Rozporządzenie DORA wprowadza testy TLPT ukierunkowane na kompleksową ocenę poziomu zabezpieczeń organizacji poprzez odwzorowanie technik i metod rzeczywistych atakujących¹. W dużej mierze czerpią one z doświadczenia zdobytego w trakcie realizacji testów opartych o TIBER-EU. Jakie są perspektywy wdrożenia TIBER-EU w Polsce?

Framework TIBER-EU

Wspomniany wymóg związany z testowaniem TLPT to nowe wyzwanie dla podmiotów finansowych. Sam sposób realizacji testów nie jest jednak zupełnie obcy ponieważ był już realizowany. Testowanie oparte o analizę zagrożeń ma za sobą wykonane realizacje, prowadzone na podstawie dobrowolnego frameworku TIBER-EU i jego lokalnych interpretacji w poszczególnych krajach². Framework ten dostarcza wielu pomocnych wytycznych w zakresie wzajemnej współpracy nadzorów, testowanych organizacji, zespołów Red Team i Threat Inteligence, przy realizacji wyżej wspomnianych testów. Pierwsza wersja dokumentu została opublikowana w maju 2018 roku i stanowi efekt połączonych działań Europejskiego Banku Centralnego oraz europejskich narodowych banków centralnych. Framework został zainspirowany doświadczeniem pochodzącym z analogicznych projektów w Wielkiej Brytanii (CBEST³) oraz Holandii (TIBER-NL⁴)⁵. Opisywane w Rozporządzeniu DORA testy TLPT w dużej mierze czerpią z doświadczenia zdobytego w trakcie realizacji testów opartych o TIBER-EU. Niemniej jednak, pomiędzy jednym a drugim podejściem pojawiają się pewne różnice. Zostały one szerzej opisane w publikacji „Testy TLPT – nowe podejście do testowania cyfrowej odporności organizacji”⁶. Wspominany framework TIBER-EU jest w momencie publikacji tego artykułu aktualizowany w celu optymalnego dopasowania go do testów TLPT wymaganych przez Rozporządzenie DORA⁷.  

Implementacje TIBER-EU na poziomach lokalnych jurysdykcji

Framework TIBER-EU doczekał się swoich narodowych implementacji. Rozwiązania te zostały do tej pory przyjęte przez Europejski Bank Centralny (ECB) i wdrożone w 16 państwach europejskich. Wśród państw które zaadoptowały i aktywnie korzystają z frameworku znajdują się: Austria, Belgia, Dania, Finlandia, Francja, Hiszpania, Holandia, Irlandia, Islandia, Luksemburg, Niemcy, Norwegia, Portugalia, Rumunia, Szwecja oraz Włochy. Poszczególne zespoły narodowe (tzw. TCT’s – TIBER Cyber Teams) koordynują testy TIBER w podmiotach przynależących do ich jurysdykcji, aktywnie angażując się również w tzw. testy łączone (w przypadku organizacji aktywnych na obszarach wielu jurysdykcji). Do stycznia 2023 roku zrealizowano ponad 100 testów opartych o framework TIBER-EU⁸. Proces dostosowania frameworku TIBER-EU do poziomu lokalnej jurysdykcji może zakładać jego adaptację zarówno na poziomie krajowym, jak i europejskim. Adaptacja TIBER-EU wiąże się z przygotowaniem właściwego dla danego obszaru przewodnika implementacyjnego oznaczanego sygnaturą TIBER-XX (dla implementacji krajowych) lub TIBER-EU YY (dla nadzorów europejskich)⁹.  

Sposoby sygnowania lokalnych przewodników implementacji frameworku TIBER-EU, tzw. implementation guides (XX reprezentuje kod kraju wg standardu ISO 3166-1, YY służy do oznaczania europejskich instytucji nadzorczych)¹⁰.

Adaptacje TIBER-EU w krajach europejskich 

Austria	https://www.oenb.at/en/financial-market/tiber-at.html
Belgia	https://www.nbb.be/en/payments-and-securities/tiber-be-framework
Dania	https://www.nationalbanken.dk/en/financialstability/Operational/Pages/TIBER-DK-and-implementation-guide.aspx
Finlandia	https://www.suomenpankki.fi/en/money-and-payments/tiber-fi-implementation-guideline/
Francja	https://www.banque-france.fr/fr/stabilite-financiere/cadre-institutionnel/systemes-paiement-infrastructures-marche/surveillance-risque-cyber
Hiszpania	https://www.bde.es/f/webbde/INF/MenuHorizontal/Servicios/TIBER-ES/Guia_de_Implementacion_TIBER-ES_Ing.pdf
Holandia	https://www.dnb.nl/en/sector-information/cash-and-payment-systems/tiber-nl/
Irlandia	https://www.centralbank.ie/financial-system/operational-resilience-and-cyber/cyber-resilience/tiber-ie
Islandia	https://www.cb.is/financial-stability/oversight-of-financial-market-infrastructures/cyber-resilience-testing/
Luksemburg	https://www.bcl.lu/fr/systeme_paiement/TIBER-LU/index.html
Niemcy	https://www.bundesbank.de/en/tasks/payment-systems/tiber-de/tiber-de-817014
Norwegia	https://www.norges-bank.no/en/tiber/
Portugalia	https://www.bportugal.pt/sites/default/files/documents/2024-05/TIBER-PT_Guide.pdf
Rumunia	https://www.bnr.ro/DocumentInformation.aspx?idDocument=40092&directLink=1
Szwecja	https://www.riksbank.se/en-gb/financial-stability/the-riksbanks-responsibility-with-regard-to-financial-stability/preventing-financial-crises/the-riksbanks-work-on-cyber-risks/tiber-se/
Włochy	https://www.bancaditalia.it/compiti/sispaga-mercati/tiber-it/index.html?com.dotmarketing.htmlpage.language=1

Korzyści płynące z krajowych implementacji i uczestnictwa w społeczności TKC

Adaptacja i wdrożenie TIBER-EU na poziomie narodowym dostarcza szeregu korzyści, zarówno dla kraju implementującego rozwiązanie, jak i całej społeczności TIBER-EU Knowledge Centre and community (TKC), do której zapraszany jest kraj wdrażający framework. Poszczególne kraje wdrażające framework są zobligowane do zachowania zgodności z kluczowymi wymaganiami TIBER-EU. Standardy te zapewniają porównywalność wyników testowania i zabezpieczają spójność frameworku pomiędzy poszczególnymi krajami. Dzięki takiemu podejściu możliwe jest zapewnienie wzajemnej uznawalności wyników przeprowadzonych testów w stosownych jurysdykcjach. Poszczególne implementacje dopuszczają pewien poziom elastyczności i włączanie do nich własnych rozwiązań pod warunkiem przestrzegania wymaganych standardów.

Poszczególni członkowie będący częścią forum TKC mogą wymieniać się swoją wiedzą i doświadczeniem oraz angażować w koordynację działań powiązanych z tematyką TIBER. Udział w społeczności TKC to sposób na szybkie wyrównanie poziomu wiedzy na temat frameworku i jego praktycznej implementacji wśród nowych uczestników. Obecność na forum daje także możliwość bilateralnej komunikacji z menedżerami testów innych jurysdykcji¹¹.

Perspektywy wdrożenia TIBER-EU w Polsce

Wymienione państwa związane z dotychczasową implementacją TIBER-EU nie zamykają listy. Do publikacji i wdrożenia krajowej wersji frameworku przygotowuje się również Polska, będąca od 2023 roku aktywnym uczestnikiem forum TKC. Planowany czas publikacji TIBER-PL, będącej polską adaptacją TIBER-EU, ustalono na pierwszą połowę 2025 roku. Celem lokalnej implementacji jest dostarczenie dokumentu opisującego zbiór dobrych praktyk w zakresie przeprowadzania testów TLPT, dostosowanego do krajowych warunków i zgodnego z Regulacyjnymi Standardami Technicznymi DORA TLPT¹².

______________________
¹https://www.knf.gov.pl/?articleId=90547&p_id=18  
²https://www.knf.gov.pl/?articleId=90547&p_id=18  
³https://www.bankofengland.co.uk/financial-stability/operational-resilience-of-the-financial-sector/cbest-threat-intelligence-led-assessments-implementation-guide
⁴https://www.dnb.nl/en/sector-information/cash-and-payment-systems/tiber-nl/
⁵https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
⁶https://www.knf.gov.pl/?articleId=90547&p_id=18
⁷https://www.knf.gov.pl/?articleId=90547&p_id=18
⁸https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
⁹https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf
¹⁰https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf
¹¹https://www.ecb.europa.eu/press/intro/publications/pdf/ecb.miptopical240926.en.pdf
¹²https://www.eba.europa.eu/sites/default/files/2024-07/427a52cf-5772-4b69-8eb5-d121c90c470a/JC%202024-29%20-%20Final%20report_DORA%20RTS%20on%20TLPT.pdf