Art. 27
Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT
In vigore dal 14 dic 2022
Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT
1. Per lo svolgimento dei test di penetrazione basati su minacce, le entità finanziarie ricorrono unicamente a soggetto incaricato dello svolgimento dei test che:
a)
possano vantare il più alto grado di idoneità e reputazione;
b)
possiedano capacità tecniche e organizzative e dimostrino esperienza specifica nel campo delle analisi delle minacce, dei test di penetrazione e dei test red team;
c)
siano certificati da un ente di accreditamento in uno Stato membro o rispettino codici formali di condotta o quadri etici;
d)
forniscano una garanzia indipendente o una relazione di audit concernente la solida gestione dei rischi derivanti dallo svolgimento di TLPT, comprese la dovuta protezione delle informazioni riservate dell’entità finanziaria e il risarcimento dei rischi commerciali dell’entità finanziaria;
e)
siano debitamente e pienamente coperti da un’assicurazione di responsabilità professionale, anche contro i rischi di colpa e negligenza.
2. Quando ricorrono a soggetto incaricato dello svolgimento dei test interni, le entità finanziare devono provvedere affinché, oltre all’obbligo di cui al paragrafo 1, siano soddisfatte le condizioni seguenti:
a)
tale ricorso è stato approvato dall’autorità competente interessata o dall’autorità pubblica unica designata conformemente all’, paragrafi 9 e 10;
b)
l’autorità competente interessata ha verificato che l’entità finanziaria dispone di risorse dedicate sufficienti e che essa ha garantito che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test; e
c)
il soggetto che fornisce analisi delle minacce è esterno all’entità finanziaria.
3. Le entità finanziarie garantiscono che i contratti conclusi con i soggetti incaricati dello svolgimento dei test esterni prevedano una solida gestione dei risultati dei TLPT e che qualsiasi trattamento dei dati, comprese la generazione, la conservazione, l’aggregazione, l’elaborazione, la segnalazione, la comunicazione o la distruzione, non comporti rischi per l’entità finanziaria.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-27