Ein behoerdlich begleiteter, intelligenz-gesteuerter Penetrationstest, den DORA fuer signifikante Finanzunternehmen alle drei Jahre fordert. TLPT folgt dem TIBER-EU-Framework und ist deutlich intensiver als ein klassischer Pentest.

DORA Art. 26 fuehrt TLPT als verpflichtende Pruefung fuer als signifikant eingestufte Finanzunternehmen ein. Der Test wird durch eine Threat-Intelligence-Phase eingeleitet und in einer Red-Team-Phase ausgefuehrt, jeweils gegen produktive Systeme.

Das Framework basiert auf TIBER-EU der EZB, mit nationalen Aufsichtsbehoerden als Co-Aufseher. TLPT-Anbieter muessen registrierte Pentester sein; die Threat-Intelligence-Komponente kann separat beauftragt werden.

Vorbereitungs-relevant: TLPT-Schwellenwerte greifen nur fuer signifikante Entitaeten. Mid-Market-Banken und kleinere Wertpapierdienstleister sind in der Regel nicht TLPT-pflichtig, brauchen aber dennoch das Resilienz-Test-Programm nach Art. 24-25.

TLPT (Threat-Led Penetration Testing)

Related terms