Recital 15 Security test policy | Cybersecurity measures and significant incidents for relevant entities | High common level of cybersecurity for entities

Les entités concernées devraient effectuer régulièrement des tests de sécurité sur la base d’une politique et de procédures ad hoc afin de vérifier si les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sont mises en œuvre et fonctionnent correctement. Les tests de sécurité peuvent être effectués sur des réseaux et systèmes d’information spécifiques ou sur l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée dans son ensemble et peuvent comprendre des tests automatisés ou manuels, des tests d’intrusion, des analyses de vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;, des tests dynamiques ou statiques de sécurité des applications, des tests de configuration ou des audits de sécurité. Les entités concernées peuvent effectuer des tests de sécurité sur leur réseau et leurs systèmes d’information lors de la mise en place, après des mises à niveau ou des modifications d’infrastructures ou d’applications qu’elles jugent importantes, ou après des opérations de maintenance. Les résultats des tests de sécurité devraient éclairer les politiques et procédures des entités concernées visant à évaluer l’efficacité des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les examens indépendants de leurs politiques de sécurité des réseaux et de l’information.