Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique
1. Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières, autres que les microentreprises, établissent, maintiennent et réexaminent, en tenant compte des critères énoncés à l’article 4, paragraphe 2, un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC visé à l’article 6.
2. Le programme de tests de résilience opérationnelle numérique comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer conformément aux articles 25 et 26.
3. Lorsqu’elles exécutent le programme de tests de résilience opérationnelle numérique visé au paragraphe 1 du présent article, les entités financières, autres que les microentreprises, adoptent une approche fondée sur le risque tenant compte des critères énoncés à l’article 4, paragraphe 2, en prenant dûment en considération l’évolution du risque lié aux TIC, tout risque spécifique auquel l’entité financière concernée est ou pourrait être exposée, la criticité des actifs informationnels et des services fournis, ainsi que tout autre facteur que l’entité financière juge approprié.
4. Les entités financières, autres que les microentreprises, veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, les entités financières leur accordent des ressources suffisantes et veillent à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test.
5. Les entités financières, autres que les microentreprises, définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests et élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.
6. Les entités financières, autres que les microentreprises, veillent à soumettre, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes à des tests appropriés.