ANHANG IV VO (EU) 2025/1190

Der Red-Team-Testplan enthält Informationen zu allen folgenden Punkten:

a)

Kommunikationskanäle und -verfahren,

b)

für den Angriff zulässige und nicht zulässige Taktiken, Techniken und Verfahren, einschließlich ethischer Grenzen für Social Engineering,

c)

von den Testern zu ergreifende Risikomanagementmaßnahmen,

d)

Beschreibung jedes Szenarios, einschließlich

i)

des simulierten Angreifers,

ii)

seiner Absicht, Motivation und Ziele,

iii)

der Funktionen und der unterstützenden IKT-Systeme, gegen die sich der Angriff richtet,

iv)

der Aspekte der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität, auf die der Angriff ausgerichtet ist,

v)

Flags,

e)

detaillierte Beschreibung jedes voraussichtlichen Angriffspfads, einschließlich der Voraussetzungen und etwaigen Hilfestellungen durch das Kontrollteam, mit Angabe der zeitlichen Vorgaben für deren Aktivierung und potenziellen Verwendung,

f)

Planung der Red-Teaming-Aktivitäten, einschließlich der Zeitplanung für die Durchführung jedes Szenarios, mindestens aufgeschlüsselt nach den drei Phasen, die ein Tester während der Testphase absolviert, d. h. Eindringen in die IKT-Systeme des Finanzunternehmens, Bewegung durch die IKT-Systeme und letztlich Erreichen des Angriffsziels und Rückzug aus den IKT-Systemen (In-, Through- und Out-Phase),

g)

Besonderheiten der Infrastruktur der Finanzunternehmen, die bei den Tests zu berücksichtigen sind,

h)

gegebenenfalls zusätzliche Informationen oder sonstige Ressourcen, die die Tester für die Ausführung der Szenarien benötigen.