Le 13 février 2025, la Commission européenne a adopté le règlement délégué (UE) 2025/1190, publié le 18 juin 2025 au Journal officiel de l’UE.
Ce texte complète le règlement DORA en précisant les modalités concrètes des tests d’intrusion fondés sur la menace (TLPT).
Qu’est-ce que cela change ?
- Les TLPT deviennent une obligation réglementaire pour les acteurs financiers systémiques
- Ils devront être réalisés selon une méthodologie harmonisée, alignée sur TIBER-EU, le cadre européen de tests de pénétration contrôlés qui simule des cyberattaques sophistiquées en conditions réelles.
- Les autorités de supervision nationales et européennes joueront un rôle actif dans chaque phase des tests
Pourquoi c’est important ?
Les TLPT ne sont pas de simples pentests : ce sont des exercices grandeur nature, réalisés en environnement de production, visant à tester la résilience opérationnelle numérique face à des scénarios d’attaques réalistes.
Ils traduisent l’ambition de DORA : renforcer la robustesse du secteur financier européen face à des cybermenaces de plus en plus sophistiquées.
Dans les prochaines semaines, nous aborderons :
- Les entités concernées
- Les implications pratiques pour vos organisations
➡️ Restez connectés pour notre série sur DORA et les TLPT.