Erwägungsgrund 61

Um die auf Unternehmensebene verfügbaren internen Ressourcen zu nutzen, sollte der Einsatz interner Tester zur Durchführung von TLPT gemäß dieser Verordnung gestattet sein, sofern eine aufsichtliche Genehmigung vorliegt, keine Interessenkonflikte bestehen und ein regelmäßiger Wechsel (jeweils nach drei Tests) im Einsatz von internen und externen Testern stattfindet, wobei es sich zudem bei dem Anbieter der Bedrohungsanalyse im Rahmen der TLPT stets um ein Unternehmen außerhalb des betreffenden Finanzunternehmens handeln muss. Die Durchführung von TLPT sollten weiterhin uneingeschränkt in der Verantwortung der Finanzunternehmen liegen. Die von den Behörden ausgestellten Bescheinigungen sollten ausschließlich dem Zweck der gegenseitigen Anerkennung dienen und sollten weder Folgemaßnahmen ausschließen, die erforderlich sind, um IKT-Risiken, denen das Finanzunternehmen ausgesetzt ist, anzugehen, noch sollten sie als aufsichtliche Billigung der IKT-Risikomanagement- und -minderungsfähigkeiten eines Finanzunternehmens betrachtet werden.

Stand: 27.12.2022

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!