En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.
Stk. 2 En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret i operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.
Stk. 3 En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.
Stk. 4 Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstest, jf. stk. 3, skal foretages ud fra
-
1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,
-
2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og
-
3) operatørens specifikke it-risikoprofil, grad af it-modenhed og de teknologiske kendetegn, der er involveret.