a)

beteiligte Parteien,

b)

Projektplan,

c)

validierter Umfang, einschließlich der Gründe für die Einbeziehung oder den Ausschluss kritischer oder wichtiger Funktionen und ermittelter IKT-Systeme, -Prozesse und -Technologien, die die vom TLPT erfassten kritischen oder wichtigen Funktionen unterstützen,

d)

gewählte Szenarien und etwaige erhebliche Abweichungen vom spezifischen Bedrohungsanalysebericht,

e)

verfolgte Angriffspfade und angewandte Taktiken, Techniken und Verfahren,

f)

erreichte und nicht erreichte Flags,

g)

etwaige Abweichungen vom Red-Team-Testplan,

h)

etwaige vom Blue Team aufgedeckte Handlungen,

i)

Purple-Teaming in der Testphase, sofern durchgeführt, und zugrunde liegende Voraussetzungen,

j)

etwaige Hilfestellungen,

k)

ergriffene Risikomanagementmaßnahmen,

l)

festgestellte Schwachstellen und andere Probleme, einschließlich ihrer Kritikalität,

m)

Ursachenanalyse erfolgreicher Angriffe,

n)

umfassender Plan mit Abhilfemaßnahmen, in dem Schwachstellen und andere festgestellte Probleme, ihre Ursachen und die Priorität der Behebung zueinander in Beziehung gesetzt werden,

o)

Erkenntnisgewinn aus den Rückmeldungen.