Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 8 Spécificités des TIFM groupés ou communs
Summary What does Article 8 of the RTS on threat-led penetration testing say?
This article serves as a bridging provision that connects the general TLPT procedural steps (laid out in Articles 9 to 15) to the specific scenarios where multiple financial entities are involved in a joint or pooled TLPT.
It establishes two default rules: first, that each participating financial entity must individually follow the full procedural sequence, and second, that where multiple TLPT authorities are involved, any reference to "the TLPT authority" throughout Articles 9 to 15 should be read as referring to the lead TLPT authority.
Both rules can be displaced — the first by a decision of the lead TLPT authority, and the second by other provisions within the regulation itself.
Important points:
- Follow each procedural step in Articles 9 to 15 individually, even when participating in a joint or pooled TLPT, unless the lead TLPT authority decides otherwise.
- In joint or pooled TLPTs involving multiple TLPT authorities, the lead TLPT authority assumes the role of "the TLPT authority" for the purposes of Articles 9 to 15.
- This article directly links to Article 16, which governs how joint and pooled TLPTs are organised and how a lead TLPT authority is determined.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Sauf décision contraire de l’autorité TIFM chef de file, lorsque plusieurs entités financières, identifiées conformément à l’article 16, paragraphe 2 ou 4, participent à un TIFM groupé ou commun, chaque entité financière suit chacune des étapes énoncées aux articles 9 à 15.
Sauf disposition contraire du présent règlement, lorsque plusieurs autorités TIFM participent à un TIFM commun ou à un TIFM groupé, au sens de l’article 16, paragraphe 3 ou 5, les références à l’«autorité TIFM» faites aux articles 9 à 15 s’entendent comme une référence à l’autorité TIFM chef de file pour ces TIFM groupés ou communs.
Relevant recitals
Considérant 14 Multiple financial entities and TLPT authorities
Lorsque plusieurs entités financières et plusieurs autorités TIFM sont impliquées dans un TIFM, il convient de préciser les rôles de chaque partie dans le processus de TIFM afin de garantir une efficacité et une sécurité optimales du test. Aux fins des tests groupés, des exigences spécifiques sont nécessaires pour préciser le rôle de l’entité financière désignée, à savoir qu’elle devrait être chargée de fournir toute la documentation nécessaire à l’autorité TIFM chef de file et de surveiller le processus de test. L’entité financière désignée devrait également être chargée des aspects communs de l’évaluation de la gestion des risques. Nonobstant le rôle de l’entité financière désignée, les obligations de chaque entité financière participant au processus de TIFM groupé devraient rester inchangées au cours du test groupé. Le même principe devrait s’appliquer dans le cas des TIFM communs.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
TIFM commun
(En. joint TLPT)
Definition
groupe
(En. group)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
autorité publique
(En. public authority)
Definition
entreprise mère
(En. parent undertaking)