Член 25

Тестване на инструментите и системите на ИКТ

1. Посочената в член 24 програма за тестване на оперативната устойчивост на цифровите технологии предвижда, в съответствие с критериите, посочени в член 4, параграф 2, провеждането на подходящи тестове, като например оценки и сканиране на уязвимите места, анализ на приложенията с отворен код, оценки на сигурността на мрежата, анализ на пропуските, преглед на физическата сигурност, анкети и сканиране на програмните продукти, преглед на първичния код, когато такъв е осъществим, тестване на различни сценарии, тестване на съвместимостта, тестване на функционирането, тестване по цялата верига и тестване за проникване.

2. Централните депозитари на ценни книжа и централните контрагенти извършват оценки на уязвимите места преди внедряване или вторично внедряване на нови или съществуващи приложения и инфраструктурни компоненти и на услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект.

3. Микропредприятията извършват тестовете, посочени в параграф 1, като съчетават подход, при който се отчита рискът, със стратегическо планиране на тестването на ИКТ, като надлежно отчитат необходимостта от намиране на балансиран подход между мащаба на ресурсите и времето, което трябва да бъде отделено за тестването на ИКТ, предвидено в настоящия член, от една страна, и неотложността, вида на риска, критичността на информационните активи и на предоставяните услуги, както и всеки друг фактор от значение, включително способността на финансовия субект да поема премерени рискове, от друга страна.