Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 13 Plan de mesures correctives
Summary What does Article 13 of the RTS on threat-led penetration testing say?
This article deals with the post-testing remediation obligations that follow the conclusion of a TLPT.
Building directly on Article 12, which covers the reporting phase, Article 13 sets out what financial entities must do once they have received the TLPT authority's notification regarding the test reports.
The article requires financial entities to produce and submit remediation plans, and specifies in considerable detail what those plans must contain for each finding identified during the TLPT.
Important points:
- Within 8 weeks of the notification from Article 12(7), submit remediation plans and supporting documentation to both the TLPT authority and, where applicable, the competent authority.
- Ensure each remediation plan addresses every TLPT finding and covers the identified shortcomings, proposed measures with prioritisation and expected completion, a root cause analysis, and the staff or functions responsible for implementation.
- The plan must also set out the risks of not implementing the proposed remediation measures, and where relevant, the risks associated with implementing them.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans un délai de huit semaines à compter de la notification visée à l’article 12, paragraphe 7, du présent règlement, l’entité financière fournit les plans de mesures correctives et la documentation visés à l’article 26, paragraphe 6, du règlement (UE) 2022/2554 à l’autorité TIFM et, si ce n’est pas la même autorité, à l’autorité compétente de l’entité financière.
Le plan de mesures correctives visé au paragraphe 1 comprend, pour chaque constatation faite dans le cadre du TIFM:
une description des lacunes constatées;
une description des mesures correctives proposées, indiquant leur hiérarchisation et la date prévue de réalisation, y compris, le cas échéant, des mesures visant à améliorer les capacités d’identification, de protection, de détection et de réponse;
une analyse des causes originelles;
le personnel ou les fonctions de l’entité financière chargés de la mise en œuvre des mesures correctives ou des améliorations proposées;
les risques associés à la non-mise en œuvre des mesures visées au point b) et, le cas échéant, les risques associés à la mise en œuvre de ces mesures.
Relevant recitals
Considérant 26 Cooperation between the TLPT and supervisory authorities
Les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554 et, si ce ne sont pas les mêmes autorités, les autorités TIFM, devraient coopérer afin d’intégrer des tests avancés dans les processus de surveillance existants, au moyen de tests d’intrusion fondés sur la menace. À cet égard, et afin de veiller à la bonne compréhension des résultats des tests d’intrusion fondés sur la menace et de la manière dont ces résultats devraient être interprétés, il convient, en particulier pour le rapport de synthèse des tests et les plans de mesures correctives, qu’une coopération étroite soit établie entre les gestionnaires de test qui ont participé au TIFM et les autorités de surveillance responsables.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
gestionnaires de test
(En. test managers)
Definition
autorité publique
(En. public authority)