Член 5

Управление на риска, свързан с тестването за проникване

1.По време на подготвителния етап, посочен в член 9, контролният екип оценява рисковете, свързани с тестването в реално време в продукционна среда на системите за критични или важни функции на финансовия субект, включително потенциалните въздействия върху:

а) финансовия сектор;

б) финансовата стабилност на равнището на Съюза или на национално равнище.

Контролният екип прави преглед на тези въздействия през цялата продължителност на тестването.

2.За целите на оценката и управлението на риска контролният екип взема предвид най-малко следните видове рискове, свързани с:

а) предоставяне на достъп на доставчика на разузнавателни сведения за заплахи и на външните лица, провеждащи тестове, когато е приложимо, до чувствителна информация за финансовия субект;

б) липса на съответствие на тестването за проникване с Регламент (ЕС) 2022/2554 и с настоящия регламент, когато тази липса на съответствие води до липса на удостоверението, посочено в член 26, параграф 7 от Регламент (ЕС) 2022/2554, включително когато тази липса на съответствие се дължи на нарушаване на поверителността на тестването за проникване или на липса на етично поведение;

в) ескалация на кризисни ситуации и инциденти;

г) етапа на активно тестване чрез червен екип, включително рисковете, свързани с прекъсването на критични дейности и повреждането на данни поради дейността на лицата, провеждащи тестове, както и потенциалното им въздействие върху трети страни;

д) дейността на синия екип, включително рисковете, свързани с прекъсването на критични дейности и повреждането на данни поради дейността на синия екип, както и потенциалното им въздействие върху трети страни;

е) непълното възстановяване на системите, засегнати от тестването за проникване.