Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 24 Algemene vereisten voor uitvoering van tests van digitale operationele weerbaarheid

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 24 Algemene vereisten voor uitvoering van tests van digitale operationele weerbaarheid

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Voor de beoordeling van de paraatheid ten aanzien van de behandeling van ICT-gerelateerde incidenten, de omschrijving van zwakheden, gebreken en lacunes in de digitale operationele weerbaarheid, en de snelle uitvoering van corrigerende maatregelen zorgen andere financiële entiteiten dan micro-ondernemingen, rekening houdend met de criteria in artikel 4, lid 2, voor het vaststellen, handhaven en evalueren van een degelijk en alomvattend programma voor het testen van de digitale operationele weerbaarheid als integrerend onderdeel van het kader voor ICT-risicobeheer als bedoeld in artikel 6.

2.

Het testprogramma voor digitale operationele weerbaarheid omvat een reeks beoordelingen, tests, methodologieën, praktijken en instrumenten die overeenkomstig de artikelen 25 en 26 moeten worden toegepast.

3.

Bij de uitvoering van het in lid 1 van dit artikel bedoelde programma voor het testen van de digitale operationele weerbaarheid volgen andere financiële entiteiten dan micro-ondernemingen een risicogebaseerde benadering, waarbij rekening wordt gehouden met de criteria van artikel 4, lid 2, en met het veranderende landschap van het ICT-risico, eventuele specifieke risico's waaraan de betrokken financiële entiteit wordt of kan worden blootgesteld, de kritieke aard van informatieactiva en verleende diensten, alsmede alle andere factoren die de financiële entiteit passend acht.

4.

Andere financiële entiteiten dan micro-ondernemingen zorgen ervoor dat de tests worden uitgevoerd door interne of externe onafhankelijke partijen. Wanneer tests worden uitgevoerd door een interne tester, zetten financiële entiteiten voldoende middelen in en zorgen zij ervoor dat belangenconflicten gedurende de hele ontwerp- en uitvoeringsfase van de test worden voorkomen.

5.

Andere financiële entiteiten dan micro-ondernemingen stellen procedures en beleidslijnen vast om alle problemen die tijdens de uitvoering van de tests aan het licht zijn gekomen, te prioriteren, te classificeren en te verhelpen, en stellen interne valideringsmethoden vast om na te gaan of alle vastgestelde zwakheden, gebreken of lacunes volledig worden aangepakt.

6.

Andere financiële entiteiten dan micro-ondernemingen zorgen ervoor dat ten minste eenmaal per jaar passende tests worden uitgevoerd op alle ICT-systemen en -toepassingen die kritieke of belangrijke functies ondersteunen.

Deze functie is alleen te gebruiken als je bent ingelogd.