TLTP a TIBER (Threat-Led Penetration Testing)

TLPT - Threat-Led Penetration Testing je jedním z pilířů nově nastupující DORA regulace a znamená penetrační testování na základě hrozeb. Je určen pro nejvýznamnější evropské finanční instituce, u nichž by úspěšný kybernetický útok znamenal významné riziko ohrožení stability finanční trhu EU.

Penetrační testování na základě hrozeb definuje nařízení DORA jako „rámec napodobující taktiku, techniky a postupy skutečných aktérů hrozeb vnímaných jako skutečné kybernetické hrozby, který poskytuje řízené, individualizované a na operativních informacích založené (metoda „červeného týmu“) testování kritických systémů finančního subjektu za provozu“.

TLPT je kompatibilní s evropským rámcem TIBER-EU. Ten byl vytvořen pod záštitou Evropské centrální banky (ECB) jako evropský standard pro pokročilé testování kybernetické odolnosti a upravuje postupy a spolupráci příslušných dohledových orgánů, testovaných finančních subjektů, dodavatelů zajišťujících penetrační testování a poskytovatelů zpravodajských informací o hrozbách při testování kybernetické odolnosti. ČNB k tomuto rámci přistoupila v září 2024.

Legislativa TLTP a TIBER

• Standard TIBER-EU (externí odkaz)
• Implementační průvodce TIBER-CZ  (pdf, 373 kB)
  (2025 březen – TCT ČNB vytvořil a schválil Implementačního průvodce standardu TIBER-EU ve finančním trhu ČR. Dokument obsahuje základní informace o implementaci.)

Aktuality a edukační materiály k tématu TLPT a TIBER

• 25.3.2025 - ČBA ve spolupráci s ČNB zorganizovala již druhý seminář na téma TLPT a TIBER-EU. Na semináři vystoupili experti ČNB představující tzv. TLPT autoritu a testovací manažery. Akce byla opět určena pouze pro vybrané finanční instituce, u kterých lze předběžně předpokládat povinnost realizovat TLPT. Účelem semináře byla, kromě sdělení aktuálního vývoje na evropské úrovni, především příprava na nejbližší kroky v této oblasti, komunikace plánu činností v této oblasti na rok 2025 a diskuze za účelem ladění očekávání. Další informace můžete nalézt na linkedin.com ČBA (externí odkaz).
• 26. 2. 2025 – ECB Tiber Knowledge Center (TKC) zveřejnil novou verzi standardu TIBER-EU. Jeho hlavní změnou je sladění standardu TIBER-EU s požadavky TLPT – DORA.

• 22.10.2024 – ČBA ve spolupráci s ČNB zorganizovala seminář na téma pokročilého penetračního testování na základě hrozeb (TLPT) a TIBER-EU. Akce byla určena pouze pro finanční instituce, u kterých byl v návaznosti na aktuální znění připravovaných RTS k DORA týkajících se TLPT identifikován předpoklad, že by na ně měla v budoucnosti dopadnout povinnost TLPT realizovat. Seminář obsahoval obecný přehled požadavků k TLPT vyplývajících z DORA i připravovaných provádějících právních předpisů, se zdůrazněním provazeb na rámec TIBER-EU, ke kterému ČNB v roce 2024 přistoupila. ČNB rovněž představila svůj přístup a svá očekávání k provádění TLPT v ČR.