Ce s-a schimbat și de ce este important?

Amenințările cibernetice evoluează constant, iar instituțiile financiare au nevoie de măsuri de apărare mai solide pentru a ține pasul. Pentru a răspunde acestor provocări, Banca Centrală Europeană (BCE) a actualizat substanțial cadrul TIBER-EU, aliniindu-l cu Regulamentul privind Reziliența Operațională Digitală (DORA).

Începând cu 17 ianuarie 2025, instituțiile financiare — cu excepția microîntreprinderilor și a instituțiilor menționate la articolul 16(1) din DORA* — trebuie să respecte noile reguli stricte privind Testele de Penetrare bazate pe Amenințări (TLPT), impuse de noul regulament privind reziliența operațională. Cadrul TIBER-EU, care era anterior un ghid voluntar, devine acum metoda oficială pentru îndeplinirea cerințelor legale DORA privind testarea rezilienței cibernetice.

Care este schimbarea majoră?

Testele TIBER-EU erau opționale, ceea ce însemna că instituțiile financiare puteau alege dacă să participe sau nu. Acest lucru se schimbă odată cu intrarea în vigoare și aplicarea DORA, începând cu 17 ianuarie 2025.

Începând din ianuarie 2025, instituțiile financiare vizate trebuie să efectueze un Test de Penetrare bazate pe Amenințări (TLPT) cel puțin o dată la trei ani. Această cerință asigură evaluarea periodică a capacității acestor instituții de a rezista atacurilor cibernetice reale, urmând o abordare standardizată la nivelul Uniunii Europene.

Aceasta înseamnă că instituțiile financiare trebuie acum să aloce buget, să planifice și să se pregătească pentru exerciții TLPT regulate, ca parte a obligațiilor lor de conformitate.

Principalele schimbări în TIBER-EU 2025

Aliniere completă cu DORA

Cadrul este acum pe deplin aliniat cu cerințele DORA privind TLPT, sporind reziliența cibernetică a instituțiilor financiare din UE.

Termeni cheie au fost actualizați pentru consistență: „White Team” devine „Control Team”, asigurând un limbaj comun între instituții, autorități și furnizori. Ghidaj detaliat pentru realizarea TLPT în mod calitativ, controlat și sigur, cu o abordare uniformă la nivelul UE.

Reguli mai stricte pentru selectarea furnizorilor de servicii

Testarea rezilienței cibernetice se bazează pe Furnizori de Informații despre Amenințări (TIP – Threat Intelligence Providers) și Testeri Red Team (RTT – Red Team Testers) pentru a simula atacuri reale. Conform TIBER-EU 2025, instituțiile financiare vizate trebuie să respecte cerințe mai stricte atunci când selectează acești furnizori de servicii.

Noile Ghiduri pentru Achiziția Furnizorilor de Servicii impun instituțiilor financiare să:

• Aleagă furnizori cu expertiză dovedită în intelligence privind amenințările cibernetice și red teaming

• Se asigure că echipele de testare au experiență în lucrul cu infrastructura sectorului financiar

• Urmeze standarde clare de verificare și achiziție pentru a evita conflictele de interese

Nu toate firmele de securitate cibernetică vor fi eligibile pentru testarea TIBER-EU. Instituțiile financiare trebuie să fie mai selective atunci când aleg furnizorii de servicii Red Team și de informații despre amenințări cibernetice.

DORA permite instituțiilor financiare să utilizeze testeri interni pentru anumite teste TLPT, însă TIBER-EU 2025 impune obligația ca instituțiile să colaboreze cu testeri externi cel puțin o dată la trei ani.

În circumstanțe excepționale, și doar cu aprobarea prealabilă a Managerului de Test (TM), pot fi utilizați testeri Red Team interni pentru un test TIBER-EU. În aceste cazuri, testerii interni trebuie să respecte aceleași standarde și cerințe ca și membrii Red Team externi.

Testerii externi aduc o perspectivă nouă și obiectivă în testarea de penetrare. Această regulă asigură că instituțiile nu devin complacente și nu se bazează excesiv pe presupunerile interne.

Testare multi-partită / transfrontalieră

Anterior, instituțiile financiare care activau în mai multe țări trebuiau să efectueze teste TLPT separate în fiecare jurisdicție. Acest lucru era costisitor, consumator de timp și adesea repetitiv.

Conform TIBER-EU 2025, firmele financiare pot acum să realizeze teste TLPT comune sau consolidate dacă împart:

• furnizori critici de servicii TIC

• infrastructură comună în mai multe jurisdicții

Cadrul actualizat introduce prevederi pentru testarea multi-partită. Această abordare permite entităților care împart infrastructuri sau servicii comune să efectueze teste comune, sporind eficiența și cuprinderea.

Aceasta înseamnă că instituțiile care operează în mai multe țări nu mai trebuie să dubleze eforturile de testare, economisind timp și resurse, menținând în același timp conformitatea.

Dacă instituția dumneavoastră activează în mai multe țări din UE, este posibil să puteți simplifica procesul TLPT colaborând cu autoritățile de reglementare pentru a realiza un singur test unificat.

Purple teaming devine acum o etapă obligatorie

În mod tradițional, testele de penetrare au urmat modelul Red Team vs. Blue Team. Echipa Red Team („atacatorii”) încerca să compromită organizația, în timp ce echipa Blue Team („apărătorii”) lucra pentru a opri atacul, fără să știe că acesta are loc.

În TIBER-EU 2025, Purple Teaming devine o fază obligatorie a TLPT. Aceasta înseamnă că, după finalizarea unui test Red Team, echipele Red Team și Blue Team trebuie să colaboreze pentru a analiza atacul și a îmbunătăți detecția și răspunsul.

În loc să evidențieze doar punctele slabe, instituțiile financiare își vor consolida activ apărarea, înțelegând în timp real modul în care se desfășoară atacurile.

Ghiduri naționale de implementare

Anterior, statele membre ale UE trebuiau să elaboreze și să publice ghiduri naționale complete de implementare pentru adoptarea TIBER-EU. Acum, în cadrul TIBER-EU 2025, jurisdicțiile pot face pur și simplu referire la documentația TIBER-EU ca ghid propriu de implementare atunci când publică documentul național de implementare, care trebuie să includă cerințele minime. Acest lucru va accelera și uniformiza procesul de adoptare în întreaga Uniune Europeană, reducând întârzierile și sarcinile administrative.

Ce înseamnă acest lucru pentru entitățile vizate

Dacă instituția dumneavoastră se încadrează în definiția DORA privind instituțiile financiare care trebuie să efectueze testări avansate, aceste schimbări implică următoarele obligații:

Dacă instituția dumneavoastră se încadrează în definiția DORA privind instituțiile financiare care trebuie să efectueze testări avansate, aceste schimbări implică următoarele obligații:

• Înțelegeți noile cerințe – Dacă entitatea nu a realizat anterior un TLPT, acum este momentul să vă informați despre ce presupune acest proces și cum trebuie implementat.

• Planificați testarea externă – Asigurați-vă că aveți bugetul și strategia necesare pentru a colabora cu testeri externi aprobați cel puțin o dată la trei ani.

• Instruiți echipele interne pentru purple teaming – Noul proces presupune colaborarea între echipele red team și blue team, astfel încât echipele de securitate trebuie instruite corespunzător.

• Reevaluați furnizorii de servicii – Noul cadru impune standarde mai ridicate pentru furnizorii de intelligence și red team, deci instituțiile trebuie să-și verifice cu atenție partenerii.

• Colaborați din timp cu autoritățile de reglementare – Dacă firma operează în mai multe jurisdicții, lucrați împreună cu autoritățile pentru a vedea dacă este posibilă realizarea unui test TLPT consolidat.

Obligațiile de conformitate au început la 17 ianuarie 2025.

Noul cadru TIBER-EU 2025 nu este doar despre conformitate – este despre creșterea rezilienței instituțiilor financiare în fața amenințărilor cibernetice.

Prin pregătire din timp, instituțiile financiare nu doar că vor respecta noile cerințe, ci își vor îmbunătăți semnificativ capacitatea de a detecta, răspunde și recupera în urma atacurilor cibernetice.

Nota:

* „societăți de investiții mici și neinterconectate, instituții de plată exceptate conform Directivei (UE) 2015/2366; instituții exceptate conform Directivei 2013/36/UE pentru care statele membre au decis să nu aplice opțiunea prevăzută la articolul 2 alineatul (4) din prezentul regulament; instituții de monedă electronică exceptate conform Directivei 2009/110/CE; și instituții mici pentru furnizarea de pensii ocupaționale.”