(61) За да се използват наличните на корпоративно равнище вътрешни ресурси, настоящият регламент следва да позволи използването на вътрешни лица, провеждащи тестове, за целите на извършването на тестване за проникване, при условие че е налице одобрение от страна на лицето, осъществяващо надзор, няма конфликт на интереси и се прилага периодично редуване при използването на вътрешни и външни лица, провеждащи тестове (на всеки три теста), като същевременно се изисква доставчикът на разузнавателните сведения за заплахи в тестването за проникване винаги да бъде външно лице за финансовия субект. Отговорността за провеждането на тестването за проникване следва да остане изцяло на финансовия субект. Удостоверенията, предоставяни от органите, следва да бъдат единствено за целите на взаимното признаване и не следва да изключват евентуални последващи действия, необходими за справяне с риска в областта на ИКТ, на който е изложен финансовият субект, нито следва да се разглеждат като надзорно одобрение на капацитета на финансовия субект за управление и намаляване на риска в областта на ИКТ.