Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 4 Modalités organisationnelles pour les entités financières
Summary What does Article 4 of the RTS on threat-led penetration testing say?
This article sets out the internal governance requirements that financial entities must put in place to manage a TLPT properly.
It establishes a clear leadership role in the form of a control team lead, who is accountable for the day-to-day running of the test and the actions of the wider control team.
Beyond that single point of accountability, the article focuses heavily on the operational discipline required to protect the integrity of the test, particularly around secrecy, information access, and escalation management.
It connects closely to the broader TLPT framework by defining how the financial entity organises itself internally to interact with testers, threat intelligence providers, and the TLPT authority throughout the process.
Important points:
- Appoint a control team lead to take responsibility for the day-to-day management of the TLPT and the decisions of the control team.
- Establish organisational and procedural measures to strictly control access to TLPT information on a need-to-know basis, maintain secrecy across all involved parties, and ensure the control team can contain any accidental detection of the test.
- The control team must consult test managers before involving any blue team member in the TLPT, and must provide information to test managers upon request.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières désignent un chef pour l’équipe chargée du contrôle, auquel incombe la responsabilité de la gestion journalière du TIFM ainsi que des décisions et actions de l’équipe chargée du contrôle.
Les entités financières établissent des mesures organisationnelles et procédurales pour faire en sorte que:
l’accès aux informations relatives à tout TIFM prévu ou en cours soit réservé, sur la base du besoin d’en connaître, à l’équipe chargée du contrôle, à l’organe de direction, aux testeurs, au fournisseur de renseignements sur les menaces et à l’autorité TIFM;
l’équipe chargée du contrôle consulte les gestionnaires de test avant d’associer tout membre de l’équipe bleue à un TIFM;
l’équipe chargée du contrôle soit informée de toute détection du TIFM par des membres du personnel de l’entité financière ou de ses prestataires tiers de services; en cas de remontée de la réponse à l’incident qui en résulte, si nécessaire, l’équipe chargée du contrôle bloque cette remontée;
des dispositions relatives à la confidentialité du TIFM, applicables au personnel de l’entité financière, au personnel des prestataires tiers de services TIC concernés, aux testeurs et au fournisseur de renseignements sur les menaces, soient en place;
sur demande, l’équipe chargée du contrôle fournisse aux gestionnaires de test toutes les informations relatives au TIFM;
dans la mesure du possible, les parties impliquées dans le TIFM ne fassent référence à ce dernier que par son nom de code.
Relevant recitals
Considérant 5 Organisational mirror of TIBER-EU
Pour être conforme au cadre TIBER-EU, il est nécessaire que la méthodologie des tests prévoie la participation des principaux participants suivants: l’entité financière, avec une équipe chargée du contrôle (correspondant à l’«équipe chargée du contrôle» de TIBER-EU) et une équipe bleue (correspondant à l’«équipe bleue» de TIBER-EU), et l’autorité TIFM, sous la forme d’une équipe de cybersécurité TIFM (correspondant aux «cyberéquipes TIBER» de TIBER-EU), un fournisseur de renseignements sur les menaces et des testeurs (les testeurs correspondant au «fournisseur de l’équipe rouge» de TIBER-EU).
Considérant 9 Secrecy of the TLPT
La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue l’aurait détecté.
Considérant 10 Importance of the control team lead
Comme le montre l’expérience acquise avec le cadre TIBER-EU s’agissant de l’«équipe chargée du contrôle», pour que les TIFM soient conduits en toute sécurité, il est indispensable de bien sélectionner le chef de l’équipe chargée du contrôle. Celui-ci devrait disposer, au sein de l’entité financière, du mandat nécessaire pour piloter tous les aspects des tests, sans en compromettre la confidentialité. Pour la même raison, les membres de l’équipe chargée du contrôle devraient avoir une connaissance approfondie de l’entité financière ainsi que du rôle du chef de l’équipe chargée du contrôle et de son positionnement stratégique, avoir l’ancienneté requise et avoir accès au conseil d’administration. Afin de réduire le risque de compromettre le TIFM, l’équipe chargée du contrôle devrait être aussi restreinte que possible.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
équipe chargée du contrôle
(En. control team)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
équipe de cybersécurité TIFM
(En. TLPT Cyber Team)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
équipe bleue
(En. blue team)
Definition
organe de direction
(En. management body)
Definition
cyberattaque
(En. cyber-attack)
Definition
gestionnaires de test
(En. test managers)
Definition
autorité publique
(En. public authority)
Definition
chef de l’équipe chargée du contrôle
(En. control team lead)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
entreprise mère
(En. parent undertaking)
Definition
équipe rouge
(En. red team)