Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 16 Coopération et reconnaissance mutuelle
Summary What does Article 16 of the RTS on threat-led penetration testing say?
This article sets out how TLPT exercises are coordinated across borders, covering three distinct scenarios: where a financial entity operates in multiple Member States, where entities within the same group share ICT systems or an ICT intra-group service provider, and where a pooled TLPT involves financial entities from different Member States.
In each case, the article establishes which TLPT authority takes the lead, how other authorities may participate or observe, and how information is shared between them.
It also addresses the relationship between a financial entity's TLPT authority and its competent authority where those happen to be different bodies.
Important points:
- TLPT authorities are required to designate a lead authority for cross-border tests and coordinate all participating authorities throughout the process.
- A joint TLPT shall be preferred over an individual TLPT where it would reduce costs and resources, provided the soundness and efficacy of the testing is not prejudiced.
- Where a financial entity's TLPT authority differs from its competent authority under Article 46 of DORA, those two authorities are required to share all relevant TLPT-related information with each other.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Aux fins de l’exécution d’un TIFM concernant une entité financière qui fournit des services dans plus d’un État membre, y compris par l’intermédiaire d’une succursale, l’autorité TIFM de ladite entité:
détermine quelles autorités TIFM des États membres d’accueil doivent être impliquées, en tenant compte du fait qu’une ou plusieurs fonctions critiques ou importantes sont ou non exploitées dans les États membres d’accueil ou partagées à travers les États membres d’accueil;
informe les autorités TIFM identifiées conformément au point a) de la décision de procéder à un TIFM sur l’entité financière;
sauf accord contraire des autorités TIFM, l’autorité TIFM de l’entité financière dirige le TIFM.
Les autorités TIFM des États membres d’accueil peuvent, dans un délai de 20 jours ouvrables à compter de la réception des informations relatives à la conduite future d’un TIFM, soit faire part de leur intérêt à suivre le TIFM en qualité d’observatrices, soit affecter un gestionnaire de test à ce TIFM. L’autorité TIFM chef de file fournit à toutes les autorités TIFM agissant en qualité d’observatrices dans le cadre du TIFM le document de spécification du périmètre du test, le rapport de synthèse du test, le plan de mesures correctives et l’attestation.
L’autorité TIFM chef de file coordonne toutes les autorités TIFM participantes tout au long du test et adopte toutes les décisions nécessaires pour exécuter le TIFM de manière appropriée et efficace. L’autorité TIFM chef de file peut fixer un nombre maximal d’autorités TIFM participantes, dans l’hypothèse où le bon déroulement du TIFM risquerait être compromis en l’absence d’une telle mesure.
Lorsqu’une entité financière recourt au même prestataire de services TIC intra-groupe que d’autres entités financières établies dans d’autres États membres, ou appartient à un groupe et partage des systèmes de TIC avec d’autres entités financières du même groupe établies dans d’autres États membres, l’autorité TIFM de l’entité financière prend contact avec les autorités TIFM de ces autres entités financières et évalue avec elles la faisabilité et l’opportunité d’un TIFM commun en ce qui les concerne. Il convient de donner la préférence à un TIFM commun plutôt qu’à un TIFM individuel s’il peut permettre de réduire les coûts et les ressources à la charge des entités financières et des autorités TIFM, pour autant que l’intégrité et l’efficacité du test n’en pâtissent pas.
Aux fins de la réalisation d’un TIFM commun:
les autorités TIFM des entités financières conviennent de l’entité financière qui sera désignée pour réaliser le TIFM, en prenant en considération la structure du groupe et l’efficacité du test;
l’autorité TIFM de l’entité financière désignée conformément au point a) dirige le TIFM, sauf accord contraire des autorités TIFM des entités financières participant au TIFM commun;
les autorités TIFM des entités financières autres que l’entité financière désignée pour diriger le TIFM commun peuvent soit faire part de leur intérêt à suivre le TIFM en qualité d’observatrices, soit affecter un gestionnaire de test à ce TIFM.
L’autorité TIFM chef de file coordonne toutes les autorités TIFM impliquées dans le TIFM commun et adopte toutes les décisions nécessaires pour exécuter le TIFM commun de manière rationnelle et efficace.
Lorsqu’une entité financière entend réaliser un TIFM groupé, au sens de l’article 26, paragraphe 4, du règlement (UE) 2022/2554, qui pourrait impliquer des entités financières établies dans d’autres États membres, son autorité TIFM prend contact avec les autorités TIFM de ces autres entités financières et évalue avec elles la faisabilité et l’opportunité d’un TIFM groupé en ce qui les concerne conformément à l’article 26, paragraphe 4, du règlement (UE) 2022/2554.
Aux fins de la conduite d’un TIFM groupé au sens de l’article 26, paragraphe 4, du règlement (UE) 2022/2554:
les autorités TIFM des entités financières conviennent de l’entité financière qui sera désignée pour conduire le TIFM groupé, en prenant en considération les services TIC fournis par le prestataire tiers de services TIC aux entités financières et l’efficacité du test;
l’autorité TIFM de l’entité financière désignée conformément au point a) dirige le TIFM, sauf accord contraire des autorités TIFM des entités financières participant au TIFM groupé;
les autorités TIFM des entités financières autres que l’entité financière désignée pour diriger le TIFM groupé peuvent soit faire part de leur intérêt à suivre le test en qualité d’observatrices, soit affecter un gestionnaire de test à ce TIFM.
L’autorité TIFM chef de file coordonne toutes les autorités TIFM impliquées dans le TIFM groupé et adopte toutes les décisions nécessaires pour exécuter le TIFM groupé de manière rationnelle et efficace.
S’agissant d’une entité financière tenue d’effectuer un TIFM, lorsque son autorité TIFM est différente de son autorité compétente au sens de l’article 46 du règlement (UE) 2022/2554, ces autorités partagent toute information pertinente concernant l’ensemble des questions liées aux TIFM aux fins de l’exécution des tests ou de l’accomplissement de leurs tâches conformément audit règlement.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
État membre d’accueil
(En. host Member State)
Definition
TIFM commun
(En. joint TLPT)
Definition
groupe
(En. group)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
autorité publique
(En. public authority)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
entreprise mère
(En. parent undertaking)
Definition
fonction critique ou importante
(En. critical or important function)