Artikel 25 Testen van ICT-instrumenten en -systemen

Het testprogramma voor digitale operationele weerbaarheid bedoeld in artikel 24 voorziet, overeenkomstig de criteria in artikel 4, lid 2, in de uitvoering van passende tests, zoals kwetsbaarheidsbeoordelingen en -scans, opensourceanalyses, netwerkbeveiligingsbeoordelingen, kloofanalyses, beoordelingen van fysieke beveiliging, vragenlijsten en scanningsoftwareoplossingen, beoordelingen van broncodes indien mogelijk, scenariogebaseerde tests, compatibiliteitstests, prestatietests, eind-tot-eindtests en penetratietests.

Centrale effectenbewaarinstellingen en centrale tegenpartijen verrichten kwetsbaarheidsbeoordelingen voordat nieuwe of bestaande toepassingen en infrastructuurcomponenten, en ICT-diensten ter ondersteuning van kritieke of belangrijke functies van de financiële entiteit worden ingezet of opnieuw worden ingezet.

Voor de uitvoering van de in lid 1 bedoelde tests combineren de micro-ondernemingen een op risico's gebaseerde aanpak met een strategische planning van ICT-tests, en houden zij hierbij naar behoren rekening met het noodzakelijke evenwicht tussen enerzijds de hoeveelheid middelen en tijd die aan de in dit artikel bedoelde ICT-tests moet worden toegewezen, en anderzijds de urgentie, het soort risico, de kritieke aard van informatieactiva en van de geleverde diensten, alsmede alle andere relevante factoren, met inbegrip van het vermogen van de financiële entiteit om berekende risico's te nemen.