ANHANG VII VO (EU) 2025/1190
Inhalt des Berichts mit einer Zusammenfassung der maßgeblichen Ergebnisse des TLPT gemäß Artikel 26 Absatz 6 der Verordnung (EU) 2022/2554
Der zusammenfassende Testbericht muss mindestens Angaben zu allen folgenden Punkten enthalten:
- a)
- beteiligte Parteien,
- b)
- Projektplan,
- c)
- validierter Umfang, einschließlich der Gründe für die Einbeziehung oder den Ausschluss kritischer oder wichtiger Funktionen und ermittelter IKT-Systeme, -Prozesse und -Technologien, die die vom TLPT erfassten kritischen oder wichtigen Funktionen unterstützen,
- d)
- gewählte Szenarien und etwaige erhebliche Abweichungen vom spezifischen Bedrohungsanalysebericht,
- e)
- verfolgte Angriffspfade und angewandte Taktiken, Techniken und Verfahren,
- f)
- erreichte und nicht erreichte Flags,
- g)
- etwaige Abweichungen vom Red-Team-Testplan,
- h)
- etwaige vom Blue Team aufgedeckte Handlungen,
- i)
- Purple-Teaming in der Testphase, sofern durchgeführt, und zugrunde liegende Voraussetzungen,
- j)
- etwaige Hilfestellungen,
- k)
- ergriffene Risikomanagementmaßnahmen,
- l)
- festgestellte Schwachstellen und andere Probleme, einschließlich ihrer Kritikalität,
- m)
- Ursachenanalyse erfolgreicher Angriffe,
- n)
- umfassender Plan mit Abhilfemaßnahmen, in dem Schwachstellen und andere festgestellte Probleme, ihre Ursachen und die Priorität der Behebung zueinander in Beziehung gesetzt werden,
- o)
- Erkenntnisgewinn aus den Rückmeldungen.
© Europäische Union 1998-2021
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.