Art. 27. - Art. 27: Cerinţe pentru entităţile de testare în ceea ce priveşte efectuarea TLPT - Regulamentul 2554/14-dec-2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1011

Acte UE

Jurnalul Oficial 333L

În vigoare
Versiune de la: 22 Iulie 2025
Art. 27: Cerinţe pentru entităţile de testare în ceea ce priveşte efectuarea TLPT
(1)Entităţile financiare utilizează, în scopul efectuării TLPT, numai entităţi de testare care:
a)sunt cele mai adecvate şi de cea mai înaltă reputaţie;
b)deţin capacităţi tehnice şi organizatorice şi demonstrează expertiză specifică în ceea ce priveşte datele operative privind ameninţările, testele de penetrare şi testarea de tipul "echipa roşie";
c)sunt certificate de un organism de acreditare dintr-un stat membru sau aderă la coduri de conduită sau cadre etice formale;
d)oferă o asigurare independentă sau un raport de audit în ceea ce priveşte gestionarea solidă a riscurilor asociate cu efectuarea TLPT, inclusiv protecţia corespunzătoare a informaţiilor confidenţiale ale entităţii financiare şi măsurile reparatorii pentru riscurile legate de activităţile entităţii financiare;
e)sunt acoperite în mod corespunzător şi în totalitate de asigurările de răspundere civilă profesională relevante, inclusiv împotriva riscurilor de abatere şi neglijenţă.
(2)În cazul utilizării entităţilor interne de testare, entităţile financiare se asigură că, în plus faţă de cerinţele de la alineatul (1), se respectă toate condiţiile următoare:
a)utilizarea a fost aprobată de autoritatea competentă relevantă sau de autoritatea publică unică desemnată în conformitate cu articolul 26 alineatele (9) şi (10);
b)autoritatea competentă relevantă a verificat că entitatea financiară are suficiente resurse alocate şi s-a asigurat că sunt evitate conflictele de interese pe parcursul fazelor de proiectare şi execuţie ale testului; şi
c)furnizorul de date operative privind ameninţările este extern entităţii financiare.
(3)Entităţile financiare se asigură că contractele încheiate cu entităţi externe de testare impun o gestionare solidă a rezultatelor TLPT şi că orice prelucrare de date de către acestea, inclusiv orice generare, stocare, agregare, elaborare, raportare, comunicare sau distrugere, nu creează riscuri pentru entitatea financiară.