Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 25 Test des outils et systèmes de TIC
Summary What does Article 25 of the DORA regulation say?
This article fleshes out the practical content of the digital operational resilience testing programme established under Article 24, specifying the types of tests that financial entities are expected to run.
It provides a broad menu of testing methods — from vulnerability scans and penetration testing to source code reviews and scenario-based tests — while also carving out specific obligations for certain entity types.
Central securities depositories and central counterparties face a stricter pre-deployment requirement, while microenterprises are given a more flexible, risk-based approach to fulfilling their testing obligations.
Important points:
- Execute appropriate tests drawn from the range of methods listed in this article as part of your digital operational resilience testing programme.
- Central securities depositories and central counterparties are required to perform vulnerability assessments before deploying or redeploying any applications, infrastructure components, or ICT services supporting critical or important functions.
- Microenterprises must conduct the same tests but may do so using a balanced, risk-based and strategically planned approach that accounts for their available resources and the criticality of their assets and services.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le programme de tests de résilience opérationnelle numérique visé à l’article 24 prévoit, conformément aux critères énoncés à l’article 4, paragraphe 2, l’exécution de tests appropriés, tels que des évaluations et des analyses de vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des écarts, des examens de la sécurité physique, des questionnaires et des solutions logicielles de balayage, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout et des tests de pénétration.
Les dépositaires centraux de titres et les contreparties centrales procèdent à des évaluations de la vulnérabilité avant tout déploiement ou redéploiement d’applications et composantes d’infrastructures nouvelles ou existantes et de services TIC nouveaux ou existants qui soutiennent des fonctions critiques ou importantes de l’entité financière.
Les microentreprises effectuent les tests visés au paragraphe 1 en combinant une approche fondée sur les risques avec une planification stratégique des tests des TIC, en tenant dûment compte de la nécessité de maintenir une approche équilibrée entre, d’une part, l’ampleur des ressources et le temps à consacrer aux tests des TIC prévus au présent article et, d’autre part, l’urgence, le type de risque, la criticité des actifs informationnels et des services fournis, ainsi que tout autre facteur pertinent, y compris la capacité de l’entité financière à prendre des risques calculés.
Relevant recitals
Considérant 25 Inconsistent digital operational resilience testing requirements
Les exigences en matière de tests de résilience opérationnelle numérique ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique, ce qui, à son tour, peut fragmenter le marché intérieur.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
contrepartie centrale
(En. central counterparty)
Definition
vulnérabilité
(En. vulnerability)
Definition
microentreprise
(En. microenterprise)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)