DORA verplicht bepaalde entiteiten om geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uit te voeren. Deze verplichting zal enkel gelden voor financiële entiteiten die zijn geselecteerd op basis van een beoordeling van de volgende elementen:
- effectgerelateerde factoren, met name de mate waarin de diensten en de activiteiten van de financiële entiteit effecten hebben op de financiële sector;
- mogelijke bezorgdheid over financiële stabiliteit, met inbegrip van het systemische karakter van de financiële entiteit op Unieniveau of op nationaal niveau, indien van toepassing;
- het specifieke ICT-risicoprofiel, het niveau van maturiteit inzake ICT van de financiële entiteit of de technologische kenmerken in het geding.
Overigens geldt de verplichting om geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uit te voeren niet voor kleine en niet-verweven beleggingsondernemingen, Een instelling voor bedrijfspensioenvoorziening die samen niet meer dan 100 aangeslotenen heeft. en Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. .
Op deze regeling wordt niet dieper ingegaan in deze documentatie.