Член 26

Обстойно тестване на инструментите, системите и процесите на ИКТ чрез тестване за проникване

1. Финансовите субекти, различни от субектите, посочени в член 16, параграф 1, първа алинея и от микропредприятията, които са идентифицирани в съответствие с параграф 8, трета алинея от настоящия член, провеждат най-малко веднъж на 3 години обстойно тестване посредством тестване за проникване. Въз основа на рисковия профил на финансовия субект и предвид оперативните обстоятелства компетентният орган може, когато е необходимо, да поиска от финансовия субект да намали или увеличи тази честота.

2. Всяко тестване за проникване включва няколко или всички критични или важни функции на финансовия субект, като се тестват оперативните производствени системи, поддържащи тези функции.

Финансовите субекти идентифицират всички относими основни системи, процеси и технологии в областта на ИКТ, които поддържат критични или важни функции, както и услугите в областта на ИКТ, включително такива, поддържащи критични или важни функции, които са възложени на външен изпълнител или с договор на трети страни доставчици на услуги в областта на ИКТ.

Финансовите субекти оценяват кои критични или важни функции е необходимо да бъдат обхванати от тестването за проникване. Точният обхват на тестването за проникване се определя в зависимост от резултата от тази оценка и се валидира от компетентните органи.

3. Когато тестването за проникване обхваща трети страни доставчици на услуги в областта на ИКТ, финансовите субекти предприемат необходимите мерки и въвеждат предпазни механизми, за да гарантират участието в тестването за проникване на тези трети страни доставчици на услуги в областта на ИКТ, като във всеки един момент са изцяло отговорни за осигуряване на спазването на настоящия регламент.

4. Без да се засягат разпоредбите на параграф 2, първа и втора алинея, когато има разумни основания да се очаква, че участието в тестването за проникване на трета страна доставчик на услуги в областта на ИКТ, посочено в параграф 3, ще се отрази неблагоприятно на качеството или сигурността на услугите, предоставяни от третата страна доставчик на услуги в областта на ИКТ на клиенти, които са субекти извън обхвата на настоящия регламент, или на поверителността на данните, свързани с тези услуги, финансовият субект и третата страна доставчик на услуги в областта на ИКТ може да се договорят писмено третата страна доставчик на услуги в областта на ИКТ да сключи директно договорно споразумение с външно лице, провеждащо тестове, за целите на провеждането, под ръководството на определен финансов субект, на съвкупно тестване за проникване, включващо няколко финансови субекта (съвкупно тестване), на които третата страна доставчик на услуги в областта на ИКТ предоставя услуги.

Съвкупното тестване обхваща съответната гама услуги в областта на ИКТ, поддържащи критичните или важните функции, възложени с договор от финансовите субекти на съответната трета страна доставчик на услуги в областта на ИКТ. Съвкупното тестване се счита за тестване за проникване, извършено от финансовите субекти, участващи в съвкупното тестване.

Броят на финансовите субекти, участващи в съвкупното тестване, се планира внимателно предвид сложността и вида на обхванатите услуги.

5. Финансовите субекти, в сътрудничество с третите страни доставчици на услуги в областта на ИКТ и другите участващи страни, включително лицата, провеждащи тестове, но без компетентните органи, упражняват ефективни контролни функции при управлението на риска, за да се смекчи рискът за самите тях, за техните контрагенти или за финансовия сектор от потенциално отражение върху данните, увреждане на активите и смущения във критичните или важните функции, услуги или операции.

6. Когато тестването приключи и бъдат приети докладите и плановете за корективни мерки, финансовият субект и, когато е приложимо, външните лица, провели тестовете, предоставят на определения съгласно параграф 9 или 10 орган обобщение на констатациите, плановете за корективни мерки и документацията, която доказва, че тестването за проникване е било проведено в съответствие с изискванията.

7. Органите издават на финансовите субекти удостоверение, с което потвърждават, че тестването е извършено в съответствие с изискванията, посочени в документацията, за да се даде възможност за взаимно признаване от компетентните органи на резултатите от тестването за проникване. Финансовият субект уведомява съответния компетентен орган за удостоверението, обобщението на съответните констатации и плановете за корективни мерки.

Без да се засяга това удостоверяване, финансовите субекти във всеки един момент са изцяло отговорни за въздействието на тестовете, посочени в параграф 4.

8. Финансовите субекти наемат лица за извършване на тестването за целите на тестването за проникване в съответствие с член 27. Когато финансовите субекти използват вътрешни лица, провеждащи тестовете, за целите на извършването на тестване за проникване, те наемат външни лица, провеждащи тестове, на всеки три теста.

Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, използват само външни лица, провеждащи тестове, в съответствие с член 27, параграф 1, букви а)—д).

Компетентните органи определят финансовите субекти, от които се изисква да извършват тестване за проникване, като вземат предвид критериите, посочени в член 4, параграф 2, въз основа на оценка на следното:

а)фактори за въздействието, по-специално до каква степен предоставяните от финансовия субект услуги и предприеманите от него дейности оказват въздействие върху финансовия сектор;

б)евентуални опасения за финансовата стабилност, включително системния характер на финансовия субект на равнището на Съюза или на национално равнище, доколкото е приложимо;

в)свойствения за финансовия субект профил на риска в областта на ИКТ, степента на рутинност на неговите ИКТ или съответните технически спецификации.

9. Държавите членки може да определят единен публичен орган във финансовия сектор, който да отговаря на национално равнище за свързаните с тестването за проникване въпроси във финансовия сектор, и му възлагат всички правомощия и задачи за тази цел.

10. Ако няма определен орган в съответствие с параграф 9 от настоящия член и без да се засяга правомощието за определяне на финансовите субекти, които са задължени да извършват тестване за проникване, компетентният орган може да делегира изпълнението на някои или на всички задачи, посочени в настоящия член и член 27, на друг национален орган във финансовия сектор.

11. Съгласувано с ЕЦБ ЕНО разработват съвместни проекти за регулаторни технически стандарти съгласно рамката TIBER-EU за доуточняване на:

а) използваните критерии за целите на прилагането на параграф 8, втора алинея;

б) изискванията и стандартите, уреждащи използването на вътрешни лица, провеждащи тестове;

в) изискванията във връзка със:

i) обхвата на тестването за проникване, посочен в параграф 2;

ii) тестовата методика и подход за всеки етап от тестването;

iii)

резултатите, приключването на процеса и корективните мерки;

г) вида на необходимото сътрудничество за надзорни и други цели с оглед на изпълнението на тестването за проникване, както и за улесняване на взаимното признаване на тестването, при финансовите субекти с дейност в повече от една държава членка, така че да се осигури подходяща степен на участие на надзорните органи и гъвкаво прилагане, съобразено със спецификите на финансовите подсектори или на местните финансови пазари.

При разработването на тези проекти на регулаторни технически стандарти ЕНО надлежно отчитат всяка специфична характеристика, произтичаща от различното естество на дейностите в различните сектори на финансовите услуги.

ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 юли 2024 г.

На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.