Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 27

Artikel 27 Vereisten voor testers voor het uitvoeren van TLPT

Geldend

Documentgegevens:

Geldend vanaf 16-01-2023

Bronpublicatie:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
Inwerkingtreding: 16-01-2023
Bronpublicatie inwerkingtreding:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
Vakgebied(en): Financieel recht / Europees financieel recht
Financieel recht / Financieel toezicht (juridisch)

1.

Financiële entiteiten maken voor het uitvoeren van TLPT alleen gebruik van testers die:

a): in de hoogste mate geschikt en deugdelijk zijn;
b): technische en organisatorische capaciteiten bezitten en blijk geven van specifieke deskundigheid op het gebied van inlichtingen over dreigingen, penetratietests en red-teamtests;
c): door een accrediteringsinstantie in een lidstaat zijn gecertificeerd of formele gedragscodes of ethische kaders hebben onderschreven;
d): een onafhankelijke waarborg of een auditverslag verstrekken met betrekking tot het deugdelijk beheer van risico's die verbonden zijn aan de uitvoering van TLPT, met inbegrip van de gepaste bescherming van de vertrouwelijke informatie van de financiële entiteit en herstel voor de bedrijfsrisico's van de financiële entiteit;
e): naar behoren en volledig door de desbetreffende beroepsaansprakelijkheidsverzekeringen zijn gedekt, onder meer tegen het risico van fouten en nalatigheid.

2.

Bij het inzetten van interne testers zorgen de financiële entiteiten ervoor dat, naast de vereisten van lid 1, de volgende voorwaarden worden vervuld:

a): dergelijk inzetten van interne testers is goedgekeurd door de relevante bevoegde autoriteit of de overeenkomstig artikel 26, leden 9 en 10, aangewezen enige overheidsinstantie;
b): de relevante bevoegde autoriteit heeft geverifieerd dat de financiële entiteit voldoende middelen heeft ingezet en heeft ervoor gezorgd dat belangenconflicten gedurende de hele ontwerp- en uitvoeringsfase van de test worden voorkomen, en
c): de verstrekker van inlichtingen over dreigingen is extern ten opzichte van de financiële entiteit.

3.

Financiële entiteiten zorgen ervoor dat de contracten met externe testers een degelijk beheer van de resultaten van de TLPT opleggen en dat de gegevensverwerking daarvan, met inbegrip van het genereren, opslaan, aggregeren, ontwerpen, rapporteren, communiceren of vernietigen van resultaten, geen risico's voor de financiële entiteit meebrengt.