Член 9

Подготвителен етап

1.Финансовият субект, определен в съответствие с член 26, параграф 8, трета алинея от Регламент (ЕС) 2022/2554, задейства тестване за проникване след уведомление от органа в областта на тестването за проникване, че трябва да се извърши тестване за проникване.

2.В срок от три месеца след получаване на уведомлението по параграф 1 финансовият субект предоставя на лицата, управляващи тестването, цялата описана по-долу информация за задействане на тестването за проникване:

а) план на проекта, който включва обобщен план, съдържащ информацията, посочена в приложение I;

б) данните за контакт на ръководителя на контролния екип;

в) информация за планираното използване на вътрешни или външни лица, провеждащи тестове, или и на двата вида лица, когато е уместно, както е описано в член 15;

г) информация за комуникационните канали, които ще се използват по време на тестването за проникване;

д) кодовото име на тестването за проникване.

3.Когато информацията, посочена в параграф 2, букви а)—д), е пълна и гарантира пригодността и ефективното изпълнение на тестването за проникване, органът в областта на тестването за проникване утвърждава информацията за задействане на тестването за проникване на финансовия субект и уведомява финансовия субект за това.

4.След утвърждаването на информацията за задействане на тестването за проникване от органа в областта на тестването за проникване финансовият субект създава контролен екип, който да подпомага ръководителя на контролния екип в изпълнението на неговите задачи по:

а) определяне на каналите и процесите за комуникация в рамките на контролния екип, с лицата, провеждащи тестове, и с доставчиците на разузнавателни сведения за заплахи по всички въпроси, свързани с тестването за проникване;

б) информиране на ръководния орган на финансовия субект за напредъка на тестването за проникване и свързаните с него рискове;

в) вземане на решения въз основа на експертни познания в областта на тестването за проникване;

г) изпълнение на тестването за проникване в съответствие с настоящия регламент;

д) подбор на доставчик на разузнавателни сведения за заплахи за тестването за проникване;

е) подбор на външни лица, провеждащи тестове, на вътрешни лица, провеждащи тестове, или и на двете;

ж) изготвяне на документа със спецификацията на обхвата.

5.Когато органът в областта на тестването за проникване счита, че първоначалният състав на контролния екип и всички последващи промени в него са подходящи за изпълнението на задачите по параграф 4, органът в областта на тестването за проникване утвърждава контролния екип и уведомява ръководителя на контролния екип за това.

6.Финансовият субект представя на лицата, управляващи тестването, документ със спецификацията на обхвата, съдържащ цялата информация, посочена в приложение II, в срок от шест месеца от получаването на посоченото в параграф 1 уведомление от органа в областта на тестването за проникване. Ръководният орган на финансовия субект одобрява документа със спецификацията на обхвата.

7.Финансовите субекти вземат предвид следните критерии за включването на критични или важни функции в обхвата на тестването за проникване:

а) критичната значимост или важността на функцията и нейното възможно въздействие върху финансовия сектор и финансовата стабилност на равнището на Съюза и на национално равнище;

б) значението на функцията за всекидневното осъществяване на дейността на финансовия субект;

в) заменяемостта на функцията;

г) взаимовръзката с други функции;

д) географското местоположение на функцията;

е) секторната зависимост на други субекти от функцията;

ж) когато има такива, разузнавателни сведения за заплахите, свързани с функцията.

8.Контролният екип споделя информацията за задействане на тестването за проникване и документа със спецификацията на обхвата с лицата, провеждащи тестове, и с доставчиците на разузнавателни сведения за заплахи, след като те бъдат договорно наети. Контролният екип информира лицата, провеждащи тестове, и доставчиците на разузнавателни сведения за заплахи за процеса на тестване, който трябва да бъде следван.

9.Финансовият субект гарантира, че възлагането на поръчки или на задания на лица, провеждащи тестове, и на доставчици на разузнавателни сведения за заплахи е завършено преди задействането на етапа на тестване.

10.Преди задействането на етапа на тестване контролният екип се консултира с лицата, управляващи тестването, относно оценката на свързания с тестването за проникване риск и мерките за управление на риска. Контролният екип преразглежда оценката на риска или мерките за управление на риска, когато органът в областта на тестването за проникване е на мнение, че те не отговарят по подходящ начин на рисковете, свързани с тестването за проникване.

11.Контролният екип оценява съответствието на доставчиците на разузнавателни сведения за заплахи и на лицата, провеждащи тестове, които смята да включи в тестването за проникване, с изискванията, определени в член 27 от Регламент (ЕС) 2022/2554 и в член 7, параграф 1 от настоящия регламент, и документира резултата от тази оценка. Контролният екип подбира доставчиците на разузнавателни сведения за заплахи в съответствие с тази оценка и с практиките си за управление на риска. Преди да сключи договор с подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, контролният екип предоставя на лицата, управляващи тестването, доказателства за съответствието на тези доставчици на разузнавателни сведения за заплахи и на тези лица, провеждащи тестове, с изискванията, установени в член 27 от Регламент (ЕС) 2022/2554, и с член 7, параграф 1 от настоящия регламент. Контролният екип не пристъпва към сключване на договори с подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, когато органът в областта на тестването за проникване е на мнение, че подбраните доставчици на разузнавателни сведения за заплахи и външни лица, провеждащи тестове, не отговарят на изискванията по член 27 от Регламент (ЕС) 2022/2554 или на изискванията, установени в член 7, параграф 1 от настоящия регламент, или на допълнителните изисквания, произтичащи от националните законодателства в областта на сигурността в съответствие с правото на Съюза, или когато финансовият субект не отговаря на изискванията на член 7, параграф 2, първа алинея от настоящия регламент, или когато не са налице обстоятелствата, посочени в член 7, параграф 2, втора алинея от настоящия регламент.

12.Когато документът със спецификацията на обхвата е изцяло завършен и обезпечава извършването на подходящо и ефективно тестване за проникване, органът в областта на тестването за проникване одобрява този документ и информира за това ръководителя на контролния екип.