чл. 27 Регламент (ЕС) 2022/2554 - препратки от право на ЕС
Член 27
Изисквания към лицата, провеждащи тестване за проникване
1. За провеждането на тестване за проникване финансовите субекти използват само лица, провеждащи такива тестове, които:
а) са най-подходящи за целта и са с най-добра репутация;
б) разполагат с необходимия технически и организационен капацитет и притежават специална експертни познания в областта на разузнавателните сведения за заплахи, тестването за проникване и тестването на защитните механизми при симулиране на реални условия (червен екип);
в) са акредитирани от акредитиращ орган на държава членка или се придържат към официални етични кодекси или изисквания;
г) предоставят независима гаранция или одитен доклад за доброто управление на рисковете, свързани с провеждането на тестване за проникване, включително подходяща защита на поверителната информация на финансовия субект и средства за правна защита във връзка с рисковете за дейността на финансовия субект;
д) разполагат с надлежно и цялостно застрахователно покритие за професионална отговорност, включително срещу риска от неправомерно поведение и небрежност.
2. При използване на вътрешни лица, провеждащи тестове, финансовите субекти гарантират, че наред с изискванията по параграф 1, са изпълнени и следните условия:
а) такова използване е одобрено от съответния компетентен орган или от единния публичен орган, определен в съответствие с член 26, параграфи 9 и 10;
б) съответният компетентен орган се е уверил, че финансовият субект отделя достатъчно ресурси и гарантира, че конфликтите на интереси се избягват по време на етапите на проектиране и изпълнение на теста; и
в) доставчикът на разузнавателни сведения за заплахи е външно лице спрямо финансовия субект.
3. Финансовите субекти гарантират, че в договорите, сключени с външни лица, провеждащи тестове, се изисква добро управление на резултатите от тестването за проникване, и че обработването на данни въз основа на тях, включително всякакво генериране, съхраняване, обобщаване, описване, докладване, съобщаване или унищожаване, не поражда рискове за финансовия субект.
Препратки от актове 
Относими Актове на ЕС