Con l’avvicinarsi delle prime scadenze applicative del Regolamento DORA, pubblichiamo il secondo numero del nostro mensile sulla finanza digitale, dedicato ai Threat-Led Penetration Test (TLPT), uno degli strumenti chiave per rafforzare la resilienza operativa nel settore finanziario
Il Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), ha introdotto un quadro normativo armonizzato che impone alle entità finanziarie obblighi stringenti in materia di gestione dei rischi informatici e di segnalazione degli incidenti legati alle TIC. Tra le misure più rilevanti figura l’art. 26, che prevede l’obbligo di sottoporre le funzioni essenziali o importanti a test avanzati di cybersicurezza guidati dalla minaccia, i Threat-Led Penetration Test (TLPT).
Questi test, disciplinati dalle norme tecniche di regolamentazione (RTS), mirano a valutare la capacità delle entità di prevenire, individuare e ripristinare le operazioni in caso di attacchi complessi. La loro esecuzione richiede competenze specialistiche, pianificazione accurata e il coinvolgimento di soggetti qualificati, con una frequenza almeno triennale, modulabile dalle autorità competenti in base al profilo di rischio.
Scarica il paper completo per approfondire il quadro normativo, le fasi operative dei TLPT e le principali criticità legate al coinvolgimento dei fornitori terzi di servizi TIC.
