Source: OJ L 333, 27.12.2022, p. 1–79

Current language: DE

Artikel 25 Testen von IKT-Tools und -Systemen

Summary What does Article 25 of the DORA regulation say?

This article fleshes out the practical content of the digital operational resilience testing programme established under Article 24, specifying the types of tests that financial entities are expected to run.

It provides a broad menu of testing methods — from vulnerability scans and penetration testing to source code reviews and scenario-based tests — while also carving out specific obligations for certain entity types.

Central securities depositories and central counterparties face a stricter pre-deployment requirement, while microenterprises are given a more flexible, risk-based approach to fulfilling their testing obligations.

Important points:

  • Execute appropriate tests drawn from the range of methods listed in this article as part of your digital operational resilience testing programme.
  • Central securities depositories and central counterparties are required to perform vulnerability assessments before deploying or redeploying any applications, infrastructure components, or ICT services supporting critical or important functions.
  • Microenterprises must conduct the same tests but may do so using a balanced, risk-based and strategically planned approach that accounts for their available resources and the criticality of their assets and services.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Das in Artikel 24 genannte Programm für die Tests der digitalen operationalen Resilienz beinhaltet im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien die Durchführung angemessener Tests, wie etwa Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.

    1. Zentralverwahrer und zentrale Gegenparteien führen Schwachstellenbewertungen durch, bevor Anwendungen und Infrastrukturkomponenten sowie IKT-Dienstleistungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, eingesetzt oder wieder eingesetzt werden.

    1. Kleinstunternehmen führen die in Absatz 1 genannten Tests durch, indem sie einen risikobasierten Ansatz mit einer strategischen Planung für IKT-Tests kombinieren, wobei sie gebührend berücksichtigen, dass zwischen dem Umfang von Ressourcen und der Zeit, die für die IKT-Tests gemäß diesem Artikel aufzuwenden sind, einerseits, und der Dringlichkeit, der Art des Risikos, der Kritikalität von Informationsassets und erbrachten Dienstleistungen sowie allen sonstigen relevanten Faktoren, einschließlich der Fähigkeit des Finanzunternehmens, kalkulierte Risiken einzugehen, andererseits, ein ausgewogenes Verhältnis gewahrt werden muss.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod