Threat Led Penetration Testing (TLPT)

Lees voor

Per 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing. DORA is een belangrijke stap naar een veiliger en veerkrachtiger digitaal financieel landschap.

Verplicht testen onder DORA

De Nederlandsche Bank (DNB) is onder de DORA-verordening gemandateerd om financiële instellingen – die een vergunning hebben of aanvragen bij DNB – te identificeren. Deze identificatie verplicht financiële entiteiten om Threat Led Penetration Testing (TLPT) uit te voeren, wanneer ze aan de in DORA genoemde kwalitatieve en kwantitatieve eisen voldoen. De financiële instellingen die dit betreft, ontvangen hierover van DNB een brief.

TLPT in het kort

In een TLPT worden realistische cyberaanvallen gesimuleerd die worden uitgevoerd en begeleid op basis van het TIBER-EU raamwerk. De test doorloopt een vast testproces, met vaste tijdslijnen en een aantal verplicht op te leveren documenten. Deze onderdelen zijn vereist om de test op een gecontroleerde manier te laten verlopen en te voldoen aan de wettelijke eisen uit de DORA-verordening. Wanneer de test volgens deze vereisten is uitgevoerd, ontvangt u als instelling daar van TCT-DNB een formele bevestiging van, de ‘attestatie’. Daarmee kunt u aantonen dat de uitvoering van de test aan de gestelde kwaliteitseisen heeft voldaan.

Het TLPT proces in vogelvlucht

De test begint met een mededeling van TCT-DNB aan uw instelling die de officiële start van het testproces markeert. U stelt vervolgens de initiatiedocumenten op en start de inkoop- en scoping-activiteiten. Daarna begint de actieve testfase. Het testproces eindigt met het opstellen van een testsamenvatting waarin u de leerpunten en mogelijke verbeteracties binnen uw instelling vastlegt. Wanneer het testproces volgens de vereisten is doorlopen, ontvangt u van TCT-DNB de attestatie.

Hoe een test werkt

Nadat u de kritieke en belangrijke functies in kaart heeft gebracht, ontvangt u van TCT-DNB het Generic Threat Landscape (GTL). In dit document heeft TCT-DNB in kaart gebracht welke generieke dreigingen, ontwikkelingen en actoren zij onderkent in de financiële sector. Daarna onderzoekt een gespecialiseerde partij welke specifieke dreigingen voor uw instelling het meest realistisch en impactvol zijn. Dit gebeurt op basis van het GTL en actuele en specifieke dreigingsinformatie die de gespecialiseerde partij zelf heeft. Die informatie geeft inzicht in welke hackersgroepen geïnteresseerd kunnen zijn in uw instelling en welke tactieken, technieken en procedures deze hackersgroepen waarschijnlijk hanteren bij een cyberaanval.

Een gespecialiseerde partij van ethische hackers stelt op basis van deze informatie een aantal realistische aanvalsscenario’s op. Deze aanvalsscenario’s worden op een gecontroleerde manier nagebootst in de productiesystemen van uw instelling. Hierbij kunnen mensen, processen en IT-infrastructuur doelwit zijn.

Binnen uw instelling zijn slechts een paar mensen op de hoogte dat deze test plaatsvindt, om absolute geheimhouding te borgen en zo de leerervaring te maximeren. Een echte aanval wordt tenslotte ook niet vooraf aangekondigd. Zo kunt u uw detectie- en responsvermogen nog verder versterken en uw cyberweerbaarheid verbeteren.

Het raamwerk en bijbehorende documenten

De onderstaande publicaties geven inzicht in het raamwerk dat TCT-DNB gebruikt voor het begeleiden van de TLPT-testen.

Wettelijk kader en TIBER-EU-raamwerk voor TLPT

Bijbehorende documenten (guidance)

TCT-DNB voorbeelden op te leveren documenten (formats)

TCT-DNB biedt onderstaande documenten en formats aan die optioneel gebruikt kunnen worden bij het uitvoeren van een TLPT-test:

Meer informatie

Voor meer informatie kunt u contact opnemen met tct@dnb.nl.

Publieksvoorlichting

Social media

!! Waarschuwing: oplichters actief !!

Veelgestelde vragen