Source: OJ L, 2025/1190, 18.6.2025

Current language: DE

Artikel 16 Zusammenarbeit und gegenseitige Anerkennung

Summary What does Article 16 of the RTS on threat-led penetration testing say?

This article sets out how TLPT exercises are coordinated across borders, covering three distinct scenarios: where a financial entity operates in multiple Member States, where entities within the same group share ICT systems or an ICT intra-group service provider, and where a pooled TLPT involves financial entities from different Member States.

In each case, the article establishes which TLPT authority takes the lead, how other authorities may participate or observe, and how information is shared between them.

It also addresses the relationship between a financial entity's TLPT authority and its competent authority where those happen to be different bodies.

Important points:

  • TLPT authorities are required to designate a lead authority for cross-border tests and coordinate all participating authorities throughout the process.
  • A joint TLPT shall be preferred over an individual TLPT where it would reduce costs and resources, provided the soundness and efficacy of the testing is not prejudiced.
  • Where a financial entity's TLPT authority differs from its competent authority under Article 46 of DORA, those two authorities are required to share all relevant TLPT-related information with each other.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Für die Durchführung eines TLPT bei einem Finanzunternehmen, das Dienstleistungen in mehr als einem Mitgliedstaat, auch über eine Zweigniederlassung, erbringt, muss die jeweils zuständige TLPT-Behörde

      1. bestimmen, welche TLPT-Behörden in den Aufnahmemitgliedstaaten beteiligt werden sollen; dabei ist zu berücksichtigen, ob eine oder mehrere kritische oder wichtige Funktionen in den Aufnahmemitgliedstaaten ausgeübt oder von diesen gemeinsam genutzt werden,

      2. die gemäß Buchstabe a bestimmten TLPT-Behörden über die Entscheidung, einen TLPT bei dem Finanzunternehmen durchzuführen, unterrichten,

      3. die Leitung des TLPT übernehmen, sofern die TLPT-Behörden nichts anderes vereinbaren.

    2. Die TLPT-Behörden der Aufnahmemitgliedstaaten können innerhalb von zwanzig Arbeitstagen nach Erhalt der Informationen über die künftige Durchführung eines TLPT entweder ihr Interesse daran bekunden, den TLPT als Beobachter zu verfolgen, oder einen Testmanager benennen, der an dem TLPT teilnimmt. Die federführende TLPT-Behörde übermittelt allen TLPT-Behörden, die als Beobachter an dem TLPT teilnehmen, das Scoping-Dokument, den zusammenfassenden Testbericht, den Plan mit Abhilfemaßnahmen und die Bescheinigung.

    3. Die federführende TLPT-Behörde koordiniert alle teilnehmenden TLPT-Behörden während des gesamten Tests und trifft alle Entscheidungen, die für eine angemessene und wirksame Durchführung des TLPT erforderlich sind. Die federführende TLPT-Behörde kann festlegen, dass die Zahl der teilnehmenden TLPT-Behörden eine bestimmte Schwelle nicht übersteigen darf, wenn andernfalls die wirksame Durchführung des TLPT gefährdet werden könnte.

    1. Nimmt ein Finanzunternehmen denselben gruppeninternen IKT-Dienstleister in Anspruch wie Finanzunternehmen mit Sitz in anderen Mitgliedstaaten oder gehört es einer Gruppe an und nutzt IKT-Systeme gemeinsam mit Finanzunternehmen derselben Gruppe, die in anderen Mitgliedstaaten niedergelassen sind, so wendet sich die für das Finanzunternehmen zuständige TLPT-Behörde an die für die anderen Finanzunternehmen zuständigen TLPT-Behörden, die dieselben gruppeninternen IKT-Dienstleister in Anspruch nehmen oder IKT-Systeme als Teil der Gruppe gemeinsam nutzen, und bewertet gemeinsam mit diesen die Durchführbarkeit und Eignung eines gemeinsamen TLPT. Ein gemeinsamer TLPT ist einem Einzel-TLPT vorzuziehen, wenn dadurch bei den Finanzunternehmen und den TLPT-Behörden Kosten gesenkt und Ressourcen eingespart werden können, sofern die Belastbarkeit und Wirksamkeit der Tests nicht beeinträchtigt werden.

    1. Für die Durchführung eines gemeinsamen TLPT gilt Folgendes:

      1. Die für die Finanzunternehmen zuständigen TLPT-Behörden vereinbaren unter Berücksichtigung der Gruppenstruktur und der Wirksamkeit des Tests, welches Finanzunternehmen für die Durchführung des TLPT benannt wird.

      2. Die für das gemäß Buchstabe a benannte Finanzunternehmen zuständige TLPT-Behörde leitet den TLPT, sofern die für die am gemeinsamen TLPT beteiligten Finanzunternehmen zuständigen TLPT-Behörden nichts anderes vereinbaren.

      3. Die für die Finanzunternehmen, bei denen es sich nicht um das benannte Finanzunternehmen handelt, das den gemeinsamen TLPT leitet, zuständigen TLPT-Behörden können entweder ihr Interesse daran bekunden, den TLPT als Beobachter zu verfolgen, oder einen Testmanager für den betreffenden TLPT benennen.

    2. Die federführende TLPT-Behörde koordiniert alle am gemeinsamen TLPT beteiligten TLPT-Behörden und trifft alle Entscheidungen, die für eine belastbare und wirksame Durchführung des gemeinsamen TLPT erforderlich sind.

    1. Beabsichtigt ein Finanzunternehmen, einen gebündelten TLPT gemäß Artikel 26 Absatz 4 der Verordnung (EU) 2022/2554 durchzuführen, an dem möglicherweise in anderen Mitgliedstaaten niedergelassene Finanzunternehmen beteiligt sind, so setzt sich seine TLPT-Behörde mit den für die anderen Finanzunternehmen zuständigen TLPT-Behörden in Verbindung und bewertet mit ihnen die Durchführbarkeit und Eignung eines gebündelten TLPT bei diesen Unternehmen gemäß Artikel 26 Absatz 4 der Verordnung (EU) 2022/2554.

    1. Für die Durchführung eines gebündelten TLPT gemäß Artikel 26 Absatz 4 der Verordnung (EU) 2022/2554

      1. vereinbaren die für die Finanzunternehmen zuständigen TLPT-Behörden, welches Finanzunternehmen unter Berücksichtigung der IKT-Dienstleistungen, die der IKT-Drittdienstleister für die Finanzunternehmen erbringt, und der Wirksamkeit des Tests benannt wird, um den gebündelten TLPT durchzuführen,

      2. übernimmt die für das gemäß Buchstabe a benannte Finanzunternehmen zuständige TLPT-Behörde die Leitung für den TLPT, sofern die für die am gebündelten TLPT beteiligten Finanzunternehmen zuständigen TLPT-Behörden nichts anderes vereinbaren,

      3. können die für die Finanzunternehmen, bei denen es sich nicht um das benannte Finanzunternehmen handelt, das den gemeinsamen TLPT leitet, zuständigen TLPT-Behörden entweder ihr Interesse daran bekunden, den TLPT als Beobachter zu verfolgen, oder einen Testmanager für den betreffenden TLPT benennen.

    2. Die federführende TLPT-Behörde koordiniert alle am gebündelten TLPT beteiligten TLPT-Behörden und trifft alle Entscheidungen, die für eine belastbare und wirksame Durchführung des gebündelten TLPT erforderlich sind.

    1. Unterscheidet sich die für ein Finanzunternehmen, das einen TLPT durchführen muss, zuständige TLPT-Behörde von der in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörde, so teilen diese Behörden alle relevanten Informationen über alle mit dem TLPT verbundenen Angelegenheiten für die Zwecke der Durchführung des TLPT oder zur Wahrnehmung ihrer Aufgaben gemäß der genannten Verordnung mit.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod