Capitolul iv - Testarea rezilienţei operaţionale digitale - Regulamentul 2554/14-dec-2022 privind rezilienţa operaţională digitală a sectorului financiar şi de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 şi (UE) 2016/1011
Acte UE
Jurnalul Oficial 333L
În vigoare Versiune de la: 22 Iulie 2025
CAPITOLUL IV:Testarea rezilienţei operaţionale digitale
Art. 24: Cerinţe generale pentru efectuarea testării rezilienţei operaţionale digitale
(1)În scopul evaluării nivelului de pregătire pentru gestionarea incidentelor legate de TIC, al identificării punctelor slabe, a deficienţelor şi a lacunelor în ceea ce priveşte rezilienţa operaţională digitală şi al punerii în aplicare prompte a măsurilor corective, entităţile financiare, altele decât microîntreprinderile, stabilesc, menţin şi revizuiesc, ţinând seama de criteriile prevăzute la articolul 4 alineatul (2), un program solid şi cuprinzător de testare a rezilienţei operaţionale digitale ca parte integrantă a cadrului de gestionare a riscurilor TIC menţionat la articolul 6.
(2)Programul de testare a rezilienţei operaţionale digitale include o serie de evaluări, teste, metodologii, practici şi instrumente care trebuie aplicate în conformitate cu articolele 25 şi 26.
(3)Atunci când desfăşoară programul de testare a rezilienţei operaţionale digitale menţionat la alineatul (1) de la prezentul articol, entităţile financiare, altele decât microîntreprinderile, urmează o abordare bazată pe riscuri, ţinând seama de criteriile prevăzute la articolul 4 alineatul (2) şi luând în considerare în mod corespunzător evoluţia peisajului riscurilor TIC, orice riscuri specifice la care entitatea financiară în cauză este sau ar putea fi expusă, caracterul critic al activelor informaţionale şi al serviciilor furnizate, precum şi orice alt factor pe care entitatea financiară îl consideră adecvat.
(4)Entităţile financiare, altele decât microîntreprinderile, se asigură că testele sunt efectuate de părţi independente, indiferent dacă sunt interne sau externe. Atunci când testele sunt efectuate de o entitate internă, entităţile financiare alocă resurse suficiente şi se asigură că sunt evitate conflictele de interese pe parcursul fazelor de proiectare şi execuţie ale testului.
(5)Entităţile financiare, altele decât microîntreprinderile, stabilesc proceduri şi politici care să prioritizeze, să clasifice şi să remedieze toate chestiunile identificate pe parcursul desfăşurării testelor şi stabilesc metodologii de validare internă pentru a se asigura că toate punctele slabe, deficienţele sau lacunele identificate sunt abordate integral.
(6)Entităţile financiare, altele decât microîntreprinderile, se asigură că se efectuează teste adecvate cel puţin o dată pe an asupra tuturor sistemelor şi aplicaţiilor TIC care sprijină funcţii critice sau importante.
Art. 25: Testarea instrumentelor şi sistemelor TIC
(1)Programul de testare a rezilienţei operaţionale digitale menţionat la articolul 24 asigură, în conformitate cu criteriile prevăzute la articolul 4 alineatul (2), efectuarea de teste adecvate, precum evaluări şi examinări ale vulnerabilităţii, analize ale surselor deschise, evaluări ale securităţii reţelei, analize ale lacunelor, verificări ale securităţii fizice, chestionare şi soluţii de analiză de tip software, evaluări ale codului sursă acolo unde este posibil, teste bazate pe scenarii, teste de compatibilitate, teste de performanţă, teste de la un capăt la altul (end-to-end) sau teste de penetrare.
(2)Depozitarii centrali de titluri de valoare şi contrapărţile centrale efectuează evaluări ale vulnerabilităţii înainte de utilizarea sau reutilizarea unor aplicaţii şi componente de infrastructură noi sau existente şi servicii TIC care sprijină funcţii critice sau importante ale entităţii financiare.
(3)Microîntreprinderile efectuează testele menţionate la alineatul (1) combinând o abordare bazată pe riscuri cu o planificare strategică a testării TIC şi luând în considerare în mod corespunzător necesitatea de a menţine o abordare echilibrată între amploarea resurselor şi timpul care urmează să fie alocat testării TIC prevăzute la prezentul articol, pe de o parte, şi urgenţa, tipul de risc, caracterul critic al activelor informaţionale şi al serviciilor furnizate, precum şi orice alt factor relevant, inclusiv capacitatea entităţii financiare de a-şi asuma riscuri calculate, pe de altă parte.
Art. 26: Testarea avansată a instrumentelor, sistemelor şi proceselor TIC cu ajutorul TLPT
(1)Entităţile financiare, altele decât entităţile menţionate la articolul 16 alineatul (1) primul paragraf şi altele decât microîntreprinderile, care sunt identificate în conformitate cu alineatul (8) al treilea paragraf de la prezentul articol, efectuează, cel puţin o dată la trei ani, testări avansate prin intermediul TLPT. Pe baza profilului de risc al entităţii financiare şi ţinând seama de circumstanţele operaţionale, autoritatea competentă poate să solicite entităţii financiare, dacă este necesar, să reducă sau să mărească această frecvenţă.
(2)Fiecare test de penetrare bazat pe ameninţări acoperă unele sau toate funcţiile critice sau importante ale unei entităţi financiare şi este realizat pe sistemele de producţie în timp real care sprijină astfel de funcţii.
Entităţile financiare identifică toate sistemele, procesele şi tehnologiile TIC subiacente relevante care sprijină funcţiile critice sau importante şi serviciile TIC, inclusiv pe cele care sprijină funcţiile critice sau importante care au fost externalizate sau contractate unor furnizori terţi de servicii TIC.
Entităţile financiare evaluează ce funcţii critice sau importante trebuie să fie acoperite de TLPT. Rezultatul acestei evaluări determină sfera de aplicare exactă a TLPT şi este validat de autorităţile competente.
(3)În cazul în care furnizorii terţi de servicii TIC sunt incluşi în sfera de aplicare a TLPT, entitatea financiară ia măsurile şi garanţiile necesare pentru a asigura participarea acestor furnizori terţi de servicii TIC la TLPT şi rămân în orice moment pe deplin responsabile de asigurarea respectării prezentului regulament.
(4)Fără a aduce atingere primului şi celui de al doilea paragraf de la alineatul (2), în cazul în care se preconizează în mod rezonabil că participarea unui furnizor terţ de servicii TIC la TLPT, astfel cum se menţionează la alineatul (3), va avea un impact negativ asupra calităţii sau securităţii serviciilor oferite de către furnizorul terţ de servicii TIC către clienţi care sunt entităţi ce nu intră în domeniul de aplicare al prezentului regulament, sau asupra confidenţialităţii datelor legate de astfel de servicii, entitatea financiară şi furnizorul terţ de servicii TIC pot conveni în scris ca furnizorul terţ de servicii TIC să încheie în mod direct acorduri contractuale cu o entitate externă de testare în scopul desfăşurării, sub conducerea unei entităţi financiare desemnate unice, a unei TLPT grupate, în care să fie implicate mai multe entităţi financiare (testare grupată) pentru care furnizorul terţ de servicii TIC oferă servicii TIC.
Testarea grupată respectivă acoperă gama relevantă de servicii TIC care sprijină funcţiile critice sau importante contractate de către entităţile financiare respectivului furnizor terţ de servicii TIC. Testarea grupată este considerată TLPT efectuată de entităţile financiare care participă la testarea grupată.
Numărul entităţilor financiare care participă la testarea grupată este calibrat în mod corespunzător, ţinând seama de complexitatea şi de tipurile serviciilor implicate.
(5)Entităţile financiare efectuează, cu cooperarea furnizorilor terţi de servicii TIC şi a altor părţi implicate, inclusiv a entităţilor de testare, dar excluzând autorităţile competente, controale eficace ale gestionării riscurilor pentru a atenua riscurile unui potenţial impact asupra datelor şi riscurile de deteriorare a activelor şi de perturbare a funcţiilor, a serviciilor sau a operaţiunilor critice sau importante la nivelul entităţii financiare înseşi, al contrapărţilor acesteia sau al sectorului financiar.
(6)La sfârşitul testării, după ce s-a convenit cu privire la rapoarte şi la planurile de remediere, entitatea financiară şi, după caz, entităţile externe de testare furnizează autorităţii desemnate în conformitate cu alineatul (9) sau (10) un rezumat al constatărilor relevante, planurile de remediere şi documentaţia care demonstrează că TLPT a fost efectuată în conformitate cu cerinţele.
(7)Autorităţile furnizează entităţilor financiare o adeverinţă prin care se confirmă faptul că testul a fost efectuat în conformitate cu cerinţele evidenţiate în documentaţie, pentru a permite recunoaşterea reciprocă între autorităţile competente a testelor de penetrare bazate pe ameninţări. Entitatea financiară notifică autorităţii competente relevante adeverinţa, rezumatul constatărilor relevante şi planurile de remediere.
Fără a aduce atingere unei astfel de adeverinţe, entităţile financiare rămân în orice moment pe deplin responsabile pentru impactul testelor menţionate la alineatul (4).
(8)Entităţile financiare contractează entităţi de testare în scopul efectuării TLPT în conformitate cu articolul 27. Atunci când entităţile financiare utilizează entităţi interne de testare în scopul efectuării TLPT, acestea contractează entităţi externe de testare la fiecare trei teste.
Instituţiile de credit care sunt clasificate drept semnificative în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, utilizează numai entităţi externe de testare în conformitate cu articolul 27 alineatul (1) literele (a)-(e).
Autorităţile competente identifică entităţile financiare care sunt obligate să efectueze TLPT ţinând seama de criteriile prevăzute la articolul 4 alineatul (2), pe baza unei evaluări a următoarelor elemente:
a)factorii legaţi de impact, în special măsura în care serviciile furnizate şi activităţile întreprinse de entitatea financiară au impact asupra sectorului financiar;
b)posibile preocupări legate de stabilitatea financiară, inclusiv caracterul sistemic al entităţii financiare la nivelul Uniunii sau la nivel naţional, după caz;
c)profilul de risc TIC specific, nivelul de maturitate a entităţii financiare din perspectiva TIC sau caracteristicile tehnologice implicate.
(9)Statele membre pot desemna o autoritate publică unică în sectorul financiar care să fie responsabilă de aspectele legate de TLPT în sectorul financiar la nivel naţional şi îi încredinţează acesteia toate competenţele şi sarcinile în acest sens.
(10)În absenţa unei desemnări în conformitate cu alineatul (9) de la prezentul articol şi fără a aduce atingere competenţei de a identifica entităţile financiare care trebuie să efectueze TLPT, o autoritate competentă poate delega exercitarea unora sau a tuturor sarcinilor menţionate la prezentul articol şi la articolul 27 unei alte autorităţi naţionale din sectorul financiar.
(11)AES elaborează, în acord cu BCE, proiecte comune de standarde tehnice de reglementare în conformitate cu cadrul TIBER–EU pentru a aduce precizări suplimentare privind:
a)criteriile utilizate în scopul aplicării alineatului (8) al doilea paragraf;
b)cerinţele şi standardele care reglementează utilizarea entităţilor interne de testare;
c)cerinţele privind:
(i)sfera de aplicare a TLPT menţionată la alineatul (2);
(ii)metodologia de testare şi abordarea de urmat pentru fiecare fază specifică a procesului de testare;
(iii)rezultatele, încheierea şi etapele procesului de remediere aferente testării;
d)tipul de cooperare în materie de supraveghere şi alt tip de cooperare relevant care sunt necesare pentru punerea în aplicare a TLPT şi pentru facilitarea recunoaşterii reciproce a testării respective, în contextul entităţilor financiare care operează în mai multe state membre, pentru a permite un nivel adecvat de implicare din perspectiva supravegherii şi o aplicare flexibilă, astfel încât să se ţină seama de specificităţile subsectoarelor financiare sau ale pieţelor financiare locale.
Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES ţin seama în mod corespunzător de orice caracteristică specifică care decurge din natura distinctă a activităţilor din diferite sectoare de servicii financiare.
AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.
Se deleagă Comisiei competenţa de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menţionate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 şi (UE) nr. 1095/2010.
Art. 27: Cerinţe pentru entităţile de testare în ceea ce priveşte efectuarea TLPT
(1)Entităţile financiare utilizează, în scopul efectuării TLPT, numai entităţi de testare care:
a)sunt cele mai adecvate şi de cea mai înaltă reputaţie;
b)deţin capacităţi tehnice şi organizatorice şi demonstrează expertiză specifică în ceea ce priveşte datele operative privind ameninţările, testele de penetrare şi testarea de tipul "echipa roşie";
c)sunt certificate de un organism de acreditare dintr-un stat membru sau aderă la coduri de conduită sau cadre etice formale;
d)oferă o asigurare independentă sau un raport de audit în ceea ce priveşte gestionarea solidă a riscurilor asociate cu efectuarea TLPT, inclusiv protecţia corespunzătoare a informaţiilor confidenţiale ale entităţii financiare şi măsurile reparatorii pentru riscurile legate de activităţile entităţii financiare;
e)sunt acoperite în mod corespunzător şi în totalitate de asigurările de răspundere civilă profesională relevante, inclusiv împotriva riscurilor de abatere şi neglijenţă.
(2)În cazul utilizării entităţilor interne de testare, entităţile financiare se asigură că, în plus faţă de cerinţele de la alineatul (1), se respectă toate condiţiile următoare:
a)utilizarea a fost aprobată de autoritatea competentă relevantă sau de autoritatea publică unică desemnată în conformitate cu articolul 26 alineatele (9) şi (10);
b)autoritatea competentă relevantă a verificat că entitatea financiară are suficiente resurse alocate şi s-a asigurat că sunt evitate conflictele de interese pe parcursul fazelor de proiectare şi execuţie ale testului; şi
c)furnizorul de date operative privind ameninţările este extern entităţii financiare.
(3)Entităţile financiare se asigură că contractele încheiate cu entităţi externe de testare impun o gestionare solidă a rezultatelor TLPT şi că orice prelucrare de date de către acestea, inclusiv orice generare, stocare, agregare, elaborare, raportare, comunicare sau distrugere, nu creează riscuri pentru entitatea financiară.