Sintesi Articolo 27
Le entità finanziarie devono utilizzare tester altamente affidabili e certificati per test di penetrazione avanzati basati sulle minacce (TLPT). Questi tester dovrebbero avere specifiche competenze in intelligence sulle minacce e penetration testing, fornire un’assicurazione indipendente sulla gestione del rischio e disporre di un’assicurazione per la responsabilità professionale. Se si utilizzano tester interni, le entità finanziarie devono ottenere l’approvazione dell’autorità competente, assicurarsi che non vi siano conflitti di interesse e utilizzare un fornitore esterno di intelligence sulle minacce. I contratti con tester esterni devono includere disposizioni per la gestione sicura dei risultati del TLPT al fine di evitare rischi per l’entità finanziaria.
- Per lo svolgimento dei test di penetrazione basati su minacce, le entità finanziarie ricorrono unicamente a soggetti incaricati dello svolgimento dei test che:
- a) possano vantare il più alto grado di idoneità e reputazione;
- b) possiedano capacità tecniche e organizzative e dimostrino esperienza specifica nel campo delle analisi delle minacce, dei test di penetrazione e dei test red team;
- c) siano certificati da un ente di accreditamento in uno Stato membro o rispettino codici formali di condotta o quadri etici;
- d) forniscano una garanzia indipendente o una relazione di audit concernente la solida gestione dei rischi derivanti dallo svolgimento di TLPT, comprese la dovuta protezione delle informazioni riservate dell’entità finanziaria e il risarcimento dei rischi commerciali dell’entità finanziaria;
- e) siano debitamente e pienamente coperti da un’assicurazione di responsabilità professionale, anche contro i rischi di colpa e negligenza.
- Quando ricorrono a soggetto incaricato dello svolgimento dei test interni, le entità finanziare devono provvedere affinché, oltre all’obbligo di cui al paragrafo 1, siano soddisfatte le condizioni seguenti:
- a) tale ricorso è stato approvato dall’autorità competente interessata o dall’autorità pubblica unica designata conformemente all’articolo 26, paragrafi 9 e 10;
- b) l’autorità competente interessata ha verificato che l’entità finanziaria dispone di risorse dedicate sufficienti e che essa ha garantito che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test; e
- c) il soggetto che fornisce analisi delle minacce è esterno all’entità finanziaria.
- Le entità finanziarie garantiscono che i contratti conclusi con i soggetti incaricati dello svolgimento dei test esterni prevedano una solida gestione dei risultati dei TLPT e che qualsiasi trattamento dei dati, comprese la generazione, la conservazione, l’aggregazione, l’elaborazione, la segnalazione, la comunicazione o la distruzione, non comporti rischi per l’entità finanziaria.