Art. 27 · Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT

Art. 27

Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT

In vigore dal 14 dic 2022
Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT 1.   Per lo svolgimento dei test di penetrazione basati su minacce, le entità finanziarie ricorrono unicamente a soggetto incaricato dello svolgimento dei test che: a) possano vantare il più alto grado di idoneità e reputazione; b) possiedano capacità tecniche e organizzative e dimostrino esperienza specifica nel campo delle analisi delle minacce, dei test di penetrazione e dei test red team; c) siano certificati da un ente di accreditamento in uno Stato membro o rispettino codici formali di condotta o quadri etici; d) forniscano una garanzia indipendente o una relazione di audit concernente la solida gestione dei rischi derivanti dallo svolgimento di TLPT, comprese la dovuta protezione delle informazioni riservate dell’entità finanziaria e il risarcimento dei rischi commerciali dell’entità finanziaria; e) siano debitamente e pienamente coperti da un’assicurazione di responsabilità professionale, anche contro i rischi di colpa e negligenza. 2.   Quando ricorrono a soggetto incaricato dello svolgimento dei test interni, le entità finanziare devono provvedere affinché, oltre all’obbligo di cui al paragrafo 1, siano soddisfatte le condizioni seguenti: a) tale ricorso è stato approvato dall’autorità competente interessata o dall’autorità pubblica unica designata conformemente all’, paragrafi 9 e 10; b) l’autorità competente interessata ha verificato che l’entità finanziaria dispone di risorse dedicate sufficienti e che essa ha garantito che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test; e c) il soggetto che fornisce analisi delle minacce è esterno all’entità finanziaria. 3.   Le entità finanziarie garantiscono che i contratti conclusi con i soggetti incaricati dello svolgimento dei test esterni prevedano una solida gestione dei risultati dei TLPT e che qualsiasi trattamento dei dati, comprese la generazione, la conservazione, l’aggregazione, l’elaborazione, la segnalazione, la comunicazione o la distruzione, non comporti rischi per l’entità finanziaria.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg:2022:2554:oj#art-27