Член 24

Общи изисквания за тестването на оперативната устойчивост на цифровите технологии

1. С цел да оценят доколко са подготвени за справяне с инциденти с ИКТ, да установят слабостите, недостатъците и пропуските в оперативната устойчивост на цифровите технологии, както и с оглед на бързото прилагане на корективни мерки, като вземат предвид критериите, посочени в член 4, параграф 2, финансовите субекти, без микропредприятията, въвеждат, поддържат и актуализират стабилна и всеобхватна програма за тестване на оперативната устойчивост на цифровите технологии като неразделна част от рамката за управление на риска в областта на ИКТ, посочена в член 6.

2. Програмата за тестване на оперативната устойчивост на цифровите технологии съдържа набор от оценки, тестове, методи, практики и инструменти, които се прилагат в съответствие с членове 25 и 26.

3. Когато изпълняват посочената в параграф 1 от настоящия член програма за тестване на оперативната устойчивост на цифровите технологии, финансовите субекти, без микропредприятията, следват подход, при който се отчита рискът, като вземат предвид определените в член 4, параграф 2 критерии и като надлежно отчитат променливото естество на рисковете в областта на ИКТ, специфичните рискове, на които съответният финансов субект е или би могъл да бъде изложен, критичността на информационните активи и на предоставяните услуги, както и всеки друг фактор, който финансовият субект счете за подходящ.

4. Финансовите субекти, без микропредприятията, гарантират, че тестването се извършва от независими страни — вътрешни или външни. Когато тестовете се извършват от вътрешно лице, провеждащо тестове, финансовите субекти отделят достатъчно ресурси и гарантират, че конфликтите на интереси се избягват по време на етапите на проектиране и изпълнение на теста.

5. Финансовите субекти, без микропредприятията, въвеждат процедури и политики за подреждане по важност, класифициране и отстраняване на всички констатирани при тестването проблеми, както и вътрешни методики за валидиране, така че всички установени слабости, недостатъци или пропуски да бъдат изцяло преодолени.

6. Финансовите субекти, без микропредприятията, гарантират извършването най-малко веднъж годишно на подходящи тестове за всички системи и приложения на ИКТ, поддържащи критични или важни функции.