Статья 25. Испытания систем и инструментов ICT. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 25
Испытания систем и инструментов ICT

1. Программа проведения испытаний цифровой операционной устойчивости, указанная в Статье 24 настоящего Регламента, должна обеспечивать - в соответствии с критериями, изложенными в Статье 4(2) настоящего Регламента, - проведение соответствующих испытаний, в частности оценок уязвимости и сканирования, анализа открытых источников, оценок безопасности сети, анализа пробелов, проверок физической безопасности, опросов и сканирования программных решений, по возможности, проверок исходного кода, испытаний на основе сценариев, испытаний на совместимость, испытаний на качество функционирования, сквозных испытаний и испытаний на проникновение.

2. Центральные депозитарии ценных бумаг и центральные контрагенты должны проводить оценку уязвимости до внедрения или повторного внедрения новых или существующих приложений и компонентов инфраструктуры, а также услуг ICT, которые поддерживают выполнение критических или важных функций финансовой организации.

3. Микропредприятия должны проводить испытания, указанные в параграфе 1 настоящей Статьи, сочетая подход на основе оценки рисков со стратегическим планированием испытаний ICT, должным образом учитывая необходимость поддержания баланса между объемом ресурсов и временем, выделяемым на проведение испытаний ICT, предусмотренных настоящей Статьей, с одной стороны, и срочностью, видом рисков, критичностью информационных активов и предоставляемых услуг, а также прочих значимых факторов, включая способность финансовой организации принимать на себя осознанные риски, с другой стороны.