EZB-Leitfaden stärkt Banken gegen digitale Risiken

Der Digital Operational Resilience Act (DORA) verpflichtet identifizierte Finanzinstitute, mindestens alle drei Jahre fortgeschrittene operationelle Resilienztests mittels Bedrohungsgesteuerter Penetrationstests (TLPT) durchzuführen.

Die Europäische Zentralbank (EZB) fungiert als zuständige und TLPT-Behörde für signifikante Institute (SIs) und ist somit für die Operationalisierung der TLPT verantwortlich.

Um SIs bei der Erfüllung der DORA-TLPT-Anforderungen zu unterstützen, hat die EZB das Rahmenwerk für Threat Intelligence-based Ethical Red Teaming (TIBER-EU) übernommen.

Dieses Rahmenwerk ermöglicht europäischen und nationalen Behörden die Durchführung von TLPTs, um die Widerstandsfähigkeit von Finanzinstituten gegenüber komplexen Cyberangriffen weiter zu stärken.

Der vorliegende Leitfaden beschreibt, wie die EZB das TIBER-EU-Rahmenwerk für die TLPT von SIs gemäß DORA anwendet und implementiert.

Dabei ist zu beachten, dass nur die Anforderungen von DORA und den begleitenden Regulierungsstandards (RTS) rechtlich bindend sind und Vorrang vor dem TIBER-EU-Rahmenwerk haben.

TIBER-EU ist ein von der EZB etabliertes, gemeinsames Rahmenwerk in der EU für kontrollierte, nachrichtendienstlich geführte Red-Team-Tests.

Es harmonisiert die Praktiken und gewährleistet so eine hohe Qualität sowie EU-weite Akzeptanz.

Der Digital Operational Resilience Act (DORA), seit Januar 2025 anwendbar, verpflichtet Finanzinstitute zu Bedrohungsgesteuerten Penetrationstests (TLPT).

Die im Juni 2025 erlassenen Regulierungsstandards (RTS) für TLPT, basierend auf DORA, schreiben diese Tests für systemrelevante Banken vor.

Um Fragmentierung zu vermeiden, wurden die RTS „im Einklang mit dem TIBER-EU-Rahmenwerk“ entworfen.

Während DORA und die RTS die rechtlichen Anforderungen („Was“) definieren, erklärt TIBER-EU detailliert das „Wie“ der Durchführung.