Per conseguire un elevato livello di resilienza operativa digitale, e in linea sia con le pertinenti norme internazionali (ad esempio, gli elementi fondamentali del G7 per i test di penetrazione basati su minacce) che con i quadri applicati nell’Unione, come TIBER-EU, le entità finanziarie dovrebbero sottoporre periodicamente a test i propri sistemi di TIC e il proprio personale con responsabilità connesse alle TIC per valutare l’efficacia delle relative capacità di prevenzione, individuazione, risposta e ripristino, allo scopo di scoprire e affrontare le potenziali vulnerabilità in materia di TIC. Per rispecchiare le differenze esistenti tra i vari sottosettori finanziari e all’interno di ognuno di essi per quanto riguarda il livello di preparazione delle entità finanziarie in materia di cibersicurezza, i test dovrebbero comprendere un’ampia varietà di strumenti e azioni, dalla valutazione dei requisiti di base (ad esempio valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle lacune, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente ove possibile, e test basati su scenari, test di compatibilità, test di prestazione o test end-to-end) fino a test più avanzati tramite TLPT. Tali test avanzati dovrebbero essere richiesti solo per le entità finanziarie che, nell’ambito delle TIC, hanno raggiunto la maturità sufficiente per svolgerli in modo ragionevole. I test di resilienza operativa digitale previsti dal presente regolamento dovrebbero essere pertanto più impegnativi per le entità finanziarie che soddisfano i criteri di cui al presente regolamento (ad esempio, enti creditizi grandi, sistemici e maturi a livello di TIC, le sedi di negoziazione, i depositari centrali di titoli e le controparti centrali ecc.) rispetto alle altre entità finanziarie. Allo stesso tempo i test di resilienza operativa digitale tramite TLPT dovrebbero essere più rilevanti per le entità finanziarie che operano in sottosettori chiave dei servizi finanziari e che assolvono una funzione sistemica (ad esempio pagamenti, attività bancaria, e compensazione e regolamento) e meno rilevanti per altri sottosettori (ad esempio gestori di patrimoni e agenzie di rating del credito).