1. W ramach oceny bezpieczeństwa przeprowadza się następujące czynności:
1) pasywne zbieranie informacji – zbieranie w sieci Internet informacji związanych z funkcjonowaniem systemu, wpły- wających na jego bezpieczeństwo;
2) półpasywne zbieranie informacji – zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpływających na jego bezpieczeństwo, na zasadach właściwych dla użytkownika tego systemu, z wyłączeniem uprawnień wymagających uwierzytelnienia w tym systemie; czynności te mogą być uzupełnione zbieraniem informa- cji wynikających z analizy architektury systemu;
1) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2024 r. poz. 1222, 1562, 1684 i 1871 oraz z 2025 r. poz. 179 i 718.  Dziennik Ustaw –2– Poz. 810
3) aktywne zbieranie informacji – zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpły- wających na jego bezpieczeństwo, w sposób przekraczający uprawnienia użytkownika systemu, w tym wymagających uwierzytelnienia w systemie, w szczególności polegających na enumeracji usług, portów, wykrywaniu urządzeń po- średniczących, wykrywaniu systemów IDS/IPS oraz zapór ogniowych;
4) identyfikacja podatności architektury systemu i usług sieciowych – podejmowanie czynności mających na celu iden- tyfikację podatności, o której mowa w art. 32a ust. 4 ustawy, dokonywanych na podstawie informacji uzyskanych w ramach czynności, o których mowa w pkt 1–3, oraz na podstawie informacji na temat architektury systemu udostęp- nionych przez podmiot zarządzający systemem. 2. W ramach oceny bezpieczeństwa poza czynnościami, o których mowa w ust. 1, mogą być również przeprowadzane, za zgodą podmiotu zarządzającego systemem, następujące czynności:
1) wykorzystanie podatności – podejmowanie w systemie czynności nakierowanych na użycie podatności zidentyfiko- wanych w ramach czynności, o której mowa w ust. 1 pkt 4, w celu ominięcia zabezpieczeń systemu oraz identyfikacji podatności, których identyfikacja jest niemożliwa w ramach czynności, o której mowa w ust. 1 pkt 4;
2) analiza wpływu wykorzystania czynników inżynierii społecznej – wykorzystanie ogólnych metod inżynierii społecznej, które mają na celu uzyskanie informacji na temat zachowania użytkowników systemu, w celu weryfikacji procedur bezpieczeństwa badanego systemu realizowanych przez tych użytkowników; czynności mogą być wykonywane z za- stosowaniem narzędzi, o których mowa w art. 32a ust. 7 ustawy;
3) analiza odporności systemu na działania narzędzi, o których mowa w art. 32a ust. 7 ustawy – zaplanowane zastosowanie narzędzi, o których mowa w art. 32a ust. 7 ustawy, w celu zbadania możliwości wykorzystania luk w zabezpieczeniach systemu, polegające na badaniu odporności systemu na możliwość wykorzystania go do popełniania przestępstw, o których mowa w art. 32a ust. 7 ustawy.

§3 Podmiot zarządzający systemem oświadcza, że systemy teleinformatyczne wskazane do przeprowadzenia oceny bezpieczeństwa pozostają w jego faktycznej oraz prawnej dyspozycji oraz że posiada on wszelkie prawa do wdrożenia we wskazanych systemach takich testów w zakresie określonym w porozumieniu oraz na zasadach w nim określonych.