Anhang V | Inhalt des red-team-testberichts (artikel 12 absatz 2)

Der Red-Team-Testbericht enthält mindestens Informationen zu allen folgenden Punkten:

Informationen über den durchgeführten Angriff, einschließlich Angaben zu
1. den angegriffenen kritischen oder wichtigen Funktionen und ermittelten IKT-Systemen, -Prozessen und -Technologien, die die kritische oder wichtige Funktioneine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde; unterstützen, wie im Red-Team-Testplan festgelegt,
2. Zusammenfassung jedes Szenarios,
3. erreichte und nicht erreichte Flags,
4. erfolgreich und nicht erfolgreich verfolgte Angriffspfade,
5. erfolgreich und nicht erfolgreich angewandte Taktiken, Techniken und Verfahren,
6. etwaige Abweichungen vom Red-Team-Testplan,
7. etwaige Hilfestellungen,
alle Aktivitäten, von denen die Tester wissen, dass sie vom Blue Team durchgeführt wurden, um den Angriff zu rekonstruieren und seine Auswirkungen abzumildern,
festgestellte Schwachstellen und andere Probleme, einschließlich:
1. Beschreibung der Schwachstelleeine Schwachstelle, Empfindlichkeit oder Fehlfunktion eines Vermögenswerts, eines Systems, eines Prozesses oder einer Kontrolle, die ausgenutzt werden kann; und anderer Probleme, einschließlich ihrer Kritikalität,
2. Ursachenanalyse erfolgreicher Angriffe,
3. Empfehlungen für Abhilfemaßnahmen mit Priorisierung.