Artikel 26 - Avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning
- Andra finansiella entiteter än de entiteter som avses i artikel 16.1 första stycket och mikroföretag, vilka har identifierats i enlighet med punkt 8 tredje stycket i den här artikeln ska minst vart tredje år genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning. Baserat på den finansiella entitetens riskprofil och med beaktande av de operativa omständigheterna får den behöriga myndigheten vid behov begära att den finansiella entiteten minskar eller ökar denna frekvens.
-
Varje hotbildsstyrt penetrationstest ska omfatta flera eller alla av en finansiell entitets kritiska eller viktiga funktioner och ska utföras på produktionssystem i drift som stöder sådana funktioner.
Finansiella entiteter ska identifiera alla relevanta underliggande IKT-system, IKT-processer och IKT-tekniker som stöder kritiska eller viktiga funktioner och IKT-tjänster, inbegripet de som stöder de kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats till tredjepartsleverantörer av IKT-tjänster.
Finansiella entiteter ska bedöma vilka kritiska eller viktiga funktioner som behöver omfattas av den hotbildsstyrda penetrationstestningen. Resultatet av denna bedömning ska fastställa den exakta omfattningen av den hotbildsstyrda penetrationstestningen och ska valideras av de behöriga myndigheterna.
-
Om tredjepartsleverantörer av IKT-tjänster omfattas av den hotbildsstyrda penetrationstestningen ska den finansiella entiteten vidta nödvändiga åtgärder och skyddsåtgärder för att säkerställa att sådana tredjepartsleverantörer av IKT-tjänster deltar i den hotbildsstyrda penetrationstestningen och ska alltid ha fullt ansvar för att säkerställa att denna förordning efterlevs.
-
Utan att det påverkar tillämpningen av punkt 2 första och andra styckena får den finansiella entiteten och en tredjepartsleverantör av IKT-tjänster, om tredjepartsleverantörens deltagande i den hotbildsstyrda penetrationstestningen som avses i punkt 3 kan förväntas få negativ inverkan på kvaliteten eller säkerheten för de tjänster som tredjepartsleverantören av IKT-tjänster tillhandahåller till kunder som är entiteter som inte omfattas av denna förordning, eller för konfidentialiteten för data som är relaterade till sådana tjänster, skriftligen enas om att tredjepartsleverantören av IKT-tjänster ingår avtal med en extern testare i syfte att, under ledning av en utsedd finansiell entitet, genomföra en gemensam hotbildsstyrd penetrationstestning med flera finansiella entiteter (gemensam testning) till vilka tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster.
Den gemensamma testningen ska omfatta det relevanta spektrum av IKT-tjänster som stöder kritiska eller viktiga funktioner som de finansiella entiteterna har ingått avtal om med respektive tredjepartsleverantör av IKT-tjänster. Den gemensamma testningen ska betraktas som hotbildsstyrd penetrationstestning utförd av de finansiella entiteter som deltar i den gemensamma testningen.
Antalet finansiella entiteter som deltar i den gemensamma testningen ska vederbörligen kalibreras med beaktande av de berörda tjänsternas komplexitet och typ.
-
De finansiella entiteterna ska, i samarbete med tredjepartsleverantörer av IKT-tjänster och andra berörda parter, inbegripet testarna men exklusive de behöriga myndigheterna, tillämpa effektiva riskhanteringskontroller för att minska riskerna för möjliga effekter på data, skador på tillgångar och avbrott i kritiska eller viktiga funktioner, tjänster eller transaktioner hos den finansiella entiteten själv, dess motpart eller den finansiella sektorn.
-
När testet har avslutats och efter det att rapporter och åtgärdsplaner har godkänts ska den finansiella entiteten och, i tillämpliga fall, de externa testarna förse den myndighet som utsetts i enlighet med punkt 9 eller 10 med en sammanfattning av de relevanta resultaten, åtgärdsplanerna och dokumentation som visar att den hotbildsstyrda penetrationstestningen har utförts i enlighet med kraven.
-
Myndigheter ska förse finansiella entiteter med ett intyg som bekräftar att testet genomfördes i enlighet med kraven, vilket ska framgå av dokumentationen, i syfte att möjliggöra ömsesidigt erkännande av hotbildsstyrd penetrationstestning mellan behöriga myndigheter. Den finansiella entiteten ska underrätta den relevanta behöriga myndigheten om intyget, sammanfattningen av de relevanta resultaten och åtgärdsplanerna.
Utan att det påverkar tillämpligheten av ett sådant intyg ska de finansiella entiteterna alltid ha det fulla ansvaret för effekterna av de tester som avses i punkt 4.
-
Finansiella entiteter ska anlita testare i syfte att genomföra hotbildsstyrd penetrationstestning i enlighet med artikel 27. Om finansiella entiteter använder interna testare för att genomföra hotbildsstyrd penetrationstestning ska de anlita externa testare vid vart tredje test.
De kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska endast använda externa testare i enlighet med artikel 27.1 a–e.
De behöriga myndigheterna ska identifiera de finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning med beaktande av kriterierna i artikel 4.2, baserat på en bedömning av följande:
- Påverkansfaktorer, särskilt i vilken utsträckning de tjänster som tillhandahålls och den verksamhet som bedrivs av den finansiella entiteten påverkar den finansiella sektorn.
- Eventuella farhågor om den finansiella stabiliteten, inbegripet den finansiella entitetens betydelse för systemet som helhet på unionsnivå eller nationell nivå, beroende på vad som är tillämpligt.
- Den berörda finansiella entitetens specifika IKT-riskprofil, IKT-mognadsgrad och tekniska funktioner.
-
Medlemsstaterna får utse en enda offentlig myndighet inom finanssektorn som ska ansvara för frågor som rör hotbildsstyrd penetrationstestning inom den finansiella sektorn på nationell nivå och ska ge myndigheten alla befogenheter och uppgifter i detta syfte.
-
Om det inte har utsetts någon myndighet i enlighet med punkt 9 i denna artikel, och utan att det påverkar befogenheten att välja ut vilka finansiella entiteter som är skyldiga att utföra hotbildsstyrd penetrationstestning, får en behörig myndighet delegera vissa eller alla av de uppgifter som avses i denna artikel och artikel 27 till en annan nationell myndighet inom den finansiella sektorn.
-
De europeiska tillsynsmyndigheterna ska, i samförstånd med ECB, utarbeta gemensamma förslag till tekniska standarder för tillsyn i enlighet med TIBER-EU-ramen i syfte att närmare specificera
- de kriterier som används för tillämpningen av punkt 8 andra stycket,
- kraven och standarderna för användning av interna testare
- kraven i fråga om
- i)omfattningen av den hotbildsstyrda penetrationstestning som avses i punkt 2,
- ii)den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen,
- iii) testningens resultat och avslutnings- och åtgärdsfaser,
- den typ av tillsynssamarbete och annat relevant samarbete som krävs för genomförandet av hotbildsstyrd penetrationstestning och för underlättande av det ömsesidiga erkännandet av sådan testning när det gäller finansiella entiteter som är verksamma i mer än en medlemsstat, för att det ska gå att införa lämplig nivå av tillsynsengagemang och ett flexibelt genomförande i syfte att ta hänsyn till särdragen hos finansiella delsektorer eller lokala finansmarknader.
När de europeiska tillsynsmyndigheterna utvecklar dessa förslag till tekniska standarder för tillsyn ska de ta vederbörlig hänsyn till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.
De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.
Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.