Articulo 25 Resiliencia operativa digital del sector financiero

1. El programa de pruebas de resiliencia operativa digital a que se refiere el artículo 24 dispondrá, de conformidad con los criterios establecidos en el artículo 4, apartado 2, la ejecución de las pruebas adecuadas, como evaluaciones y exploraciones de vulnerabilidad, análisis del software de código abierto, evaluaciones de seguridad de la red, análisis de carencias, exámenes de la seguridad física, cuestionarios y soluciones de software de detección, revisiones del código fuente cuando sea posible, pruebas basadas en escenarios, pruebas de compatibilidad, pruebas de rendimiento, pruebas de extremo a extremo y pruebas de penetración.

2. Los depositarios centrales de valores y las entidades de contrapartida central realizarán evaluaciones de vulnerabilidad antes de implantar o reimplantar aplicaciones y componentes de infraestructuras y servicios de TIC que sustenten funciones esenciales o importantes de la entidad financiera nuevos o ya existentes.

3. Las microempresas realizarán las pruebas a que se refiere el apartado 1 mediante la combinación de un enfoque basado en el riesgo con una planificación estratégica de las pruebas de TIC, teniendo debidamente en cuenta la necesidad de mantener un planteamiento equilibrado entre la dimensión de los recursos y el tiempo que se asigne a las pruebas de TIC previstas en el presente artículo, por una parte, y la urgencia, el tipo de riesgo, el carácter esencial de los activos de información y de los servicios prestados, así como cualquier otro factor pertinente, incluida la capacidad de la entidad financiera para asumir riesgos calculados, por otra.