Threat-Led Penetration Testing (TLPT) podle DORA.

Hrozbami řízený red team test vyžadovaný nařízením DORA. Realizovaný seniorními specialisty, pro které je to každodenní řemeslo. Fungujeme samostatně i jako nezávislý technický red team vedle vašeho hlavního koordinátora programu.

800+ realizovaných projektů
10+ let zkušeností

Zabezpečujeme české technologické firmy, které uspěly ve světě.

Threat-Led Penetration Testing

TLPT simuluje reálný, hrozbami řízený útok na vaše ostré produkční systémy — ty, které zajišťují vaše kritické nebo důležité funkce. Na rozdíl od běžného penetračního testu neměříme shodu s checklistem známých zranitelností. Testujeme reálnou schopnost detekce a reakce vašich týmů proti věrohodným, cíleným scénářům postaveným na vašem skutečném rizikovém profilu.

V rámci nařízení DORA se TLPT řídí metodikou TIBER-EU, kterou formalizují regulační technické normy (nařízení Komise v přenesené pravomoci (EU) 2025/1190, účinné od 8. července 2025). Test probíhá v utajení před vašimi obránci v pěti definovaných fázích a jeho výsledky se reportují příslušnému orgánu dohledu.

Kde je místo insighti

My jsme red team.

DORA striktně vyžaduje, aby poskytovatel informací o hrozbách (Threat Intelligence) a poskytovatel red teamu byli dva samostatní, nezávislí partneři. insighti vystupuje jako nezávislý realizátor red team testů — seniorní specialisté, kteří plánují a provádějí samotné útočné scénáře. Spolupracujeme dvěma způsoby: buď jako váš přímý red team, nebo jako technická podpora programu, který zastřešuje větší poradenská firma. Přinášíme hluboké technické know-how, které tito konzultanti často sami interně nemají.

Každý tester přidělený na projekt TLPT je certifikovaný seniorní specialista. Na vašich systémech nenecháváme učit žádné juniory.

Pět fází

  1. Příprava — stanovení rozsahu (scoping) s vaším řídicím týmem (Control Team), zapojení dodavatelů a určení pravidel testování (Rules of Engagement).
  2. Threat Intelligence — vytvoření cíleného profilu hrozeb, ze kterého vycházejí útočné scénáře (zajišťuje nezávislý TI poskytovatel).
  3. Red teaming — utajené provádění útočných scénářů přímo proti vašemu produkčnímu prostředí.
  4. Uzavření — předání nálezů, důkazů a společný workshop (replay / purple teaming) s vaším blue teamem.
  5. Náprava a reporting — zpracování výsledků a potvrzení o dokončení (attestation) pro váš orgán dohledu.

Jste v rozsahu?

Povinnost absolvovat TLPT podle nařízení DORA dopadá pouze na finanční subjekty, které splňují specifická kritéria dopadu, systémového významu a rizikovosti. Klíčovým impulsem je přímé oznámení od vašeho orgánu dohledu (např. ČNB). Pokud jste toto rozhodnutí již dostali, nebo ho očekáváte, pamatujte, že příprava celého cyklu TLPT je proces na mnoho měsíců. Ozvěte se nám včas.

TLPT je součástí komplexních požadavků nařízení DORA na digitální provozní odolnost. Testujeme i pro NIS2 (ZKB), ISO 27001 a PCI-DSS.

Často kladené dotazy, vždy zodpovězeny.

Jaký je rozdíl mezi TLPT a běžným penetračním testem?

Standardní pentest hledá zranitelnosti v přesně vymezeném rozsahu. TLPT je utajovaný test řízený reálnými hrozbami. Ověřuje, zda vaši lidé a bezpečnostní technologie dokážou včas detekovat realistický, cílený útok na produkční prostředí a správně na něj reagovat.

Je pro nás TLPT povinné?

Pouze v případě, že vás k tomu na základě kritérií DORA určí příslušný orgán dohledu. Řady finančních institucí se tato povinnost týkat nebude, ale ty, které pod ni spadají, čelí náročnému a dlouhému přípravnému cyklu.

Může se do plnění započítat dřívější test podle TIBER-EU?

Testy, které prokazatelně splňují požadavky regulačních technických norem (RTS), mohou být uznány. Společně projdeme vaše dosavadní projekty a posoudíme, zda kritériím vyhovují.

Dokážete spolupracovat s naší stávající poradenskou firmou?

Ano, běžně fungujeme jako nezávislý dodavatel technické části (red teamu) v rámci programů, které celkově zastřešuje jiná konzultační společnost.

Kdo přesně testy provádí?

Výhradně seniorní specialisté. Každý člen týmu je držitelem minimálně certifikace OSCP, doplněné o pokročilé red-teamové a webové certifikace (např. OSWE a vyšší).

Pojďme to probrat.

Napište nám, co potřebujete otestovat — domluvíme si nezávazný hovor a navrhneme rozsah testu.

Domluvit nezávaznou konzultaci ›