Voor de beoordeling van de paraatheid ten aanzien van de behandeling van ICT-gerelateerde incidenten, de omschrijving van zwakheden, gebreken en lacunes in de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. , en de snelle uitvoering van corrigerende maatregelen zorgen de financiële entiteiten voor het vaststellen, handhaven en evalueren, met toepassing van het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , van een degelijk en alomvattend programma voor het testen van de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. als onderdeel van het kader voor ICT-risicobeheer.
Het testprogramma voor Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. omvat een reeks beoordelingen, tests, methodologieën, praktijken en instrumenten die moeten worden toegepast.
Bij de uitvoering van het programma voor het testen van de Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. volgen de financiële entiteiten een risicogebaseerde benadering, waarbij rekening wordt gehouden met het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , met het veranderende landschap van het ICT-risico, eventuele specifieke risico’s waaraan de betrokken financiële entiteit wordt of kan worden blootgesteld, de Het kritieke karakter van informatie- en ICT-assets verwijst naar het belang en de gevoeligheid van de informatie binnen een organisatie, gemeten aan de hand van de potentiële impact die het verlies, de aantasting of de onbeschikbaarheid ervan heeft op de activiteiten en de beveiliging van de onderneming. van Informatie- en ICT-assets zijn elk gegeven dat, elke informatie die of elk computersysteem dat van waarde is voor een organisatie, en een passende bescherming vereist. en verleende diensten, alsmede met alle andere factoren die de financiële entiteit passend acht.
De financiële entiteiten zorgen ervoor dat de tests worden uitgevoerd door interne of externe onafhankelijke partijen. Wanneer de tests door een interne tester worden uitgevoerd, zetten de financiële entiteiten voldoende middelen in en zorgen zij ervoor dat belangenconflicten gedurende de hele ontwerp- en uitvoeringsfase van de test worden voorkomen. De financiële entiteiten stellen procedures en beleidslijnen vast om alle problemen die tijdens de uitvoering van de tests aan het licht zijn gekomen, te prioriteren, te classificeren en te verhelpen, en stellen interne valideringsmethoden vast om na te gaan of alle vastgestelde zwakheden, gebreken of lacunes volledig worden aangepakt.
De financiële entiteiten zorgen ervoor dat ten minste eenmaal per jaar passende tests worden uitgevoerd op alle ICT-systemen en -toepassingen die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen.
Het verslag dat naar aanleiding van een weerbaarheidstest wordt opgesteld, moet:
- de kwetsbaarheden rangschikken naar prioriteit;
- de kwetsbaarheden classificeren in functie van hun dreigingsniveau;
- de kwetsbaarheden exhaustief beschrijven;
- een gedetailleerde beschrijving en een auditpiste, of audit trail, bevatten van alle tijdens de test uitgevoerde activiteiten en van hun resultaten. Dit zal de IT-medewerkers in staat stellen om specifieke kwetsbaarheden opnieuw te testen na de tenuitvoerlegging van een corrigerende maatregel.
Voor elke vastgestelde kwetsbaarheid moet:
- een actieplan worden opgesteld, met een toegewezen prioriteitsniveau;
- een persoon worden aangesteld om die kwetsbaarheid te verhelpen,
- een deadline bepaald worden,
- een IT-ticket worden aangemaakt om de follow-up van de voortgang en de afronding van elke taak te vergemakkelijken. Doelstelling is te vermijden dat dezelfde kwetsbaarheden in opeenvolgende tests opnieuw opduiken.
Na de eventuele zwakheden te hebben gecorrigeerd, moet de financiële entiteit interne valideringsmethoden toepassen om te checken of de aangebrachte correcties de kwetsbaarheden effectief hebben opgelost. Ze moet het scenario waarbij de kwetsbaarheid aan het licht is gekomen, opnieuw simuleren om de doeltreffendheid van aangebrachte correctie te garanderen.