Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Article 9 Phase de préparation

    1. Une entité financière identifiée conformément à l’article 26, paragraphe 8, troisième alinéa, du règlement (UE) 2022/2554 lance un TIFM à la suite d’une notification reçue de l’autorité TIFM indiquant qu’un TIFM doit être effectué.

    1. Dans un délai de trois mois à compter de la réception de la notification visée au paragraphe 1, l’entité financière communique aux gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; toutes les informations suivantes concernant le lancement du TIFM:

      1. une charte de projet comprenant un plan de projet de haut niveau, contenant les informations visées à l’annexe I;

      2. les coordonnées du chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;;

      3. des informations sur le recours prévu à des testeurs internes ou externes, ou les deux, le cas échéant, comme indiqué à l’article 15;

      4. des informations sur les canaux de communication à utiliser pendant le TIFM;

      5. le nom de code du TIFM.

    1. Lorsque les informations visées au paragraphe 2, points a) à e), sont complètes et garantissent l’adéquation et l’exécution effective du TIFM, l’autorité TIFM valide les informations relatives au lancement du TIFM de l’entité financière et en informe celle-ci.

    1. À la suite de la validation, par l’autorité TIFM, des informations relatives au lancement du TIFM, l’entité financière met en place une équipe chargée du contrôle afin d’assister le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné; dans ses tâches consistant à:

      1. définir les canaux et processus de communication au sein de l’équipe chargée du contrôle, avec les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; pour toutes les questions liées au TIFM;

      2. informer l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière de l’état d’avancement du TIFM et des risques associés;

      3. prendre des décisions fondées sur l’expertise en la matière tout au long du TIFM;

      4. exécuter le TIFM conformément au présent règlement;

      5. sélectionner le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; pour le TIFM;

      6. sélectionner les testeurs externes, les testeurs internes ou les deux;

      7. préparer le document de spécification du périmètre du test.

    1. Lorsque l’autorité TIFM estime que la composition initiale de l’équipe chargée du contrôle et toute modification ultérieure apportée à celle-ci sont adéquates pour l’exécution des tâches visées au paragraphe 4, elle valide l’équipe chargée du contrôle et le notifie au chef de l’équipe.

    1. Dans un délai de six mois à compter de la réception de la notification de l’autorité TIFM visée au paragraphe 1, l’entité financière soumet aux gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; un document de spécification du périmètre du test contenant toutes les informations prévues à l’annexe II. L’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière approuve le document de spécification du périmètre du test.

    1. Les entités financières prennent en considération les critères suivants pour l’inclusion de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; dans le périmètre du TIFM:

      1. la criticité ou l’importance de la fonction et son incidence possible sur le secteur financier et sur la stabilité financière au niveau de l’Union et au niveau national;

      2. l’importance de la fonction pour les opérations courantes de l’entité financière;

      3. l’interchangeabilité de la fonction;

      4. l’interconnexion avec d’autres fonctions;

      5. la localisation géographique de la fonction;

      6. la dépendance sectorielle d’autres entités à l’égard de la fonction;

      7. le cas échéant, des renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; concernant la fonction.

    1. L’équipe chargée du contrôle partage les informations relatives au lancement du TIFM ainsi que le document de spécification du périmètre du test avec les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; une fois ceux-ci engagés. L’équipe chargée du contrôle informe les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; de la procédure à suivre pour le test.

    1. L’entité financière veille à ce que le recrutement ou l’affectation de testeurs et de fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; soit achevé(e) avant le début de la phase de test.

    1. Avant le début de la phase de test, l’équipe chargée du contrôle consulte les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; sur l’évaluation des risques liés aux TIFM et sur les mesures de gestion des risques. L’équipe chargée du contrôle réexamine l’évaluation des risques ou les mesures de gestion des risques lorsque l’autorité TIFM estime qu’elles ne tiennent pas compte de manière adéquate des risques liés aux TIFM.

    1. L’équipe chargée du contrôle évalue le respect, par les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et les testeurs qu’elle envisage d’associer au TIFM, des exigences énoncées à l’article 27 du règlement (UE) 2022/2554 et des dispositions de l’article 7, paragraphe 1, du présent règlement, et documente les résultats de cette évaluation. L’équipe chargée du contrôle sélectionne les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; conformément à cette évaluation et à ses pratiques de gestion des risques. Avant de conclure un contrat avec les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et les testeurs externes sélectionnés, l’équipe chargée du contrôle fournit aux gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; la preuve que ces fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et ces testeurs respectent les exigences énoncées à l’article 27 du règlement (UE) 2022/2554 et les dispositions de l’article 7, paragraphe 1, du présent règlement. L’équipe chargée du contrôle ne procède pas à la passation de contrats avec les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et les testeurs externes sélectionnés si l’autorité TIFM estime que ceux-ci ne respectent pas les exigences énoncées à l’article 27 du règlement (UE) 2022/2554, les exigences énoncées à l’article 7, paragraphe 1, du présent règlement ou des exigences supplémentaires découlant des législations nationales en matière de sécurité conformément au droit de l’Union, ou si l’entité financière ne respecte pas les dispositions de l’article 7, paragraphe 2, premier alinéa, du présent règlement, ou encore si les conditions visées à l’article 7, paragraphe 2, deuxième alinéa, du présent règlement ne sont pas réunies.

    1. Lorsque le document de spécification du périmètre du test est complet et garantit la réalisation d’un TIFM approprié et efficace, l’autorité TIFM approuve ce document et en informe le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod