Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 24 Allmänna krav för testning av digital operativ motståndskraft
För att bedöma beredskapen för hantering av IKT-relaterade incidenter, identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder ska andra finansiella entiteter än mikroföretag, med hänsyn till de kriterier som fastställs i artikel 4.2, inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som avses i artikel 6.
Programmet för testning av digital operativ motståndskraft ska omfatta en rad bedömningar, tester, metoder, praxis och verktyg som ska tillämpas i enlighet med artiklarna 25 och 26.
När andra finansiella entiteter än mikroföretag genomför det testprogram för digital operativ motståndskraft som avses i punkt 1 i denna artikel ska de följa en riskbaserad metod med hänsyn tagen till kriterierna i artikel 4.2 med vederbörligt beaktande av IKT-riskens utveckling, eventuella specifika risker som den berörda finansiella entiteten är eller kan bli exponerad för, kritikaliteten hos informationstillgångar och tillhandahållna tjänster samt varje annan faktor som den finansiella entiteten anser lämplig.
Andra finansiella entiteter än mikroföretag ska se till att testerna utförs av oberoende parter, oavsett om de är interna eller externa. När tester utförs av en intern testare ska finansiella entiteter avsätta tillräckliga resurser och säkerställa att intressekonflikter kan undvikas under testets utformning och genomförande.
Andra finansiella entiteter än mikroföretag ska fastställa förfaranden och strategier för prioritering, klassificering och åtgärdande av alla problem som visar sig under genomförandet av testerna och ska införa interna valideringsmetoder för att säkerställa att alla identifierade svagheter, brister eller luckor åtgärdas fullt ut.
Andra finansiella entiteter än mikroföretag ska säkerställa, åtminstone årligen, att lämpliga tester utförs på alla IKT-system och IKT-tillämpningar som stöder kritiska eller viktiga funktioner.
Relevant recitals
Skäl 25 Inconsistent digital operational resilience testing requirements
Krav på testning av digital operativ motståndskraft har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraft komplicerat, vilket i sin tur kan fragmentera den inre marknaden.
Skäl 56 Regular security testing of ICT systems and staff
För att uppnå en hög nivå av digital operativ motståndskraft, och i linje med både relevanta internationella standarder (t.ex. G7-gruppens Fundamental Elements for Threat-Led Penetration Testing), och med de ramar som tillämpas inom unionen, till exempel TIBER-EU bör finansiella entiteter regelbundet testa sina IKT-system och sin personal med IKT-ansvar med avseende på hur effektiv deras kapacitet är för förebyggande, upptäckt, åtgärd och återställning, för att upptäcka och åtgärda potentiella IKT-sårbarheter. För att återspegla de skillnader som finns mellan och inom de olika finansiella undersektorerna vad gäller nivån på finansiella entiteters cybersäkerhetsberedskap bör testerna omfatta ett brett spektrum av verktyg och åtgärder, alltifrån en bedömning av grundläggande krav (t.ex. sårbarhetsbedömningar och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, bristanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester eller tester ändpunkt till ändpunkt (end-to-end)) till mer avancerade tester genom hotbildsstyrd penetrationstestning. Sådana avancerade tester bör krävas endast av finansiella entiteter som är tillräckligt mogna ur ett IKT-perspektiv för att utföra dem på ett rimligt sätt. Den testning av den digitala operativa motståndskraften som krävs enligt denna förordning bör därför vara mer krävande för de finansiella entiteterna som uppfyller de krav som fastställs i denna förordning (t.ex. stora, systematiska och IKT-mogna kreditinstitut, fondbörser, värdepapperscentraler och centrala motparter) än för andra finansiella entiteter. Samtidigt bör testning av digital operativ motståndskraft genom hotbildsstyrd penetrationstestning vara mer relevant för finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet (t.ex. betalningar, bankverksamhet, och clearing och avveckling) och mindre relevant för andra delsektorer (t.ex. kapitalförvaltare och kreditvärderingsinstitut).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.