Considerant 56

(56)

Dans le but d’assurer un niveau élevé de résilience opérationnelle numérique, et conformément aux normes internationales pertinentes (par exemple, les éléments fondamentaux du G7 concernant les tests de pénétration fondés sur la menace) ainsi qu’aux cadres appliqués dans l’Union, tels que le TIBER-EU, les entités financières devraient tester régulièrement leurs systèmes de TIC et leur personnel ayant des responsabilités liées aux TIC pour évaluer l’efficacité de leurs capacités de prévention, de détection, de réponse et de rétablissement, afin de repérer les vulnérabilités potentielles des TIC et d’y remédier. Afin de tenir compte des différences qui existent entre les divers sous-secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de préparation des entités financières à la cybersécurité, les tests devraient comprendre un large éventail d’outils et d’actions, allant de l’évaluation des exigences de base (par exemple, évaluations et analyses de la vulnérabilité, analyses de sources ouvertes, évaluations de la sécurité des réseaux, analyses des lacunes, examens de la sécurité physique, questionnaires et solutions logicielles d’analyse, examens du code source lorsque cela est possible, tests fondés sur des scénarios, tests de compatibilité, tests de performance ou tests de bout en bout) à des tests plus avancés au moyen de tests de pénétration fondés sur la menace. Ces tests avancés ne devraient être requis que pour les entités financières qui sont suffisamment matures du point de vue des TIC pour raisonnablement effectuer de tels tests. Les tests de résilience opérationnelle numérique requis par le présent règlement devraient donc être plus exigeants pour les entités financières remplissant les critères énoncés dans le présent règlement (par exemple, les grands établissements de crédit systémiques et matures du point de vue des TIC, les bourses, les dépositaires centraux de titres et les contreparties centrales) que pour les autres entités financières. Dans le même temps, les tests de résilience opérationnelle numérique effectués au moyen de tests de pénétration fondés sur la menace devraient être plus pertinents pour les entités financières qui exercent des activités dans les sous-secteurs essentiels des services financiers et qui jouent un rôle systémique(par exemple, les paiements, les services bancaires et les services de compensation et de règlement), et moins pertinents pour d’autres sous-secteurs (par exemple, les gestionnaires d’actifs et les agences de notation de crédit).