Sintesi Articolo 25
Il programma di test di resilienza operativa digitale dovrebbe includere una varietà di test come valutazioni delle vulnerabilità, test di penetrazione e altro, basati su criteri specifici. I depositari centrali di titoli e le controparti centrali devono effettuare valutazioni delle vulnerabilità prima di implementare nuove o esistenti applicazioni e infrastrutture. Le microimprese sono tenute a effettuare questi test utilizzando un approccio basato sul rischio, bilanciando risorse e tempo con l’urgenza e il tipo di rischi legati alle TIC che affrontano.
- Il programma di test di resilienza operativa digitale di cui all’articolo 24 prevede, conformemente ai criteri di cui all’articolo 4, paragrafo 2, l’esecuzione di test adeguati, tra cui valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione.
- I depositari centrali di titoli e le controparti centrali effettuano valutazioni della vulnerabilità prima di ciascun rilascio o nuovo rilascio di nuovi o già esistenti applicazioni e componenti infrastrutturali, e servizi TIC a supporto delle funzioni essenziali o importanti dell’entità finanziaria.
- Le microimprese eseguono i test di cui al paragrafo 1 combinando un approccio basato sul rischio con una pianificazione strategica dei test relativi alle TIC, tenendo debitamente conto della necessità di mantenere un approccio equilibrato tra l’entità delle risorse e il tempo da assegnare ai test relativi alle TIC di cui al presente articolo, da un lato, e l’urgenza, il tipo di rischio, la criticità dei patrimoni informativi e dei servizi forniti nonché qualsiasi altro fattore rilevante, compresa la capacità dell’entità finanziaria di assumere rischi calcolati, dall’altro.