Artikel 2 Identifiering av finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning

Summary What does Article 2 of the RTS on threat-led penetration testing say?

This is a foundational scoping article that answers two key questions: which financial entities should be assessed for TLPT obligation, and which ones must actually perform it.

TLPT authorities are first required to evaluate any financial entity against a broad set of systemic and ICT risk criteria to determine whether TLPT is warranted.

The article then goes further by identifying specific categories of financial entity — including systemically important credit institutions, large payment institutions, central counterparties, trading venues, and insurance undertakings meeting defined financial thresholds — that must perform TLPT unless the assessment indicates their risk profile does not justify it.

The article also addresses group scenarios, where multiple entities within the same group share ICT systems, leaving it to the relevant TLPT authorities to determine whether individual or joint testing is appropriate.

Important points:

TLPT authorities are required to assess financial entities against both systemic impact factors and ICT risk factors before mandating TLPT.
Certain categories of financial entity — such as G-SII and O-SII credit institutions, large payment and electronic money institutions, central securities depositories, central counterparties, qualifying trading venues, and sufficiently large insurance undertakings — are subject to a presumption that they must perform TLPT.
Where multiple financial entities in the same group share ICT systems and all meet the criteria, TLPT authorities must decide whether individual testing remains necessary, with a consultation requirement where the parent undertaking falls under a different authority.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Myndigheter som ansvarar för hotbildsstyrd penetrationstestning ska bedöma huruvida finansiella entiteter är skyldiga att genomföra hotbildsstyrd penetrationstestning, med beaktande av dessa finansiella entiteters påverkan, betydelse för systemet och IKT-riskprofil, på grundval av samtliga av följande kriterier:
  1. Faktorer relaterade till påverkan och till betydelse för systemet, enligt följande:
    Storleken på den finansiella entiteten, fastställd på grundval av huruvida den finansiella entiteten tillhandahåller finansiella tjänster i en eller flera medlemsstater och genom jämförelse av den finansiella entitetens verksamhet med verksamheten hos andra finansiella entiteter som tillhandahåller liknande tjänster.
    Omfattningen och arten av den finansiella entitetens sammanlänkning med andra finansiella entiteter inom finanssektorn i en eller flera medlemsstater.
    Hur pass kritiska eller viktiga de tjänster som den finansiella entiteten tillhandahåller finanssektorn är.
    Utbytbarheten hos de tjänster som den finansiella entiteten tillhandahåller.
    Komplexiteten i den finansiella entitetens affärsmodell och tillhörande tjänster och processer.
    Huruvida den finansiella entiteten ingår i en koncern av betydelse för systemet på unionsnivå eller nationell nivå inom finanssektorn och delar IKT-system.
  2. Faktorer relaterade till IKT-risk, enligt följande:
    Den finansiella entitetens riskprofil.
    Den finansiella entitetens hotbild.
    Den finansiella entitetens grad av beroende av kritiska eller viktiga funktioner eller deras stödfunktioner sett till IKT-system och IKT-processer.
    Komplexiteten i den finansiella entitetens IKT-arkitektur.
    De IKT-tjänster och IKT-funktioner som stöds av tredjepartsleverantörer av IKT-tjänster och kvantiteten och typen av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster eller koncerninterna IKT-tjänsteleverantörer.
    Resultaten av eventuella tillsynsgranskningar som är relevanta för bedömningen av den finansiella entitetens IKT-mognad.
    Mognaden hos IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT.
    Mognaden hos de operativa upptäckts- och begränsningsåtgärderna för IKT-säkerhet, inbegripet förmågan att
    permanent övervaka den finansiella entitetens IKT-infrastruktur,
    upptäcka IKT-relaterade händelser i realtid,
    analysera de händelser som avses i punkt 2,
    reagera på de händelser som avses i punkt 2 på ett skyndsamt och effektivt sätt.
    Huruvida den finansiella entiteten ingår i en koncern som är verksam inom finanssektorn på unionsnivå eller nationell nivå och som delar IKT-system.
2. Vid tillämpning av led a i ska myndigheten med ansvar för hotbildsstyrd penetrationstestning om möjligt beakta
  1. den finansiella entitetens marknadsandel på unionsnivå och nationell nivå,
  2. utbudet av verksamheter som erbjuds av den finansiella entiteten,
  3. marknadsandelen för de tjänster som tillhandahålls av den finansiella entiteten eller för de verksamheter som bedrivs på unionsnivå och nationell nivå.
3. Vid tillämpning av led a v ska myndigheten med ansvar för hotbildsstyrd penetrationstestning om möjligt beakta
  1. huruvida den finansiella entiteten använder mer än en affärsmodell,
  2. sammanlänkningen av olika affärsprocesser och tillhörande tjänster.
1. Myndigheter med ansvar för hotbildsstyrd penetrationstestning ska kräva att alla följande finansiella entiteter genomför hotbildsstyrd penetrationstestning, såvida inte den bedömning som avses i punkt 1 i fråga om en finansiell entitet indikerar att dess påverkan, riskerna för den finansiella stabiliteten kopplade till den finansiella entiteten eller dess IKT-riskprofil inte motiverar genomförandet av en hotbildsstyrd penetrationstestning:
  1. Kreditinstitut som uppfyller något av följande villkor:
    De har identifierats som globala systemviktiga institut (G-SII) i enlighet med artikel 131 i Europaparlamentets och rådets direktiv 2013/36/EU(⁷).
    De har identifierats som andra systemviktiga institut (O-SII) i enlighet med artikel 131 i direktiv 2013/36/EU.
    De utgör delar av globala systemviktiga institut eller andra systemviktiga institut.
  2. Betalningsinstitut som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning hade betalningstransaktioner, enligt definitionen i artikel 4.5 i Europaparlamentets och rådets direktiv (EU) 2015/2366(⁸), till ett totalt värde som översteg 150 miljarder euro.
  3. Institut för elektroniska pengar som under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning antingen hade betalningstransaktioner, enligt definitionen i artikel 4.5 i direktiv (EU) 2015/2366, till ett totalt värde som översteg 150 miljarder euro eller hade utestående elektroniska pengar till ett totalt värde som översteg 40 miljarder euro.
  4. Värdepapperscentraler.
  5. Centrala motparter.
  6. Handelsplatser med ett elektroniskt handelssystem som uppfyller något av följande kriterier:
    Handelsplatsen hade den största marknadsandelen sett till omsättning på nationell nivå under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om något av följande:
    Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 a i Europaparlamentets och rådets direktiv 2014/65/EU(⁹).
    Överlåtbara värdepapper enligt definitionen i artikel 4.1.44 b i direktiv 2014/65/EU.
    Derivat enligt definitionen i artikel 2.1.29 i Europaparlamentets och rådets förordning (EU) nr 600/2014(¹⁰).
    Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.
    Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.
    Handelsplatsen hade en marknadsandel sett till omsättning på unionsnivå som översteg 5 % under vart och ett av de två kalenderår som föregick bedömningen av myndigheten med ansvar för hotbildsstyrd penetrationstestning i fråga om något av följande:
    Aktier och andra värdepapper som motsvarar andelar i aktiebolag, bolag med personligt ansvar eller andra entiteter samt depåbevis för aktier.
    Obligationer eller andra former av skuldförbindelser i värdepappersform, inbegripet depåbevis för sådana värdepapper.
    Derivat enligt definitionen i artikel 2.1.29 i förordning (EU) nr 600/2014.
    Strukturerade finansiella produkter enligt definitionen i artikel 2.1.28 i förordning (EU) nr 600/2014.
    Utsläppsrätter enligt avsnitt C.11 i bilaga I till direktiv 2014/65/EU.
  7. Försäkrings- och återförsäkringsföretag som uppfyller samtliga av följande kriterier:
    De har en bruttopremieinkomst (GWP) som överstiger 1 500 000 000 euro.
    De har försäkringstekniska avsättningar som överstiger 10 000 000 000 euro.
    Försäkringsföretag som endast bedriver livförsäkringsverksamhet eller som bedriver både livförsäkrings- och skadeförsäkringsverksamhet och som har totala tillgångar som överstiger 3,5 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i Europaparlamentets och rådets direktiv 2009/138/EG(¹¹), för de försäkrings- och återförsäkringsföretag som är etablerade i medlemsstaten.
2. Vid tillämpning av led f ii ska, om handelsplatsen är en del av en koncern som delar IKT-system eller samma koncerninterna IKT-tjänsteleverantör, omsättningen av värdepapper och derivatavtal på alla handelsplatser som tillhör samma koncern och som är etablerade i unionen räknas med.
3. Vid tillämpning av led g ska myndigheter med ansvar för hotbildsstyrd penetrationstestning identifiera en undergrupp av alla försäkrings- och återförsäkringsföretag genom att tillämpa de kriterier som anges i leden g i, ii och iii. Försäkrings- och återförsäkringsföretag som ingår i denna undergrupp ska vara skyldiga att genomföra hotbildsstyrd penetrationstestning om de även uppfyller något av följande kriterier:
  1. Bruttopremieinkomst (GWP) som överstiger 3 000 000 000 euro.
  2. Tekniska avsättningar som överstiger 30 000 000 000 euro.
  3. Totala tillgångar som överstiger 10 % av summan av de totala tillgångarna, värderade i enlighet med artikel 75 i direktiv 2009/138/EG, för de försäkrings- och återförsäkringsföretag som är etablerade i medlemsstaten.
1. Om fler än en finansiell entitet som tillhör samma koncern och delar IKT-system, eller om fler än en finansiell entitet som använder samma koncerninterna IKT-tjänsteleverantör, uppfyller de kriterier som anges i punkt 2 ska myndigheterna med ansvar för hotbildsstyrd penetrationstestning för dessa finansiella entiteter i enlighet med artikel 16.2 besluta huruvida kravet att genomföra hotbildsstyrd penetrationstestning på individuell nivå är relevant för dessa finansiella entiteter.
2. Om myndigheten med ansvar för hotbildsstyrd penetrationstestning för moderföretaget för en koncern med finansiella entiteter som avses i första stycket är en annan myndighet än myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna i koncernen ska denna myndighet rådfrågas av myndigheterna med ansvar för hotbildsstyrd penetrationstestning för de finansiella entiteterna som ingår i denna koncern huruvida det är lämpligt att genomföra hotbildsstyrd penetrationstestning på individuell nivå.

Relevant recitals

Skäl 2 Exclusions from the scope

Med tanke på komplexiteten hos den hotbildsstyrda penetrationstestningen och de risker som är förknippade med den, bör dess användning begränsas till de finansiella entiteter för vilka den är motiverad. Myndigheter med ansvar för frågor som rör hotbildsstyrd penetrationstestning (myndigheter på antingen unionsnivå eller nationell nivå med ansvar för hotbildsstyrd penetrationstestning) bör därför inte inkludera finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster, för vilka en hotbildsstyrd penetrationstestning inte är motiverad. Detta innebär att kreditinstitut, betalningsinstitut och institut för elektroniska pengar, värdepapperscentraler, centrala motparter, handelsplatser och försäkrings- och återförsäkringsföretag skulle kunna befrias från kravet på hotbildsstyrd penetrationstestning, även om de uppfyller de kvantitativa kriterierna, mot bakgrund av en övergripande bedömning av deras IKT-riskprofil och IKT-mognad, påverkan på finanssektorn och därmed sammanhängande risker för den finansiella stabiliteten.

Skäl 3 Considerations of other financial entities for inclusion

Myndigheter med ansvar för hotbildsstyrd penetrationstestning bör, mot bakgrund av en övergripande bedömning av IKT-riskprofilen och IKT-mognaden, av påverkan på finanssektorn och av därmed sammanhängande risker för den finansiella stabiliteten, bedöma huruvida andra typer av finansiella entiteter än kreditinstitut, betalningsinstitut, institut för elektroniska pengar, centrala motparter, värdepapperscentraler, handelsplatser och försäkrings- och återförsäkringsföretag bör omfattas av hotbildsstyrd penetrationstestning. Bedömningen av om sådana finansiella entiteter uppfyller dessa kvalitativa kriterier bör ha som mål att identifiera finansiella entiteter för vilka hotbildsstyrd penetrationstestning är lämplig genom användning av sektorsövergripande och objektiva indikatorer. Samtidigt bör bedömningen av om en finansiell entitet uppfyller dessa kvalitativa kriterier begränsa de entiteter som ska omfattas av hotbildsstyrd penetrationstestning till de entiteter för vilka testningen är motiverad. Huruvida en finansiell entitet uppfyller dessa kvalitativa kriterier bör även bedömas mot bakgrund av ny marknadsutveckling och den ökande betydelsen av nya marknadsaktörer för finanssektorn i framtiden, inbegripet leverantörer av kryptotillgångstjänster som auktoriserats i enlighet med artikel 59 i Europaparlamentets och rådets förordning (EU) 2023/1114(²).

Skäl 4 Assessment on national or EU level and at group or entity level

Finansiella entiteter kan ha samma koncerninterna IKT-tjänsteleverantör eller tillhöra samma koncern och förlita sig på gemensamma IKT-system. I så fall är det viktigt att myndigheter med ansvar för hotbildsstyrd penetrationstestning beaktar den finansiella entitetens struktur och betydelse för systemet som helhet eller betydelse för finanssektorn på nationell nivå eller unionsnivå vid bedömningen av huruvida en finansiell entitet bör omfattas av hotbildsstyrd penetrationstestning och huruvida den hotbildsstyrda penetrationstestningen bör genomföras på entitetsnivå eller koncernnivå (genom en samlad hotbildsstyrd penetrationstestning).

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.