Article 26 Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace

Summary What does Article 26 of the DORA regulation say?

This article governs threat-led penetration testing (TLPT), the most advanced form of digital operational resilience testing under DORA, and builds directly on the broader testing programme established in Article 25.

It sets out who must conduct TLPT, how often, on what scope, and under what conditions — including rules around the involvement of ICT third-party service providers, the use of pooled testing arrangements, and the governance of testers.

Competent authorities play a significant role here, both in identifying which financial entities must undergo TLPT and in validating the scope and outcomes of the tests.

Important points:

Carry out TLPT at least every three years if identified as required by competent authorities, covering critical or important functions on live production systems.
Financial entities retain full responsibility for TLPT compliance at all times, even where ICT third-party service providers participate or pooled testing arrangements are used.
Competent authorities are required to identify which financial entities must perform TLPT, based on their impact on the financial sector, financial stability concerns, and ICT risk profile.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises, qui sont identifiées conformément au paragraphe 8, troisième alinéa, du présent article effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.
1. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes d’une entité financière et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.
2. Les entités financières recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes et des services TIC, y compris ceux qui soutiennent des fonctions critiques ou importantes qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.
3. Les entités financières évaluent quelles fonctions critiques ou importantes doivent être couvertes par les tests de pénétration fondés sur la menace. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par les autorités compétentes.
1. Lorsque des prestataires tiers de services TIC sont inclus dans le champ d’application du test de pénétration fondé sur la menace, l’entité financière prend les mesures et garanties nécessaires pour assurer la participation de ces prestataires tiers de services TIC à ce test, et conserve à tout moment l’entière responsabilité de veiller au respect du présent règlement.
1. Sans préjudice du paragraphe 2, premier et deuxième alinéas, lorsque l’on peut raisonnablement s’attendre à ce que la participation d’un prestataire tiers de services TIC au test de pénétration fondé sur la menace, visée au paragraphe 3, ait une incidence négative sur la qualité ou sur la sécurité des services que le prestataire tiers de services TIC fournit à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement, ou sur la confidentialité des données liées à ces services, l’entité financière et le prestataire tiers de services TIC peuvent convenir par écrit que le prestataire tiers de services TIC conclut directement des accords contractuels avec un testeur externe, aux fins de la réalisation, sous la direction d’une entité financière désignée, d’un test groupé de pénétration fondé sur la menace associant plusieurs entités financières (test groupé) auxquelles le prestataire tiers de services TIC fournit des services TIC.
2. Ce test groupé couvre la gamme pertinente de services TIC qui soutiennent des fonctions critiques ou importantes sous-traitées par les entités financières au prestataire tiers de services TIC concerné. Le test groupé est considéré comme un test de pénétration fondé sur la menace réalisé par les entités financières participant au test groupé.
3. Le nombre d’entités financières participant au test groupé est dûment calibré compte tenu de la complexité et des types de services concernés.
1. Les entités financières procèdent, avec la coopération de prestataires tiers de services TIC et d’autres parties concernées, y compris les testeurs mais à l’exception des autorités compétentes, à des contrôles efficaces de la gestion des risques afin d’atténuer les risques d’incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants au sein de l’entité financière elle-même, de ses contreparties ou du secteur financier.
1. À l’issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, l’entité financière et, s’il y a lieu, les testeurs externes fournissent à l’autorité, désignée conformément au paragraphe 9 ou 10, une synthèse des conclusions pertinentes, les plans de mesures correctives et la documentation démontrant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences.
1. Les autorités fournissent aux entités financières une attestation qui confirme que le test a été effectué conformément aux exigences, comme prouvé dans la documentation, afin de permettre la reconnaissance mutuelle des tests de pénétration fondés sur la menace entre les autorités compétentes. L’entité financière notifie à l’autorité compétente concernée l’attestation, la synthèse des conclusions pertinentes et les plans de mesures correctives.
2. Sans préjudice de ladite attestation, les entités financières restent à tout moment pleinement responsables de l’incidence des tests visée au paragraphe 4.
1. Pour réaliser les tests de pénétration fondés sur la menace, les entités financières font appel à des testeurs, conformément à l’article 27. Lorsque des entités financières ont recours à des testeurs internes aux fins de la réalisation de ces tests, elles engagent un testeur externe tous les trois tests.
2. Les établissements de crédit qui sont classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 ont uniquement recours à des testeurs externes conformément à l’article 27, paragraphe 1, points a) à e).
3. Les autorités compétentes désignent les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace en tenant compte des critères énoncés à l’article 4, paragraphe 2, sur la base d’une appréciation des éléments suivants:
  1. les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier;
  2. les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant;
  3. le profil du risque lié aux TIC spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.
1. Les États membres peuvent désigner une autorité publique unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace dans le secteur financier au niveau national, et leur confient toutes les compétences et tâches nécessaires à cet effet.
1. En l’absence de désignation conformément au paragraphe 9 du présent article, et sans préjudice du pouvoir de désigner les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace, une autorité compétente peut déléguer l’exercice de tout ou partie des tâches visées au présent article et à l’article 27 à une autre autorité nationale du secteur financier.
1. Les AES élaborent, en accord avec la BCE, des projets conjoints de normes techniques de réglementation conformément au cadre TIBER-EU afin de préciser:
  1. les critères utilisés aux fins de l’application du paragraphe 8, deuxième alinéa;
  2. les exigences et normes régissant le recours à des testeurs internes;
  3. les exigences concernant:
    la portée du test de pénétration fondé sur la menace visé au paragraphe 2;
    la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;
    les stades de résultats, de clôture et de correction des tests;
  4. le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des tests de pénétration fondés sur la menace et pour la facilitation de la reconnaissance mutuelle de ces tests, dans le contexte des entités financières qui opèrent dans plus d’un État membre, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.
2. Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.
3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.
4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 25 Inconsistent digital operational resilience testing requirements

Les exigences en matière de tests de résilience opérationnelle numérique ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique, ce qui, à son tour, peut fragmenter le marché intérieur.

Considérant 26 Coordinated testing regime requirements

En outre, lorsque aucun test des TIC n’est requis, les vulnérabilités ne sont pas détectées et ont pour effet d’exposer l’entité financière au risque lié aux TIC et, en fin de compte, de créer un risque plus élevé pour la stabilité et l’intégrité du secteur financier. Sans une intervention au niveau de l’Union, les tests de résilience opérationnelle numérique demeureraient incompatibles et seraient dépourvus d’un système de reconnaissance mutuelle des résultats des tests des TIC d’un pays à l’autre. En outre, puisqu’il est peu probable que d’autres sous-secteurs financiers adoptent des mécanismes de test à une échelle significative, ils passeraient à côté des avantages qui peuvent découler d’un cadre de tests, en ce qui concerne la mise au jour des vulnérabilités et du risque lié aux TIC et le test des capacités de défense et de la continuité des activités, qui contribue à renforcer la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d’établir des règles visant à coordonner le régime de tests et ainsi de faciliter la reconnaissance mutuelle des tests avancés pour les entités financières remplissant les critères énoncés dans le présent règlement.

Considérant 44 Costs of advanced digital resilience testing

Étant donné que seules les entités reconnues aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être supportés par un petit pourcentage d’entités financières.

Considérant 57 Harmonised TLPT requirements for cross-border financial entities

Les entités financières qui participent à des activités transfrontières et exercent leur liberté d’établissement ou de prestation de services dans l’Union devraient se conformer à un ensemble unique d’exigences de tests avancés (à savoir des tests de pénétration fondés sur la menace) dans leur État membre d’origine, qui devraient englober toutes les infrastructures de TIC que ces groupes financiers transfrontières détiennent dans les différentes juridictions dans lesquelles ils opèrent au sein de l’Union, ce qui permettrait à ces groupes financiers transfrontières de ne supporter les coûts associés aux tests liés aux TIC que dans une seule juridiction.

Considérant 58 Designation of a public authority for TLPT

Afin de tirer parti de l’expertise déjà acquise par certaines autorités compétentes, en particulier en ce qui concerne la mise en œuvre du cadre TIBER-EU, le présent règlement devrait permettre aux États membres de désigner une autorité publique unique comme responsable dans le secteur financier, au niveau national, de toutes les questions relatives aux tests de pénétration fondés sur la menace, ou aux autorités compétentes de déléguer, en l’absence d’une telle désignation, la réalisation des tâches liées à ces tests à une autre autorité financière nationale compétente.

Considérant 59 Financial entity's determination of testing scope

Étant donné que le présent règlement n’exige pas des entités financières qu’elles couvrent toutes les fonctions critiques ou importantes dans le cadre d’un test unique de pénétration fondé sur la menace, les entités financières devraient être libres de déterminer combien de fonctions critiques ou importantes, et lesquelles, devraient être incluses dans le champ d’application de ce test.

Considérant 60 Safeguards for pooled testing

Les tests groupés au sens du présent règlement, dans le cadre desquels plusieurs entités financières participent à un test de pénétration fondé sur la menace et un prestataire tiers de services TIC peut conclure des accords contractuels directement avec un testeur externe, ne devraient être autorisés que lorsque l’on peut raisonnablement s’attendre à ce que la qualité ou la sécurité des services fournis par le prestataire tiers de services TIC à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement ou la confidentialité des données relatives à de tels services subissent une incidence négative. Les tests groupés devraient également être soumis à des garanties (direction par une entité financière désignée, précision du nombre d’entités financières participantes) afin de veiller à ce que l’exercice de test soit rigoureux pour les entités financières participantes qui satisfont aux objectifs du test de pénétration fondé sur la menace conformément au présent règlement.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.