Artikel 6 Riskhantering i samband med gemensam eller samlad hotbildsstyrd penetrationstestning

När det rör sig om en gemensam hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. eller en samlad hotbildsstyrd penetrationstestningen annan hotbildsstyrd penetrationstestning än en gemensam hotbildsstyrd penetrationstestning enligt artikel 26.4 i förordning (EU) 2022/2554 som innefattar flera finansiella entiteter som använder samma koncerninterna IKT-tjänsteleverantör eller som tillhör samma koncern och delar IKT-system. ska ledningslaget för varje finansiell entitet genomföra sin egen riskbedömning och upprätta sina egna riskhanteringsåtgärder.

Ledningslaget för den utsedda finansiella entitet som avses i artikel 16.3 b i denna förordning eller den finansiella entitet som utsetts i enlighet med artikel 26.4 i förordning (EU) 2022/2554 ska bedöma riskerna i samband med att flera finansiella entiteter deltar i den hotbildsstyrda penetrationstestningen. De deltagande finansiella entiteternas ledningslaglag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet. ska samarbeta med den utsedda finansiella entitetens ledningslaglag bestående av personal från den testade finansiella entiteten och, när så är relevant med hänsyn till omfattningen av den hotbildsstyrda penetrationstestningen, personal från dess tredjepartsleverantörer av tjänster och eventuella andra parter, vilket leder och hanterar testet. för att identifiera potentiella gemensamma risker.