Artikel 25 - Testning av IKT-verktyg och IKT-system

1. Det program för testning av digital operativ motståndskraft som avses i artikel 24 ska, i enlighet med kriterierna i artikel 4.2, innehålla bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.

2. Värdepapperscentraler och centrala motparter ska utföra sårbarhetsbedömningar före eventuellt införande eller återinförande av nya eller befintliga tillämpningar och infrastrukturkomponenter, och IKT-tjänster som stöder den finansiella entitetens kritiska eller viktiga funktioner [sic!],.

3. Mikroföretag ska utföra de tester som avses i punkt 1 genom att kombinera en riskbaserad metod med strategisk planering av IKT-testning, genom att vederbörligen beakta behovet av att upprätthålla en balans mellan å ena sidan omfattningen av de resurser och den tid som ska avsättas för IKT-testning som föreskrivs i denna artikel och å andra sidan skyndsamheten, typen av risk, kritikaliteten hos informationstillgångarna och de tillhandahållna tjänsterna samt alla andra relevanta faktorer, inbegripet den finansiella entitetens förmåga att ta beräknade risker.

Mikroföretag

Kraven avseende mikroföretags testning är mer begränsade.