DORA oblige certaines entités à mettre en œuvre des tests de pénétration avancés fondés sur la menace (threat-led penetration tests). Cette obligation ne s’appliquera qu’à des entités financières sélectionnées sur la base d’une appréciation des éléments suivants:
- les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier ;
- les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant ;
- le profil du risque lié aux TIC spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.
Par ailleurs, les petites entreprises d’investissement non-interconnectées, les Une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total. et les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. ne sont pas concernées par l’obligation de mettre en œuvre des tests de pénétration avancés fondés sur la menace.
Ce régime n’est pas abordé en détails dans la présente documentation.