Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.