Article 26 Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace

1. Les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, qui sont identifiées conformément au paragraphe 8, troisième alinéa, du présent article effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.
1. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; d’une entité financière et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.
2. Les entités financières recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, y compris ceux qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.
3. Les entités financières évaluent quelles fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; doivent être couvertes par les tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par les autorités compétentes.
1. Lorsque des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sont inclus dans le champ d’application du test de pénétration fondé sur la menace, l’entité financière prend les mesures et garanties nécessaires pour assurer la participation de ces prestataires tiers de services TIC: une entreprise qui fournit des services TIC; à ce test, et conserve à tout moment l’entière responsabilité de veiller au respect du présent règlement.
1. Sans préjudice du paragraphe 2, premier et deuxième alinéas, lorsque l’on peut raisonnablement s’attendre à ce que la participation d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; au test de pénétration fondé sur la menace, visée au paragraphe 3, ait une incidence négative sur la qualité ou sur la sécurité des services que le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; fournit à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement, ou sur la confidentialité des données liées à ces services, l’entité financière et le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; peuvent convenir par écrit que le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; conclut directement des accords contractuels avec un testeur externe, aux fins de la réalisation, sous la direction d’une entité financière désignée, d’un test groupé de pénétration fondé sur la menace associant plusieurs entités financières (test groupé) auxquelles le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; fournit des services TIC.
2. Ce test groupé couvre la gamme pertinente de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; sous-traitées par les entités financières au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné. Le test groupé est considéré comme un test de pénétration fondé sur la menace réalisé par les entités financières participant au test groupé.
3. Le nombre d’entités financières participant au test groupé est dûment calibré compte tenu de la complexité et des types de services concernés.
1. Les entités financières procèdent, avec la coopération de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et d’autres parties concernées, y compris les testeurs mais à l’exception des autorités compétentes, à des contrôles efficaces de la gestion des risques afin d’atténuer les risques d’incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants au sein de l’entité financière elle-même, de ses contreparties ou du secteur financier.
1. À l’issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, l’entité financière et, s’il y a lieu, les testeurs externes fournissent à l’autorité, désignée conformément au paragraphe 9 ou 10, une synthèse des conclusions pertinentes, les plans de mesures correctives et la documentation démontrant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences.
1. Les autorités fournissent aux entités financières une attestation qui confirme que le test a été effectué conformément aux exigences, comme prouvé dans la documentation, afin de permettre la reconnaissance mutuelle des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; entre les autorités compétentes. L’entité financière notifie à l’autorité compétente concernée l’attestation, la synthèse des conclusions pertinentes et les plans de mesures correctives.
2. Sans préjudice de ladite attestation, les entités financières restent à tout moment pleinement responsables de l’incidence des tests visée au paragraphe 4.
1. Pour réaliser les tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, les entités financières font appel à des testeurs, conformément à l’article 27. Lorsque des entités financières ont recours à des testeurs internes aux fins de la réalisation de ces tests, elles engagent un testeur externe tous les trois tests.
2. Les établissements de crédit: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil(32) Règlement (UE) no 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) no 648/2012 (JO L 176 du 27.6.2013, p. 1).; qui sont classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 ont uniquement recours à des testeurs externes conformément à l’article 27, paragraphe 1, points a) à e).
3. Les autorités compétentes désignent les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace en tenant compte des critères énoncés à l’article 4, paragraphe 2, sur la base d’une appréciation des éléments suivants:
  1. les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier;
  2. les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant;
  3. le profil du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.
1. Les États membres peuvent désigner une autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; dans le secteur financier au niveau national, et leur confient toutes les compétences et tâches nécessaires à cet effet.
1. En l’absence de désignation conformément au paragraphe 9 du présent article, et sans préjudice du pouvoir de désigner les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace, une autorité compétente peut déléguer l’exercice de tout ou partie des tâches visées au présent article et à l’article 27 à une autre autorité nationale du secteur financier.
1. Les AES élaborent, en accord avec la BCE, des projets conjoints de normes techniques de réglementation conformément au cadre TIBER-EU afin de préciser:
  1. les critères utilisés aux fins de l’application du paragraphe 8, deuxième alinéa;
  2. les exigences et normes régissant le recours à des testeurs internes;
  3. les exigences concernant:
    la portée du test de pénétration fondé sur la menace visé au paragraphe 2;
    la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;
    les stades de résultats, de clôture et de correction des tests;
  4. le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; et pour la facilitation de la reconnaissance mutuelle de ces tests, dans le contexte des entités financières qui opèrent dans plus d’un État membre, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.
2. Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.
3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.
4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 25 Inconsistent digital operational resilience testing requirements

Les exigences en matière de tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, ce qui, à son tour, peut fragmenter le marché intérieur.

Considérant 26 Coordinated testing regime requirements

En outre, lorsque aucun test des TIC n’est requis, les vulnérabilités ne sont pas détectées et ont pour effet d’exposer l’entité financière au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et, en fin de compte, de créer un risque plus élevé pour la stabilité et l’intégrité du secteur financier. Sans une intervention au niveau de l’Union, les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; demeureraient incompatibles et seraient dépourvus d’un système de reconnaissance mutuelle des résultats des tests des TIC d’un pays à l’autre. En outre, puisqu’il est peu probable que d’autres sous-secteurs financiers adoptent des mécanismes de test à une échelle significative, ils passeraient à côté des avantages qui peuvent découler d’un cadre de tests, en ce qui concerne la mise au jour des vulnérabilités et du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et le test des capacités de défense et de la continuité des activités, qui contribue à renforcer la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d’établir des règles visant à coordonner le régime de tests et ainsi de faciliter la reconnaissance mutuelle des tests avancés pour les entités financières remplissant les critères énoncés dans le présent règlement.

Considérant 44 Costs of advanced digital resilience testing

Étant donné que seules les entités reconnues aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être supportés par un petit pourcentage d’entités financières.

Considérant 57 Harmonised TLPT requirements for cross-border financial entities

Les entités financières qui participent à des activités transfrontières et exercent leur liberté d’établissement ou de prestation de services dans l’Union devraient se conformer à un ensemble unique d’exigences de tests avancés (à savoir des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;) dans leur État membre d’origine, qui devraient englober toutes les infrastructures de TIC que ces groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financiers transfrontières détiennent dans les différentes juridictions dans lesquelles ils opèrent au sein de l’Union, ce qui permettrait à ces groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financiers transfrontières de ne supporter les coûts associés aux tests liés aux TIC que dans une seule juridiction.

Considérant 58 Designation of a public authority for TLPT

Afin de tirer parti de l’expertise déjà acquise par certaines autorités compétentes, en particulier en ce qui concerne la mise en œuvre du cadre TIBER-EU, le présent règlement devrait permettre aux États membres de désigner une autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique comme responsable dans le secteur financier, au niveau national, de toutes les questions relatives aux tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, ou aux autorités compétentes de déléguer, en l’absence d’une telle désignation, la réalisation des tâches liées à ces tests à une autre autorité financière nationale compétente.

Considérant 59 Financial entity's determination of testing scope

Étant donné que le présent règlement n’exige pas des entités financières qu’elles couvrent toutes les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; dans le cadre d’un test unique de pénétration fondé sur la menace, les entités financières devraient être libres de déterminer combien de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, et lesquelles, devraient être incluses dans le champ d’application de ce test.

Considérant 60 Safeguards for pooled testing

Les tests groupés au sens du présent règlement, dans le cadre desquels plusieurs entités financières participent à un test de pénétration fondé sur la menace et un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; peut conclure des accords contractuels directement avec un testeur externe, ne devraient être autorisés que lorsque l’on peut raisonnablement s’attendre à ce que la qualité ou la sécurité des services fournis par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement ou la confidentialité des données relatives à de tels services subissent une incidence négative. Les tests groupés devraient également être soumis à des garanties (direction par une entité financière désignée, précision du nombre d’entités financières participantes) afin de veiller à ce que l’exercice de test soit rigoureux pour les entités financières participantes qui satisfont aux objectifs du test de pénétration fondé sur la menace conformément au présent règlement.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.