Artikel 2 Bestimmung der Finanzunternehmen, die zur Durchführung eines TLPT verpflichtet sind

Summary What does Article 2 of the RTS on threat-led penetration testing say?

This is a foundational scoping article that answers two key questions: which financial entities should be assessed for TLPT obligation, and which ones must actually perform it.

TLPT authorities are first required to evaluate any financial entity against a broad set of systemic and ICT risk criteria to determine whether TLPT is warranted.

The article then goes further by identifying specific categories of financial entity — including systemically important credit institutions, large payment institutions, central counterparties, trading venues, and insurance undertakings meeting defined financial thresholds — that must perform TLPT unless the assessment indicates their risk profile does not justify it.

The article also addresses group scenarios, where multiple entities within the same group share ICT systems, leaving it to the relevant TLPT authorities to determine whether individual or joint testing is appropriate.

Important points:

TLPT authorities are required to assess financial entities against both systemic impact factors and ICT risk factors before mandating TLPT.
Certain categories of financial entity — such as G-SII and O-SII credit institutions, large payment and electronic money institutions, central securities depositories, central counterparties, qualifying trading venues, and sufficiently large insurance undertakings — are subject to a presumption that they must perform TLPT.
Where multiple financial entities in the same group share ICT systems and all meet the criteria, TLPT authorities must decide whether individual testing remains necessary, with a consultation requirement where the parent undertaking falls under a different authority.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die TLPT-Behörden prüfen, ob ein Finanzunternehmen zur Durchführung eines TLPT verpflichtet ist, und berücksichtigen dabei die Auswirkungen dieses Finanzunternehmens, seinen systemischen Charakter und sein IKT-Risikoprofil auf der Grundlage aller folgenden Kriterien:
  1. Faktoren in Verbindung mit Auswirkungen und systemischem Charakter:
    Größe des Finanzunternehmens, die sich danach richtet, ob das Finanzunternehmen Finanzdienstleistungen in einem oder mehreren Mitgliedstaaten erbringt, und die durch Vergleich der Tätigkeiten des Finanzunternehmens mit denen anderer Finanzunternehmen, die ähnliche Dienstleistungen erbringen, ermittelt wird,
    Ausmaß und Art der Verflechtung des Finanzunternehmens mit anderen Finanzunternehmen des Finanzsektors in einem oder mehreren Mitgliedstaaten,
    Kritikalität oder Bedeutung der Dienstleistungen, die das Finanzunternehmen für den Finanzsektor erbringt,
    Substituierbarkeit der von dem betreffenden Finanzunternehmen erbrachten Dienstleistungen,
    Komplexität des Geschäftsmodells des Finanzunternehmens und der damit verbundenen Dienstleistungen und Prozesse,
    Frage, ob das Finanzunternehmen Teil einer Gruppe systemischen Charakters auf Unionsebene oder auf nationaler Ebene im Finanzsektor ist und IKT-Systeme gemeinsam nutzt;
  2. Faktoren in Verbindung mit dem IKT-Risiko:
    Risikoprofil des Finanzunternehmens,
    Bedrohungslage des Finanzunternehmens,
    Grad der Abhängigkeit kritischer oder wichtiger Funktionen des Finanzunternehmens oder seiner unterstützenden Funktionen von IKT-Systemen und -Prozessen,
    Komplexität der IKT-Architektur des Finanzunternehmens,
    Von IKT-Drittdienstleistern unterstützte IKT-Dienstleistungen und -Funktionen sowie Anzahl und Art der vertraglichen Vereinbarungen mit IKT-Drittdienstleistern oder gruppeninternen IKT-Dienstleistern,
    Ergebnisse etwaiger aufsichtlicher Überprüfungen, die für die Bewertung der IKT-Reife des Finanzunternehmens relevant sind,
    Reifegrad der IKT-Geschäftsfortführungspläne und IKT-Reaktions- und Wiederherstellungspläne,
    Reifegrad der operativen IKT-Sicherheitskontrollen und Risikominderungsmaßnahmen, einschließlich der Fähigkeit,
    die IKT-Infrastruktur des Finanzunternehmens dauerhaft zu überwachen,
    IKT-bezogene Ereignisse in Echtzeit zu erkennen,
    die unter Ziffer 2 genannten Ereignisse zu analysieren,
    auf die unter Ziffer 2 genannten Ereignisse schnell und wirksam zu reagieren,
    Frage, ob das Finanzunternehmen Teil einer Gruppe ist, die auf Unionsebene oder auf nationaler Ebene im Finanzsektor tätig ist und IKT-Systeme gemeinsam nutzt.
2. Für die Zwecke des Buchstabens a Ziffer i berücksichtigt die TLPT-Behörde nach Möglichkeit
  1. den Marktanteil des Finanzunternehmens auf Unions- und nationaler Ebene,
  2. das Spektrum der vom Finanzunternehmen angebotenen Tätigkeiten,
  3. den Marktanteil der vom Finanzunternehmen erbrachten Dienstleistungen oder der auf Unions- und nationaler Ebene durchgeführten Tätigkeiten.
3. Für die Zwecke des Buchstabens a Ziffer v berücksichtigt die TLPT-Behörde, soweit möglich,
  1. ob das Finanzunternehmen über mehr als ein Geschäftsmodell verfügt,
  2. die Verflechtung der verschiedenen Geschäftsprozesse und der damit verbundenen Dienstleistungen.
1. Die TLPT-Behörden verlangen von allen folgenden Finanzunternehmen die Durchführung von TLPT, es sei denn, die Bewertung eines Finanzunternehmens gemäß Absatz 1 hat ergeben, dass seine Auswirkungen, Bedenken hinsichtlich der Finanzstabilität in Bezug auf das betreffende Finanzunternehmen oder sein IKT-Risikoprofil die Durchführung eines TLPT nicht rechtfertigen:
  1. Kreditinstitute, die eine der folgenden Bedingungen erfüllen:
    Sie wurden gemäß Artikel 131 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates(⁷) als global systemrelevante Institute (G-SRI) eingestuft.
    Sie wurden gemäß Artikel 131 der Richtlinie 2013/36/EU als andere systemrelevante Institute („A-SRI“) ermittelt.
    Sie sind Teil eines G-SRI oder A-SRI.
  2. Zahlungsinstitute, die in jedem der beiden Kalenderjahre, die der Bewertung durch die TLPT-Behörde vorausgehen, einen Gesamtbetrag der Zahlungsvorgänge im Sinne von Artikel 4 Ziffer 5 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates(⁸) von 150 Mrd. EUR überschritten haben,
  3. E-Geld-Institute, die in jedem der beiden Kalenderjahre, die der Bewertung durch die TLPT-Behörde vorausgehen, entweder einen Gesamtbetrag der Zahlungsvorgänge im Sinne von Artikel 4 Ziffer 5 der Richtlinie (EU) 2015/2366 von 150 Mrd. EUR oder einen Gesamtbetrag des E-Geld-Umlaufs von 40 Mrd. EUR überschritten haben,
  4. Zentralverwahrer,
  5. zentrale Gegenparteien,
  6. Handelsplätze mit einem elektronischen Handelssystem, die eines der folgenden Kriterien erfüllen:
    Der Handelsplatz hat in jedem der beiden Kalenderjahre, die der Bewertung durch die TLPT-Behörde vorausgehen, in Bezug auf den Umsatz auf nationaler Ebene den höchsten Marktanteil in einem der folgenden Bereiche:
    übertragbare Wertpapiere im Sinne des Artikels 4 Absatz 1 Nummer 44 Buchstabe a der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates(⁹),
    übertragbare Wertpapiere im Sinne des Artikels 4 Absatz 1 Nummer 44 Buchstabe b der Richtlinie 2014/65/EU,
    Derivate im Sinne des Artikels 2 Absatz 1 Nummer 29 der Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates(¹⁰),
    strukturierte Finanzprodukte im Sinne des Artikels 2 Absatz 1 Nummer 28 der Verordnung (EU) Nr. 600/2014,
    Emissionszertifikate im Sinne des Anhangs I Abschnitt C Nummer 11 der Richtlinie 2014/65/EU,
    Der Handelsplatz hat in jedem der beiden Kalenderjahre, die der Bewertung durch die TLPT-Behörde vorausgehen, in Bezug auf den Umsatz auf Unionsebene einen Marktanteil von über 5 % in einem der folgenden Bereiche:
    Aktien und andere, Aktien oder Anteilen an Gesellschaften, Personengesellschaften oder anderen Rechtspersönlichkeiten gleichzustellende Wertpapiere sowie Aktienzertifikate,
    Schuldverschreibungen oder andere verbriefte Schuldtitel, einschließlich Zertifikaten (Hinterlegungsscheinen) für solche Wertpapiere,
    Derivate, die in Artikel 2 Absatz 1 Nummer 29 der Verordnung (EU) Nr. 600/2014 definiert sind,
    strukturierte Finanzprodukte im Sinne des Artikels 2 Absatz 1 Nummer 28 der Verordnung (EU) Nr. 600/2014,
    Emissionszertifikate im Sinne des Anhangs I Abschnitt C Nummer 11 der Richtlinie 2014/65/EU.
  7. Versicherungs- und Rückversicherungsunternehmen, die alle folgenden Kriterien erfüllen:
    Die verbuchten Bruttoprämieneinnahmen betragen mehr als 1 500 000 000 EUR.
    Die versicherungstechnischen Rückstellungen betragen mehr als 10 000 000 000 EUR.
    Versicherungsunternehmen, die nur in der Lebensversicherung oder die sowohl in der Lebensversicherung als auch in der Nichtlebensversicherung tätig sind und deren Vermögenswerte insgesamt 3,5 % der Summe der gemäß Artikel 75 der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates bewerteten gesamten Vermögenswerte(¹¹) der in dem Mitgliedstaat niedergelassenen Versicherungs- und Rückversicherungsunternehmen übersteigen.
2. Für die Zwecke des Buchstabens f Ziffer ii wird für den Fall, dass der Handelsplatz Teil eines gruppenübergreifenden IKT-Systems oder desselben gruppeninternen IKT-Dienstleisters ist, der Umsatz mit den Wertpapieren und Derivatkontrakten an allen Handelsplätzen berücksichtigt, die derselben Gruppe angehören und in der Union niedergelassen sind.
3. Für die Zwecke des Buchstabens g ermitteln die TLPT-Behörden eine Untergruppe aller Versicherungs- und Rückversicherungsunternehmen und wenden die unter Buchstabe g Ziffern i, ii und iii festgelegten Kriterien an. Zu dieser Untergruppe gehörende Versicherungs- und Rückversicherungsunternehmen sind zur Durchführung von TLPT verpflichtet, wenn sie eines der folgenden Kriterien erfüllen:
  1. verbuchte Bruttoprämieneinnahmen von mehr als 3 000 000 000 EUR,
  2. versicherungstechnische Rückstellungen von mehr als 30 000 000 000 EUR,
  3. Summe der Vermögenswerte übersteigt 10 % der Summe der gemäß Artikel 75 der Richtlinie 2009/138/EG bewerteten gesamten Vermögenswerte der in dem Mitgliedstaat niedergelassenen Versicherungs- und Rückversicherungsunternehmen.
1. Erfüllen mehrere Finanzunternehmen, die derselben Gruppe angehören und IKT-Systeme gemeinsam nutzen, oder mehrere Finanzunternehmen, die denselben gruppeninternen IKT-Dienstleister in Anspruch nehmen, die in Absatz 2 genannten Kriterien, so entscheiden die für diese Finanzunternehmen zuständigen TLPT-Behörden gemäß Artikel 16 Absatz 2, ob die Pflicht zur Durchführung von TLPT auf Einzelbasis für diese Finanzunternehmen relevant ist.
2. Unterscheidet sich die für das Mutterunternehmen einer in Unterabsatz 1 genannten Gruppe von Finanzunternehmen zuständige TLPT-Behörde von den für die Finanzunternehmen der Gruppe zuständigen TLPT-Behörden, so wird diese Behörde von den TLPT-Behörden, die für die zu dieser Gruppe gehörenden Finanzunternehmen zuständig sind, zu der Frage konsultiert, ob TLPT auf Einzelbasis durchgeführt werden sollten.

Relevant recitals

Erwägungsgrund 2 Exclusions from the scope

Angesichts der Komplexität des TLPT und der damit verbundenen Risiken sollte seine Durchführung auf diejenigen Finanzunternehmen beschränkt werden, bei denen er gerechtfertigt ist. Daher sollten die für mit TLPT verbundenen Angelegenheiten zuständigen Behörden (im Folgenden „TLPT-Behörden“) (auf Unions- oder auf nationaler Ebene) Finanzunternehmen vom Anwendungsbereich des TLPT ausnehmen, die in zentralen Finanzdienstleistungsteilsektoren tätig sind und bei denen ein TLPT nicht gerechtfertigt ist. Demnach könnten Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen unter Berücksichtigung einer Gesamtbewertung ihres IKT-Risikoprofils und ihres Reifegrads, ihrer Auswirkungen auf den Finanzsektor und entsprechender Bedenken hinsichtlich der Finanzstabilität von der Pflicht zur Durchführung von TLPT befreit werden, auch wenn sie die quantitativen Kriterien erfüllen.

Erwägungsgrund 3 Considerations of other financial entities for inclusion

Die TLPT-Behörden sollten unter Berücksichtigung einer Gesamtbewertung des IKT-Risikoprofils und des Reifegrads, der Auswirkungen auf den Finanzsektor und entsprechender Bedenken hinsichtlich der Finanzstabilität prüfen, ob andere Arten von Finanzunternehmen als Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, zentrale Gegenparteien, Zentralverwahrer, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen der Pflicht zur Durchführung von TLPT unterworfen werden sollten. Die Bewertung, ob diese Finanzunternehmen die genannten qualitativen Kriterien erfüllen, sollte darauf abzielen, anhand sektorübergreifender und objektiver Indikatoren diejenigen Finanzunternehmen zu ermitteln, die TLPT durchführen sollten. Gleichzeitig sollte die Bewertung, ob ein Finanzunternehmen diese qualitativen Kriterien erfüllt, darauf abzielen, TLPT auf diejenigen Unternehmen zu beschränken, bei denen der Test gerechtfertigt ist. Ob ein Finanzunternehmen diese qualitativen Kriterien erfüllt, sollte auch vor dem Hintergrund neuer Marktentwicklungen und der künftigen zunehmenden Bedeutung neuer Marktteilnehmer für den Finanzsektor, einschließlich der gemäß Artikel 59 der Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates(²) zugelassenen Anbieter von Krypto-Dienstleistungen, bewertet werden.

Erwägungsgrund 4 Assessment on national or EU level and at group or entity level

Finanzunternehmen können denselben gruppeninternen IKT-Dienstleister haben oder derselben Gruppe angehören und auf gemeinsame IKT-Systeme zurückgreifen. In diesem Fall ist es wichtig, dass die TLPT-Behörden bei der Beurteilung, ob ein Finanzunternehmen der Pflicht zur Durchführung von TLPT unterworfen werden sollte und ob der TLPT auf Unternehmensebene oder auf Gruppenebene (in Form eines gemeinsamen TLPT) durchgeführt werden sollte, die Struktur und den systemischen Charakter oder die Bedeutung des betreffenden Finanzunternehmens für den Finanzsektor auf nationaler oder Unionsebene berücksichtigen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.