Член 1

Определения

За целите на настоящия регламент се прилагат следните определения:

1) „контролен екип“ означава екип, съставен от персонал на тествания финансов субект и, когато това е уместно с оглед на обхвата на тестването за проникване, от персонал на неговите доставчици на услуги трети страни и всяка друга страна, която управлява теста;

2) „ръководител на контролния екип“ означава член на персонала на финансовия субект, който отговаря за провеждането на всички свързани с тестването за проникване дейности за финансовия субект в контекста на даден тест;

3) „син екип“ означава персоналът на финансовия субект и, когато е приложимо, персоналът на доставчици на услуги трети страни и на всяка друга страна, която се счита, че е от значение с оглед на обхвата на тестването за проникване, на трети страни доставчици на услуги за финансовия субект, които защитават използването на мрежови и информационни системи от страна на финансовия субект чрез поддържане на неговия модел на киберсигурност срещу симулирани или реални атаки и които не са запознати с тестването за проникване;

4) „задачи на синия екип“ означава задачи, които обикновено се изпълняват от синия екип, като например център за операции по сигурността (ЦОС), услуги за инфраструктура на ИКТ, услуги на звено за компютърна поддръжка, услуги за управление на инциденти на оперативно равнище;

5) „червен екип“ означава вътрешните или външните лица, провеждащи тестове, които са договорно наети за целите на тестването за проникване или на които то е възложено;

6) „лилав екип“ означава съвместна дейност по тестване, в която участват както лицата, провеждащи тестове, така и синият екип;

7) „орган в областта на тестването за проникване“ означава всяко от следните лица:

а) единният публичен орган във финансовия сектор, определен в съответствие с член 26, параграф 9 от Регламент (ЕС) 2022/2554;

б) органът във финансовия сектор, на който е делегирано изпълнението на някои или на всички задачи, свързани с тестването за проникване, в съответствие с член 26, параграф 10 от Регламент (ЕС) 2022/2554;

в) всеки от компетентните органи, посочени в член 46 от Регламент (ЕС) 2022/2554;

8) „киберекип за тестване за проникване“, или „КТП“, означава персоналът на органите в областта на тестването за проникване, който отговаря за въпроси, свързани с тестването за проникване;

9) „лица, управляващи тестването“ означава персонал, определен да води дейностите на органа в областта на тестването за проникване за конкретно тестване за проникване с цел да следи за спазването на настоящия регламент;

10) „доставчик на разузнавателни сведения за заплахи“ означава експертите, които са договорно наети от финансовия субект за всяко тестване за проникване и са външни за финансовия субект и за вътрешногруповите доставчици на услуги в областта на ИКТ, ако има такива, и които събират и анализират целеви разузнавателни сведения за заплахи, свързани с финансовите субекти в обхвата на конкретно тестване за проникване, и разработват съответни подходящи и достоверни сценарии за заплахи;

11) „доставчици на услуги в областта на тестването за проникване“ означава лица, провеждащи тестове, и доставчици на разузнавателни сведения за заплахи;

12) „улеснение“ означава помощта или информацията, предоставена от контролния екип на лицата, провеждащи тестове, за да им се даде възможност да продължат изпълнението на пътя за извършване на атака, когато не са в състояние да напреднат сами и когато не съществува друга разумна алтернатива, включително поради недостатъчно време или ресурси за дадено тестване за проникване;

13) „път за извършване на атака“ означава маршрутът, следван от лицата, провеждащи тестове, по време на етапа на активно тестване за проникване чрез червен екип, за да достигнат до главните цели, определени за даденото тестване за проникване;

14) „главни цели“ са ключови цели в системите на ИКТ, поддържащи критични или важни функции на финансовия субект, които лицата, провеждащи тестове, се опитват да достигнат чрез теста;

15) „чувствителна информация“ означава информация, която може лесно да бъде използвана за извършване на атаки срещу системите на ИКТ на финансовия субект, интелектуална собственост, поверителни стопански данни или лични данни, които могат пряко или косвено да навредят на финансовия субект и на неговата екосистема, ако попаднат в ръцете на злонамерени участници;

16) „съвкупност“ означава всички финансови субекти, участващи в съвкупно тестване за проникване в съответствие с член 26, параграф 4 от Регламент (ЕС) 2022/2554;

17) „приемаща държава членка“ означава приемащата държава членка в съответствие със секторното право на Съюза, приложимо за всеки финансов субект;

18) „съвместно тестване за проникване“ означава тестване за проникване, различно от съвкупно тестване за проникване, както е посочено в член 26, параграф 4 от Регламент (ЕС) 2022/2554, включващо няколко финансови субекта, които използват един и същ вътрешногрупов доставчик на услуги в областта на ИКТ или принадлежат към една и съща група и използват общи системи на ИКТ.