Делегиран регламент (ЕС) 2025/1190 на Комисията от 13 февруари 2025 година за допълнение на Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета по отношение на регулаторните технически стандарти за уточняване на критериите, използвани за определяне на финансовите субекти, от които се изисква да извършват тестване за проникване, изискванията и стандартите, уреждащи използването на вътрешни лица, провеждащи тестове, изискванията във връзка с обхвата, тестовата методика и подхода за всеки етап от тестването, резултатите, приключването на процеса и корективните мерки, както и вида на сътрудничеството за надзорни и други цели, необходимо с оглед на изпълнението на тестването за прониква

Препратки към всички разпоредби

Съображения

Препратки
(1) Проектът на настоящия регламент е разработен съгласно рамката TIBER-EU и отразява методиката, процеса и структурата на тестването за проникване, както са описани в TIBER-EU. Финансовите субекти, подлежащи на тестване за проникване, може да се позовават на рамката TIBER-EU и да прилагат тази рамка или начина, по който е приложена на национално равнище в дадена държава членка, доколкото рамката или националното ѝ прилагане са в съответствие с изискванията, посочени в членове 26 и 27 от Регламент (ЕС) 2022/2554 и в настоящия регламент. Определянето на единен публичен орган във финансовия сектор, който да отговаря за свързаните с тестването за проникване въпроси на национално равнище, в съответствие с член 26, параграф 9 от Регламент (ЕС) 2022/2554 не следва да засяга компетентността на компетентните органи, на които е възложен надзорът на равнището на Съюза върху определени финансови субекти в съответствие с член 46 от посочения регламент, като например Европейската централна банка за кредитните институции, класифицирани като значими, които следва да се считат за компетентни по свързаните с тестването за проникване въпроси. Когато само някои от задачите, свързани с тестването за проникване, са делегирани на друг национален орган във финансовия сектор съгласно член 26, параграф 10 от Регламент (ЕС) 2022/2554, компетентният орган на финансовия субект, посочен в член 46 от същия регламент, следва да продължи да бъде органът, отговарящ за задачите, свързани с тестване за проникване, които не са били делегирани.
Препратки
(2) Като се има предвид сложността на тестването за проникване и свързаните с него рискове, използването му следва да бъде ограничено до онези финансови субекти, за които това е оправдано. Следователно органите, отговарящи за въпросите, свързани с тестването за проникване (органи в областта на тестването за проникване на равнището на Съюза или на национално равнище), следва да изключат от обхвата на тестването за проникване онези финансови субекти, които извършват дейност в основните подсектори на финансовите услуги, за които тестване за проникване не е оправдано. Това означава, че кредитните институции, платежните институции, институциите за електронни пари, централните депозитари, централните контрагенти, местата за търговия, застрахователните и презастрахователните предприятия, въпреки че отговарят на количествените критерии, могат да бъдат освободени от изискването за тестване за проникване с оглед на цялостната оценка на техния рисков профил в областта на ИКТ, степента на развитост на техните ИКТ, въздействието върху финансовия сектор и свързаните с това опасения за финансовата стабилност.
Препратки
(3) В светлината на цялостната оценка на рисковия профил в областта на ИКТ, степента на развитост на ИКТ, на въздействието върху финансовия сектор и на свързаните с това опасения за финансовата стабилност органите в областта на тестването за проникване следва да преценят дали всеки вид финансов субект, различен от кредитни институции, платежни институции, институции за електронни пари, централни контрагенти, централни депозитари на ценни книжа, места за търговия, застрахователни и презастрахователни предприятия, следва да подлежи на тестване за проникване. Оценката на това дали тези финансови субекти отговарят на тези качествени критерии следва да има за цел да идентифицира финансовите субекти, за които е целесъобразно да се прилага тестване за проникване, като се използват междусекторни и обективни показатели. В същото време оценката на това дали финансовият субект отговаря на тези качествени критерии следва да ограничи субектите, подлежащи на тестване за проникване, до онези, за които тестването е оправдано. Дали даден финансов субект отговаря на тези качествени критерии следва да се оценява и с оглед на развитието на новите пазари и на нарастващото значение на новите участници на пазара за финансовия сектор в бъдеще, включително доставчиците на услуги за криптоактиви, получили разрешение в съответствие с член 59 от Регламент (ЕС) 2023/1114 на Европейския парламент и на Съвета (2).
Препратки
(4) Финансовите субекти могат да имат един и същ вътрешногрупов доставчик на услуги в областта на ИКТ или да принадлежат към една и съща група и да използват общи системи на ИКТ. В този случай е важно органите в областта на тестването за проникване да вземат предвид структурата и системния характер на този финансов субект или значението му за финансовия сектор на национално равнище или на равнището на Съюза при оценката на това дали даден финансов субект следва да подлежи на тестване за проникване и дали тестването за проникване следва да се проведе на равнище субект или на равнище група (чрез съвместно тестване за проникване).
Препратки
(5) За да се отрази рамката TIBER-EU, е необходимо методиката за тестване да предвижда включване на следните основни участници: финансовия субект, разполагащ с контролен екип (огледален на „контролния екип“ съгласно TIBER-EU) и син екип (огледален на „синия екип“ съгласно TIBER-EU), и органа в областта на тестването за проникване под формата на киберекип за тестване за проникване (КТП) (огледален на екипите „TIBER Cyber Team“ съгласно TIBER-EU), доставчик на разузнавателни сведения за заплахи, както и лица, провеждащи тестове (като лицата, провеждащи тестове, са огледални на „доставчика на червен екип“ (red-team provider) съгласно TIBER-EU).
Препратки
(6) За да се гарантира, че при тестването за проникване ще се използва опитът, натрупан в хода на изпълнението на TIBER-EU, и за да се намалят рисковете, свързани с извършването на тестване за проникване, следва да се гарантира, че отговорностите на киберекипите за тестване за проникване, които ще бъдат създадени на равнището на органите в областта на тестването за проникване, съвпадат във възможно най-голяма степен с тези на киберекипите съгласно TIBER-EU. Следователно киберекипите за тестване за проникване следва да имат управляващи тестването лица, които да отговарят за надзора на индивидуалното тестване за проникване и за планирането и координирането на индивидуалните тестове. Киберекипите за тестване за проникване следва да служат като единно звено за контакт за свързана с тестовете комуникация с вътрешните и външните заинтересовани страни, за събиране и обработване на обратна информация и извлечени поуки от предишни тестове и за подкрепа на финансовите субекти, които са подложени на тестване за проникване.
Препратки
(7) За да отразяват методиката на рамката TIBER-EU, лицата, управляващи тестването, следва да притежават необходимите умения и способности да дават съвети и да подлагат на изпитание предложенията на лицата, провеждащи тестове. Опитът във връзка с рамката TIBER-EU доказа, че е полезно всеки тест да бъде възложен на екип от поне две лица, управляващи тестването. За да се отрази фактът, че тестването за проникване се използва за насърчаване на обучителния аспект, и за да се запази поверителността на тестовете, органите в областта на тестването за проникване енергично се насърчават — освен ако нямат затруднения, касаещи ресурсите или експертните знания — да обмислят възможността през периода на тестването за проникване лицата, управляващи тестването, да не извършват надзорни дейности по отношение на същия финансов субект, който е подложен на тестване за проникване.
Препратки
(8) За да се постигне съгласуваност с рамката TIBER-EU, е важно органът в областта на тестването за проникване да следи отблизо тестването през всеки един от етапите му. Като се имат предвид естеството на тестването и свързаните с него рискове, от основно значение е органът в областта на тестването за проникване да участва във всеки конкретен етап от тестването. По-специално следва да се направи консултация с органа в областта на тестването за проникване и той следва да утвърди онези оценки или решения на финансовите субекти, които може, от една страна, да повлияят на ефективността на теста и, от друга страна, да окажат въздействие върху рисковете, свързани с теста. Основните етапи, в които е необходимо специфично участие на органа в областта на тестването за проникване, включват утвърждаването на някои основни документи във връзка с тестването, както и избора на доставчици на разузнавателни сведения за заплахи и на лица, провеждащи тестове, и мерките за управление на риска. Участието на органите в областта на тестването за проникване, и по-специално при утвърждаването, не следва да води до прекомерна тежест за тези органи и съответно следва да бъде ограничено до онези документи и решения, които пряко засягат провеждането на тестване за проникване. Чрез активното си участие във всеки етап от тестването органите в областта на тестването за проникване могат ефективно да оценят съответствието на финансовите субекти с действащите изисквания, което следва да позволи на тези органи да издават удостоверения в изпълнение на член 26, параграф 7 от Регламент (ЕС) 2022/2554.
Препратки
(9) Тайният характер на тестването за проникване е от изключителна важност, за да се гарантира, че условията на тестовете са реалистични. Поради тази причина тестването следва да се провежда скрито и да се вземат предпазни мерки за запазване на поверителността на тестването за проникване, включително избора на кодови имена, които следва да са съставени така, че да предотвратят откриването на тестването за проникване от трети страни. Ако членовете на персонала, отговарящи за сигурността на финансовия екип, знаят за планирано или провеждащо се тестване за проникване, вероятно ще бъдат по-наблюдателни и бдителни, отколкото при обичайни работни условия, което ще доведе до промяна на резултата от тестването. Поради това членовете на персонала на финансовия субект извън контролния екип следва да бъдат информирани за всяко планирано или провеждано тестване за проникване само при наличието на състоятелни причини и при предварително съгласие на лицата, управляващи тестването, наред с другото, за да се гарантира тайната на теста, в случай че член на синия екип е открил тестването.
Препратки
(10) Както се вижда от опита, натрупан във връзка с рамката TIBER-EU по отношение на „контролния екип“, изборът на подходящ ръководител на контролния екип е изключително важен за безопасното провеждане на тестването за проникване. Ръководителят на контролния екип следва да има необходимите правомощия в рамките на финансовия субект, за да ръководи всички аспекти на тестването, без да застрашава неговия поверителен характер. По същата причина членовете на контролния екип следва да познават задълбочено финансовия субект, ролята на длъжността ръководител на контролния екип и стратегическото му позициониране, да имат необходимия стаж и да имат достъп до управителния съвет. За да се намали рискът от застрашаване на сигурността на тестването за проникване, контролният екип следва да бъде възможно най-малък.
Препратки
(11) При тестването за проникване са налице присъщи елементи на рискове, тъй като критичните функции се тестват в реално време в продукционна среда, като е възможно да бъдат предизвикани инциденти от типа „отказ на услуги“, неочаквани сривове на системата, повреди на критични системи в реално време в продукционна среда или загуба, промяна или разкриване на данни. Тези рискове подчертават необходимостта от надеждни мерки за управление на риска. За да се гарантира, че тестването за проникване се провежда по контролиран начин през цялото време на провеждане на тестовете, е много важно финансовите субекти във всеки един момент да са наясно с конкретните рискове, които възникват при тестването за проникване, и тези рискове да бъдат ограничени. Във връзка с това, без да се засягат вътрешните процеси на финансовия субект и отговорността и делегирането на правомощия, които вече са предоставени на ръководителя на контролния екип, може да е подходящо да се предостави информация за мерките за управление на риска, свързан с тестването за проникване, или, в конкретни случаи, одобряването на тези мерки за управление на риска от самия ръководен орган на финансовия субект. За да могат да се предоставят ефективни и най-квалифицирани професионални услуги и да се намалят тези рискове, от съществено значение е също така лицата, провеждащи тестове, и доставчиците на разузнавателни сведения за заплахи (заедно наричани доставчици на услуги в областта на тестването за проникване) да притежават умения, експертни познания и подходящ опит на най-високо равнище в областта на разузнавателните сведения за заплахи и тестването за проникване в сектора на финансовите услуги.
Препратки
(12) Чрез конвенционалните тестове за проникване се предоставя подробна и полезна оценка на техническите уязвими места и уязвимите места в конфигурацията, често на една-единствена система или среда в изолация, но за разлика от опиращия се на разузнавателни сведения тест чрез червен екип, те не позволяват да се оцени пълният сценарий на целенасочена атака срещу даден субект в неговата цялост, включително пълния обхват на свързаните с него лица, процеси и технологии. Ето защо по време на процеса на подбор на доставчици на услуги в областта на тестването за проникване финансовите субекти следва да се уверят, че тези доставчици притежават необходимите умения за извършване на опиращи се на разузнавателни сведения тестове чрез червен екип, а не само на тестове за проникване. Ето защо е необходимо да се определят изчерпателни критерии за лицата, провеждащи тестове — както вътрешни, така и външни лица, и за доставчиците на разузнавателни сведения за заплахи, които винаги са външни лица. Когато доставчиците на услуги в областта на тестването за проникване принадлежат към същото дружество, персоналът, на който е възложено дадено тестване за проникване, следва да бъде отделен по подходящ начин.
Препратки
(13) Възможно е да има извънредни обстоятелства, при които финансовите субекти да не са в състояние да сключат договори с доставчици на услуги в областта на тестването за проникване, които отговарят на изчерпателните критерии. Поради това на финансовите субекти следва да бъде разрешено да ангажират лица, които не отговарят на всички изчерпателни критерии, след като докажат, че не разполагат с такива доставчици на разузнавателни сведения за заплахи, при условие че надлежно ограничат произтичащите от това допълнителни рискове и че органът в областта на тестването за проникване оцени всички тези критерии.
Препратки
(14) Когато в тестването за проникване участват няколко финансови субекта и няколко органа в областта на тестването за проникване, ролите на всички страни в процеса на тестването за проникване следва да бъдат уточнени, за да се проведе най-ефективният и безопасен тест. За целите на съвкупното тестване са необходими специфични изисквания за уточняване на ролята на определения финансов субект, а именно, че той следва да отговаря за предоставянето на водещия орган в областта на тестването за проникване на цялата необходима документация, както и за наблюдението на процеса на тестване. Определеният финансов субект следва да отговаря и за общите аспекти на оценката на управлението на риска. Независимо от ролята на определения финансов субект изпълнението на задълженията на всеки финансов субект, участващ в процеса на съвкупното тестване за проникване, следва да остане незасегнато по време на съвкупното тестване. Същият принцип следва да се прилага и за съвместното тестване за проникване.
Препратки
(15) Както показва опитът от прилагането на рамката TIBER-EU, провеждането на присъствени или виртуални срещи с участието на всички заинтересовани страни (финансови субекти, органи, лица, провеждащи тестове, и доставчици на разузнавателни сведения за заплахи) е най-ефективният начин за осигуряване на подходящо провеждане на тестването. Поради това присъствени и виртуални срещи следва да се провеждат на различни етапи от процеса, и по-специално, по време на подготвителния етап — при привеждането в действие на тестването за проникване и при окончателното определяне на неговия обхват, по време на етапа на тестване — при оформянето на окончателния текст на доклада за разузнавателни сведения за заплахи и на плана за тестване чрез червен екип, както и при седмичните актуализации, и по време на етапа на приключване — при възпроизвеждането на действията на лицата, провеждащи тестове, и действията на синия екип, при техниката „лилав екип“ и при обмена на обратна информация относно тестването за проникване.
Препратки
(16) За да се гарантира безпрепятственото провеждане на тестването за проникване, органът в областта на тестването за проникване следва да представи на финансовия субект по ясен начин своите очаквания по отношение на тестването. В тази връзка лицата, управляващи тестването, следва да гарантират, че е установен подходящ информационен поток с контролния екип в рамките на финансовия субект и с доставчиците на услуги в областта на тестването за проникване.
Препратки
(17) Финансовият субект следва да избере критичните или важните функции, които ще попаднат в обхвата на тестването за проникване. При избора на тези функции финансовият субект следва да се основава на различни критерии, свързани със значението на всяка функция за самия финансов субект и за финансовия сектор на равнището на Съюза и на национално равнище, не само от икономическа гледна точка, но и като се отчита символичният или политическият статут на функцията. За да се улесни плавният преход към етапа на събиране на разузнавателни сведения за заплахи, контролният екип следва да предостави на провеждащите тестовете лица и на доставчика на разузнавателни сведения за заплахи, които не участват в процеса на определяне на обхвата, подробна информация относно договорения обхват.
Препратки
(18) За да предостави на лицата, провеждащи тестове, необходимата информация за симулиране на действителна и реалистична атака срещу системите на финансовия субект, които са в основата на неговите критични или важни функции, доставчикът на разузнавателни сведения за заплахи следва да събира разузнавателни сведения или информация, които обхващат поне две ключови области на интерес: целите — чрез идентифициране на потенциални уязвими на атаки аспекти в рамките на финансовия субект, и заплахите — чрез идентифициране на съответните автори на заплахи и на вероятни сценарии за заплахи. С цел да се гарантира, че доставчикът на разузнавателни сведения за заплахи взема предвид съответните заплахи за финансовия субект, лицата, провеждащи тестове, контролният екип и лицата, управляващи тестването, следва да предоставят обратна информация по проектодоклада за разузнавателни сведения за заплахи. Ако такава е налична, доставчикът на разузнавателни сведения за заплахи може да използва предоставената от органа в областта на тестването за проникване обща картина на заплахите за финансовия сектор на дадена държава членка като базов сценарий за националната картина на заплахите. Въз основа на прилагането на рамката TIBER-EU процесът на събиране на разузнавателни сведения за заплахи обикновено трае около 4 седмици.
Препратки
(19) За да могат лицата, провеждащи тестове, да придобият представа и да направят допълнителен преглед на документа със спецификацията на обхвата и доклада за целеви разузнавателни сведения за заплахи, за да оформят окончателния план за тестване чрез червен екип, от съществено значение е преди етапа на тестването за проникване чрез червен екип лицата, провеждащи тестове, да получат от доставчика на разузнавателни сведения за заплахи подробни обяснения относно доклада за целеви разузнавателни сведения за заплахи и анализ на възможните сценарии за заплахи.
Препратки
(20) За да се даде възможност на лицата, провеждащи тестове, да проведат реалистично и цялостно тестване, при което са изпълнени всички етапи на атаката и са достигнати главните цели, следва да се предвиди достатъчно време за етапа на активно тестване чрез червен екип. Въз основа на опита, натрупан с рамката TIBER-EU, предвиденото време следва да бъде най-малко 12 седмици и следва да се определи, като се вземат предвид броят на участващите страни, обхватът на тестването за проникване, ресурсите на участващия финансов субект или субекти, всички външни изисквания и наличието на подкрепяща информация, предоставена от финансовия субект.
Препратки
(21) По време на етапа на активно тестване чрез червен екип лицата, провеждащи тестове, следва да използват набор от тактики, техники и процедури (ТТП), за да тестват по подходящ начин в реално време в продукционна среда системите на финансовия субект. ТТП следва да съдържат, според случая, разузнаване (т.е. събиране на възможно най-много информация за дадена цел), подготовка (т.е. анализиране на информацията за инфраструктурата, съоръженията и служителите и подготовка за операции, специално насочени към целта), осъществяване (т.е. активно привеждане в действие на пълната операция спрямо целта), използване (т.е. когато целта на лицата, провеждащи тестове, е да застрашат сигурността на сървърите, мрежите на финансовия субект и да използват неговия персонал чрез социално инженерство), контрол и преминаване (т.е. опити за преминаване от системите със застрашена сигурност към допълнителни уязвими системи или системи с голямо значение) и действия спрямо целта (т.е. получаване на допълнителен достъп до системите със застрашена сигурност и придобиване на достъп до предварително съгласуваната информация и данни за целта, както е предварително договорено в плана за тестване чрез червен екип).
Препратки
(22) При провеждането на тестване за проникване лицата, провеждащи тестове, следва да вземат предвид времето, с което разполагат за извършване на атаката, ресурсите, както и етичните и правните граници. Ако лицата, провеждащи тестове, не са в състояние да преминат към програмирания следващ етап на атаката, контролният екип следва в някои случаи да им окаже съдействие, след съгласие от страна на органа в областта на тестването за проникване, под формата на „улеснения“. Улесненията може да бъдат разделени най-общо на улеснения, свързани с информацията, и улеснения, свързани с достъпа, и може да се състоят в предоставяне на достъп до системи на ИКТ или вътрешни мрежи, за да може тестът да продължи и усилията да се съсредоточат върху следващите стъпки на атаката.
Препратки
(23) По време на етапа на активно тестване чрез червен екип следва да се използва — ако това е необходимо с цел тестването за проникване да продължи като крайна мярка при извънредни обстоятелства и след като всички алтернативни възможности са изчерпани — съвместна дейност по тестване, която включва както лицата, провеждащи тестове, така и синия екип. В контекста на такава ограничена работа в лилав екип могат да се използват следните методи: „залавяне и освобождаване“ (catch-and-release), при който лицата, провеждащи тестове, се опитват да продължат сценариите, биват открити и след това подновяват тестването, „военни игри“ (war gaming), който позволява по-сложни сценарии за тестване на процеса на вземане на стратегически решения, или „съвместно доказване на концепцията“ (collaborative proof-of-concept), който позволява на лицата, провеждащи тестове, и членовете на синия екип съвместно да утвърдят конкретни мерки, инструменти или техники за сигурност в контролирана среда на сътрудничество.
Препратки
(24) Тестването за проникване следва да се използва като опит за придобиване на знания и практика за повишаване на оперативната устойчивост на финансовите субекти в цифровата сфера. В тази връзка синият екип и лицата, провеждащи тестове, следва да възпроизведат атаката и да прегледат предприетите стъпки, за да се извлекат поуки от тестването в сътрудничество с лицата, провеждащи тестове. За тази цел и за да се даде възможност за подходяща подготовка, докладът от теста чрез червен екип и докладът от теста чрез син екип следва да бъдат предоставени на всички страни, участващи в дейностите по възпроизвеждане, преди провеждането на каквито и да било дейности по възпроизвеждане. Освен това, за да се увеличи максимално опитът за придобиване на знания и практика, в етапа на приключване следва да се проведе действие чрез техниката „лилав екип“. Методите, които могат да се използват за техниката „лилав екип“ по време на етапа на приключване, следва да включват обсъждане на алтернативни сценарии за атака, проучване на алтернативни сценарии върху оперативни системи или повторно проучване на планирани сценарии върху оперативни системи, които лицата, провеждащи тестове, не са успели да завършат или изпълнят по време на етапа на тестване.
Препратки
(25) За да се улесни допълнително придобиването на знания и практически опит за всички страни, участващи в тестването за проникване, в полза на бъдещи тестове и за да се повиши цифровата оперативна устойчивост на финансовите субекти, заинтересованите страни следва да си предоставят обратна информация относно цялостния процес, и по-специално да определят кои дейности са се развили добре или биха могли да бъдат подобрени, както и кои аспекти на процеса на тестването за проникване са проработили добре или биха могли да бъдат подобрени.
Препратки
(26) Компетентните органи, посочени в член 46 от Регламент (ЕС) 2022/2554, и органите в областта на тестването за проникване, когато те са различни, следва да си сътрудничат, за да включат обстойното тестване чрез тестване за проникване в съществуващите процеси по надзор. В това отношение и за да се сподели правилното разбиране на констатациите от тестването за проникване и на начина, по който те следва да се тълкуват, е целесъобразно да се установи тясно сътрудничество между лицата, управляващи тестването, които са участвали в тестването за проникване, и отговорните органи за надзор, по-специално по отношение на обобщаващия доклад от теста и плановете за корективни мерки.
Препратки
(27) Член 26, параграф 8, първа алинея от Регламент (ЕС) 2022/2554 изисква от финансовите субекти да наемат външни лица, провеждащи тестове, на всеки три теста. Когато финансовите субекти включват в екипа от лица, провеждащи тестове, както вътрешни, така и външни такива лица, за целите на този член това следва да се счита за тестване за проникване, извършено с вътрешни лица, провеждащи тестовете.
Препратки
(28) Настоящият регламент се основава на проектите на регулаторни технически стандарти, представени на Комисията от Европейския банков орган, Европейския орган за застраховане и професионално пенсионно осигуряване, Европейския орган за ценни книжа и пазари (европейски надзорни органи — ЕНО) след съгласуване с Европейската централна банка.
Препратки
(29) Европейските надзорни органи проведоха открити обществени консултации по проектите на регулаторни технически стандарти, въз основа на които е изготвен настоящият регламент, анализираха потенциалните разходи и ползи и поискаха становище от Групата на участниците от банковия сектор, създадена в съответствие с член 37 от Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета (3), Групата на участниците от сектора на застраховането и презастраховането и Групата на участниците от професионалните пенсионни фондове, създадени в съответствие с член 37 от Регламент (ЕС) № 1094/2010 на Европейския парламент и на Съвета (4), и Групата на участниците от сектора на ценните книжа и пазарите, създадена в съответствие с член 37 от Регламент (ЕС) № 1095/2010 на Европейския парламент и на Съвета (5).
Препратки
(30) С Европейския надзорен орган по защита на данните беше извършена консултация в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (6) и той прие своето становище на 20 август 2024 г.,
Препратки

Член 1

Определения

За целите на настоящия регламент се прилагат следните определения:

1) „контролен екип“ означава екип, съставен от персонал на тествания финансов субект и, когато това е уместно с оглед на обхвата на тестването за проникване, от персонал на неговите доставчици на услуги трети страни и всяка друга страна, която управлява теста;

2) „ръководител на контролния екип“ означава член на персонала на финансовия субект, който отговаря за провеждането на всички свързани с тестването за проникване дейности за финансовия субект в контекста на даден тест;

3) „син екип“ означава персоналът на финансовия субект и, когато е приложимо, персоналът на доставчици на услуги трети страни и на всяка друга страна, която се счита, че е от значение с оглед на обхвата на тестването за проникване, на трети страни доставчици на услуги за финансовия субект, които защитават използването на мрежови и информационни системи от страна на финансовия субект чрез поддържане на неговия модел на киберсигурност срещу симулирани или реални атаки и които не са запознати с тестването за проникване;

4) „задачи на синия екип“ означава задачи, които обикновено се изпълняват от синия екип, като например център за операции по сигурността (ЦОС), услуги за инфраструктура на ИКТ, услуги на звено за компютърна поддръжка, услуги за управление на инциденти на оперативно равнище;

5) „червен екип“ означава вътрешните или външните лица, провеждащи тестове, които са договорно наети за целите на тестването за проникване или на които то е възложено;

6) „лилав екип“ означава съвместна дейност по тестване, в която участват както лицата, провеждащи тестове, така и синият екип;

7) „орган в областта на тестването за проникване“ означава всяко от следните лица:

а) единният публичен орган във финансовия сектор, определен в съответствие с член 26, параграф 9 от Регламент (ЕС) 2022/2554;

б) органът във финансовия сектор, на който е делегирано изпълнението на някои или на всички задачи, свързани с тестването за проникване, в съответствие с член 26, параграф 10 от Регламент (ЕС) 2022/2554;

в) всеки от компетентните органи, посочени в член 46 от Регламент (ЕС) 2022/2554;

8) „киберекип за тестване за проникване“, или „КТП“, означава персоналът на органите в областта на тестването за проникване, който отговаря за въпроси, свързани с тестването за проникване;

9) „лица, управляващи тестването“ означава персонал, определен да води дейностите на органа в областта на тестването за проникване за конкретно тестване за проникване с цел да следи за спазването на настоящия регламент;

10) „доставчик на разузнавателни сведения за заплахи“ означава експертите, които са договорно наети от финансовия субект за всяко тестване за проникване и са външни за финансовия субект и за вътрешногруповите доставчици на услуги в областта на ИКТ, ако има такива, и които събират и анализират целеви разузнавателни сведения за заплахи, свързани с финансовите субекти в обхвата на конкретно тестване за проникване, и разработват съответни подходящи и достоверни сценарии за заплахи;

11) „доставчици на услуги в областта на тестването за проникване“ означава лица, провеждащи тестове, и доставчици на разузнавателни сведения за заплахи;

12) „улеснение“ означава помощта или информацията, предоставена от контролния екип на лицата, провеждащи тестове, за да им се даде възможност да продължат изпълнението на пътя за извършване на атака, когато не са в състояние да напреднат сами и когато не съществува друга разумна алтернатива, включително поради недостатъчно време или ресурси за дадено тестване за проникване;

13) „път за извършване на атака“ означава маршрутът, следван от лицата, провеждащи тестове, по време на етапа на активно тестване за проникване чрез червен екип, за да достигнат до главните цели, определени за даденото тестване за проникване;

14) „главни цели“ са ключови цели в системите на ИКТ, поддържащи критични или важни функции на финансовия субект, които лицата, провеждащи тестове, се опитват да достигнат чрез теста;

15) „чувствителна информация“ означава информация, която може лесно да бъде използвана за извършване на атаки срещу системите на ИКТ на финансовия субект, интелектуална собственост, поверителни стопански данни или лични данни, които могат пряко или косвено да навредят на финансовия субект и на неговата екосистема, ако попаднат в ръцете на злонамерени участници;

16) „съвкупност“ означава всички финансови субекти, участващи в съвкупно тестване за проникване в съответствие с член 26, параграф 4 от Регламент (ЕС) 2022/2554;

17) „приемаща държава членка“ означава приемащата държава членка в съответствие със секторното право на Съюза, приложимо за всеки финансов субект;

18) „съвместно тестване за проникване“ означава тестване за проникване, различно от съвкупно тестване за проникване, както е посочено в член 26, параграф 4 от Регламент (ЕС) 2022/2554, включващо няколко финансови субекта, които използват един и същ вътрешногрупов доставчик на услуги в областта на ИКТ или принадлежат към една и съща група и използват общи системи на ИКТ.

Препратки

Член 2

Определяне на финансовите субекти, от които се изисква да извършват тестване за проникване

1.Органите в областта на тестването за проникване преценяват дали от даден финансов субект се изисква да извършва тестване за проникване, като вземат предвид въздействието на тези финансови субекти, системния им характер и техния рисков профил в областта на ИКТ, въз основа на всички изброени по-долу критерии:

а) фактори, свързани с въздействието, и фактори, свързани със системния характер:

i) размера на финансовия субект, определен въз основа на това дали финансовият субект предоставя финансови услуги в една или повече държави членки и чрез сравняване на дейностите на финансовия субект с тези на други финансови субекти, предоставящи подобни услуги;

ii) степента и естеството на взаимосвързаност на финансовия субект с други финансови субекти от финансовия сектор в една или повече държави членки;

iii)

критичната значимост или важността на услугите, които финансовият субект предоставя на финансовия сектор;

iv) степента, в която могат да бъдат заменени услугите, които предоставя финансовият субект;

v) сложността на бизнес модела на финансовия субект и свързаните с него услуги и процеси;

vi) дали финансовият субект е част от група със системен характер на равнището на Съюза или на национално равнище във финансовия сектор и използва общи системи на ИКТ;

б) рискови фактори, свързани с ИКТ:

i) рисковия профил на финансовия субект;

ii) картината на заплахите за финансовия субект;

iii)

степента на зависимост на критичните или важните функции или на поддържащите ги функции на финансовия субект от системите и процесите на ИКТ;

iv) сложността на архитектурата на ИКТ на финансовия субект;

v) услугите и функциите на ИКТ, поддържани от трети страни доставчици на услуги в областта на ИКТ, както и броя и вида на договорните споразумения с трети страни доставчици на услуги в областта на ИКТ или вътрешногрупови доставчици на услуги в областта на ИКТ;

vi) резултатите от всички надзорни прегледи, свързани с оценката на степента на развитост на ИКТ на финансовия субект;

vii)

степента на развитост на плановете за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ;

viii)

степента на развитост на мерките за откриване на инциденти във връзка с оперативната сигурност на ИКТ и смекчаване на последиците за тях, включително способността за:

1) постоянно наблюдение на инфраструктурата на ИКТ на финансовия субект;

2) откриване на събития, свързани с ИКТ, в реално време;

3) анализиране на събитията, посочени в подточка 2;

4) своевременно и ефективно реагиране на събитията, посочени в подточка 2;

ix) дали финансовият субект е част от група, действаща във финансовия сектор на равнището на Съюза или на национално равнище, която използва общи системи на ИКТ.

За целите на буква а), точка i) органът в областта на тестването за проникване, когато е възможно, взема предвид:

а) позицията на финансовия субект по отношение на пазарния му дял на равнището на Съюза и на национално равнище;

б) обхвата на дейностите, предлагани от финансовия субект;

в) пазарния дял на услугите, предоставяни от финансовия субект, или на дейностите, извършвани на равнището на Съюза и на национално равнище.

за целите на буква а), точка v) органът в областта на тестването за проникване, когато е възможно, взема предвид:

а) дали финансовият субект прилага повече от един бизнес модел;

б) степента на взаимосвързаност на различните работни процеси и свързаните с тях услуги.

2.Органите в областта на тестването за проникване изискват от всички изброени по-долу финансови субекти да извършват тестване за проникване, освен ако посочената в параграф 1 оценка по отношение на даден финансов субект показва, че неговото въздействие, опасенията за финансовата стабилност, свързани с този финансов субект, или неговият рисков профил в областта на ИКТ не оправдават извършването на тестване за проникване:

а) кредитни институции, които отговарят на някое от следните условия:

i) те са определени като глобални системно значими институции (Г-СЗИ) в съответствие с член 131 от Директива 2013/36/ЕС на Европейския парламент и на Съвета ;

ii) те са определени като други системно значими институции (Д-СЗИ) в съответствие с член 131 от Директива 2013/36/ЕС;

iii)

те са част от Г-СЗИ или Д-СЗИ;

б) платежни институции, чиито платежни операции, както са определени в член 4, точка 5 от Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета , са надхвърлили обща стойност от 150 милиарда евро през всяка от двете календарни години, предхождащи оценката от страна на органа в областта на тестването за проникване;

в) институции за електронни пари, чиито платежни операции, както са определени в член 4, точка 5 от Директива (ЕС) 2015/2366, са надхвърлили обща стойност от 150 милиарда евро, или чиито електронни пари в обращение са надхвърлили обща стойност от 40 милиарда евро през всяка от двете календарни години, предхождащи оценката на органа в областта на тестването за проникване;

г) централни депозитари на ценни книжа;

д) централни контрагенти;

е) места за търговия с електронна система за търговия, които отговарят на някой от следните критерии:

i) мястото за търговия има най-голям пазарен дял по отношение на оборота на национално равнище през всяка от двете календарни години, предхождащи оценката от органа в областта на тестването за проникване, в някоя от следните области:

1) прехвърлими ценни книжа съгласно определението в член 4, параграф 1, точка 44, буква а) от Директива 2014/65/ЕС на Европейския парламент и на Съвета ;

2) прехвърлими ценни книжа съгласно определеното в член 4, параграф 1, точка 44, буква б) от Директива 2014/65/ЕС;

3) деривати съгласно определението в член 2, параграф 1, точка 29 от Регламент (ЕС) № 600/2014 на Европейския парламент и на Съвета (10);

4) структурирани финансови продукти съгласно определението в член 2, параграф 1, точка 28 от Регламент (ЕС) № 600/2014;

5) „квоти за емисии“, както са посочени в раздел В, точка 11 от приложение I към Директива 2014/65/ЕС;

ii) мястото за търговия има пазарен дял по отношение на оборота на равнището на Съюза, който надхвърля 5 % през всяка от двете календарни години, предхождащи оценката на органа в областта на тестването за проникване, в някоя от следните области:

1) акции в дружества и други ценни книжа, еквивалентни на акции в дружества, съдружия или други субекти, както и депозитарни разписки във връзка с акции;

2) облигации или други форми на секюритизиран дълг, включително депозитарни разписки във връзка с тези ценни книжа;

3) деривати, както са определени в член 2, параграф 1, точка 29 от Регламент (ЕС) № 600/2014;

4) структурирани финансови продукти съгласно определението в член 2, параграф 1, точка 28 от Регламент (ЕС) 600/2014;

5) квоти за емисии, както са посочени в раздел В, точка 11 от приложение I към Директива 2014/65/ЕС;

ж) застрахователни и презастрахователни предприятия, които отговарят на всички изброени по-долу критерии:

i) имат брутна записана премия (БЗП), която надхвърля 1 500 000 000 EUR;

ii) имат технически резерви, които надхвърлят 10 000 000 000 EUR;

iii)

застрахователни предприятия, които извършват само животозастрахователни дейности или извършват както животозастрахователни, така и общозастрахователни дейности, и които имат общи активи, надвишаващи 3,5 % от сумата на общите активи, оценени в съответствие с член 75 от Директива 2009/138/ЕО на Европейския парламент и на Съвета (11), на застрахователните и презастрахователните предприятия, установени в държавата членка.

За целите на буква е), точка ii), когато мястото за търговия е част от група, която използва общи системи на ИКТ или един и същ вътрешногрупов доставчик на услуги в областта на ИКТ, се взема предвид оборотът на договорите за ценни книжа и деривати на всички места за търговия, принадлежащи към същата група и установени в Съюза.

За целите на буква ж) органите в областта на тестването за проникване определят подгрупа от всички застрахователни и презастрахователни предприятия, като прилагат критериите, посочени в буква ж), точки i), ii) и iii). От застрахователните и презастрахователните предприятия, включени в тази подгрупа, се изисква да извършват тестване за проникване, когато отговарят и на някой от следните критерии:

а) брутна записана премия (БЗП), която надхвърля 3 000 000 000 EUR;

б) технически резерви, които надхвърлят 30 000 000 000 EUR;

в) общи активи, които надхвърлят 10 % от сумата на общите активи, оценени в съответствие с член 75 от Директива 2009/138/ЕО, на застрахователните и презастрахователните предприятия, установени в държавата членка.

3.Когато повече от един финансов субект, принадлежащ към една и съща група и използващ общи системи на ИКТ, или когато повече от един финансов субект, използващ същия вътрешногрупов доставчик на услуги в областта на ИКТ, отговаря на критериите, посочени в параграф 2, органите в областта на тестването за проникване на тези финансови субекти преценяват, в съответствие с член 16, параграф 2, дали изискването за извършване на тестване за проникване на индивидуална основа е приложимо за тези финансови субекти.

Когато органът в областта на тестването за проникване на предприятието майка на група от финансови субекти, посочени в първа алинея, е различен от органите в областта на тестването за проникване на финансовите субекти от групата, органите в областта на тестването за проникване на финансовите субекти, принадлежащи към тази група, се консултират с посочения орган относно целесъобразността на тестването за проникване на индивидуална основа.

Препратки

Член 3

КТП и лица, управляващи тестването за проникване

1.Органът в областта на тестването за проникване възлага на КТП отговорността по координирането на дейностите, свързани с тестването за проникване. КТП се състои от лица, управляващи тестването, на които е възложено да наблюдават дадено индивидуално тестване за проникване.

2.За всяко тестване органът в областта на тестването за проникване определя лице, управляващо тестването, и поне един негов заместник.

3.Лицата, управляващи тестването, следят дали се спазват изискванията, определени в настоящия регламент, и гарантират, че те се спазват.

4.Лицето, управляващо тестването, съобщава на финансовия субект данните за контакт на КТП чрез уведомлението, посочено в член 9, параграф 1.

5.Органът в областта на тестването за проникване участва във всички етапи на тестването за проникване.

Препратки

Член 4

Организационни правила за финансовите субекти

1.Финансовите субекти назначават ръководител на контролния екип, който отговаря за текущото управление на тестването за проникване, както и за решенията и действията на контролния екип.

2.Финансовите субекти въвеждат организационни и процедурни мерки, за да гарантират, че:

а) достъпът до информация, отнасяща се до всяко планирано или текущо тестване за проникване, е ограничен въз основа на принципа „необходимост да се знае“ до контролния екип, ръководния орган, лицата, провеждащи тестове, доставчика на разузнавателни сведения за заплахи и органа в областта на тестването за проникване;

б) контролният екип се консултира с лицата, управляващи тестването, преди включването на който и да е член на синия екип в тестването за проникване;

в) контролният екип бива информиран за всяко откриване на тестване за проникване от страна на членове на персонала на финансовия субект или на неговите доставчици на услуги, които са трети страни; в случай на ескалация на реакцията при инцидента, когато е необходимо, контролният екип ограничава такава ескалация;

г) са въведени правила, свързани с тайната на тестването за проникване, приложими за персонала на финансовия субект, за персонала на съответните трети страни доставчици на услуги в областта на ИКТ, за лицата, провеждащи тестове, и за доставчика на разузнавателни сведения за заплахи;

д) при поискване контролният екип предоставя на лицата, управляващи тестването, всякаква информация, свързана с тестването за проникване;

е) когато е възможно, страните, участващи в тестването за проникване, го посочват само с кодовото му име.

Препратки

Член 5

Управление на риска, свързан с тестването за проникване

1.По време на подготвителния етап, посочен в член 9, контролният екип оценява рисковете, свързани с тестването в реално време в продукционна среда на системите за критични или важни функции на финансовия субект, включително потенциалните въздействия върху:

а) финансовия сектор;

б) финансовата стабилност на равнището на Съюза или на национално равнище.

Контролният екип прави преглед на тези въздействия през цялата продължителност на тестването.

2.За целите на оценката и управлението на риска контролният екип взема предвид най-малко следните видове рискове, свързани с:

а) предоставяне на достъп на доставчика на разузнавателни сведения за заплахи и на външните лица, провеждащи тестове, когато е приложимо, до чувствителна информация за финансовия субект;

б) липса на съответствие на тестването за проникване с Регламент (ЕС) 2022/2554 и с настоящия регламент, когато тази липса на съответствие води до липса на удостоверението, посочено в член 26, параграф 7 от Регламент (ЕС) 2022/2554, включително когато тази липса на съответствие се дължи на нарушаване на поверителността на тестването за проникване или на липса на етично поведение;

в) ескалация на кризисни ситуации и инциденти;

г) етапа на активно тестване чрез червен екип, включително рисковете, свързани с прекъсването на критични дейности и повреждането на данни поради дейността на лицата, провеждащи тестове, както и потенциалното им въздействие върху трети страни;

д) дейността на синия екип, включително рисковете, свързани с прекъсването на критични дейности и повреждането на данни поради дейността на синия екип, както и потенциалното им въздействие върху трети страни;

е) непълното възстановяване на системите, засегнати от тестването за проникване.

Препратки

Член 6

Управление на риска, свързан със съвкупно или съвместно тестване за проникване

1.В случай на съвместно тестване за проникване или на съвкупно тестване за проникване контролният екип на всеки финансов субект извършва своя собствена оценка на риска и установява собствени мерки за управление на риска.

2.Контролният екип на определения финансов субект, посочен в член 16, параграф 3, буква б) от настоящия регламент, или на финансовия субект, определен в съответствие с член 26, параграф 4 от Регламент (ЕС) 2022/2554, оценява рисковете, свързани с участието в тестването за проникване на множество финансови субекти. Контролните екипи на участващите финансови субекти си сътрудничат с контролния екип на определения финансов субект, за да идентифицират потенциални общи рискове.

Препратки

Член 7

Подбор на доставчици на услуги в областта на тестването за проникване

1.Контролният екип предприема мерки за управление на рисковете, свързани с тестването за проникване, и по-специално гарантира, че за всяко тестване за проникване:

а) доставчикът на разузнавателни сведения за заплахи и външните лица, провеждащи тестове, предоставят на контролния екип подробна автобиография и копия от удостоверения, които според признатите пазарни стандарти са подходящи за изпълнението на техните дейности;

б) доставчикът на разузнавателни сведения за заплахи и лицето, провеждащо тестове, разполагат с надлежно и цялостно застрахователно покритие за професионална отговорност включително срещу риска от неправомерно поведение и небрежност;

в) доставчикът на разузнавателни сведения за заплахи предоставя поне три препоръки във връзка с предишни задания в контекста на тестването за проникване и тестването чрез червен екип;

г) външните лица, провеждащи тестове, предоставят поне пет препоръки във връзка с предишни задания, свързани с тестване за проникване и тестване чрез червен екип;

д) персоналът на доставчика на разузнавателни сведения за заплахи, на който е възложено за тестването за проникване:

i) се състои от поне един ръководител с поне 5-годишен опит в областта на разузнавателните сведения за заплахи и поне още един член с поне 2-годишен опит в областта на разузнавателните сведения за заплахи;

ii) показва широк спектър и подходящо равнище на професионални знания и умения, включително:

1) тактики, техники и процедури за събиране на разузнавателни сведения;

2) познания по геополитическите, техническите и секторните въпроси;

3) подходящи комуникационни умения за ясно представяне и докладване на резултатите от ангажимента;

iii)

е участвал, общо за членовете му, в поне три предишни задания в областта на разузнавателните сведения за заплахи в контекста на тестване за проникване и тестване чрез червен екип;

iv) не изпълнява едновременно задачи на син екип или други услуги, които могат да представляват конфликт на интереси по отношение на финансовия субект, третата страна доставчик на услуги в областта на ИКТ или вътрешногруповия доставчик на услуги в областта на ИКТ, участващи в тестването за проникване, което му е възложено;

v) е отделен от персонала на същия доставчик на услуги в областта на тестването за проникване, който осигурява външни лица, провеждащи тестове, за същото тестване за проникване, и не се отчита пред него;

е) по отношение на външните лица, провеждащи тестове, червеният екип, на който е възложено тестването за проникване:

i) се състои от поне един ръководител с поне 5-годишен опит в областта на тестването за проникване и тестването чрез червен екип, както и от поне две допълнителни лица, провеждащи тестове, всяко от които има поне 2-годишен опит в областта на тестването за проникване и тестването чрез червен екип;

ii) показва широк спектър и подходящо равнище на професионални знания и умения, включително познания за дейността на финансовия субект, в областта на разузнаването, управлението на риска, разработването на експлойти, физическото проникване, социалното инженерство, анализа на уязвимите места, както и подходящи комуникационни умения за ясно представяне и докладване на резултатите от ангажимента;

iii)

е участвал, общо за членовете му, в поне пет предишни задания, свързани с тестване за проникване и тестване чрез червен екип;

iv) не е нает и не предоставя услуги на доставчик на разузнавателни сведения за заплахи, който едновременно с това изпълнява задачи на син екип за финансов субект, трета страна доставчик на услуги в областта на ИКТ или вътрешногрупов доставчик на услуги в областта на ИКТ, участващ в тестването за проникване;

v) е отделен от всеки член на персонала на същия доставчик на услуги в областта на тестването за проникване, който едновременно предоставя услуги за разузнавателни сведения за заплахи за същото тестване за проникване;

ж) лицата, провеждащи тестове, и доставчикът на разузнавателни сведения за заплахи извършват процедури по възстановяване в края на тестването, включително сигурно заличаване на информацията, свързана с пароли, пълномощни и други секретни ключове, чиято сигурност е била застрашена по време на тестването за проникване, сигурна комуникация с финансовите субекти за сметките, чиято сигурност е била застрашена, сигурно събиране, съхранение, управление и унищожаване на други данни, събрани по време на тестването;

з) в допълнение към процедурите по възстановяване в края на тестването, посочени в буква ж), лицата, провеждащи тестове, извършват следните процедури по възстановяване:

i) деактивиране на командването и контрола;

ii) ключове за „аварийно изключване“ (kill switch) във връзка с обхвата и датата;

iii)

премахване на задни вратички и друг зловреден софтуер;

iv) уведомяване за потенциални нарушения на сигурността;

v) процедури за бъдещо възстановяване на резервни копия, които могат да се отнасят до зловреден софтуер или инструменти, инсталирани по време на теста;

vi) наблюдение на дейностите на синия екип и информиране на контролния екип за евентуално откриване на инциденти;

и) лицата, провеждащи тестове, и доставчикът на разузнавателни сведения за заплахи не извършват и не участват в нито една от следните дейности:

i) неразрешено унищожаване на оборудването на финансовия субект и на неговите трети страни доставчици на услуги в областта на ИКТ, ако има такива;

ii) неконтролирана промяна на информацията и на активите в областта на ИКТ на финансовия субект и на неговите трети страни доставчици на услуги в областта на ИКТ, ако има такива;

iii)

умишлено застрашаване на непрекъснатостта на критични или важни функции на финансовия субект;

iv) неразрешено включване на системи извън обхвата;

v) неразрешено разкриване на резултатите от тестовете.

2.Контролният екип води записи за документацията, предоставена от лицата, провеждащи тестове, и от доставчиците на разузнавателни сведения за заплахи, за да докаже спазването на параграф 1, букви а)—е).

При извънредни обстоятелства финансовите субекти могат да сключват договори с външни лица, провеждащи тестове, и с доставчици на разузнавателни сведения за заплахи, които не отговарят на едно или повече от изискванията, посочени в параграф 1, букви а)—е), при условие че тези финансови субекти приемат мерки, които са подходящи за намаляване на рисковете, свързани с неспазването на тези точки, и регистрират тези мерки.

Препратки

Член 8

Специфични особености на съвкупното или съвместното тестване за проникване

1.Освен ако водещият орган в областта на тестването за проникване реши друго, когато няколко финансови субекта, определени в съответствие с член 16, параграф 2 или параграф 4, участват в съвкупно или в съвместно тестване за проникване, всеки финансов субект следва всяка от стъпките, посочени в членове 9—15.

2.Освен ако в настоящия регламент е предвидено друго, когато няколко органа в областта на тестването за проникване участват в съвместно тестване за проникване или в съвкупно тестване за проникване, както е посочено в член 16, параграф 3 или параграф 5, позоваванията в членове 9—15 на „орган в областта на тестването за проникване“ се разбират като позоваване на водещия орган в областта на тестването за проникване за такова съвкупно или съвместно тестване за проникване.

Препратки

Член 9

Подготвителен етап

1.Финансовият субект, определен в съответствие с член 26, параграф 8, трета алинея от Регламент (ЕС) 2022/2554, задейства тестване за проникване след уведомление от органа в областта на тестването за проникване, че трябва да се извърши тестване за проникване.

2.В срок от три месеца след получаване на уведомлението по параграф 1 финансовият субект предоставя на лицата, управляващи тестването, цялата описана по-долу информация за задействане на тестването за проникване:

а) план на проекта, който включва обобщен план, съдържащ информацията, посочена в приложение I;

б) данните за контакт на ръководителя на контролния екип;

в) информация за планираното използване на вътрешни или външни лица, провеждащи тестове, или и на двата вида лица, когато е уместно, както е описано в член 15;

г) информация за комуникационните канали, които ще се използват по време на тестването за проникване;

д) кодовото име на тестването за проникване.

3.Когато информацията, посочена в параграф 2, букви а)—д), е пълна и гарантира пригодността и ефективното изпълнение на тестването за проникване, органът в областта на тестването за проникване утвърждава информацията за задействане на тестването за проникване на финансовия субект и уведомява финансовия субект за това.

4.След утвърждаването на информацията за задействане на тестването за проникване от органа в областта на тестването за проникване финансовият субект създава контролен екип, който да подпомага ръководителя на контролния екип в изпълнението на неговите задачи по:

а) определяне на каналите и процесите за комуникация в рамките на контролния екип, с лицата, провеждащи тестове, и с доставчиците на разузнавателни сведения за заплахи по всички въпроси, свързани с тестването за проникване;

б) информиране на ръководния орган на финансовия субект за напредъка на тестването за проникване и свързаните с него рискове;

в) вземане на решения въз основа на експертни познания в областта на тестването за проникване;

г) изпълнение на тестването за проникване в съответствие с настоящия регламент;

д) подбор на доставчик на разузнавателни сведения за заплахи за тестването за проникване;

е) подбор на външни лица, провеждащи тестове, на вътрешни лица, провеждащи тестове, или и на двете;

ж) изготвяне на документа със спецификацията на обхвата.

5.Когато органът в областта на тестването за проникване счита, че първоначалният състав на контролния екип и всички последващи промени в него са подходящи за изпълнението на задачите по параграф 4, органът в областта на тестването за проникване утвърждава контролния екип и уведомява ръководителя на контролния екип за това.

6.Финансовият субект представя на лицата, управляващи тестването, документ със спецификацията на обхвата, съдържащ цялата информация, посочена в приложение II, в срок от шест месеца от получаването на посоченото в параграф 1 уведомление от органа в областта на тестването за проникване. Ръководният орган на финансовия субект одобрява документа със спецификацията на обхвата.

7.Финансовите субекти вземат предвид следните критерии за включването на критични или важни функции в обхвата на тестването за проникване:

а) критичната значимост или важността на функцията и нейното възможно въздействие върху финансовия сектор и финансовата стабилност на равнището на Съюза и на национално равнище;

б) значението на функцията за всекидневното осъществяване на дейността на финансовия субект;

в) заменяемостта на функцията;

г) взаимовръзката с други функции;

д) географското местоположение на функцията;

е) секторната зависимост на други субекти от функцията;

ж) когато има такива, разузнавателни сведения за заплахите, свързани с функцията.

8.Контролният екип споделя информацията за задействане на тестването за проникване и документа със спецификацията на обхвата с лицата, провеждащи тестове, и с доставчиците на разузнавателни сведения за заплахи, след като те бъдат договорно наети. Контролният екип информира лицата, провеждащи тестове, и доставчиците на разузнавателни сведения за заплахи за процеса на тестване, който трябва да бъде следван.

9.Финансовият субект гарантира, че възлагането на поръчки или на задания на лица, провеждащи тестове, и на доставчици на разузнавателни сведения за заплахи е завършено преди задействането на етапа на тестване.

10.Преди задействането на етапа на тестване контролният екип се консултира с лицата, управляващи тестването, относно оценката на свързания с тестването за проникване риск и мерките за управление на риска. Контролният екип преразглежда оценката на риска или мерките за управление на риска, когато органът в областта на тестването за проникване е на мнение, че те не отговарят по подходящ начин на рисковете, свързани с тестването за проникване.

11.Контролният екип оценява съответствието на доставчиците на разузнавателни сведения за заплахи и на лицата, провеждащи тестове, които смята да включи в тестването за проникване, с изискванията, определени в член 27 от Регламент (ЕС) 2022/2554 и в член 7, параграф 1 от настоящия регламент, и документира резултата от тази оценка. Контролният екип подбира доставчиците на разузнавателни сведения за заплахи в съответствие с тази оценка и с практиките си за управление на риска. Преди да сключи договор с подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, контролният екип предоставя на лицата, управляващи тестването, доказателства за съответствието на тези доставчици на разузнавателни сведения за заплахи и на тези лица, провеждащи тестове, с изискванията, установени в член 27 от Регламент (ЕС) 2022/2554, и с член 7, параграф 1 от настоящия регламент. Контролният екип не пристъпва към сключване на договори с подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, когато органът в областта на тестването за проникване е на мнение, че подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, не отговарят на изискванията по член 27 от Регламент (ЕС) 2022/2554 или на изискванията, установени в член 7, параграф 1 от настоящия регламент, или на допълнителните изисквания, произтичащи от националните законодателства в областта на сигурността в съответствие с правото на Съюза, или когато финансовият субект не отговаря на изискванията на член 7, параграф 2, първа алинея от настоящия регламент, или когато не са налице обстоятелствата, посочени в член 7, параграф 2, втора алинея от настоящия регламент.

12.Когато документът със спецификацията на обхвата е изцяло завършен и обезпечава извършването на подходящо и ефективно тестване за проникване, органът в областта на тестването за проникване одобрява този документ и информира за това ръководителя на контролния екип.

Препратки

Член 10

Етап на тестване: разузнавателни сведения за заплахи

1.След одобрението на документа със спецификацията на обхвата от страна на органа в областта на тестването за проникване доставчикът на разузнавателни сведения за заплахи анализира общите и специфичните за сектора разузнавателни сведения за заплахи, отнасящи се до финансовия субект. Когато органът в областта на тестването за проникване е предоставил обща картина на заплахите за финансовия сектор на дадена държава членка, доставчикът на разузнавателни сведения за заплахи може да използва тази картина като базов сценарий за националната картина на заплахите. Доставчикът на разузнавателни сведения за заплахи идентифицира киберзаплахите и съществуващите или потенциалните уязвими места, свързани с финансовия субект. Освен това доставчикът на разузнавателни сведения за заплахи събира информация и анализира конкретни, приложими и относими към контекста разузнавателни сведения за целите и заплахите, свързани с финансовия субект, включително чрез консултации с контролния екип и лицата, управляващи тестването.

2.Доставчикът на разузнавателни сведения за заплахи представя съответните заплахи и целеви разузнавателни сведения за заплахи, като предлага необходимите сценарии на контролния екип, на лицата, провеждащи тестове, и на лицата, управляващи тестването. Предложените сценарии се различават по отношение на идентифицираните автори на заплахи и свързаните с тях тактики, техники и процедури и са насочени към всяка критична или важна функция в обхвата на тестването за проникване.

3.Ръководителят на контролния екип избира най-малко три сценария за провеждане на тестването за проникване въз основа на всички изброени по-долу елементи:

а) препоръката от страна на доставчика на разузнавателни сведения за заплахи и основания на заплахите характер на всеки сценарий;

б) входящите данни, предоставени от лицата, управляващи тестването;

в) осъществимостта на предложените за изпълнение сценарии въз основа на експертната преценка на лицата, провеждащи тестове;

г) размера, сложността и цялостния рисков профил на финансовия субект и естеството, мащаба и сложността на неговите услуги, дейности и операции.

4.Не повече от един от избраните сценарии може да не е свързан със заплаха и може да се основава на перспективна и потенциално фиктивна заплаха с висока прогностична, изпреварваща, опортюнистична или перспективна стойност предвид очакваното развитие на картината на заплахите, засягащи финансовия субект.

За съвкупно тестване за проникване, без да се засягат сценариите, насочени пряко към критичните или важните функции на финансовите субекти, участващи в тестването, поне един сценарий включва съответните базови системи на ИКТ, процеси и технологии за ИКТ на третата страна доставчик на услуги в областта на ИКТ, които поддържат включените в обхвата критични или важни функции на финансовите субекти.

Когато тестването представлява съвместно тестване за проникване с участието на вътрешногрупов доставчик на услуги в областта на ИКТ, без да се засягат сценариите, насочени пряко към критичните или важните функции на финансовите субекти, участващи в теста, поне един сценарий включва съответните базови системи на ИКТ, процеси и технологии за ИКТ на вътрешногруповия доставчик на услуги в областта на ИКТ, които поддържат включените в обхвата критични или важни функции на финансовите субекти.

5.Доставчикът на разузнавателни сведения за заплахи предоставя на контролния екип доклада за целеви разузнавателни сведения за заплахи, включително сценариите, избрани в съответствие с параграфи 3 и 4. Докладът за разузнавателни сведения за заплахи съдържа информацията, изложена в приложение III.

6.Контролният екип представя доклада за целеви разузнавателни сведения за заплахи на управляващото тестването лице за одобрение. Когато доклада за целеви разузнавателни сведения за заплахи е изцяло завършен и обезпечава извършването на ефективно тестване за проникване, органът в областта на тестването за проникване одобрява доклада за целеви разузнавателни сведения за заплахи и информира за това ръководителя на контролния екип.

Препратки

Член 11

Етап на тестване: Тест чрез червен екип

1.След одобрението от органа в областта на тестването за проникване на доклада за целеви разузнавателни сведения за заплахи лицата, провеждащи тестове, изготвят плана за тестване чрез червен екип, който съдържа информацията, посочена в приложение IV. Лицата, провеждащи тестове, използват документа със спецификацията на обхвата и доклада за целеви разузнавателни сведения за заплахи като основа за изготвянето на сценарии за атаки.

2.Лицата, провеждащи тестове, се консултират с контролния екип, доставчика на разузнавателни сведения за заплахи и лицата, управляващи тестването, относно плана за тестване чрез червен екип, включително правилата за комуникация, процедурите и организацията на управлението на проекта, подготовката и случаите на използване, в които се активират улесненията, както и правилата за докладване на контролния екип и на лицата, управляващи тестването.

3.Когато планът за тестване чрез червен екип е изцяло завършен и обезпечава извършването на ефективно тестване за проникване, контролният екип и органът в областта на тестването за проникване одобряват плана за тестване чрез червен екип, а органът в областта на тестването за проникване информира за това ръководителя на контролния екип.

4.След одобряване на плана за тестване чрез червен екип в съответствие с параграф 3 лицата, провеждащи тестове, извършват тестването за проникване по време на етапа на активно тестване чрез червен екип.

5.Продължителността на етапа на активно тестване чрез червен екип е пропорционална на обхвата на тестването за проникване, на мащаба, дейността, сложността и броя на финансовите субекти и третите страни доставчици на услуги в областта на ИКТ или на вътрешногруповите доставчици на услуги в областта на ИКТ, участващи в тестването за проникване, като във всички случаи продължава най-малко 12 седмици. Сценариите за атаки може да се изпълняват последователно или едновременно. Контролният екип, доставчикът на разузнавателни сведения за заплахи, лицата, провеждащи тестове, и лицата, управляващи тестването, се споразумяват за края на етапа на активно тестване чрез червен екип.

6.При условие че се гарантира, че планът за тестване чрез червен екип остава пълен и позволява извършването на ефективно тестване за проникване, ръководителят на контролния екип и лицата, управляващи тестването, одобряват всички промени в плана за тестване чрез червен екип след неговото одобрение, включително промени в графика, обхвата, целевите системи или главните цели.

7.По време на целия етап на активно тестване чрез червен екип лицата, провеждащи тестове, докладват поне веднъж седмично на контролния екип и на лицата, управляващи тестването, за напредъка, постигнат по тестването за проникване, а доставчикът на разузнавателни сведения за заплахи остава на разположение за консултации и допълнителни разузнавателни сведения за заплахи, когато това бъде поискано от страна на контролния екип.

8.Контролният екип своевременно предоставя улеснения, разработени въз основа на плана за тестване чрез червен екип. Улеснения може да бъдат добавяни или адаптирани след одобрение от контролния екип и лицата, управляващи тестването.

9.В случай на откриване на дейностите по тестване от който и да е член на персонала на финансовия субект или на неговите трети страни доставчици на услуги в областта на ИКТ, или на вътрешногрупов доставчик на услуги в областта на ИКТ, когато е приложимо, контролният екип, след консултация с лицата, провеждащи тестове, и без да се засяга параграф 10, предлага и представя за утвърждаване от управляващите тестването лица мерки, позволяващи продължаване на тестването за проникване, като се гарантира неговият таен характер.

10.При извънредни обстоятелства, пораждащи рискове от въздействие върху данните, увреждане на активите и прекъсване на критични или важни функции, услуги или операции на самия финансов субект, на неговите трети страни доставчици на услуги в областта на ИКТ или на вътрешногрупови доставчици на услуги в областта на ИКТ, или прекъсване на работата на неговите партньори или на финансовия сектор, ръководителят на контролния екип може да спре тестването за проникване или, в краен случай, когато продължаването на тестването за проникване не е възможно по друг начин и след предварително утвърждаване от органа в областта на тестването за проникване, да продължи тестването за проникване, като използва в ограничена степен техниката „лилав екип“. Продължителността на ограниченото използване на техниката „лилав екип“ се взема предвид за целите на 12-седмичната минимална продължителност на етапа на активно тестване чрез червен екип, посочена в параграф 5.

Препратки

Член 12

Етап на приключване на процеса

1.След края на етапа на активно тестване чрез червен екип ръководителят на контролния екип информира синия екип, че е било проведено тестване за проникване.

2.В рамките на четири седмици след края на етапа на активното тестване чрез червен екип лицата, провеждащи тестове, представят на контролния екип доклад от теста, проведен чрез червен екип, съдържащ информацията, посочена в приложение V.

3.Контролният екип предоставя без неоправдано забавяне доклада от теста чрез червен екип на синия екип и на лицата, управляващи тестването.

По искане на лицата, управляващи тестването, докладът по първата алинея не съдържа чувствителна информация.

4.След получаването на доклада от теста, проведен чрез червен екип, и не по-късно от 10 седмици след края на етапа на активно тестване чрез червен екип синият екип представя на контролния екип доклад от теста, проведен чрез син екип, съдържащ информацията, посочена в приложение VI. Контролният екип предоставя без неоправдано забавяне доклада от теста чрез син екип на лицата, провеждащи тестове, и на лицата, управляващи тестването.

По искане на лицата, управляващи тестването, докладът по първата алинея не съдържа чувствителна информация.

5.Не по-късно от 10 седмици след края на етапа на активно тестване чрез червен екип синият екип и лицата, провеждащи тестове, възпроизвеждат действията по атакуване и защита, извършени по време на тестването за проникване. Контролният екип провежда също така учение по техниката „лилав екип“ по теми, определени съвместно от синия екип и лицата, провеждащи тестове, въз основа на уязвимите места, установени по време на теста, и, когато е уместно, по въпроси, които не е било възможно да бъдат тествани по време на етапа на активно тестване чрез червен екип.

6.След приключването на действията по възпроизвеждане и работа в лилав екип контролният екип, синият екип, лицата, провеждащи тестове, и доставчиците на разузнавателни сведения за заплахи си предоставят взаимно обратна информация относно процеса на тестване за проникване. Лицата, управляващи тестването, може да предоставят обратна информация.

7.След като органът в областта на тестването за проникване уведоми ръководителя на контролния екип, че е преценил, че докладът от теста чрез син екип и докладът от теста чрез червен екип съдържат информацията, посочена в приложения V и VI, в срок от 8 седмици финансовият субект представя за одобрение на органа в областта на тестването за проникване, както е посочено в член 26, параграф 6 от Регламент (ЕС) 2022/2554, доклада за обобщение на съответните констатации от тестването за проникване, съдържащ елементите, посочени в приложение VII.

По искане на органа в областта на тестването за проникване докладът, посочен в първата алинея, не съдържа чувствителна информация.

Препратки

Член 13

План за корективни мерки

1.В срок от 8 седмици от уведомлението, посочено в член 12, параграф 7 от настоящия регламент, финансовият субект предоставя плановете за корективни мерки и документацията, посочена в член 26, параграф 6 от Регламент (ЕС) 2022/2554, на органа в областта на тестването за проникване и, когато е различен, на компетентния орган на финансовия субект.

2.Планът за корективни мерки, посочен в параграф 1, включва за всяка констатация, установена в рамките на тестването за проникване:

а) описание на установените слабости;

б) описание на предложените корективни мерки и приоритетния им ред, както и на очакваното им изпълнение, включително, когато е уместно, мерки за подобряване на определянето, защитата, откриването на тестване и способностите за реакция;

в) анализ на първопричините;

г) персонала или функциите на финансовия субект, отговарящи за изпълнението на предложените корективни мерки или подобрения;

д) рисковете, свързани с неизпълнението на мерките, посочени в буква б), и, когато е уместно, рисковете, свързани с изпълнението на тези мерки.

Препратки

Член 14

Удостоверение

1.Удостоверението, посочено в член 26, параграф 7 от Регламент (ЕС) 2022/2554, съдържа информацията, посочена в приложение VIII.

2.Когато няколко органа в областта на тестването за проникване участват в тестването за проникване, водещият орган в областта на тестването за проникване предоставя удостоверението, посочено в член 26, параграф 7 от Регламент (ЕС) 2022/2554, на тестваните финансови субекти.

Препратки

Член 15

Използване на вътрешни лица, провеждащи тестове

1.Финансовите субекти установяват всички изброени по-долу правила за използване на вътрешни лица, провеждащи тестове:

а) създаване и прилагане на политика за управление на вътрешните лица, провеждащи тестове, при тестването за проникване;

б) мерки, които да гарантират, че използването на вътрешни лица, провеждащи тестове, за извършване на тестването за проникване не оказва отрицателно въздействие върху общия капацитет за защита или за устойчивост на финансовия субект по отношение на инциденти с ИКТ, или не оказва значително въздействие върху наличността на ресурсите, предназначени за задачи, свързани с ИКТ, по време на тестването за проникване;

в) мерки, за да се гарантира, че вътрешните лица, провеждащи тестове, разполагат с достатъчно ресурси и възможности за извършване на тестването за проникване.

политиката, посочена в буква а):

а) съдържа критерии за оценка на пригодността, компетентността и потенциалните конфликти на интереси на вътрешните лица, провеждащи тестове, и определя отговорностите на ръководството в процеса на тестване;

б) се документира и се подлага на периодичен преглед;

в) предвижда, че вътрешният екип за тестване включва ръководител на тестването и поне двама допълнителни членове;

г) изисква всички членове на екипа за теста да са били наети от финансовия субект или от вътрешногрупов доставчик на услуги в областта на ИКТ през предходните 12 месеца;

д) включва разпоредби за обучение на вътрешните лица, провеждащи тестове, за извършване на тестване за проникване и тестване чрез червен екип.

2.Когато органът в областта на тестването за проникване одобрява използването на вътрешни лица, провеждащи тестове, в съответствие с член 27, параграф 2, буква а) от Регламент (ЕС) 2022/2554, той взема предвид изискванията, посочени в член 7, параграф 1 от настоящия регламент.

3.Когато използва вътрешни лица, провеждащи тестове, финансовият субект гарантира, че това използване е упоменато в следните документи:

а) информацията за задействане на теста по член 9;

б) доклада от теста чрез червен екип по член 12, параграф 2;

в) доклада, обобщаващ съответните констатации от тестването за проникване, посочен в член 26, параграф 6 от Регламент (ЕС) 2022/2554.

4.Провеждащите тестове лица, наети от вътрешногрупов доставчик на услуги в областта на ИКТ, се считат за вътрешни провеждащи тестове лица на финансовия субект.

Препратки

Член 16

Сътрудничество и взаимно признаване

1.За целите на провеждането на тестване за проникване по отношение на финансов субект, който предоставя услуги в повече от една държава членка, включително чрез клон, неговият орган в областта на тестването за проникване:

а) определя кои органи в областта на тестването за проникване в приемащите държави членки трябва да участват, като взема предвид дали една или повече критични или важни функции се изпълняват в приемащите държави членки или са общи между тях;

б) информира органите в областта на тестването за проникване, определени в съответствие с буква а), за решението за провеждане на тестване за проникване по отношение на финансовия субект;

в) освен ако е договорено друго от органите в областта на тестването за проникване, органът в областта на тестването за проникване на финансовия субект ръководи тестването за проникване.

В рамките на 20 работни дни от получаването на информацията за бъдещо провеждане на тестване за проникване органите в областта на тестването за проникване на приемащите държави членки могат да изразят интереса си да проследят тестването за проникване като наблюдатели или да възложат на лице, управляващо тестването, да участва в тестването за проникване. Водещият орган в областта на тестването за проникване предоставя на всички органи в областта на тестването за проникване, изпълняващи ролята на наблюдатели при тестването за проникване, документа със спецификацията на обхвата, обобщаващия доклад от теста, плана за корективни мерки и удостоверението.

Водещият орган в областта на тестването за проникване координира всички участващи органи в областта на тестването за проникване по време на тестването и приема всички решения, необходими за правилното и ефективно провеждане на тестването за проникване. Водещият орган в областта на тестването за проникване може да определи максимален брой на участващите органи в областта на тестването за проникване, когато в противен случай ефективното провеждане на тестването за проникване може да бъде застрашено.

2.Когато финансов субект използва същия вътрешногрупов доставчик на услуги в областта на ИКТ като финансови субекти, установени в други държави членки, или принадлежи към група и използва общи системи на ИКТ с финансови субекти от същата група, установени в други държави членки, органът в областта на тестването за проникване на този финансов субект се свързва с органите в областта на тестването за проникване на другите финансови субекти, които използват същия вътрешногрупов доставчик на услуги в областта на ИКТ или общи системи на ИКТ като част от групата, и заедно с тях оценява осъществимостта и целесъобразността на провеждането спрямо тях на съвместно тестване за проникване. Съвместно тестване за проникване се предпочита пред индивидуално тестване за проникване, когато това може да доведе до намаляване на разходите и ресурсите на финансовите субекти и на органите в областта на тестването за проникване, при условие че не се засягат надеждността и ефикасността на тестването.

3.За целите на провеждането на съвместно тестване за проникване:

а) органите в областта на тестването за проникване на финансовите субекти се договарят кой финансов субект да бъде определен да проведе тестването за проникване, като вземат под внимание структурата на групата и ефикасността на тестването;

б) органът в областта на тестването за проникване на финансовия субект, определен в съответствие с буква а), води тестването за проникване, освен ако органите в областта на тестването за проникване на финансовите субекти, участващи в съвместното тестване за проникване, не се договорят друго;

в) органите в областта на тестването за проникване на финансовите субекти, различни от финансовия субект, определен да води съвместното тестване за проникване, може да изразят интереса си да проследят тестването за проникване като наблюдатели или да възложат на лице, управляващо тестването, да участва в тестването за проникване.

Водещият орган в областта на тестването за проникване координира всички органи в областта на тестването за проникване, които участват в съвместното тестване за проникване, и приема всички необходими решения за провеждането на съвместното тестване за проникване по надежден и ефективен начин.

4.Когато даден финансов субект възнамерява да проведе съвкупно тестване за проникване, както е посочено в член 26, параграф 4 от Регламент (ЕС) 2022/2554, с евентуално участие на финансови субекти, установени в други държави членки, неговият орган в областта на тестването за проникване се свързва с органите в областта на тестването за проникване на другите финансови субекти и заедно с тях оценява осъществимостта и целесъобразността на провеждането по отношение на тях на съвкупно тестване за проникване в съответствие с член 26, параграф 4 от Регламент (ЕС) 2022/2554.

5.За целите на провеждането на съвкупно тестване за проникване, както е посочено в член 26, параграф 4 от Регламент (ЕС) 2022/2554:

а) органите в областта на тестването за проникване на финансовите субекти се договарят кой финансов субект да бъде определен да осъществи съвкупното тестване за проникване, като вземат под внимание услугите в областта на ИКТ, предоставяни от третата страна доставчик на услуги в областта на ИКТ за финансовите субекти, и ефикасността на теста;

б) органът в областта на тестването за проникване на финансовия субект, определен в съответствие с буква а), води тестването за проникване, освен ако органите в областта на тестването за проникване на финансовите субекти, участващи в съвкупното тестване за проникване, не се договорят друго;

в) органите в областта на тестването за проникване на финансовите субекти, различни от финансовия субект, определен да води съвкупното тестване за проникване, може да изразят интереса си да проследят тестването за проникване като наблюдатели или да възложат на лице, управляващо тестването, да участва в тестването за проникване.

Водещият орган в областта на тестването за проникване координира всички органи в областта на тестването за проникване, които участват в съвкупното тестване за проникване, и приема всички необходими решения за провеждане на съвкупното тестване за проникване по надежден и ефективен начин.

6.Когато органът в областта на тестването за проникване на финансов субект, от който се изисква да извършва тестване за проникване, се различава от компетентния орган за този субект, както е посочено в член 46 от Регламент (ЕС) 2022/2554, тези органи обменят всякаква относима информация по всички въпроси, свързани с тестването за проникване, за целите на извършването на тестването за проникване или на изпълнението на задълженията си в съответствие с посочения регламент.

Препратки

Член 17

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Мерки по въвеждане
Зареждане ...