Art. 2 Identification des entités financières tenues d’effectuer des TIFM | RTS on threat-led penetration testing | DORA

1. Les autorités TIFM évaluent si une entité financière est tenue d’effectuer des TIFM, en tenant compte de l’incidence de cette entité financière, de son caractère systémique et de son profil de risque lié aux TIC, sur la base de l’ensemble des critères suivants:
  1. facteurs liés à l’incidence et au caractère systémique:
    la taille de l’entité financière, déterminée en examinant si l’entité financière fournit des services financiers dans un seul État membre ou dans plusieurs et en comparant les activités de l’entité financière à celles d’autres entités financières fournissant des services similaires;
    l’ampleur et la nature de l’interconnexion de l’entité financière avec d’autres entités financières du secteur financier dans un ou plusieurs États membres;
    la criticité ou l’importance des services que l’entité financière fournit au secteur financier;
    la substituabilité des services fournis par l’entité financière;
    la complexité du modèle économique de l’entité financière et des services et processus connexes;
    le fait que l’entité financière fasse ou non partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de caractère systémique au niveau de l’Union ou au niveau national dans le secteur financier qui partage des systèmes de TIC;
  2. facteurs liés aux risques liés aux TIC:
    le profil de risque de l’entité financière;
    le panorama de la menace relatif à l’entité financière;
    le degré de dépendance des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, ou de leurs fonctions de soutien, à l’égard des systèmes et processus de TIC;
    la complexité de l’architecture des TIC de l’entité financière;
    les services et fonctions de TIC soutenus par des prestataires tiers de services TIC, ainsi que le nombre et le type d’accords contractuels conclus avec des prestataires tiers de services TIC ou des prestataires de services TIC intra-groupe;
    les résultats des examens des autorités de surveillance pertinents pour l’évaluation de la maturité des TIC de l’entité financière;
    la maturité des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC;
    la maturité des mesures opérationnelles de détection et d’atténuation en matière de sécurité des TIC, y compris la capacité:
    d’assurer une surveillance permanente de l’infrastructure TIC de l’entité financière;
    de détecter les événements liés aux TIC en temps réel;
    d’analyser les événements visés au point 2);
    de réagir aux événements visés au point 2) en temps utile et de manière efficace;
    le fait que l’entité financière fasse ou non partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; actif dans le secteur financier au niveau de l’Union ou au niveau national qui partage des systèmes de TIC.
2. Aux fins du point a), i), l’autorité TIFM tient compte, dans la mesure du possible:
  1. de la part de marché de l’entité financière au niveau de l’Union et au niveau national;
  2. de l’éventail des activités proposées par l’entité financière;
  3. de la part de marché des services fournis par l’entité financière ou des activités menées au niveau de l’Union et au niveau national.
3. Aux fins du point a), v), l’autorité TIFM tient compte, dans la mesure du possible:
  1. du fait que l’entité financière applique ou non plus d’un modèle d’entreprise;
  2. de l’interconnexion des différents processus opérationnels et des services connexes.
1. Les autorités TIFM exigent de toutes les entités financières suivantes qu’elles effectuent des TIFM à moins que l’évaluation visée au paragraphe 1 n’indique, en ce qui concerne une entité financière, que son incidence, les préoccupations relatives à la stabilité financière qui lui sont liées, ou son profil de risque lié aux TIC ne justifient pas la réalisation d’un TIFM:
  1. les établissements de crédit: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil(32) Règlement (UE) no 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) no 648/2012 (JO L 176 du 27.6.2013, p. 1).; qui remplissent l’une des conditions suivantes:
    ils ont été recensés comme établissements d’importance systémique mondiale (EISm) conformément à l’article 131 de la directive 2013/36/UE du Parlement européen et du Conseil(⁷)Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).;
    ils ont été recensés comme autres établissements d’importance systémique (autres EIS) conformément à l’article 131 de la directive 2013/36/UE;
    ils font partie d’un EISm ou d’un autre EIS;
  2. les établissements de paiement: un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366; qui ont dépassé, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, la barre des 150 milliards d’EUR en valeur totale des opérations de paiement au sens de l’article 4, point 5), de la directive (UE) 2015/2366 du Parlement européen et du Conseil(⁸)Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n^o 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).;
  3. les établissements de monnaie électronique: un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE; qui ont dépassé, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, soit la barre des 150 milliards d’EUR en valeur totale des opérations de paiement au sens de l’article 4, point 5), de la directive (UE) 2015/2366, soit la barre des 40 milliards d’EUR en valeur totale de la monnaie électronique en circulation;
  4. les dépositaires centraux de titres;
  5. les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;;
  6. les plates-formes de négociation dotées d’un système de négociation électronique qui remplissent l’un des critères suivants:
    la plate-forme de négociation: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE; détient, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, la part de marché la plus élevée en termes de volume d’échanges au niveau national dans l’une des catégories suivantes:
    valeurs mobilières au sens de l’article 4, paragraphe 1, point 44), a), de la directive 2014/65/UE du Parlement européen et du Conseil(⁹)Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).;
    valeurs mobilières au sens de l’article 4, paragraphe 1, point 44), b), de la directive 2014/65/UE;
    instruments dérivés au sens de l’article 2, paragraphe 1, point 29), du règlement (UE) n^o 600/2014 du Parlement européen et du Conseil(¹⁰)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj).;
    produits financiers structurés au sens de l’article 2, paragraphe 1, point 28), du règlement (UE) n^o 600/2014;
    quotas d’émission visés à l’annexe I, section C, point 11), de la directive 2014/65/UE;
    la plate-forme de négociation: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE; détient, au cours de chacune des deux années civiles précédant l’évaluation effectuée par l’autorité TIFM, une part de marché en termes de volume d’échanges au niveau de l’Union qui dépasse 5 % dans l’une des catégories suivantes:
    actions de sociétés et autres titres équivalents à des actions de sociétés, de sociétés de type partnership ou d’autres entités ainsi que certificats représentatifs d’actions;
    obligations et autres titres de créance, y compris certificats représentatifs de tels titres;
    instruments dérivés au sens de l’article 2, paragraphe 1, point 29), du règlement (UE) n^o 600/2014;
    produits financiers structurés au sens de l’article 2, paragraphe 1, point 28), du règlement (UE) n^o 600/2014;
    quotas d’émission visés à l’annexe I, section C, point 11), de la directive 2014/65/UE;
  7. les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance qui remplissent tous les critères suivants:
    leur montant de primes brutes émises est supérieur à 1 500 000 000 EUR;
    leur montant de provisions techniques est supérieur à 10 000 000 000 EUR;
    ce sont des entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; qui exercent uniquement des activités vie ou qui exercent à la fois des activités vie et non-vie et dont le total des actifs dépasse 3,5 % de la somme du total des actifs des entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance établies dans l’État membre, valorisés conformément à l’article 75 de la directive 2009/138/CE du Parlement européen et du Conseil(¹¹)Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II) (JO L 335 du 17.12.2009, p. 1, ELI: http://data.europa.eu/eli/dir/2009/138/oj)..
2. Aux fins du point f), ii), lorsque la plate-forme de négociation: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE; fait partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; partageant des systèmes de TIC ou le même prestataire de services TIC intra-groupe, le volume d’échanges des titres et des contrats dérivés sur l’ensemble des plates-formes de négociation appartenant au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et établies dans l’Union est pris en considération.
3. Aux fins du point g), les autorités TIFM identifient un sous-ensemble de toutes les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance en appliquant les critères énoncés au point g), i), ii) et iii). Les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance incluses dans ce sous-ensemble sont tenues d’effectuer des TIFM lorsqu’elles remplissent également l’un des critères suivants:
  1. montant de primes brutes émises supérieur à 3 000 000 000 EUR;
  2. montant de provisions techniques supérieur à 30 000 000 000 EUR;
  3. total des actifs qui dépasse 10 % de la somme du total des actifs des entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance établies dans l’État membre, valorisés conformément à l’article 75 de la directive 2009/138/CE.
1. Lorsque plusieurs entités financières appartenant au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et partageant des systèmes de TIC, ou plusieurs entités financières ayant recours au même prestataire de services TIC intra-groupe: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité;, remplissent les critères énoncés au paragraphe 2, les autorités TIFM de ces entités financières décident, conformément à l’article 16, paragraphe 2, si l’exigence d’effectuer des TIFM sur une base individuelle est pertinente pour lesdites entités financières.
2. Lorsque l’autorité TIFM de l’entreprise mère: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE; d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; d’entités financières visée au premier alinéa est différente des autorités TIFM des entités financières du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, cette autorité est consultée par les autorités TIFM des entités financières appartenant à ce groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; quant à l’opportunité d’effectuer des TIFM sur une base individuelle.

Les autorités TIFM devraient évaluer, à la lumière d’une évaluation globale du profil de risque lié aux TIC et de la maturité des TIC, de l’incidence sur le secteur financier et des préoccupations relatives à la stabilité financière, s’il convient qu’un type d’entité financière autre que les établissements de crédit: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil(32) Règlement (UE) no 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) no 648/2012 (JO L 176 du 27.6.2013, p. 1).;, les établissements de paiement: un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366;, les établissements de monnaie électronique: un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE;, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, les dépositaires centraux de titres, les plates-formes de négociation et les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance soit soumis à des TIFM. L’évaluation visant à déterminer si ces entités financières satisfont à ces critères qualitatifs devrait viser à identifier, au moyen d’indicateurs intersectoriels et objectifs, les entités financières pour lesquelles un TIFM est approprié. Dans le même temps, l’évaluation visant à déterminer si une entité financière satisfait à ces critères qualitatifs devrait faire en sorte que les entités soumises à des tests d’intrusion fondés sur la menace soient uniquement celles pour lesquelles un tel test est justifié. La question de savoir si une entité financière satisfait à ces critères qualitatifs devrait également être évaluée à la lumière de l’évolution des nouveaux marchés et de l’importance croissante que prendront à l’avenir de nouveaux acteurs du marché pour le secteur financier, dont les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs; agréés conformément à l’article 59 du règlement (UE) 2023/1114 du Parlement européen et du Conseil(²)Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) n^o 1093/2010 et (UE) n^o 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj)..

Article 2 Identification des entités financières tenues d’effectuer des TIFM

Relevant recitals