Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 25 Testning av IKT-verktyg och IKT-system
Summary What does Article 25 of the DORA regulation say?
This article fleshes out the practical content of the digital operational resilience testing programme established under Article 24, specifying the types of tests that financial entities are expected to run.
It provides a broad menu of testing methods — from vulnerability scans and penetration testing to source code reviews and scenario-based tests — while also carving out specific obligations for certain entity types.
Central securities depositories and central counterparties face a stricter pre-deployment requirement, while microenterprises are given a more flexible, risk-based approach to fulfilling their testing obligations.
Important points:
- Execute appropriate tests drawn from the range of methods listed in this article as part of your digital operational resilience testing programme.
- Central securities depositories and central counterparties are required to perform vulnerability assessments before deploying or redeploying any applications, infrastructure components, or ICT services supporting critical or important functions.
- Microenterprises must conduct the same tests but may do so using a balanced, risk-based and strategically planned approach that accounts for their available resources and the criticality of their assets and services.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Det program för testning av digital operativ motståndskraft som avses i artikel 24 ska, i enlighet med kriterierna i artikel 4.2, innehålla bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.
Värdepapperscentraler och centrala motparter ska utföra sårbarhetsbedömningar före eventuellt införande eller återinförande av nya eller befintliga tillämpningar och infrastrukturkomponenter, och IKT-tjänster som stöder den finansiella entitetens kritiska eller viktiga funktioner,.
Mikroföretag ska utföra de tester som avses i punkt 1 genom att kombinera en riskbaserad metod med strategisk planering av IKT-testning, genom att vederbörligen beakta behovet av att upprätthålla en balans mellan å ena sidan omfattningen av de resurser och den tid som ska avsättas för IKT-testning som föreskrivs i denna artikel och å andra sidan skyndsamheten, typen av risk, kritikaliteten hos informationstillgångarna och de tillhandahållna tjänsterna samt alla andra relevanta faktorer, inbegripet den finansiella entitetens förmåga att ta beräknade risker.
Relevant recitals
Skäl 25 Inconsistent digital operational resilience testing requirements
Krav på testning av digital operativ motståndskraft har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraft komplicerat, vilket i sin tur kan fragmentera den inre marknaden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
central motpart
(En. central counterparty)
Definition
transaktionsregister
(En. trade repository)
Definition
mikroföretag
(En. microenterprise)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
värdepapperscentral
(En. central securities depository)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
handelsplats
(En. trading venue)