Source: OJ L, 2025/1190, 18.6.2025
Current language: SV
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Bilaga IV Innehåll i planen för rött lag-testning (artikel 11.1)
Planen för rött lag-testning ska innehålla samtliga av följande uppgifter:
Kommunikationskanaler och kommunikationsrutiner.
Taktiker, teknik och förfaranden som är tillåtna respektive inte tillåtna att använda i angreppet, inklusive etiska gränser för social manipulering.
De riskhanteringsåtgärder som testarna ska följa.
En beskrivning av varje scenario, inklusive följande:
Den simulerade hotaktören.
Dennes avsikt, motivation och mål.
Funktionen eller funktionerna som är angreppsmål och stödjande IKT-system (ett eller flera).
Konfidentialitets-, integritets-, tillgänglighets- och autenticitetsaspekter som utgör mål.
Flaggor.
En detaljerad beskrivning av varje förväntad angreppsväg, inklusive förutsättningar och eventuella hjälpinsatser som ledningslaget kan tillhandahålla, inklusive tidsfrister för deras tillhandahållande och potentiella användning.
Planeringen av rött lag-aktiviteter, inklusive tidsplanering för genomförandet av varje scenario, åtminstone uppdelat i de tre faser som en testare genomgår under testfasen, närmare bestämt intrång i de finansiella entiteternas IKT-system, förflyttning genom IKT-systemen och slutligen genomförande av angrepp på målen samt därefter lämnande av IKT-systemen (faserna in, genom och ut).
Egenskaper hos de finansiella entiteternas infrastruktur som ska beaktas under testningen.
I förekommande fall, ytterligare information eller andra resurser som testarna behöver för att genomföra scenarierna.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.