La Comisión Europea fija las normas técnicas de regulación que especifican los criterios utilizados para determinar qué entidades financieras están obligadas a realizar pruebas de penetración basadas en amenazas.