Was ist Threat-Led Penetration Testing (TLPT) unter DORA?

**Threat-Led Penetration Testing (TLPT)** ist die anspruchsvollste Stufe der DORA-Resilienztests: ein **bedrohungsorientierter Angriffstest** auf produktive (Live-)Systeme, der reale Angreifer-Taktiken nachbildet, statt nur bekannte Schwachstellen abzuhaken. Rechtsgrundlage ist **Art. 26 der Verordnung (EU) 2022/2554 (DORA)**. Anders als der allgemeine Test-Baukasten (Art. 24–25) trifft TLPT nur **von der Aufsicht identifizierte** Unternehmen — die nach Art. 26 Abs. 8 anhand von Risiko- und Systemrelevanz-Kriterien benannt werden ^[1].

Die identifizierten Unternehmen müssen TLPT **mindestens alle drei Jahre** durchführen (Art. 26 Abs. 1) — die Frequenz steht also im Level-1-Text selbst, nicht erst in den technischen Standards. Der Test umfasst mehrere kritische oder wichtige Funktionen und wird auf den tatsächlich produktiven Systemen ausgeführt.

**Art. 27 DORA** regelt die Anforderungen an die **Tester**: Eignung, Unabhängigkeit, Bedrohungsanalyse-Kompetenz und — unter Bedingungen — der Einsatz interner Tester. Die genaue Methodik, die Identifizierungskriterien und die Phasen des Tests stehen im technischen Regulierungsstandard (RTS), zu dem **Art. 26 Abs. 11** ermächtigt: die **Delegierte Verordnung (EU) 2025/1190** (vom 13. Februar 2025, im Amtsblatt vom 18. Juni 2025, in Kraft etwa ab dem 8. Juli 2025) ^[1][2].

TLPT ist keine Neuerfindung aus dem Nichts: Das Verfahren **beruht auf dem TIBER-EU-Rahmen** der EZB (Threat Intelligence-based Ethical Red Teaming), den DORA in Erwägungsgrund 56 ausdrücklich aufgreift. Wer bereits einen TIBER-EU-Test durchlaufen hat, kennt die Phasenlogik — DORA hebt sie auf eine verbindliche, EU-weit harmonisierte Rechtsgrundlage.

Für betroffene Häuser heißt das: TLPT ist ein mehrmonatiges, eng aufsichtlich begleitetes Projekt mit Bedrohungsanalyse, Red-Teaming und Remediation. Die laufenden Klarstellungen der ESAs und der nationalen Aufsicht dazu früh zu sehen, entscheidet über Vorlauf und Ressourcenplanung.