(1)   Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erstellen und implementieren einen Plan für IKT-Sicherheitstests, um die Wirksamkeit ihrer gemäß den Artikeln 33, 34 und 35 sowie 37 und 38 der vorliegenden Verordnung entwickelten IKT-Sicherheitsmaßnahmen zu bestätigen. Die Finanzunternehmen stellen sicher, dass in diesem Plan Bedrohungen und Schwachstellen berücksichtigt werden, die im Zuge des in Artikel 31 genannten vereinfachten IKT-Risikomanagementrahmens ermittelt wurden.

(2)   Die in Absatz 1 genannten Finanzunternehmen überprüfen, bewerten und testen IKT-Sicherheitsmaßnahmen unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets des Finanzunternehmens.

(3)   Die in Absatz 1 genannten Finanzunternehmen überwachen und evaluieren die Ergebnisse der Sicherheitstests und bringen ihre Sicherheitsmaßnahmen im Falle von IKT-Systemen zur Unterstützung kritischer oder wichtiger Funktionen unverzüglich entsprechend auf Stand.