Source: OJ L, 2025/1190, 18.6.2025
Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Annexe VII Détails du rapport de synthèse résumant les conclusions pertinentes du tifm visé à l’Article 26, paragraphe 6, du règlement (ue) 2022/2554
Le rapport de synthèse du test contient des informations sur au moins tous les points suivants:
les parties concernées;
le plan du projet;
le périmètre validé, y compris la justification de l’inclusion ou de l’exclusion de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et de systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; couvertes par le TIFM;
les scénarios sélectionnés et tout écart important par rapport au rapport de renseignement sur les menaces ciblées;
les chemins d’attaque exécutés et les tactiques, techniques et procédures utilisées;
les drapeaux atteints et non atteints;
les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;
les détections de l’équipe bleue, le cas échéant;
la collaboration violette pendant la phase de test, le cas échéant, et les conditions associées;
les coups de pouce utilisés, le cas échéant;
les mesures de gestion des risques adoptées;
les s identifiées et autres constatations, avec mention de leur criticité;
une analyse des causes originelles de la réussite des attaques menées à bien;
un plan de haut niveau pour les mesures correctives, établissant un lien entre les s et les autres constatations, leurs causes originelles et leur priorité en matière de mesures correctives;
les enseignements tirés des retours d’information reçus.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.