Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 6 Gestion des risques pour les TIFM groupés ou communs d’intrusion fondés sur la menace
Summary What does Article 6 of the RTS on threat-led penetration testing say?
This article addresses a specific scenario that arises out of the broader TLPT framework: what happens when multiple financial entities are involved in the same test, either through a joint TLPT or a pooled TLPT.
It establishes that while each financial entity retains individual responsibility for its own risk assessment and risk management measures, there is also a collective layer of risk management that must be addressed.
The designated lead financial entity takes on the additional responsibility of assessing the risks that arise from the multi-entity nature of the test, and all involved control teams are required to cooperate with it to identify risks that span across the group.
Important points:
- Each financial entity in a joint or pooled TLPT must conduct its own independent risk assessment and establish its own risk management measures.
- The control team of the designated lead financial entity is responsible for assessing the risks specific to having multiple financial entities involved in the same TLPT.
- All other control teams involved in the test are required to cooperate with the designated lead financial entity's control team to identify potential joint risks.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cas d’un TIFM commun ou d’un TIFM groupé, l’équipe chargée du contrôle de chaque entité financière procède à sa propre évaluation des risques et établit ses propres mesures de gestion des risques.
L’équipe chargée du contrôle de l’entité financière désignée visée à l’article 16, paragraphe 3, point b), du présent règlement, ou de l’entité financière désignée conformément à l’article 26, paragraphe 4, du règlement (UE) 2022/2554, évalue les risques liés à la participation de plusieurs entités financières au TIFM. Les équipes chargées du contrôle des entités financières impliquées coopèrent avec l’équipe chargée du contrôle de l’entité financière désignée afin d’identifier les risques communs potentiels.
Relevant recitals
Considérant 11 Managing inherent risks of a TLPT
Certains éléments de risque sont inhérents aux TIFM, étant donné que des fonctions critiques sont testées dans un environnement de production réel, ce qui est susceptible de provoquer des incidents de type «déni de service», des pannes système inattendues, de dommages à des systèmes critiques en environnement de production, ou la perte, l’altération ou la divulgation de données. Ces risques mettent en évidence la nécessité de solides mesures de gestion des risques. Afin de veiller à ce que les tests d’intrusion fondés sur la menace soient conduits de manière contrôlée tout au long du processus, il est très important que les entités financières soient à tout moment conscientes des risques particuliers qu’entraîne un TIFM et que ces risques soient atténués. À cet égard, sans préjudice des processus internes de l’entité financière et de la responsabilité et des délégations déjà confiées au chef de l’équipe chargée du contrôle, des informations sur les mesures de gestion des risques liés aux TIFM ou, dans des cas particuliers, l’approbation de ces mesures par l’organe de direction de l’entité financière lui-même peuvent être appropriées. Pour être en mesure de fournir des services professionnels efficaces et hautement qualifiés et de réduire ces risques, il est également essentiel que les testeurs et les fournisseurs de renseignements sur les menaces (collectivement appelés «prestataires de TIFM») possèdent le plus haut niveau possible de compétences et d’expertise et une expérience appropriée en matière de renseignement sur les menaces et de TIFM dans le secteur des services financiers.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
TIFM commun
(En. joint TLPT)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
équipe chargée du contrôle
(En. control team)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
organe de direction
(En. management body)
Definition
cyberattaque
(En. cyber-attack)
Definition
chef de l’équipe chargée du contrôle
(En. control team lead)
Definition
prestataires de TIFM
(En. TLPT providers)
Definition
entreprise mère
(En. parent undertaking)