finančného sektora, budú určení ako kritickí poskytovatelia tretích strán (CTPP) Európskymi orgánmi dohľadu (ESA). Na CTPP sa vzťahuje priamy dohľad zo strany ESA, vrátane špecifických požiadaviek týkajúcich sa bezpečnostného testovania, riadenia rizík a prevádzkovej odolnosti. Prvá vlna označení CTPP sa očakáva v roku 2025, po posúdení kritickosti zo strany ESA.
Po tretie, aj keď nie ste určený ako CTPP, DORA sa rýchlo stáva filtrom obstarávania. Finančné subjekty, ktoré hodnotia dodávateľov technológií, budú čoraz viac vyžadovať dôkazy o robustných programoch bezpečnostného testovania, schopnosť podporovať simulácie vedené klientmi a pripravenosť na spoločné prevádzkové testovanie. Nedodržiavanie nebude znamenať len regulačné riziko – bude to znamenať stratu prístupu k európskym finančným klientom.
Ak slúžite finančným subjektom regulovaným EÚ, praktická rada je jednoduchá: pripravte sa na podporu požiadaviek na testovanie DORA vašich klientov, ponúknite izolované testovacie prostredia, ak je to vhodné, a buďte pripravení preukázať svoju vlastnú prevádzkovú odolnosť prostredníctvom zdokumentovaných programov testovania.
Kto môže vykonávať testovanie?
DORA stanovuje špecifické kvalifikačné požiadavky pre testerov, najmä pre TLPT.
Štandardné testovanie (články 24 – 25)
Pre ročný program testovania DORA umožňuje, aby sa testovanie vykonávalo nezávislými internými tímami alebo kvalifikovanými externými poskytovateľmi. Kľúčovou požiadavkou je nezávislosť – testeri nesmú mať žiadne konflikty záujmov a nesmú mať žiadny osobný záujem na výsledkoch. Ak používate interných testerov, vyžaduje sa primerané organizačné oddelenie.
Nariadenie neukladá špecifické certifikácie pre štandardné testovanie, ale vyžaduje, aby testeri mali potrebné zručnosti a odborné znalosti. V praxi príslušné orgány očakávajú, že testeri budú mať uznávané odborné kvalifikácie a preukázateľné skúsenosti v typoch vykonávaného testovania.
TLPT (články 26 – 27)
Pre TLPT sú požiadavky podstatne prísnejšie. Nariadenie vyžaduje, aby testeri boli najvhodnejší a najrenomovanejší, mali technické a organizačné schopnosti so špecifickými odbornými znalosťami v oblasti spravodajských informácií o hrozbách, Penetration Testing alebo testovania červeným tímom, boli certifikovaní akreditačným orgánom v členskom štáte alebo dodržiavali formálne kódexy správania alebo etické rámce a pre externých testerov, mali poistenie profesijnej zodpovednosti za škodu proti rizikám pochybenia.
Významný rozdiel: DORA umožňuje interným testerom vykonávať červený tímový komponent TLPT, ale s dvoma kritickými obmedzeniami. Spravodajské informácie o hrozbách musí vždy poskytovať externá strana a každá tretia TLPT musí byť vykonaná externým poskytovateľom červeného tímu. V praxi to znamená, že aj keď si vybudujete internú schopnosť červeného tímu, budete potrebovať externých testerov aspoň pre jeden z každých troch cyklov TLPT.
Náprava, hlásenie a osvedčenie
DORA nepovažuje testovanie za samostatnú činnosť – je súčasťou nepretržitého cyklu zlepšovania. Nariadenie vyžaduje, aby finančné subjekty zaviedli postupy a politiky na stanovenie priorít, klasifikáciu a nápravu všetkých problémov odhalených testovaním a aby sa zabezpečilo, že všetky zistené zraniteľnosti a nedostatky budú plne odstránené.
Pre štandardné ročné testovanie sa očakáva, že váš program testovania generuje zdokumentované zistenia, tieto zistenia sú triážované podľa závažnosti, náprava je sledovaná a dokončená a výsledky sa vracajú do vášho rámca riadenia rizík IKT. Vaša dokumentácia musí byť na požiadanie k dispozícii príslušným orgánom.
Pre TLPT sú požiadavky formálnejšie. Po skončení testu – vrátane povinného cvičenia fialového tímu – finančný subjekt a externí testeri poskytnú príslušnému orgánu dokumentáciu potvrdzujúcu, že TLPT bola vykonaná v súlade s požiadavkami DORA. Príslušný orgán validuje túto dokumentáciu a vydá osvedčenie. Toto osvedčenie sa potom môže zdieľať s inými príslušnými orgánmi, aby sa umožnilo vzájomné uznávanie, čím sa zníži potreba duplicitného testovania v rôznych jurisdikciách.
Mechanizmus vzájomného uznávania je jednou z najpraktickejších inovácií DORA. Ak ste cezhraničná inštitúcia pôsobiaca vo viacerých členských štátoch EÚ, jedno osvedčenie TLPT môže splniť požiadavky dohľadu v rôznych jurisdikciách – čo je významné zlepšenie oproti prostrediu pred DORA, kde si samostatné vnútroštátne rámce testovania vyžadovali samostatné testy.
Kľúčové časové osi
Na časovej osi záleží strategicky. Ak ste kandidátom na označenie TLPT, prvé oznámenia sa očakávajú v roku 2026. Šesťmesačné okno od oznámenia po predloženie rozsahu je pre organizácie, ktoré si nevytvorili základy, krátke. Začnite mapovanie funkcií, identifikujte vedúceho kontrolného tímu a vyhodnoťte svoje možnosti poskytovateľa predtým, ako dostanete list.
Budovanie vášho programu testovania DORA
Či už ste stredne veľká platobná inštitúcia, ktorá buduje program testovania od nuly, alebo G-SII, ktorá zosúlaďuje existujúci program s požiadavkami DORA, tu je praktický rámec.
Krok 1: Zmapujte si svoje kritické a dôležité funkcie
Skôr ako môžete čokoľvek testovať, musíte vedieť, na čom záleží. Identifikujte všetky funkcie, ktorých narušenie by významne narušilo výkonnosť vášho subjektu, kontinuitu služieb alebo súlad s regulačnými predpismi. Potom zmapujte systémy IKT, aplikácie a závislosti tretích strán, ktoré podporujú každú funkciu. Toto mapovanie sa stáva základom vášho rozsahu testovania a priamo napája váš rámec riadenia rizík IKT.
Krok 2: Zaveďte program testovania založený na posúdení rizík
Navrhnite program testovania, ktorý pokrýva všetky systémy IKT podporujúce kritické alebo dôležité funkcie, zahŕňa typy testovania uvedené v článku 25 (prispôsobené vášmu profilu proporcionality), funguje aspoň v ročnom cykle a prispôsobuje sa na základe podstatných zmien vo vašej infraštruktúre, výsledkov predchádzajúcich testov a vyvíjajúcich sa spravodajských informácií o hrozbách.
Formálne zdokumentujte program. DORA vyžaduje, aby bol váš program testovania zdokumentovaný, preskúmaný a udržiavaný ako súčasť vášho rámca riadenia rizík IKT. Táto dokumentácia musí byť na požiadanie k dispozícii vášmu príslušnému orgánu.
Krok 3: Zapojte kvalifikovaných poskytovateľov testovania
Pre väčšinu subjektov zabezpečia externí poskytovatelia Penetration Testing ročný komponent testovania. Vyberte si poskytovateľov, ktorí preukázali skúsenosti vo finančnom sektore, rozumejú špecifickým požiadavkám DORA a dokážu vytvoriť správy, ktoré spĺňajú regulačné očakávania. Zabezpečte, aby zmluvy o zapojení riešili požiadavky na nezávislosť, povinnosti dôvernosti a proces zosúladenia rozsahu.
Ak ste kandidátom na TLPT, budete tiež musieť identifikovať poskytovateľov spravodajských informácií o hrozbách a poskytovateľov červeného tímu, ktorí spĺňajú prísne kvalifikácie uvedené v článku 27 a TLPT RTS. Začnite s týmto hodnotením včas – množstvo kvalifikovaných poskytovateľov TLPT je menšie ako vše