Article 2 Identification des entités financières tenues d’effectuer des TIFM

Summary What does Article 2 of the RTS on threat-led penetration testing say?

This is a foundational scoping article that answers two key questions: which financial entities should be assessed for TLPT obligation, and which ones must actually perform it.

TLPT authorities are first required to evaluate any financial entity against a broad set of systemic and ICT risk criteria to determine whether TLPT is warranted.

The article then goes further by identifying specific categories of financial entity — including systemically important credit institutions, large payment institutions, central counterparties, trading venues, and insurance undertakings meeting defined financial thresholds — that must perform TLPT unless the assessment indicates their risk profile does not justify it.

The article also addresses group scenarios, where multiple entities within the same group share ICT systems, leaving it to the relevant TLPT authorities to determine whether individual or joint testing is appropriate.

Important points:

TLPT authorities are required to assess financial entities against both systemic impact factors and ICT risk factors before mandating TLPT.
Certain categories of financial entity — such as G-SII and O-SII credit institutions, large payment and electronic money institutions, central securities depositories, central counterparties, qualifying trading venues, and sufficiently large insurance undertakings — are subject to a presumption that they must perform TLPT.
Where multiple financial entities in the same group share ICT systems and all meet the criteria, TLPT authorities must decide whether individual testing remains necessary, with a consultation requirement where the parent undertaking falls under a different authority.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les autorités TIFM évaluent si une entité financière est tenue d’effectuer des TIFM, en tenant compte de l’incidence de cette entité financière, de son caractère systémique et de son profil de risque lié aux TIC, sur la base de l’ensemble des critères suivants:
  1. facteurs liés à l’incidence et au caractère systémique:
    la taille de l’entité financière, déterminée en examinant si l’entité financière fournit des services financiers dans un seul État membre ou dans plusieurs et en comparant les activités de l’entité financière à celles d’autres entités financières fournissant des services similaires;
    l’ampleur et la nature de l’interconnexion de l’entité financière avec d’autres entités financières du secteur financier dans un ou plusieurs États membres;
    la criticité ou l’importance des services que l’entité financière fournit au secteur financier;
    la substituabilité des services fournis par l’entité financière;
    la complexité du modèle économique de l’entité financière et des services et processus connexes;
    le fait que l’entité financière fasse ou non partie d’un groupe de caractère systémique au niveau de l’Union ou au niveau national dans le secteur financier qui partage des systèmes de TIC;
  2. facteurs liés aux risques liés aux TIC:
    le profil de risque de l’entité financière;
    le panorama de la menace relatif à l’entité financière;
    le degré de dépendance des fonctions critiques ou importantes de l’entité financière, ou de leurs fonctions de soutien, à l’égard des systèmes et processus de TIC;
    la complexité de l’architecture des TIC de l’entité financière;
    les services et fonctions de TIC soutenus par des prestataires tiers de services TIC, ainsi que le nombre et le type d’accords contractuels conclus avec des prestataires tiers de services TIC ou des prestataires de services TIC intra-groupe;
    les résultats des examens des autorités de surveillance pertinents pour l’évaluation de la maturité des TIC de l’entité financière;
    la maturité des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC;
    la maturité des mesures opérationnelles de détection et d’atténuation en matière de sécurité des TIC, y compris la capacité:
    d’assurer une surveillance permanente de l’infrastructure TIC de l’entité financière;
    de détecter les événements liés aux TIC en temps réel;
    d’analyser les événements visés au point 2);
    de réagir aux événements visés au point 2) en temps utile et de manière efficace;
    le fait que l’entité financière fasse ou non partie d’un groupe actif dans le secteur financier au niveau de l’Union ou au niveau national qui partage des systèmes de TIC.
2. Aux fins du point a), i), l’autorité TIFM tient compte, dans la mesure du possible:
  1. de la part de marché de l’entité financière au niveau de l’Union et au niveau national;
  2. de l’éventail des activités proposées par l’entité financière;
  3. de la part de marché des services fournis par l’entité financière ou des activités menées au niveau de l’Union et au niveau national.
3. Aux fins du point a), v), l’autorité TIFM tient compte, dans la mesure du possible:
  1. du fait que l’entité financière applique ou non plus d’un modèle d’entreprise;
  2. de l’interconnexion des différents processus opérationnels et des services connexes.
1. Les autorités TIFM exigent de toutes les entités financières suivantes qu’elles effectuent des TIFM à moins que l’évaluation visée au paragraphe 1 n’indique, en ce qui concerne une entité financière, que son incidence, les préoccupations relatives à la stabilité financière qui lui sont liées, ou son profil de risque lié aux TIC ne justifient pas la réalisation d’un TIFM:
  1. les établissements de crédit qui remplissent l’une des conditions suivantes:
    ils ont été recensés comme établissements d’importance systémique mondiale (EISm) conformément à l’article 131 de la directive 2013/36/UE du Parlement européen et du Conseil(⁷);
    ils ont été recensés comme autres établissements d’importance systémique (autres EIS) conformément à l’article 131 de la directive 2013/36/UE;
    ils font partie d’un EISm ou d’un autre EIS;
  2. les établissements de paiement qui ont dépassé, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, la barre des 150 milliards d’EUR en valeur totale des opérations de paiement au sens de l’article 4, point 5), de la directive (UE) 2015/2366 du Parlement européen et du Conseil(⁸);
  3. les établissements de monnaie électronique qui ont dépassé, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, soit la barre des 150 milliards d’EUR en valeur totale des opérations de paiement au sens de l’article 4, point 5), de la directive (UE) 2015/2366, soit la barre des 40 milliards d’EUR en valeur totale de la monnaie électronique en circulation;
  4. les dépositaires centraux de titres;
  5. les contreparties centrales;
  6. les plates-formes de négociation dotées d’un système de négociation électronique qui remplissent l’un des critères suivants:
    la plate-forme de négociation détient, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, la part de marché la plus élevée en termes de volume d’échanges au niveau national dans l’une des catégories suivantes:
    valeurs mobilières au sens de l’article 4, paragraphe 1, point 44), a), de la directive 2014/65/UE du Parlement européen et du Conseil(⁹);
    valeurs mobilières au sens de l’article 4, paragraphe 1, point 44), b), de la directive 2014/65/UE;
    instruments dérivés au sens de l’article 2, paragraphe 1, point 29), du règlement (UE) n^o 600/2014 du Parlement européen et du Conseil(¹⁰);
    produits financiers structurés au sens de l’article 2, paragraphe 1, point 28), du règlement (UE) n^o 600/2014;
    quotas d’émission visés à l’annexe I, section C, point 11), de la directive 2014/65/UE;
    la plate-forme de négociation détient, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, une part de marché en termes de volume d’échanges au niveau de l’Union qui dépasse 5 % dans l’une des catégories suivantes:
    actions de sociétés et autres titres équivalents à des actions de sociétés, de sociétés de type partnership ou d’autres entités ainsi que certificats représentatifs d’actions;
    obligations et autres titres de créance, y compris certificats représentatifs de tels titres;
    instruments dérivés au sens de l’article 2, paragraphe 1, point 29), du règlement (UE) n^o 600/2014;
    produits financiers structurés au sens de l’article 2, paragraphe 1, point 28), du règlement (UE) n^o 600/2014;
    quotas d’émission visés à l’annexe I, section C, point 11), de la directive 2014/65/UE;
  7. les entreprises d’assurance et de réassurance qui remplissent tous les critères suivants:
    leur montant de primes brutes émises est supérieur à 1 500 000 000 EUR;
    leur montant de provisions techniques est supérieur à 10 000 000 000 EUR;
    ce sont des entreprises d’assurance qui exercent uniquement des activités vie ou qui exercent à la fois des activités vie et non-vie et dont le total des actifs dépasse 3,5 % de la somme du total des actifs des entreprises d’assurance et de réassurance établies dans l’État membre, valorisés conformément à l’article 75 de la directive 2009/138/CE du Parlement européen et du Conseil(¹¹).
2. Aux fins du point f), ii), lorsque la plate-forme de négociation fait partie d’un groupe partageant des systèmes de TIC ou le même prestataire de services TIC intra-groupe, le volume d’échanges des titres et des contrats dérivés sur l’ensemble des plates-formes de négociation appartenant au même groupe et établies dans l’Union est pris en considération.
3. Aux fins du point g), les autorités TIFM identifient un sous-ensemble de toutes les entreprises d’assurance et de réassurance en appliquant les critères énoncés au point g), i), ii) et iii). Les entreprises d’assurance et de réassurance incluses dans ce sous-ensemble sont tenues d’effectuer des TIFM lorsqu’elles remplissent également l’un des critères suivants:
  1. montant de primes brutes émises supérieur à 3 000 000 000 EUR;
  2. montant de provisions techniques supérieur à 30 000 000 000 EUR;
  3. total des actifs qui dépasse 10 % de la somme du total des actifs des entreprises d’assurance et de réassurance établies dans l’État membre, valorisés conformément à l’article 75 de la directive 2009/138/CE.
1. Lorsque plusieurs entités financières appartenant au même groupe et partageant des systèmes de TIC, ou plusieurs entités financières ayant recours au même prestataire de services TIC intra-groupe, remplissent les critères énoncés au paragraphe 2, les autorités TIFM de ces entités financières décident, conformément à l’article 16, paragraphe 2, si l’exigence d’effectuer des TIFM sur une base individuelle est pertinente pour lesdites entités financières.
2. Lorsque l’autorité TIFM de l’entreprise mère d’un groupe d’entités financières visée au premier alinéa est différente des autorités TIFM des entités financières du groupe, cette autorité est consultée par les autorités TIFM des entités financières appartenant à ce groupe quant à l’opportunité d’effectuer des TIFM sur une base individuelle.

Relevant recitals

Considérant 2 Exclusions from the scope

Compte tenu de la complexité des tests d’intrusion fondés sur la menace et des risques y afférents, leur utilisation devrait être limitée aux entités financières pour lesquelles elle est justifiée. Par conséquent, les autorités responsables des questions relatives aux TIFM (les «autorités TIFM», au niveau de l’Union ou au niveau national) devraient exclure du champ d’application des TIFM les entités financières qui exercent leurs activités dans des sous-secteurs essentiels de services financiers pour lesquels un TIFM n’est pas justifié. Cela signifie que des établissements de crédit, des établissements de paiement et de monnaie électronique, des dépositaires centraux de titres, des contreparties centrales, des plates-formes de négociation et des entreprises d’assurance et de réassurance, même s’ils remplissent les critères quantitatifs, pourraient être dispensés de l’exigence de TIFM à la lumière d’une évaluation globale de leur profil de risque lié aux TIC et de la maturité de leurs TIC, de leur incidence sur le secteur financier et des préoccupations relatives à la stabilité financière.

Considérant 3 Considerations of other financial entities for inclusion

Les autorités TIFM devraient évaluer, à la lumière d’une évaluation globale du profil de risque lié aux TIC et de la maturité des TIC, de l’incidence sur le secteur financier et des préoccupations relatives à la stabilité financière, s’il convient qu’un type d’entité financière autre que les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les contreparties centrales, les dépositaires centraux de titres, les plates-formes de négociation et les entreprises d’assurance et de réassurance soit soumis à des TIFM. L’évaluation visant à déterminer si ces entités financières satisfont à ces critères qualitatifs devrait viser à identifier, au moyen d’indicateurs intersectoriels et objectifs, les entités financières pour lesquelles un TIFM est approprié. Dans le même temps, l’évaluation visant à déterminer si une entité financière satisfait à ces critères qualitatifs devrait faire en sorte que les entités soumises à des tests d’intrusion fondés sur la menace soient uniquement celles pour lesquelles un tel test est justifié. La question de savoir si une entité financière satisfait à ces critères qualitatifs devrait également être évaluée à la lumière de l’évolution des nouveaux marchés et de l’importance croissante que prendront à l’avenir de nouveaux acteurs du marché pour le secteur financier, dont les prestataires de services sur crypto-actifs agréés conformément à l’article 59 du règlement (UE) 2023/1114 du Parlement européen et du Conseil(²).

Considérant 4 Assessment on national or EU level and at group or entity level

Des entités financières peuvent avoir le même prestataire de services TIC intra-groupe ou appartenir au même groupe et dépendre de l’utilisation de systèmes de TIC partagés. Dans ce cas, pour évaluer si une entité financière doit être soumise à des tests d’intrusion fondés sur la menace et si ces tests doivent être conduits au niveau de l’entité ou au niveau du groupe (au moyen d’un TIFM commun), il est important que les autorités TIFM tiennent compte de la structure et du caractère systémique ou de l’importance pour le secteur financier de cette entité financière au niveau national ou au niveau de l’Union.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.