Article 3 Équipe de cybersécurité TIFM et gestionnaires de test TIFM

Summary What does Article 3 of the RTS on threat-led penetration testing say?

This article establishes the internal structure that TLPT authorities must put in place to oversee and coordinate threat-led penetration testing.

It sets out the requirement for a dedicated TLPT Cyber Team (TCT), composed of test managers, to take responsibility for coordinating TLPT-related activities.

The article also makes clear that TLPT authority involvement is not merely administrative — it extends across all phases of a given test.

Important points:

TLPT authorities are required to establish a TCT and designate a test manager, plus at least one alternate, for each individual TLPT.
Test managers are responsible for monitoring and ensuring compliance with this Regulation throughout the testing process.
TLPT authorities must participate in all phases of the TLPT, not just at the initiation or sign-off stage.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Une autorité TIFM confie à une équipe de cybersécurité TIFM la responsabilité de coordonner les activités liées aux TIFM. Cette équipe est composée de gestionnaires de test chargés de superviser un TIFM individuel.
1. Pour chaque test, l’autorité TIFM désigne un gestionnaire de test et au moins un suppléant.
1. Les gestionnaires de test vérifient si les exigences énoncées dans le présent règlement sont respectées et ils font en sorte qu’elles le soient.
1. Le gestionnaire de test communique les coordonnées de l’équipe de cybersécurité TIFM à l’entité financière au moyen de la notification visée à l’article 9, paragraphe 1.
1. L’autorité TIFM participe à toutes les phases du TIFM.

Relevant recitals

Considérant 6 Responsibility of TLPT cyber teams in line with TIBER-EU

Afin de faire en sorte que les TIFM bénéficient de l’expérience acquise dans le cadre de la mise en œuvre de TIBER-EU et de réduire les risques associés à l’exécution des TIFM, il convient de veiller à ce que les responsabilités des équipes de cybersécurité TIFM mises en place au niveau des autorités TIFM correspondent le plus étroitement possible à celles des équipes de cybersécurité de TIBER-EU. Par conséquent, les équipes de cybersécurité TIFM devraient comprendre des gestionnaires de test chargés de superviser les TIFM ainsi que de planifier et de coordonner les différents tests. Les équipes de cybersécurité TIFM devraient servir de point de contact unique pour la communication concernant les tests avec les parties prenantes internes et externes, pour la collecte et le traitement des retours d’information et des enseignements tirés des tests conduits précédemment, et pour l’assistance aux entités financières faisant l’objet de tests d’intrusion fondés sur la menace.

Considérant 7 Skills and capabilities of test managers

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.