Regulamentul european DORA (Digital Operational Resilience Act) impune instituțiilor financiare obligația de a realiza teste riguroase pentru a verifica reziliența operațională digitală. Pentru a sprijini o implementare coerentă și uniformă a acestor testări, Banca Centrală Europeană (BCE) a lansat recent ghidul intitulat „How to implement the TIBER-EU Framework for the DORA TLPT of significant institutions”. Acest document explică în detaliu modul în care cadrul TIBER-EU (Threat Intelligence-based Ethical Red Teaming) trebuie aplicat pentru respectarea cerințelor DORA.

Ce prevede ghidul BCE privind testările TLPT

Ghidul Băncii Centrale Europene stabilește faptul că metodologia TIBER-EU este standardul oficial pentru realizarea testărilor de tip Threat-Led Penetration Testing (TLPT). Această abordare oferă o simulare foarte realistă a unor atacuri cibernetice avansate, bazată pe informații actualizate privind amenințările cibernetice și pe scenarii sofisticate desfășurate de echipe de tip „red team”.

În document sunt clar definite criteriile de selecție pentru instituțiile semnificative care se încadrează în obligația de testare, precum și rolurile fiecărui actor implicat în proces: autoritatea de supraveghere TLPT (BCE), managerul testului, echipa de control, furnizorul de informații privind amenințările (Threat Intelligence Provider – TIP) și testerii „red team” (RTT).

Procesul de testare este structurat în trei etape principale:

1. Pregătirea – identificarea funcțiilor esențiale, evaluarea riscurilor și dezvoltarea scenariilor de atac.
2. Testarea efectivă – simularea atacurilor asupra infrastructurilor live pentru a evalua reacția sistemului.
3. Închiderea – analizarea detaliată a rezultatelor, realizarea exercițiilor de „replay/purple teaming” și formularea recomandărilor pentru remediere.

BCE pune accent deosebit pe menținerea confidențialității, pe separarea clară a echipelor implicate și pe o gestionare atentă a riscurilor, asigurând un nivel ridicat de realism și siguranță pe întreaga durată a testării.

În final, acest ghid reprezintă un pas crucial pentru armonizarea modului în care testările TLPT sunt realizate în întreaga zona euro, garantând astfel consistență, securitate și o orientare clară spre obținerea unor rezultate concrete în ceea ce privește reziliența operațională.

De ce sunt esențiale testările Threat-Led Penetration Testing în sectorul financiar

Testele TLPT depășesc rolul lor tehnic, reprezentând o simulare autentică a unui atac cibernetic avansat îndreptat spre serviciile critice ale instituției financiare. Scopul este să se evalueze în ce măsură sistemele pot identifica rapid, întârzia și preveni amenințările sofisticate.

Mai mult decât atât, aceste teste oferă o imagine clară asupra maturității proceselor interne, a modului de colaborare dintre echipele de securitate și cele operaționale, precum și asupra nivelului de reziliență reală a unor funcții esențiale precum procesarea plăților, serviciile de carduri, mobile banking-ul, infrastructura SWIFT sau sistemele informatice bancare de bază.

Rezultatul acestor exerciții nu este un simplu raport tehnic, ci un plan concret de acțiuni pentru consolidarea securității și asigurarea continuității afacerii în fața amenințărilor cibernetice.

Ce trebuie să ia în calcul instituțiile financiare pentru implementarea testărilor TLPT

Aplicarea cerințelor DORA prin testarea TLPT conform metodologiei TIBER-EU presupune o serie de provocări. În primul rând, este necesară o expertiză multidisciplinară solidă, care să acopere atât aspectele tehnice cât și cele organizaționale și de reglementare.

De aceea, instituțiile financiare trebuie să se bazeze pe echipe specializate, cu experiență relevantă în proiecte complexe desfășurate anterior în bănci centrale, instituții sistemice și operatori de infrastructură critică. Este esențială cunoașterea aprofundată a reglementărilor europene referitoare la securitatea cibernetică, precum DORA, NIS2 și cadrul TIBER-EU.

Pe de altă parte, capacitatea operațională trebuie să acopere întregul ciclu al testării, de la identificarea funcțiilor critice, executarea scenariilor de atac complexe, coordonarea eficientă a echipelor implicate, până la analiza rezultatelor și elaborarea planurilor de remediere aplicabile.

Prin urmare, succesul implementării acestui tip de testare depinde mult de pregătirea și maturitatea organizațională a instituțiilor, care trebuie să înțeleagă nu doar cerințele tehnice, ci și importanța strategică a consolidării rezilienței digitale.

---

Material realizat de Andrei Ionescu, Partener, Consulting Market Leader și Central Europe Cyber Leader, și Dragoș Ionică, Senior Manager Securitate cibernetică, Deloitte România.