Le règlement délégué (UE) 2025/1190 précise les entités financières qui doivent désormais se soumettre aux tests d’intrusion fondés sur la menace (TLPT).
Concrètement, il s’agit des acteurs dont la défaillance aurait un impact systémique :
- Banques d’importance systémique mondiale (EISm) et autres EIS
- Prestataires de services de paiement (PSP) et établissements de monnaie électronique dépassant certains seuils
- Infrastructures de marché (CSD, CCP, plateformes de négociation)
- Assureurs et réassureurs systémiques
L’objectif est de garantir que les institutions les plus critiques soient capables de résister à des cyberattaques réalistes, menées en conditions de production.
Même si toutes les organisations ne sont pas encore directement visées, le signal est fort : le TLPT devient une nouvelle référence de robustesse cyber dans le secteur financier.