TLPT: Threat-Led Penetration Testing zgodnie z DORA Art. 26 - wymagania i przygotowanie

TLPT (Threat-Led Penetration Testing) to nowy obowiązkowy standard DORA dla systemowo istotnych podmiotów finansowych. Uregulowany w DORA Art. 26 i skonkretyzowany przez rozporządzenie delegowane (UE) 2024/1774 (RTS do TLPT), TLPT zastępuje dotychczasowe podejście TIBER-EU jako jednolity standard obowiązujący w całej UE. W przeciwieństwie do klasycznych testów penetracyjnych, TLPT bazuje na konkretnej threat intelligence o danym podmiocie i testuje realistyczne scenariusze ataku przeciwko środowisku produkcyjnemu. Ten przewodnik wyjaśnia obowiązki, przebieg, koszty oraz jak optymalnie przygotować Państwa podmiot poprzez standardowy pentest.

Rozpocznij przygotowanie do TLPT

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego TLPT to coś więcej niż klasyczny test penetracyjny

Klasyczny test penetracyjny podąża za predefiniowanym, wąskim zakresem i wykorzystuje generyczne wzorce ataku (OWASP Top 10, znane CVE). TLPT działa fundamentalnie inaczej: punktem wyjścia jest zawsze indywidualna analiza threat intelligence, opracowana konkretnie dla badanego podmiotu - na podstawie aktualnych grup atakujących aktywnych przeciwko sektorowi finansowemu i konkretnemu podmiotowi, ich TTP (taktyki, techniki, procedury z frameworka MITRE ATT&CK) oraz geograficznych czynników ryzyka. Dopiero na podstawie tej intelligence akredytowany Red Team definiuje symulację ataku. TLPT testuje nie tylko 'czy atakujący mogą się włamać', ale 'czy nasz SOC potrafi wykryć, sklasyfikować i powstrzymać zaawansowany atak - zanim krytyczne aktywa zostaną skompromitowane'. Rozporządzenie delegowane (UE) 2024/1774 (Regulatory Technical Standards do TLPT) określa, jakie kryteria muszą spełniać dostawcy CTI i Red Team, jakie fazy są obowiązkowe oraz jak przebiega koordynacja z właściwym organem (KNF/EBC).

DORA Art. 26 ust. 1: obowiązek TLPT co najmniej raz na trzy lata dla 'istotnych' podmiotów finansowych (systemowo istotne banki, istotni ubezpieczyciele, centralni dostawcy infrastruktury sektora finansowego).
RTS (UE) 2024/1774 Artykuły 3-8: Precyzyjne wymagania dla testów TLPT - (1) Faza CTI: indywidualny raport threat intelligence przez akredytowanego dostawcę, (2) Faza Red Team: atak na środowisko produkcyjne przez akredytowanego dostawcę, (3) Faza Purple Teaming: wspólna analiza Blue/Red Team, (4) Raport końcowy do właściwego organu.
Istotna różnica TLPT vs. pentest z Art. 24: Art. 24 dotyczy wszystkich podmiotów finansowych, jest skalowalny pod kątem ryzyka i można go spełnić platformą pentestu AI taką jak Matproof Sentinel. Art. 26 TLPT dotyczy tylko podmiotów systemowo istotnych, wymaga dostawców akredytowanych przez EBC i kosztuje wielokrotnie więcej.
Zakres TLPT (RTS Art. 4): Co najmniej najbardziej krytyczne funkcje podstawowe podmiotu ('critical functions', zgodnie z DORA Art. 3 ust. 1 pkt 22) oraz najważniejsze systemy ICT i dostawcy zewnętrzni wspierający te funkcje.
Brak zapowiedzi dla zespołów operacyjnych: zespół kontrolny TLPT (TLPT Cyber Team, TCT) składa się z maks. 5 osób - wszyscy pozostali pracownicy podmiotu, w tym SOC i IT Operations, nie wiedzą, że odbywa się test Red Team. To kluczowa cecha jakości.
Koordynacja z organami (RTS Art. 9-11): Właściwy organ (KNF dla podmiotów istotnych krajowo, EBC dla podmiotów istotnych) musi zatwierdzić plan TLPT przed rozpoczęciem i ma prawo towarzyszyć i obserwować test.
Wzajemne uznawanie (DORA Art. 26 ust. 6): TLPT w jednej jurysdykcji UE może być uznany dla oddziałów w innych krajach UE - wymagane porozumienie między krajowymi organami nadzoru.

Fazy i zawartość testu TLPT w szczegółach

Faza 1 - Scoping i zlecenie CTI (RTS Art. 4-5): Definicja krytycznych funkcji, inwentarz aktywów systemów ICT w zakresie, wybór akredytowanych dostawców CTI (dostawcy TIBER-EU lub na liście EBC), wniosek o zatwierdzenie do KNF/EBC.
Faza 2 - Tworzenie raportu CTI (4-6 tygodni, RTS Art. 6): Akredytowany dostawca CTI analizuje: aktywne podmioty zagrożeń dla sektora finansowego (grupy APT, operatorzy ransomware, zagrożenia wewnętrzne), konkretne TTP na bazie MITRE ATT&CK for Financial Services, ukierunkowana analiza OSINT podmiotu (ślad technologiczny, eksponowane aktywa, informacje publiczne). Wynik: Custom Threat Intelligence Report.
Faza 3 - Atak Red Team (8-12 tygodni, RTS Art. 7): Akredytowany Red Team przeprowadza pełną symulację ataku: Initial Access (phishing, eksploitacja), Persistence, Privilege Escalation, Lateral Movement, Impact (dostęp do krytycznych aktywów) - wyłącznie przeciwko środowisku produkcyjnemu.
Realistyczne wektory ataku oparte na CTI: spear-phishing przeciwko zidentyfikowanym pracownikom C-level, eksploitacja aktywnych CVE w używanym oprogramowaniu (np. CVE-2024-3400 Palo Alto PAN-OS Command Injection, CVSS 10.0), ataki łańcucha dostaw przez zidentyfikowanych dostawców zewnętrznych.
Faza 4 - Purple Teaming (2-4 tygodnie, RTS Art. 8): Wspólna sesja przeglądowa Red Team + SOC/Blue Team + zarząd: Które ataki zostały wykryte? Które nie? Dlaczego? Priorytetyzowana mapa drogowa naprawcza, zalecenia inżynierii wykrywania.
Pomiar MTTD/MTTR: Mean Time to Detect (MTTD) i Mean Time to Respond (MTTR) dla każdego symulowanego wektora ataku - TLPT dostarcza tym samym operacyjne KPI dla jakości incident response.
Raport końcowy DORA Art. 26 ust. 7: Pełny raport TLPT z wynikami, MTTD/MTTR, statusem napraw, ustaleniami Purple Teaming - przekazanie do właściwego organu; po naprawie krytycznych wyników wydanie certyfikatu TLPT.
Retesty po naprawie (RTS Art. 8 ust. 3): Po naprawie krytycznych wyników z TLPT wymagany jest ukierunkowany retest zaadresowanych podatności, aby otrzymać certyfikat.
Ciągłe testy między cyklami TLPT (DORA Art. 24): W latach między testami TLPT (czyli w roku 1 i 2 trzyletniego cyklu) muszą być nadal prowadzone regularne testy penetracyjne z Art. 24 - tutaj wykorzystywany jest Matproof Sentinel.
Włączenie dostawców zewnętrznych (DORA Art. 28): Jeśli krytyczni zewnętrzni dostawcy ICT są w zakresie, mogą być włączeni do TLPT - koordynacja z dostawcą zewnętrznym przez klauzule umowne DORA Art. 28.

Sample finding

Critical

Nieuwierzytelnione Command Injection w bramie VPN (CVE-2024-3400, CVSS 10.0) - eksploitacja na żywo

W ramach analizy CTI zidentyfikowano, że podmiot używa Palo Alto Networks PAN-OS jako bramy VPN. CVE-2024-3400 (Command Injection w funkcji GlobalProtect, CVSS 10.0, aktywnie eksploitowana od marca 2024 r. przez UTA0218) pozwala nieuwierzytelnionemu atakującemu na wykonywanie dowolnych poleceń z uprawnieniami root na urządzeniu. Red Team z powodzeniem wykorzystał tę podatność i uzyskał dostęp root do bramy VPN. Z tej bramy możliwe było bezpośrednie routowanie do segmentu sieci core banking. SOC nie wykrył ataku przez cały 72-godzinny okres ataku - mimo istniejącej infrastruktury SIEM. Retrospektywna analiza logów wykazała: żądania ataku były obecne, ale żadna reguła alertu nie była skonfigurowana.

Fix: Natychmiastowa łatka na PAN-OS 10.2.9-h1, 11.0.4-h1, 11.1.2-h3 lub nowszą (Palo Alto Security Advisory PAN-SA-2024-0006). Factory reset skompromitowanego urządzenia. Wdrożenie reguły SIEM dla anomalii telemetrii PAN-OS GlobalProtect (Palo Alto opublikowało wytyczne wykrywania). Segmentacja sieci: brama VPN w DMZ bez bezpośredniego routowania do core banking. MTTD dla tego wektora ataku: >72h - rekomendacja TLPT: zbudować zespół threat hunting, który aktywnie szuka oznak kompromitacji, a nie tylko reaguje na alerty.

Reference: CVE-2024-3400 (Palo Alto PAN-OS Command Injection, CVSS 10.0) · CISA KEV Catalog (Known Exploited Vulnerabilities) · MITRE ATT&CK T1190 (Exploit Public-Facing Application) · DORA Art. 26 RTS (UE) 2024/1774 Art. 7

TLPT vs. standardowy pentest: porównanie bezpośrednie

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Przygotowanie do TLPT z Matproof

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęstsze pytania dotyczące TLPT zgodnie z DORA Art. 26

Jaka jest różnica między TLPT a klasycznym testem penetracyjnym?

Klasyczny test penetracyjny podąża za stałym zakresem i generycznymi metodami (OWASP, znane CVE). TLPT zaczyna się od indywidualnej analizy threat intelligence, która identyfikuje konkretnych atakujących i TTP dla danego podmiotu - dopiero potem definiowany jest plan ataku. TLPT testuje także wprost zdolność wykrywania SOC, używa tylko akredytowanych dostawców i koordynuje z organem nadzoru. Koszty: TLPT €80.000-€250.000 vs. standardowy pentest €8.000-€25.000.

Które podmioty są zobowiązane do TLPT zgodnie z DORA Art. 26?

DORA Art. 26 ust. 1 zobowiązuje 'istotne' podmioty finansowe - w praktyce: podmioty istotne nadzorowane bezpośrednio przez EBC (ok. 115 w całej UE), a także krajowe podmioty systemowo istotne, które KNF i EBC kwalifikują jako zobowiązane do TLPT. Właściwy organ powiadamia podmiot, gdy podlega obowiązkowi TLPT. Małe podmioty o bardzo niskim znaczeniu systemowym zazwyczaj nie są objęte.

Czym jest RTS (UE) 2024/1774 do TLPT?

Rozporządzenie delegowane (UE) 2024/1774 (Regulatory Technical Standards do TLPT) konkretyzuje DORA Art. 26 standardami technicznymi dla: wymagań akredytacyjnych dla dostawców CTI i Red Team, wymagań dla faz TLPT (scoping, raport CTI, test Red Team, Purple Teaming), formatów raportowania dla raportu końcowego, procedur koordynacji między podmiotami a organami, procedur wzajemnego uznawania. RTS obowiązuje od lipca 2024 r.

Czy mogę połączyć TLPT i klasyczny pentest?

Tak - to nawet rekomendowana strategia: TLPT co 3 lata dla obowiązku DORA Art. 26 + coroczny pentest DORA Art. 24 (np. z Matproof Sentinel) dla bezpieczeństwa bazowego. Między cyklami TLPT pentest Art. 24 zapewnia ciągłe bezpieczeństwo i optymalnie przygotowuje podmiot do następnego TLPT (naprawa znanych podatności, trening SOC).

Co się dzieje, gdy podmiot nie przeprowadzi TLPT zgodnie z Art. 26?

KNF i EBC mogą zgodnie z DORA Art. 50 nakładać środki: kary pieniężne do 1 % globalnego dziennego obrotu, zawieszenie działalności, osobiste sankcje przeciwko zarządowi. W praktyce pierwsze naruszenia są zazwyczaj traktowane nakazem usunięcia uchybień z terminem - przy powtarzającym się niewykonaniu środki eskalują.

Jak koordynować TLPT w grupie bankowej z wieloma oddziałami?

DORA Art. 26 ust. 6 umożliwia 'skonsolidowane testy TLPT' dla grup - skoordynowany test na poziomie grupy może obowiązywać dla wszystkich oddziałów w krajach TIBER-EU. Warunek: porozumienie między krajowymi organami nadzoru i EBC, włączenie krytycznych systemów grupowych do zakresu. Znacznie redukuje to całkowite koszty w porównaniu do oddzielnych testów krajowych.

Jaką rolę odgrywa Purple Teaming w TLPT?

Purple Teaming jest obowiązkowy w RTS Art. 8 i jest najważniejszym elementem nauki TLPT: w Purple Teaming członkowie Red Team wyjaśniają SOC/Blue Team każdy krok ataku, pokazują które wskaźniki były widoczne i dlaczego alerty nie zostały wygenerowane. Wynikiem są konkretne rekomendacje inżynierii wykrywania (nowe reguły SIEM, playbooks threat hunting), które trwale poprawiają zdolność wykrywania podmiotu - znacznie poza sam test.

Jak optymalnie przygotować mój SOC do TLPT?

Optymalne przygotowanie SOC: (1) Regularnie prowadzić ćwiczenia threat hunting z symulowanymi atakami (Atomic Red Team, Caldera). (2) Wdrożyć alertowanie SIEM dla technik MITRE ATT&CK (pokrycie wykrywania dla wszystkich taktyk T1-T14). (3) Mierzyć i optymalizować MTTD i MTTR jako KPI. (4) Testować playbooks incident response. (5) Używać Matproof Sentinel jako ciągłego testu dla znanych wektorów ataku. SOC, który jest regularnie trenowany przeciwko symulowanym atakom, wypada znacznie lepiej w TLPT.

Go deeper — related blog articles

Optymalnie przygotowani do TLPT - z Matproof

Testy TLPT kosztują €80.000-€250.000. Zmaksymalizuj wartość inwestycji w TLPT, identyfikując i naprawiając znane podatności wcześniej z Matproof Sentinel. Solidny fundament bezpieczeństwa to warunek wstępny dla wartościowego TLPT.