Quelles entités financières sont soumises au TLPT
Règlement délégué (UE) 2025/1190 sur les tests de pénétration fondés sur la menace (TLPT) au titre de DORA · UE 2025/1190
Le TLPT ne concerne pas toutes les entités financières, mais celles identifiées comme significatives au regard de leur taille, de leur profil de risque et de leur importance systémique. Le RTS 2025/1190 precise les critères quantitatifs et qualitatifs d'identification appliqués par les autorités.
Sont typiquement visés : les établissements de crédit d'importance systémique, certains établissements de paiement et de monnaie électronique, les dépositaires centraux de titres (CSD), les contreparties centrales (CCP), les plates-formes de négociation, et certaines entreprises d'assurance et de réassurance.
Les entités identifiées doivent réaliser un TLPT au moins tous les trois ans, sauf décision contraire de l'autorité TLPT. Les fonctions critiques ou importantes constituent le coeur du périmètre.