Datacentrum met veel bedrading

Begeleiding cyberweerbaarheidstesten door DNB

Lees voor

De Nederlandsche Bank (DNB) zet zich in voor een schokbestendig financieel systeem. Het Test Cyber Team van DNB (TCT-DNB) draagt daaraan bij door het leveren van strategische cyberintelligence, het beschikbaar stellen van hoogwaardige testraamwerken en het begeleiden van cyberweerbaarheidstesten bij financiële instellingen in Nederland en Europa.

Historie en toekomst

DNB introduceerde in 2016 het TIBER-NL-raamwerk als een pioniersproject voor het testen van cyberweerbaarheid in de financiële sector. Door de bewezen effectiviteit werd TIBER-NL in 2018 door de ECB overgenomen als de basis voor het Europese TIBER-EU Framework. Met de introductie van het ART-raamwerk door DNB in 2024 en de in werking treding van de Digital Operational Resilience Act (DORA) in 2025, wordt het testen van cyberweerbaarheid in de financiële sector verder vormgegeven. 

Wat doet het TCT-DNB?

Cyberweerbaarheidstesten worden aan de hand van verschillende raamwerken uitgevoerd en zijn gebaseerd op realistische dreigingsscenario’s die voor een specifieke financiële instelling gelden. Het Test Cyberteam van DNB (TCT-DNB) stelt hiervoor een Generic Threat Landscape (GTL) op. Vervolgens begeleidt TCT-DNB deze testen en bewaakt of de processtappen, de op te leveren producten en het kwaliteitsniveau van de testuitvoering voldoen aan de gestelde eisen in het raamwerk. Wanneer dat het geval is ontvangt de financiële instelling van TCT-DNB daarvan een formele bevestiging, de zogenaamde ‘attestatie’. Daarmee kan worden aangetoond dat de uitvoering van de test aan de gestelde kwaliteitseisen heeft voldaan.

TCT-DNB heeft een brede testervaring opgebouwd waarmee zij de financiële instelling ondersteunt bij het uitvoeren van de test. Daarnaast faciliteert TCT-DNB de Resilience Testing Community waarbinnen de aangesloten financiële instellingen hun leerervaringen delen en gezamenlijk specifieke activiteiten ontplooien om de weerbaarheid te vergroten. Daardoor kan de cyberweerbaarheid van de financiële sector in zijn geheel vergroot worden.

De testraamwerken

Met het in werking treden van de Europese wetgeving (DORA) is vanaf 2025 - naast het eerdere vrijwillige karakter – in een aantal gevallen ook sprake van een testverplichting, de zogenaamde Threat Led Penetration Test. Die verloopt via een vastgesteld testproces. Aanvullend kan de behoefte bestaan om de omvang en inhoud van de cyberweerbaarheidstesten meer op maat te maken voor de bedrijfsprocessen, de ICT-infrastructuur en cyberweerbaarheidsmaatregelen van de financiële instelling. TCT-DNB biedt daarom begeleiding van cyberweerbaarheidstesten aan in drie varianten:

1. Threat Led Penetration Testing (TLPT)

Threat-Led Penetration Testing (TLPT) wordt uitgevoerd volgens het TIBER-EU-raamwerk. Wanneer een financiële instelling aan de criteria in de Digital Operational Resilience Act (DORA) voldoet, is zij verplicht om deze vorm van testen uit te voeren. In een TLPT worden realistische cyberaanvallen gesimuleerd. Met de ervaringen uit deze test kunnen financiële instellingen hun detectie- en responsvermogen verder versterken en voldoen aan de normen voor operationele weerbaarheid. Lees meer over TLPT

2. Threat Intelligence Based Ethical Red teaming (TIBER)

Wanneer een financiële instelling niet valt onder de verplichtingscriteria onder de DORA-verordening, kan zij toch de wens hebben om hun cyberweerbaarheidstesten tegen de wettelijke vereisten vanuit DORA uit te voeren. De inhoud en aanpak van de test is in dat geval identiek aan een TLPT, maar deelname aan deze test is vrijwillig. TCT-DNB hanteert voor zo’n TIBER-test het TIBER-EU-raamwerk. Lees meer over TIBER

3. Advanced Red Teaming (ART) 

Het Advanced Red Teaming Framework (ART-raamwerk) bouwt voort op de lessen en successen van TIBER. ART is een modulair raamwerk waarmee de omvang en frequentie van de test kan worden afgestemd op het niveau van cybervolwassenheid en de specifieke leerdoelen en capaciteiten van een organisatie. Vanwege het modulaire karakter van ART is dit raamwerk ook geschikt voor kleinere financiële instellingen, die al stappen hebben gemaakt in hun cybervolwassenheid, maar nog niet toe zijn aan een TIBER- of TLPT-test.

Door de teststrategie (omvang en frequentie) flexibel in te vullen, kan de toepassing van dit raamwerk een waardevolle aanvulling vormen op de verplichtingen onder DORA. Daarnaast is het uitvoeren van een cyberweerbaarheidstest op basis van het ART-raamwerk een goede invulling van het periodiek uitvoeren van testen zoals in verschillende (Europese) verordeningen en wet- en regelgeving wordt verondersteld (als in DORA en NIS2). Lees meer over ART

Schema TIBER

© DNB

Samenwerking en impact

TLPT-, TIBER- en ART-testen worden uitgevoerd door gespecialiseerde externe partijen, in samenwerking met financiële instellingen. Met TLPT kan de instelling voldoen aan de wettelijke eisen zoals vastgesteld in DORA. ART kan daarnaast – maar ook op zichzelf staand – gebruikt worden om een meer op maat gemaakte omvang van te test samen te stellen. Hiermee kan een financiële instelling de test aan laten sluiten bij de mate waarin zij invulling heeft gegeven aan haar cyberbeveiligingsmaatregelen.

Door de individuele leerervaringen binnen een vertrouwde community met elkaar te delen, wordt een strategische groei van de cyberweerbaarheid in de Nederlandse financiële sector mogelijk gemaakt.

Meer informatie

Voor meer informatie kunt u contact opnemen met tct@dnb.nl.

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.