Article 15 Recours à des testeurs internes

1. l’établissement et la mise en œuvre d’une politique de gestion des testeurs internes dans le cadre d’un TIFM;

2. des mesures visant à garantir que le recours à des testeurs internes pour effectuer un TIFM n’a pas d’incidence négative sur les capacités générales de défense ou de résilience de l’entité financière en ce qui concerne les incidents liés aux TIC ni d’incidence significative sur la disponibilité des ressources consacrées aux tâches liées aux TIC durant un TIFM;

3. des mesures visant à garantir que les testeurs internes disposent de ressources et de capacités suffisantes pour effectuer un TIFM.

1. contient des critères permettant d’évaluer l’adéquation, les compétences et les conflits d’intérêts potentiels des testeurs internes et précise les responsabilités de gestion dans le cadre du processus de test;

2. est documentée et réexaminée périodiquement;

3. prévoit que l’équipe de test interne est composée d’un chef et d’au moins deux autres membres;

4. exige que tous les membres de l’équipe de test aient fait partie des salariés de l’entité financière ou d’un prestataire de services TIC intra-groupe pendant les 12 derniers mois;

5. prévoit des dispositions concernant la formation des testeurs internes à la réalisation de tests d’intrusion et de tests en équipe rouge.

Lorsqu’une autorité TIFM approuve le recours à des testeurs internes conformément à l’article 27, paragraphe 2, point a), du règlement (UE) 2022/2554, elle prend en considération les exigences énoncées à l’article 7, paragraphe 1, du présent règlement.

1. les informations concernant le lancement du test visées à l’article 9;

2. le rapport de test de l’équipe rouge visé à l’article 12, paragraphe 2;

3. le rapport de synthèse résumant les conclusions pertinentes du TIFM visé à l’article 26, paragraphe 6, du règlement (UE) 2022/2554.

Les testeurs salariés d’un prestataire de services TIC intra-groupe sont considérés comme des testeurs internes de l’entité financière.