Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава IV. Испытания на цифровую операционную устойчивость
- Статья 24. Общие требования к проведению испытаний на цифровую операционную устойчивость
Статья 24. Общие требования к проведению испытаний на цифровую операционную устойчивость
Статья 24
Общие требования к проведению испытаний на цифровую операционную устойчивость
1. В целях оценки готовности к устранению инцидентов, связанных с ICT, в целях выявления недостатков, дефектов и пробелов в цифровой операционной устойчивости, а также в целях оперативного внедрения корректирующих мер финансовые организации, за исключением микропредприятий, должны, принимая во внимание критерии, изложенные в Статье 4(2) настоящей Директивы, разработать, поддерживать в действии и пересматривать надежную и комплексную программу проведения испытаний цифровой операционной устойчивости в качестве неотъемлемой части системы управления ICT-рисками, указанной в Статье 6 настоящего Регламента.
2. Программа проведения испытаний цифровой операционной устойчивости должна включать ряд оценок, испытаний, методологий, практик и инструментов, которые должны применяться в соответствии со Статьями 25 и 26 настоящего Регламента.
3. При реализации программы проведения испытаний цифровой операционной устойчивости, указанной в параграфе 1 настоящей Статьи, финансовые организации, за исключением микропредприятий, должны следовать подходу, основанному на оценке риска, с учетом критериев, изложенных в Статье 4(2) настоящего Регламента, а также с должным учетом меняющейся панорамы ICT-рисков, любых конкретных рисков, которым подвержена или может быть подвержена соответствующая финансовая организация, критичности информационных активов и предоставляемых услуг, а также прочих факторов, которые финансовая организация сочтет целесообразными.
4. Финансовые организации, за исключением микропредприятий, должны обеспечить проведение испытаний независимыми внутренними или внешними сторонами. Если испытания проводятся внутренним специалистом по проведению испытаний, финансовые организации должны выделить достаточные ресурсы и обеспечить отсутствие конфликта интересов на всех этапах планирования и проведения испытаний.
5. Финансовые организации, за исключением микропредприятий, должны установить процедуры и принципы для определения приоритетов, классификации и устранения всех проблем, выявленных в ходе проведения испытаний, а также должны разработать методологию внутренней валидации, чтобы убедиться, что все выявленные недостатки, дефекты или пробелы полностью устранены.
6. Финансовые организации, за исключением микропредприятий, должны обеспечить как минимум ежегодное проведение надлежащих испытаний всех систем и приложений ICT, которые поддерживают выполнение критических или важных функций.