Articolo 27 – Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT

Sintesi Articolo 27

Le entità finanziarie devono utilizzare tester altamente affidabili e certificati per test di penetrazione avanzati basati sulle minacce (TLPT). Questi tester dovrebbero avere specifiche competenze in intelligence sulle minacce e penetration testing, fornire un’assicurazione indipendente sulla gestione del rischio e disporre di un’assicurazione per la responsabilità professionale. Se si utilizzano tester interni, le entità finanziarie devono ottenere l’approvazione dell’autorità competente, assicurarsi che non vi siano conflitti di interesse e utilizzare un fornitore esterno di intelligence sulle minacce. I contratti con tester esterni devono includere disposizioni per la gestione sicura dei risultati del TLPT al fine di evitare rischi per l’entità finanziaria.

  1. Per lo svolgimento dei test di penetrazione basati su minacce, le entità finanziarie ricorrono unicamente a soggetti incaricati dello svolgimento dei test che:
    • a) possano vantare il più alto grado di idoneità e reputazione;
    • b) possiedano capacità tecniche e organizzative e dimostrino esperienza specifica nel campo delle analisi delle minacce, dei test di penetrazione e dei test red team;
    • c) siano certificati da un ente di accreditamento in uno Stato membro o rispettino codici formali di condotta o quadri etici;
    • d) forniscano una garanzia indipendente o una relazione di audit concernente la solida gestione dei rischi derivanti dallo svolgimento di TLPT, comprese la dovuta protezione delle informazioni riservate dell’entità finanziaria e il risarcimento dei rischi commerciali dell’entità finanziaria;
    • e) siano debitamente e pienamente coperti da un’assicurazione di responsabilità professionale, anche contro i rischi di colpa e negligenza.
  2. Quando ricorrono a soggetto incaricato dello svolgimento dei test interni, le entità finanziare devono provvedere affinché, oltre all’obbligo di cui al paragrafo 1, siano soddisfatte le condizioni seguenti:
    • a) tale ricorso è stato approvato dall’autorità competente interessata o dall’autorità pubblica unica designata conformemente all’articolo 26, paragrafi 9 e 10;
    • b) l’autorità competente interessata ha verificato che l’entità finanziaria dispone di risorse dedicate sufficienti e che essa ha garantito che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test; e
    • c) il soggetto che fornisce analisi delle minacce è esterno all’entità finanziaria.
  3. Le entità finanziarie garantiscono che i contratti conclusi con i soggetti incaricati dello svolgimento dei test esterni prevedano una solida gestione dei risultati dei TLPT e che qualsiasi trattamento dei dati, comprese la generazione, la conservazione, l’aggregazione, l’elaborazione, la segnalazione, la comunicazione o la distruzione, non comporti rischi per l’entità finanziaria.

Tutti gli articoli