Article 4 Modalités organisationnelles pour les entités financières

Les entités financières désignent un chef pour l’équipe chargée du contrôle, auquel incombe la responsabilité de la gestion journalière du TIFM ainsi que des décisions et actions de l’équipe chargée du contrôle.

1. l’accès aux informations relatives à tout TIFM prévu ou en cours soit réservé, sur la base du besoin d’en connaître, à l’équipe chargée du contrôle, à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., aux testeurs, au fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et à l’autorité TIFM;

2. l’équipe chargée du contrôle consulte les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; avant d’associer tout membre de l’équipe bleue à un TIFM;

3. l’équipe chargée du contrôle soit informée de toute détection du TIFM par des membres du personnel de l’entité financière ou de ses prestataires tiers de services; en cas de remontée de la réponse à l’incident qui en résulte, si nécessaire, l’équipe chargée du contrôle bloque cette remontée;

4. des dispositions relatives à la confidentialité du TIFM, applicables au personnel de l’entité financière, au personnel des prestataires tiers de services TIC concernés, aux testeurs et au fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, soient en place;

5. sur demande, l’équipe chargée du contrôle fournisse aux gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; toutes les informations relatives au TIFM;

6. dans la mesure du possible, les parties impliquées dans le TIFM ne fassent référence à ce dernier que par son nom de code.