Artikel 24 - Allmänna krav för testning av digital operativ motståndskraft

Mikroföretag

Mikroföretag omfattas inte av lydelsen av denna artikel men ska ändå genomföra testning enligt artikel 25(3).

1. För att bedöma beredskapen för hantering av IKT-relaterade incidenter, identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder ska andra finansiella entiteter än mikroföretag, med hänsyn till de kriterier som fastställs i artikel 4.2, inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som avses i artikel 6.

2. Programmet för testning av digital operativ motståndskraft ska omfatta en rad bedömningar, tester, metoder, praxis och verktyg som ska tillämpas i enlighet med artiklarna 25 och 26.

3. När andra finansiella entiteter än mikroföretag genomför det testprogram för digital operativ motståndskraft som avses i punkt 1 i denna artikel ska de följa en riskbaserad metod med hänsyn tagen till kriterierna i artikel 4.2 med vederbörligt beaktande av IKT-riskens utveckling, eventuella specifika risker som den berörda finansiella entiteten är eller kan bli exponerad för, kritikaliteten hos informationstillgångar och tillhandahållna tjänster samt varje annan faktor som den finansiella entiteten anser lämplig.

4. Andra finansiella entiteter än mikroföretag ska se till att testerna utförs av oberoende parter, oavsett om de är interna eller externa. När tester utförs av en intern testare ska finansiella entiteter avsätta tillräckliga resurser och säkerställa att intressekonflikter kan undvikas under testets utformning och genomförande.

5. Andra finansiella entiteter än mikroföretag ska fastställa förfaranden och strategier för prioritering, klassificering och åtgärdande av alla problem som visar sig under genomförandet av testerna och ska införa interna valideringsmetoder för att säkerställa att alla identifierade svagheter, brister eller luckor åtgärdas fullt ut.

6. Andra finansiella entiteter än mikroföretag ska säkerställa, åtminstone årligen, att lämpliga tester utförs på alla IKT-system och IKT-tillämpningar som stöder kritiska eller viktiga funktioner.