(56) С цел да се постигне високо равнище на оперативна устойчивост на цифровите технологии и в съответствие както с приложимите международни стандарти (напр. изложените от Г-7 базови елементи на тестването за проникване), така и с прилаганите в Съюза рамки, напр. TIBER-EU, финансовите субекти следва редовно да тестват доколко ефективно системите им на ИКТ и персоналът им с отговорности в областта на ИКТ са способни да предотвратяват, откриват и реагират на инциденти в областта на ИКТ и да възстановяват информацията, както и да установяват и премахват потенциалните уязвими места на ИКТ. За да се отразят съществуващите различия между отделните финансови подсектори и в рамките на един и същ подсектор по отношение на нивото на подготвеност на финансовите субекти в областта на киберсигурността, тестването следва да обхваща широк набор от инструменти и действия, вариращи от оценяването на базовите изисквания (напр. оценки и сканиране на уязвимите места, анализ на приложенията с отворен код, оценки на сигурността на мрежата, анализ на пропуските, преглед на физическата сигурност, анкети и софтуерни продукти за сканиране, преглед на първичния код, когато такъв е осъществим, тестване на различни сценарии, тестване на съвместимостта, тестване на функционирането или тестване по цялата верига) до по-обстойно тестване посредством тестване за проникване. Такова обстойно тестване следва да се изисква само от финансови субекти, които са достатъчно развити от гледна точка на ИКТ, за да могат да го извършват адекватно. Поради това тестването на оперативната устойчивост на цифровите технологии, изисквано съгласно настоящия регламент, следва да бъде по-обстойно при финансовите субекти, отговарящи на критериите, определени в настоящия регламент (напр. големи, системни кредитни институции, които са развити от гледна точка на ИКТ, фондови борси, централни депозитари на ценни книжа и централни контрагенти), отколкото при другите финансови субекти. Същевременно тестването на оперативната устойчивост на цифровите технологии посредством тестване за проникване следва да бъде по-приложимо за финансови субекти, които осъществяват дейност в подсектори за основни финансови услуги и имат системна роля (напр. плащания, банково дело, клиринг и сетълмент), и по-малко приложимо за други подсектори (напр. управители на активи и агенции за кредитен рейтинг).