ANHANG V VO (EU) 2025/1190

Der Red-Team-Testbericht enthält mindestens Informationen zu allen folgenden Punkten:

a)

Informationen über den durchgeführten Angriff, einschließlich Angaben zu

i)

den angegriffenen kritischen oder wichtigen Funktionen und ermittelten IKT-Systemen, -Prozessen und -Technologien, die die kritische oder wichtige Funktion unterstützen, wie im Red-Team-Testplan festgelegt,

ii)

Zusammenfassung jedes Szenarios,

iii)

erreichte und nicht erreichte Flags,

iv)

erfolgreich und nicht erfolgreich verfolgte Angriffspfade,

v)

erfolgreich und nicht erfolgreich angewandte Taktiken, Techniken und Verfahren,

vi)

etwaige Abweichungen vom Red-Team-Testplan,

vii)

etwaige Hilfestellungen,

b)

alle Aktivitäten, von denen die Tester wissen, dass sie vom Blue Team durchgeführt wurden, um den Angriff zu rekonstruieren und seine Auswirkungen abzumildern,

c)

festgestellte Schwachstellen und andere Probleme, einschließlich:

i)

Beschreibung der Schwachstelle und anderer Probleme, einschließlich ihrer Kritikalität,

ii)

Ursachenanalyse erfolgreicher Angriffe,

iii)

Empfehlungen für Abhilfemaßnahmen mit Priorisierung.