Considérant 61
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
| (61) | Afin de tirer parti des ressources internes disponibles au niveau de l’entreprise, le présent règlement devrait autoriser le recours à des testeurs internes aux fins de la réalisation de tests de pénétration fondés sur la menace, sous réserve de l’accord des autorités de contrôle, de l’absence de conflit d’intérêts et de l’alternance périodique entre le recours à des testeurs internes et à des testeurs externes (tous les trois tests), tout en exigeant que le fournisseur de renseignements sur les menaces dans le test soit toujours externe à l’entité financière. L’exécution des tests de pénétration fondés sur la menace devrait continuer de relever de la responsabilité intégrale de l’entité financière. Les attestations délivrées par les autorités ne devraient être fournies qu’à des fins de reconnaissance mutuelle et ne devraient empêcher aucune action de suivi nécessaire pour faire face au risque lié aux TIC auquel l’entité financière est exposée, ni être considérées comme une validation par les autorités de surveillance des capacités de gestion et d’atténuation du risque lié aux TIC d’une entité financière. |