Rollenergebnisse für: Risikomanagement Generiert am: 28.5.2025, 16:18:22 ============================================================ #### Verantwortlich fuer #### 1. [Anforderung] Sorgfaltspflicht Dienstleister Beschreibung: Sorgfaltspflicht bei Auswahl und Bewertung von IKT-Dienstleistern hinweis: Beachtung von Zertifizierungen, Auditberichten, ethischem Verhalten 2. [Anforderung] Drittparteienrisiken Kontrolle Beschreibung: Kontrolle über Drittparteienrisiken: Volle Kontrolle über Risiken von IKT-Drittdienstleistungen. hinweis: Umfasst Unterauftragnehmer (Seite 141). 3. [Anforderung] IKT-Risikomanagement-Rahmen Beschreibung: Umfassender, schriftlich fixierter Rahmen: Enthält Strategien, Richtlinien und Kontrollmechanismen für IKT-Risiken. hinweis: Muss Vollständigkeit und Aktualität gewährleisten (Seite 138). 4. [Anforderung] Jährliche Risikobewertung Beschreibung: Jährliche Risikobewertung: Mindestens jährliche Neubewertung von IKT-Systemen. hinweis: Obligatorisch für Integration neuer Systeme (Seite 147). 5. [Anforderung] Ereignisdokumentation Beschreibung: Definition der aufzuzeichnenden Ereignisse, Speicherfristen und Schutzmaßnahmen hinweis: Synchronisation, Schutz vor Manipulation, Aufbewahrungsdauer 6. [Anforderung] Ex-ante-Risikobewertung Beschreibung: Ex-ante-Risikobewertung vor Vertragsabschluss hinweis: Berücksichtigung operationeller, rechtlicher, IKT- und Reputationsrisiken 7. [Anforderung] Kritikalitätsbewertung Beschreibung: Kritikalitätsbewertung: Klare Kriterien für Kritikalität von Daten und Systemen. hinweis: Grundlage für Schutzmaßnahmen (Seite 147). 8. [Anforderung] Regelmäßige Tests Schutzmaßnahmen Beschreibung: Regelmäßige Tests: Unabhängige Tests der Schutzmaßnahmen. hinweis: Schwächen in Schwachstellenmanagement (Seite 148). 9. [Anforderung] Vollständiges IKT-Asset-Register Beschreibung: Erstellung und Pflege eines vollständigen IKT-Asset-Registers inkl. Klassifizierung, Standort, Besitzer etc. hinweis: Verbindung von Assets mit Geschäftsprozessen und Wiederherstellungsanforderungen 10. [Anforderung] IKT-Projektmanagement Beschreibung: Entwicklung von Richtlinien für IKT-Projektmanagement inkl. Testmethoden und Berichterstattung hinweis: Einbindung betroffener Fachbereiche, Berichte ans Leitungsorgan 11. [Anforderung] Risikobewertung Drittrisiken Beschreibung: Risikobewertung und -steuerung: Angemessene Bewertung und Steuerung von Drittrisiken. hinweis: Schwächen in nationalen Prüfungen festgestellt (Seite 142). 12. [Anforderung] DORA-Prozessdokumentation Beschreibung: Dokumentation und Archivierung der DORA-relevanten Prozesse hinweis: Nachweisbare Dokumentation für interne und externe Prüfungen 13. [Anforderung] Unabhängige IKT-Kontrollfunktion Beschreibung: Unabhängige IKT-Kontrollfunktion: Interne Funktion zur Überwachung von IKT-Risiken. hinweis: Ersetzt BAIT-Vorschrift zu Informationssicherheitsbeauftragten (Seite 140). 14. [Anforderung] Evaluierung nach Vorfällen Beschreibung: Evaluierung nach Vorfällen: Anpassung des Rahmens nach Vorfällen. hinweis: Notwendig bei Defiziten (Seite 153). 15. [Anforderung] Altsysteme Überwachung Beschreibung: Überwachung von Altsystemen: Lebenszyklusüberwachung, Fokus auf Altsysteme. hinweis: BAIT 2021 betonte dies bereits (Seite 147). 16. [Anforderung] Harmonisiertes Risikomanagement Beschreibung: Harmonisiertes Risikomanagement: Einbindung von Drittparteienrisiken. hinweis: Ersetzt BAIT, ZAIT (Seite 135). 17. [Anforderung] Informationsschutz Übermittlung Beschreibung: Schutz von Informationen bei Übermittlung intern und extern hinweis: Datenklassifizierung, Vertraulichkeit, technische Maßnahmen 18. [Anforderung] Kontinuierliche Informationsbeschaffung Beschreibung: Kontinuierliche Informationsbeschaffung: Sammlung von Schwachstelleninformationen. hinweis: BAIT-Prüfungen zeigten Defizite (Seite 153). 19. [Anforderung] IKT-Kompetenz Leitungsorgan Beschreibung: IKT-Kompetenz des Leitungsorgans: Ausreichende Kenntnisse und regelmäßige Schulungen zur Bewertung von IKT-Risiken. hinweis: Regelmäßige Schulungen speziell auf Bedarf zugeschnitten (Seite 137). 20. [Anforderung] IKT-Kapazitätsoptimierung Beschreibung: Überwachung und Optimierung von IKT-Kapazitäten und Leistung hinweis: Vermeidung von Engpässen bei kritischen Systemen 21. [Anforderung] Änderungskontrolle Beschreibung: Dokumentation und Kontrolle aller Änderungen mit Genehmigungsprozessen hinweis: Aufgabentrennung, Rückfallpläne, Testverfahren 22. [Anforderung] Kommunikationsstrategien Beschreibung: Kommunikationsstrategien: Strategien für Stakeholder und Behörden. hinweis: Effektive Kommunikation notwendig (Seite 152). 23. [Anforderung] Eindämmungsmaßnahmen Beschreibung: Eindämmungsmaßnahmen: Sofortige Maßnahmen und Verfahren. hinweis: Angepasste Verfahren erforderlich (Seite 152). 24. [Anforderung] Regelmäßige Überprüfung Beschreibung: Regelmäßige Überprüfung: Mindestens jährliche Aktualisierung oder bei Vorfällen. hinweis: Anlassbezogene Überprüfungen bei aufsichtlichen Feststellungen (Seite 138). 25. [Anforderung] IKT-Vorgänge Dokumentation Beschreibung: Definition und Dokumentation aller IKT-Vorgänge inkl. Trennung von Produktions- und Testumgebungen hinweis: Vermeidung von Störungen, klare Vorgaben für Notfälle und Fehlerbehandlung 26. [Anforderung] Verpflichtende TLPT Beschreibung: Verpflichtende TLPT: Für systemisch relevante Institute und andere Finanzunternehmen. hinweis: Gilt für G-SIIs, O-SIIs, Zentralverwahrer etc. (Seite 150). 27. [Anforderung] Klare Verantwortlichkeiten Beschreibung: Klare Verantwortlichkeiten: Definierte Verantwortlichkeit für Kommunikation. hinweis: Vermeidet uneinheitliche Kommunikation (Seite 153). 28. [Anforderung] Verschlüsselungsrichtlinie Beschreibung: Implementierung einer Richtlinie für Verschlüsselung und kryptografische Kontrollen hinweis: Berücksichtigung von Datenklassifizierung und Kryptoanalyse-Entwicklungen 29. [Anforderung] Drittanbieter-Register Beschreibung: Führung eines Drittanbieter-Registers mit Vertragsprüfung hinweis: Sicherstellung vollständiger und gesetzeskonformer Verträge 30. [Anforderung] Automatisierte Alarme Beschreibung: Automatisierte Alarme: Alarme für Angriffe oder Abweichungen. hinweis: Überprüfung durch spezialisiertes Personal (Seite 152). 31. [Anforderung] Governance-Struktur Beschreibung: Wirkungsvolle Governance-Struktur und Organisationsform: Finanzinstitute müssen eine Governance-Struktur implementieren, die das Management von IKT-Risiken effektiv unterstützt. hinweis: Ersetzt nationale Vorschriften wie BAIT (Seite 135). 32. [Anforderung] Informationssicherheitsleitlinie Beschreibung: Informationssicherheitsleitlinie: Leitlinie für Verfügbarkeit, Authentizität, Integrität. hinweis: Vom Leitungsorgan zu verabschieden (Seite 148). 33. [Anforderung] IKT-Vorfallstrategie Beschreibung: Festlegung einer Strategie für IKT-bezogene Vorfälle hinweis: Erkennung, Reaktion, Analyse, Verantwortlichkeiten 34. [Anforderung] Angemessene Ressourcen Beschreibung: Angemessene Ressourcen und Berichtswege: Ausreichende Ressourcen und klare Berichtswege. hinweis: Prüfungen zeigen Defizite in Ressourcenausstattung (Seite 141). 35. [Artikel] VO (EU) 2024/1773, Art. 6(1) text: (1)   In der Leitlinie wird ein angemessenes und verhältnismäßiges Verfahren für die Auswahl und Bewertung der künftigen IKT-Drittdienstleister festgelegt, wobei zu berücksichtigen ist, ob es sich bei dem IKT-Drittdienstleister um einen gruppeninternen IKT-Dienstleister handelt, und verlangt wird, dass das Finanzunternehmen vor Abschluss einer vertraglichen Vereinbarung bewertet, ob der IKT-Drittdienstleister a) über die geschäftliche Reputation, hinreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, Informationssicherheitsstandards, eine angemessene Organisationsstruktur, ein angemessenes Risikomanagement und angemessene interne Kontrollen sowie gegebenenfalls über die erforderlichen Zulassungen oder Registrierungen verfügt, um die IKT-Dienstleistungen zur Unterstützung der kritischen oder wichtigen Funktion zuverlässig und professionell erbringen zu können; b) in der Lage ist, einschlägige technologische Entwicklungen zu überwachen und führende Praktiken im Bereich der IKT-Sicherheit zu ermitteln und sie gegebenenfalls zu implementieren, damit er über einen wirksamen und soliden Rahmen für die digitale operationale Resilienz verfügt; c) IKT-Unterauftragnehmer nutzt oder zu nutzen gedenkt, um IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon zu erbringen; d) in einem Drittstaat lokalisiert ist oder die Daten in einem Drittstaat verarbeitet oder speichert und, falls dies der Fall ist, ob diese Praxis die operationellen Risiken, Reputationsrisiken oder das Risiko erhöht, von restriktiven Maßnahmen, einschließlich Embargos und Sanktionen, betroffen zu sein, die sich auf die Fähigkeit des IKT-Drittdienstleisters, die IKT-Dienstleistungen zu erbringen, oder die Fähigkeit des Finanzunternehmens, diese IKT-Dienstleistungen zu empfangen, auswirken können; e) vertraglichen Vereinbarungen zustimmt, mit denen effektiv die Möglichkeit sichergestellt wird, dass das Finanzunternehmen selbst, beauftragte Dritte und zuständige Behörden Audits beim IKT-Drittdienstleister, auch in dessen Räumlichkeiten, durchführen; f) in ethischer und sozial verantwortlicher Weise handelt, die Menschenrechte und die Rechte des Kindes achtet, einschließlich des Verbots der Kinderarbeit, die geltenden Grundsätze des Umweltschutzes einhält und angemessene Arbeitsbedingungen gewährleistet. 36. [Artikel] VO (EU) 2024/1773, Art. 6(2) text: (2)   In der Leitlinie wird festgelegt, welches Maß an Sicherheit hinsichtlich der Wirksamkeit des Risikomanagementrahmens von IKT-Drittdienstleistern für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von einem IKT-Drittdienstleister bereitgestellt werden sollen, gegeben sein muss. In der Leitlinie ist vorzusehen, dass im Rahmen des Verfahrens zur Erfüllung der Sorgfaltspflicht bewertet wird, ob Maßnahmen zur Risikominderung und zur Geschäftsfortführung bestehen und wie deren Funktionsfähigkeit innerhalb des IKT-Drittdienstleisters sichergestellt wird. 37. [Artikel] VO (EU) 2024/1773, Art. 6(3) text: (3)   In der Leitlinie wird das Verfahren zur Erfüllung der Sorgfaltspflicht festgelegt, anhand dessen die künftigen IKT-Drittdienstleister ausgewählt und bewertet werden, und es wird angegeben, welche der folgenden Elemente mit Blick auf das erforderliche Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters zu berücksichtigen sind: a) Audits oder unabhängige Bewertungen, die vom Finanzunternehmen selbst oder in seinem Auftrag durchgeführt werden; b) Berichte über unabhängige Audits, die auf Verlangen des IKT-Drittdienstleisters erstellt werden; c) Auditberichte der internen Revisionsfunktion des IKT-Drittdienstleisters; d) geeignete Zertifizierungen Dritter; e) andere relevante Informationen, die dem Finanzunternehmen zur Verfügung stehen, oder andere vom IKT-Drittdienstleister bereitgestellte Informationen. 38. [Artikel] VO (EU) 2024/1773, Art. 6(4) text: (4)   Die Finanzunternehmen gewährleisten unter Berücksichtigung der in Absatz 3 Buchstaben a bis e aufgeführten Elemente ein angemessenes Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters. Gegebenenfalls ist mehr als eines der unter diesen Buchstaben aufgeführten Elemente zu berücksichtigen. 39. [Artikel] VO (EU) 2022/2554, Art. 30(5) text: (5)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Regulierungsstandards, um die in Absatz 2 Buchstabe a genannten Aspekte zu präzisieren, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Juli 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. 40. [Artikel] VO (EU) 2022/2554, Art. 30(4) text: (4)   Bei der Aushandlung vertraglicher Vereinbarungen erwägen Finanzunternehmen und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt wurden. 41. [Artikel] VO (EU) 2022/2554, Art. 30(3) text: (3)   Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen zusätzlich zu den in Absatz 2 genannten Elementen mindestens Folgendes: a) vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte, um dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen zu ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird; b) Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen, einschließlich der Meldung aller Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters, IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß den vereinbarten Leistungsniveaus wirksam bereitzustellen, auswirken könnten; c) Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten; d) die Verpflichtung des IKT-Drittdienstleisters, sich an den in den Artikeln 26 und 27 genannten TLPT des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken; e) das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu Folgendes gehört: i) uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird; ii) das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind; iii) die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit bei Vor-Ort-Inspektionen und Audits, die von den zuständigen Behörden, der federführenden Überwachungsbehörde, dem Finanzunternehmen oder einem beauftragten Dritten durchgeführt werden; und iv) die Verpflichtung, Einzelheiten zu Umfang und Häufigkeit dieser Inspektionen sowie dem dabei zu befolgenden Verfahren mitzuteilen; f) Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums, i) in dem der IKT-Drittdienstleister weiterhin die entsprechenden Funktionen oder IKT-Dienstleistungen bereitstellt, um das Risiko von Störungen im Finanzunternehmen zu verringern oder um dessen geordnete Abwicklung und Umstrukturierung sicherzustellen; ii) der dem Finanzunternehmen ermöglicht, zu einem anderen IKT-Drittdienstleister zu wechseln oder auf interne Lösungen umzustellen, die der Komplexität der erbrachten Dienstleistung entsprechen. Abweichend von Buchstabe e können der IKT-Drittdienstleister und das Finanzunternehmen, das ein Kleinstunternehmen ist, vereinbaren, dass die Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens auf einen unabhängigen Dritten übertragen werden können, der vom IKT-Drittdienstleister benannt wird, sowie dass das Finanzunternehmen von diesem Dritten jederzeit Informationen und Gewähr in Bezug auf die Leistung des IKT-Drittdienstleisters verlangen kann. 42. [Artikel] VO (EU) 2022/2554, Art. 30(2) text: (2)   Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen umfassen mindestens folgende Elemente: a) eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und — wenn dies der Fall ist — welche Bedingungen für diese Unterauftragsvergabe gelten; b) die Standorte — das heißt die Regionen oder Länder —, an denen die vertraglich vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und IKT-Dienstleistungen bereitzustellen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Auflage für den IKT-Drittdienstleister, das Finanzunternehmen vorab zu benachrichtigen, wenn er eine Änderung dieser Standorte beabsichtigt; c) Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten; d) Bestimmungen über die Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten, die von dem Finanzunternehmen im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder einer Beendigung der vertraglichen Vereinbarungen verarbeitet werden, sowie über die Wiederherstellung und Rückgabe dieser Daten in einem leicht zugänglichen Format; e) Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen; f) die Verpflichtung des IKT-Drittdienstleisters, dem Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten; g) die Verpflichtung des IKT-Drittdienstleisters, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten, einschließlich der von diesen benannten Personen; h) Kündigungsrechte und damit zusammenhängende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen entsprechend den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden; i) Bedingungen für die Teilnahme von IKT-Drittdienstleistern an den von den Finanzunternehmen angebotenen Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz gemäß Artikel 13 Absatz 6. 43. [Artikel] VO (EU) 2022/2554, Art. 30(1) text: (1)   Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters werden eindeutig zugewiesen und schriftlich dargelegt. Der vollständige Vertrag umfasst die Vereinbarung über die Dienstleistungsgüte und wird in einem schriftlichen Dokument, das den Parteien in Papierform zur Verfügung steht, oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert. 44. [Artikel] VO (EU) 2022/2554, Art. 29(2) text: (2)   Ist in der vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Möglichkeit vorgesehen, dass ein IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion per Unterauftrag an andere IKT-Drittdienstleister vergibt, wägen Finanzunternehmen die Vorteile und Risiken ab, die im Zusammenhang mit einer solchen Unterauftragsvergabe entstehen können, insbesondere sofern der IKT-Unterauftragnehmer in einem Drittland niedergelassen ist. Betreffen vertragliche Vereinbarungen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, berücksichtigen die Finanzunternehmen gebührend die Bestimmungen des Insolvenzrechts, die im Falle der Insolvenz des IKT-Drittdienstleisters anwendbar wären, sowie jede Einschränkung, die sich im Zusammenhang mit der dringenden Wiederherstellung der Daten des Finanzunternehmens ergeben könnte. Werden mit einem IKT-Drittdienstleister mit Sitz in einem Drittland vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen geschlossen, so beachten Finanzunternehmen neben den in Unterabsatz 2 genannten Umständen auch, dass die Datenschutzvorschriften der Union eingehalten und die Rechtsvorschriften in diesem Drittland wirksam durchgesetzt werden. Ist in den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Unterauftragsvergabe vorgesehen, so bewerten die Finanzunternehmen, ob und wie sich potenziell lange oder komplexe Ketten der Unterauftragsvergabe auf ihre Fähigkeit auswirken können, die vertraglich vereinbarten Funktionen vollständig zu überwachen, und ob die zuständige Behörde in dieser Hinsicht in der Lage ist, das Finanzunternehmen wirksam zu beaufsichtigen. 45. [Artikel] VO (EU) 2022/2554, Art. 29(1) text: (1)   Bei der Ermittlung und Bewertung der in Artikel 28 Absatz 4 Buchstabe c genannten Risiken berücksichtigen Finanzunternehmen zudem, ob der geplante Abschluss einer vertraglichen Vereinbarung in Bezug auf IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, Folgendes herbeiführen würde: a) Verträge mit einem IKT-Drittdienstleister, der nicht ohne Weiteres ersetzbar ist; oder b) mehrfache vertragliche Vereinbarungen über die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen mit demselben IKT-Drittdienstleister oder mit eng verbundenen IKT-Drittdienstleistern. Finanzunternehmen wägen Nutzen und Kosten alternativer Lösungen ab, z. B. die Nutzung verschiedener IKT-Drittdienstleister, und berücksichtigen, ob und wie geplante Lösungen den geschäftlichen Erfordernissen und Zielen entsprechen, die in ihrer Strategie für digitale Resilienz festgelegt sind. 46. [Artikel] VO (EU) 2022/2554, Art. 28(10) text: (10)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe für technische Regulierungsstandards, um den detaillierten Inhalt der Leitlinie, die in Absatz 2 in Bezug auf die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, genannt wird, weiter zu spezifizieren. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. 47. [Artikel] VO (EU) 2022/2554, Art. 28(9) text: (9)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Durchführungsstandards, um die Standardvorlagen für die Zwecke des in Absatz 3 genannten Informationsregisters festzulegen, einschließlich Informationen, die allen vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen gemein sind. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die in Unterabsatz 1 genannten technischen Durchführungsstandards gemäß Artikel 15 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen. 48. [Artikel] VO (EU) 2022/2554, Art. 28(8) text: (8)   Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein. In den Ausstiegsstrategien wird den Risiken Rechnung getragen, die auf der Ebene der IKT-Drittdienstleister entstehen können, darunter insbesondere ein möglicher Fehler des IKT-Drittdienstleisters, eine Verschlechterung der Qualität der bereitgestellten IKT-Dienstleistungen, jede Unterbrechung der Geschäftstätigkeit aufgrund unangemessener oder unterlassener Bereitstellung von IKT-Dienstleistungen oder jedes erhebliche Risiko im Zusammenhang mit der angemessenen und kontinuierlichen Bereitstellung der jeweiligen IKT-Dienstleistungen oder der Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern unter einem der in Absatz 7 genannten Umstände. Finanzunternehmen stellen sicher, dass sie aus vertraglichen Vereinbarungen ausscheiden können, ohne: a) Unterbrechung ihrer Geschäftstätigkeit, b) Einschränkung der Einhaltung regulatorischer Anforderungen, c) Beeinträchtigung der Kontinuität und Qualität ihrer für Kunden erbrachten Dienstleistungen. Ausstiegspläne müssen umfassend, dokumentiert und im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien ausreichend getestet sein sowie regelmäßig überprüft werden. Finanzunternehmen ermitteln alternative Lösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, dem IKT-Drittdienstleister die vertraglich vereinbarten IKT-Dienstleistungen und die relevanten Daten zu entziehen und sie sicher und vollständig alternativen Anbietern zu übertragen oder wieder in die eigenen Systeme zu überführen. Finanzunternehmen verfügen über angemessene Notfallmaßnahmen, um die Fortführung der Geschäftstätigkeit zu gewährleisten, falls die in Unterabsatz 1 genannten Umstände auftreten. 49. [Artikel] VO (EU) 2022/2554, Art. 28(7) text: (7)   Finanzunternehmen stellen sicher, dass vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen gekündigt werden können, wenn einer der folgenden Umstände vorliegt: a) ein erheblicher Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze, sonstige Vorschriften oder Vertragsbedingungen; b) Umstände, die im Laufe der Überwachung des IKT-Drittparteienrisikos festgestellt wurden und die als geeignet eingeschätzt werden, die Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen zu beeinträchtigen, einschließlich wesentlicher Änderungen, die sich auf die Vereinbarung oder die Verhältnisse des IKT-Drittdienstleisters auswirken; c) nachweisliche Schwächen des IKT-Drittdienstleisters in Bezug auf sein allgemeines IKT-Risikomanagement und insbesondere bei der Art und Weise, in der er die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet, unabhängig davon, ob es sich um personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten handelt; d) die zuständige Behörde kann das Finanzunternehmen infolge der Bedingungen der jeweiligen vertraglichen Vereinbarung oder der mit dieser Vereinbarung verbundenen Umstände nicht mehr wirksam beaufsichtigen. 50. [Artikel] VO (EU) 2022/2554, Art. 28(6) text: (6)   Bei der Ausübung der Zugangs-, Inspektions- und Auditrechte in Bezug auf den IKT-Drittdienstleister bestimmen Finanzunternehmen auf der Grundlage eines risikobasierten Ansatzes vorab die Häufigkeit von Audits und Inspektionen sowie die zu prüfenden Bereiche, indem allgemein anerkannte Auditstandards im Einklang mit etwaigen Aufsichtsanweisungen für die Anwendung und Einbeziehung solcher Auditstandards eingehalten werden. Wenn vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen werden, ein hohes Maß an technischer Komplexität mit sich bringen, überprüft das Finanzunternehmen, dass die internen oder externen Revisoren oder ein Revisorenpool über die Fähigkeiten und Kenntnisse verfügen bzw. verfügt, die für die wirksame Durchführung der einschlägigen Audits und Bewertungen erforderlich sind. 51. [Artikel] VO (EU) 2022/2554, Art. 28(5) text: (5)   Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Betreffen diese vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so berücksichtigen die Finanzunternehmen vor Abschluss der Vereinbarungen angemessen, ob die IKT-Drittdienstleister die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden. 52. [Artikel] VO (EU) 2022/2554, Art. 28(4) text: (4)   Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen müssen Finanzunternehmen: a) beurteilen, ob sich die vertragliche Vereinbarung auf die Nutzung von IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion bezieht; b) beurteilen, ob die aufsichtsrechtlichen Bedingungen für die Auftragsvergabe erfüllt sind; c) alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten, einschließlich der Möglichkeit, dass diese vertragliche Vereinbarung dazu beitragen kann, das in Artikel 29 genannte IKT-Konzentrationsrisiko zu erhöhen; d) bei potenziellen IKT-Drittdienstleistern der gebotenen Sorgfaltspflicht nachkommen und während des gesamten Auswahl- und Bewertungsprozesses sicherstellen, dass der IKT-Drittdienstleister geeignet ist; e) Interessenkonflikte, die durch die vertragliche Vereinbarung entstehen können, ermitteln und bewerten. 53. [Artikel] VO (EU) 2022/2554, Art. 28(3) text: (3)   Finanzunternehmen führen und aktualisieren im Rahmen ihres IKT-Risikomanagementrahmens auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Die vertraglichen Vereinbarungen gemäß Unterabsatz 1 werden angemessen dokumentiert, wobei zwischen Vereinbarungen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen abdecken, und solchen unterschieden wird, bei denen dies nicht der Fall ist. Finanzunternehmen erstatten den zuständigen Behörden mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen, den Kategorien von IKT-Drittdienstleistern, der Art der vertraglichen Vereinbarungen sowie den bereitgestellten IKT-Dienstleistungen und -Funktionen. Finanzunternehmen stellen der zuständigen Behörde auf Verlangen das vollständige Informationsregister oder auf Anfrage bestimmte Teile dieses Registers zusammen mit allen Informationen zur Verfügung, die für eine wirksame Beaufsichtigung des Finanzunternehmens als notwendig erachtet werden. Finanzunternehmen unterrichten die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist. 54. [Artikel] VO (EU) 2022/2554, Art. 28(2) text: (2)   Finanzinstitute, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, beschließen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko und überprüfen diese regelmäßig, wobei gegebenenfalls die in Artikel 6 Absatz 9 genannte Strategie zur Nutzung mehrerer Anbieter Berücksichtigung findet. Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, und gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzunternehmens und des Umfangs und der Komplexität der Unternehmensdienstleistungen regelmäßig Risiken, die im Zusammenhang mit den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. 55. [Artikel] VO (EU) 2022/2554, Art. 28(1) text: (1)   Finanzunternehmen managen das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 und im Einklang mit den folgenden Prinzipien: a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich. b) Beim Management des IKT-Drittparteienrisikos tragen Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung, wobei Folgendes zu berücksichtigen ist: i) die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten, ii) die Risiken infolge vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen wurden, wobei die Kritikalität oder Relevanz der jeweiligen Dienstleistungen, Prozesse oder Funktionen sowie die potenziellen Auswirkungen auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf Einzel- und Gruppenebene zu berücksichtigen sind. 56. [Artikel] VO (EU) 2022/2554, Art. 6(8) text: (8)   Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationale Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt wird. Zu diesem Zweck schließt die Strategie für die digitale operationale Resilienz Methoden, um IKT-Risiken anzugehen und spezifische IKT-Ziele zu erreichen, ein, indem a) erläutert wird, wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und die Ziele des Finanzunternehmens unterstützt; b) die Risikotoleranzschwelle für IKT-Risiken im Einklang mit der Risikobereitschaft des Finanzunternehmens festgelegt und die Auswirkungsstoleranz mit Blick auf IKT-Störungen untersucht wird; c) klare Ziele für die Informationssicherheit festgelegt werden, einschließlich der wesentlichen Leistungsindikatoren und der wesentlichen Risikokennzahlen; d) die IKT-Referenzarchitektur und etwaige Änderungen erläutert werden, die für die Erreichung spezifischer Geschäftsziele erforderlich sind; e) die verschiedenen Mechanismen dargelegt werden, die eingesetzt wurden, um IKT-bezogene Vorfälle zu erkennen, sich davor zu schützen und daraus entstehende Folgen zu verhindern; f) der aktuelle Stand bezüglich der digitalen operationalen Resilienz anhand der Anzahl gemeldeter schwerwiegender IKT-Vorfälle und bezüglich der Wirksamkeit von Präventivmaßnahmen dargelegt wird; g) Tests der digitalen operationalen Resilienz gemäß Kapitel IV dieser Verordnung durchgeführt werden; h) für IKT-bezogene Vorfälle eine Kommunikationsstrategie dargelegt wird, die gemäß Artikel 14 offengelegt werden muss. 57. [Artikel] VO (EU) 2022/2554, Art. 7 text: Um IKT-Risiken zu bewältigen und zu managen, verwenden und unterhalten Finanzunternehmen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools, die a) dem Umfang von Vorgängen, die die Ausübung ihrer Geschäftstätigkeiten unterstützen, im Einklang mit dem Grundsatz der Verhältnismäßigkeit nach Artikel 4 angemessen sind; b) zuverlässig sind; c) mit ausreichenden Kapazitäten ausgestattet sind, um die Daten, die für die Ausführung von Tätigkeiten und die rechtzeitige Erbringung von Dienstleistungen erforderlich sind, genau zu verarbeiten und Auftragsspitzen, Mitteilungen oder Transaktionen auch bei Einführung neuer Technologien bewältigen zu können; d) technologisch resilient sind, um dem unter angespannten Marktbedingungen oder anderen widrigen Umständen erforderlichen zusätzlichen Bedarf an Informationsverarbeitung angemessen zu begegnen. 58. [Artikel] VO (EU) 2024/1774, Art. 12(2) text: (2)   Die in Absatz 1 genannten Verfahren, Protokolle und Tools für die Datenaufzeichnung umfassen alle folgenden Elemente: a) die Ermittlung der aufzuzeichnenden Ereignisse, die Speicherfrist für die Datenaufzeichnungen und die Maßnahmen zur Sicherung und Verarbeitung der Aufzeichnungsdaten unter Berücksichtigung des Zwecks, für den die Datenaufzeichnungen erstellt werden; b) die Abstimmung des Detaillierungsgrads der Datenaufzeichnungen auf deren Zweck und Verwendung, um die wirksame Erkennung anomaler Aktivitäten nach Artikel 24 zu ermöglichen; c) die Anforderung, Ereignisse aufzuzeichnen, die sämtliche der folgenden Aspekte betreffen: i) logische und physische Zugangskontrolle nach Artikel 21 und Identitätsmanagement, ii) Kapazitätsmanagement, iii) Änderungsmanagement, iv) IKT-Vorgänge, einschließlich IKT-Systemaktivitäten, v) Netzwerkverkehrsaktivitäten, einschließlich der Leistung der IKT-Netzwerke; d) Maßnahmen zum Schutz von Datenaufzeichnungssystemen und -informationen vor Manipulation, Löschung und unbefugtem Zugriff mit Blick auf gespeicherte, übermittelte oder gegebenenfalls gerade verwendete Daten; e) Maßnahmen zur Erkennung eines Ausfalls von Datenaufzeichnungssystemen; f) unbeschadet etwaiger im Unionsrecht oder nationalen Recht festgelegter anwendbarer rechtlicher Anforderungen die Synchronisierung der Uhren jedes IKT-Systems des Finanzunternehmens auf der Grundlage einer dokumentierten zuverlässigen Referenzzeitquelle. Für die Zwecke von Buchstabe a legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, dem Grund, weshalb das Ereignis aufgezeichnet wurde, und den Ergebnissen der IKT-Risikobewertung Rechnung. 59. [Artikel] VO (EU) 2024/1774, Art. 12(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen gegen Eindringen und Missbrauch von Daten Verfahren, Protokolle und Tools für die Datenaufzeichnung. 60. [Artikel] VO (EU) 2024/1773, Art. 5(2) text: (2)   In der Leitlinie ist vorzusehen, dass auf Ebene des Finanzunternehmens und gegebenenfalls auf konsolidierter und teilkonsolidierter Ebene eine Risikobewertung durchzuführen ist, bevor eine vertragliche Vereinbarung geschlossen wird. Bei der Risikobewertung werden alle einschlägigen Anforderungen der Verordnung (EU) 2022/2554 sowie die geltenden sektorspezifischen Rechtsvorschriften der Union berücksichtigt. In der Leitlinie werden insbesondere die Auswirkungen der Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister auf das Finanzunternehmen sowie alle Risiken berücksichtigt, die mit der Bereitstellung dieser IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister verbunden sind, darunter a) operationelle Risiken, b) rechtliche Risiken, c) IKT-Risiken, d) Reputationsrisiken, e) Risiken im Zusammenhang mit dem Schutz vertraulicher oder personenbezogener Daten, f) Risiken im Zusammenhang mit der Verfügbarkeit von Daten, g) Risiken im Zusammenhang mit dem Standort, an dem die Daten verarbeitet und gespeichert werden, h) Risiken im Zusammenhang mit dem Standort des IKT-Drittdienstleisters, i) IKT-Konzentrationsrisiken auf Unternehmensebene. 61. [Artikel] VO (EU) 2024/1773, Art. 5(1) text: (1)   Nach der Leitlinie muss vor Abschluss einer vertraglichen Vereinbarung der Geschäftsbedarf des Finanzunternehmens bestimmt werden. 62. [Artikel] VO (EU) 2022/2554, Art. 9(4) text: (4)   Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: a) Sie erarbeiten und dokumentieren eine Informationssicherheitsleitlinie, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets, gegebenenfalls einschließlich derjenigen ihrer Kunden, festgelegt sind; b) sie richten entsprechend einem risikobasierten Ansatz eine solide Struktur für Netzwerk- und Infrastrukturmanagement unter Verwendung angemessener Techniken, Methoden und Protokolle ein, wozu auch die Umsetzung automatisierter Mechanismen zur Isolierung betroffener Informationsassets im Falle von Cyberangriffen gehören kann; c) sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung; d) sie implementieren Konzepte und Protokolle für starke Authentifizierungsmechanismen, die auf einschlägigen Normen und speziellen Kontrollsystemen basieren, sowie Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten auf der Grundlage der Ergebnisse aus genehmigten Datenklassifizierungs- und IKT-Risikobewertungsprozessen verschlüsselt werden; e) sie implementieren und dokumentieren Richtlinien, Verfahren und Kontrollen für das IKT-Änderungsmanagement, einschließlich Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren und fester Bestandteil des gesamten Änderungsmanagementprozesses des Finanzunternehmens sind, um sicherzustellen, dass alle Änderungen an IKT-Systemen auf kontrollierte Weise erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden; f) sie besitzen angemessene und umfassende dokumentierte Richtlinien für Patches und Updates. Für die Zwecke von Unterabsatz 1 Buchstabe b konzipieren Finanzunternehmen die Infrastruktur für die Netzanbindung und Netzwerkverbindung so, dass sie sofort getrennt oder segmentiert werden kann, damit eine Ansteckung, insbesondere bei miteinander verbundenen Finanzprozessen, minimiert und verhindert wird. Für die Zwecke von Unterabsatz 1 Buchstabe e wird das Verfahren für das IKT-Änderungsmanagement von zuständigen Leitungsebenen genehmigt und hat spezifische Protokolle. 63. [Artikel] VO (EU) 2024/1774, Art. 5(2) text: (2)   In dem in Absatz 1 genannten Verfahren für das Management von IKT-Assets werden die Kriterien festgelegt, nach denen die Bewertung der Kritikalität von Informationsassets und IKT-Assets, die Unternehmensfunktionen unterstützen, vorgenommen wird. Bei dieser Bewertung wird Folgendes berücksichtigt: a) das IKT-Risiko im Zusammenhang mit diesen Unternehmensfunktionen und deren Abhängigkeit von den Informationsassets oder IKT-Assets; b) mögliche Auswirkungen des Verlusts der Vertraulichkeit, Integrität und Verfügbarkeit solcher Informationsassets und IKT-Assets auf die Geschäftsprozesse und -tätigkeiten der Finanzunternehmen. 64. [Artikel] VO (EU) 2024/1774, Art. 5(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren ein Verfahren für das Management von IKT-Assets. 65. [Artikel] VO (EU) 2024/1774, Art. 4(2) text: (2)   Die in Absatz 1 genannte Richtlinie für das Management von IKT-Assets enthält a) Vorschriften für die Überwachung und das Management des Lebenszyklus von IKT-Assets, die gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 ermittelt und klassifiziert werden; b) Vorschriften, wonach das Finanzunternehmen in seinen Aufzeichnungen Folgendes erfasst: i) die eindeutige Kennung jedes IKT-Assets, ii) Informationen über den physischen oder logischen Standort aller IKT-Assets, iii) die Klassifizierung aller IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2254, iv) die Identität der Eigentümer von IKT-Assets, v) die Unternehmensfunktionen oder -dienstleistungen, die durch das IKT-Asset unterstützt werden, vi) die für die IKT-Geschäftsfortführung geltenden Anforderungen, einschließlich der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte, vii) die Möglichkeit eines Zugriffs auf das IKT-Asset über externe Netzwerke, einschließlich des Internets, viii) die Verbindungen und Interdependenzen zwischen IKT-Assets und den Unternehmensfunktionen, die die einzelnen IKT-Assets nutzen, ix) für alle IKT-Assets gegebenenfalls die Fristen bis zum Ende des Zeitraums, in dem die regelmäßigen, erweiterten und kundenspezifischen Unterstützungsdienstleistungen des IKT-Drittdienstleisters bereitgestellt werden und nach dem diese IKT-Assets nicht mehr von ihrem Anbieter oder einem IKT-Drittdienstleister unterstützt werden; c) Vorschriften für Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, wonach diese Finanzunternehmen Aufzeichnungen über die Informationen führen, die für die Durchführung einer spezifischen IKT-Risikobewertung aller IKT-Altsysteme nach Artikel 8 Absatz 7 der Verordnung (EU) 2022/2554 erforderlich sind. 66. [Artikel] VO (EU) 2024/1774, Art. 4(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für das Management von IKT-Assets. 67. [Artikel] VO (EU) 2024/1774, Art. 15(5) text: (5)   Der in Absatz 3 Buchstabe d genannten IKT-Projektrisikobewertung entsprechend müssen die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement vorsehen, dass das Leitungsorgan wie folgt über die Einleitung von IKT-Projekten, die sich auf kritische oder wichtige Funktionen des Finanzunternehmens auswirken, deren Fortschritte und die damit verbundenen Risiken unterrichtet wird: a) einzeln oder zusammengefasst, je nach Bedeutung und Umfang der IKT-Projekte, b) in regelmäßigen Abständen sowie erforderlichenfalls bei einzelnen Ereignissen. 68. [Artikel] VO (EU) 2024/1774, Art. 15(4) text: (4)   Durch Bereitstellung der erforderlichen Informationen und Fachkenntnisse aus dem Geschäftsbereich oder den geschäftlichen Funktionen, auf die sich das IKT-Projekt auswirkt, gewährleisten die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement die sichere Durchführung des Projekts. 69. [Artikel] VO (EU) 2024/1774, Art. 15(3) text: (3)   Die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement müssen alles Folgende beinhalten: a) die Ziele des IKT-Projekts, b) die Governance des IKT-Projekts, samt Aufgaben und Zuständigkeiten, c) die Planung, den zeitlichen Rahmen und die Etappen des IKT-Projekts, d) eine IKT-Projektrisikobewertung, e) die relevanten Etappenziele, f) die Anforderungen an das Änderungsmanagement, g) das Testen aller Anforderungen, einschließlich der Sicherheitsanforderungen, und das zugehörige Genehmigungsverfahren bei der Einführung eines IKT-Systems in der Produktionsumgebung. 70. [Artikel] VO (EU) 2024/1774, Art. 15(2) text: (2)   In den in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement werden die Elemente festgelegt, die ein wirksames Management der IKT-Projekte in Bezug auf die Beschaffung, die Wartung sowie gegebenenfalls die Entwicklung der IKT-Systeme des Finanzunternehmens gewährleisten. 71. [Artikel] VO (EU) 2024/1774, Art. 15(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für das IKT-Projektmanagement. 72. [Artikel] VO (EU) 2022/2554, Art. 13(1) text: (1)   Finanzunternehmen verfügen über Kapazitäten und Personal, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen. 73. [Artikel] VO (EU) 2022/2554, Art. 13(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, überwachen einschlägige technologische Entwicklungen fortlaufend — auch um die möglichen Auswirkungen des Einsatzes solcher neuen Technologien auf die Anforderungen an die IKT-Sicherheit und die digitale operationale Resilienz zu verstehen. Sie halten sich über die neuesten Prozesse für das IKT-Risikomanagement auf dem Laufenden, um gegenwärtige oder neue Formen von Cyberangriffen wirksam abzuwehren. 74. [Artikel] VO (EU) 2022/2554, Art. 13(6) text: (6)   Finanzunternehmen entwickeln Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz, die im Rahmen ihrer Programme für die Mitarbeiterschulung obligatorisch sind. Diese Programme und Schulungen gelten für alle Beschäftigten und die Geschäftsleitung und sind so komplex, dass sie deren jeweiligem Aufgabenbereich angemessen sind. Gegebenenfalls nehmen die Finanzunternehmen entsprechend Artikel 30 Absatz 2 Buchstabe i auch IKT-Drittdienstleister in ihre einschlägigen Schulungsprogramme auf. 75. [Artikel] VO (EU) 2022/2554, Art. 13(5) text: (5)   Leitende IKT-Mitarbeiter erstatten dem Leitungsorgan mindestens einmal jährlich über die in Absatz 3 genannten Feststellungen Bericht und geben Empfehlungen ab. 76. [Artikel] VO (EU) 2022/2554, Art. 13(4) text: (4)   Finanzunternehmen überwachen die Wirksamkeit der Umsetzung ihrer Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8. Dabei erfassen sie die Entwicklung der IKT-Risiken im Zeitverlauf, untersuchen Häufigkeit, Art, Ausmaß und Entwicklung IKT-bezogener Vorfälle, insbesondere Cyberangriffe und deren Muster, um das Ausmaß der IKT-Risiken — insbesondere in Bezug auf kritische oder wichtige Funktionen — zu verstehen und die Cyberreife und die Abwehrbereitschaft des Finanzunternehmens zu verbessern. 77. [Artikel] VO (EU) 2022/2554, Art. 13(3) text: (3)   Erkenntnisse aus gemäß den Artikeln 26 und 27 durchgeführten Tests der digitalen operationalen Resilienz und aus realen IKT-bezogenen Vorfällen, insbesondere Cyberangriffen, werden neben Herausforderungen, die sich bei der Aktivierung von IKT- Geschäftsfortführungsplänen und IKT-Reaktions- und Wiederherstellungsplänen ergeben, zusammen mit einschlägigen Informationen, die mit Gegenparteien ausgetauscht und im Rahmen aufsichtlicher Überprüfungen bewertet werden, kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen. Diese Erkenntnisse bilden die Grundlage für angemessene Überprüfungen relevanter Komponenten des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1. 78. [Artikel] VO (EU) 2022/2554, Art. 13(2) text: (2)   Nach Störungen ihrer Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle sehen Finanzunternehmen nachträgliche Prüfungen IKT-bezogener Vorfälle vor, die die Ursachen für Störungen untersuchen und die erforderlichen Verbesserungen an IKT-Vorgängen oder im Rahmen der in Artikel 11 genannten IKT-Geschäftsfortführungsleitlinie identifizieren. Finanzunternehmen, die keine Kleinstunternehmen sind, teilen den zuständigen Behörden auf Verlangen die Änderungen mit, die nach der Prüfung IKT-bezogener Vorfälle gemäß Unterabsatz 1 vorgenommen wurden. Bei den in Unterabsatz 1 genannten nachträglichen Prüfungen IKT-bezogener Vorfälle wird ermittelt, ob die festgelegten Verfahren befolgt und die ergriffenen Maßnahmen wirksam waren, unter anderem in Bezug auf: a) die Schnelligkeit bei der Reaktion auf Sicherheitswarnungen und bei der Bestimmung der Auswirkungen von IKT-bezogenen Vorfällen und ihrer Schwere; b) die Qualität und Schnelligkeit bei der Durchführung forensischer Analysen, sofern dies als zweckmäßig erachtet wird; c) die Wirksamkeit der Eskalation von Vorfällen innerhalb des Finanzunternehmens; d) die Wirksamkeit interner und externer Kommunikation. 79. [Artikel] VO (EU) 2022/2554, Art. 5(1) text: (1)   Finanzunternehmen verfügen über einen internen Governance- und Kontrollrahmen, der im Einklang mit Artikel 6 Absatz 4 ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen. 80. [Artikel] VO (EU) 2022/2554, Art. 5(2) text: (2)   Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1. Für die Zwecke von Unterabsatz 1 gilt Folgendes: a) Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken des Finanzunternehmens; b) das Leitungsorgan führt Leitlinien ein, die darauf abzielen, hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten; c) das Leitungsorgan legt klare Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen sowie angemessene Governance-Regelungen fest, um eine wirksame und rechtzeitige Kommunikation, Zusammenarbeit und Koordinierung zwischen diesen Funktionen zu gewährleisten; d) das Leitungsorgan trägt die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8, einschließlich der Festlegung der angemessenen Toleranzschwelle für das IKT-Risiko des Finanzunternehmens gemäß Artikel 6 Absatz 8 Buchstabe b; e) das Leitungsorgan genehmigt, überwacht und überprüft regelmäßig die Umsetzung der in Artikel 11 Absatz 1 genannten IKT-Geschäftsfortführungsleitlinie und der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne, die als eigenständige spezielle Leitlinie, die integraler Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens und seines Reaktions- und Wiederherstellungsplans ist, verabschiedet werden können; f) das Leitungsorgan genehmigt und überprüft regelmäßig die internen IKT-Revisionspläne des Finanzunternehmens, die IKT-Revision und die daran vorgenommenen wesentlichen Änderungen; g) das Leitungsorgan weist angemessene Budgetmittel zu und überprüft diese regelmäßig, um den Anforderungen des Finanzunternehmens an die digitale operationale Resilienz in Bezug auf alle Arten von Ressourcen gerecht zu werden, einschließlich einschlägiger Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz nach Artikel 13 Absatz 6 sowie IKT-Kompetenzen für alle Mitarbeiter; h) das Leitungsorgan genehmigt und überprüft regelmäßig die Leitlinie des Finanzunternehmens in Bezug auf Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden; i) das Leitungsorgan richtet auf Unternehmensebene Meldekanäle ein, die es ihm ermöglichen, ordnungsgemäß über Folgendes informiert zu werden: i) mit IKT-Drittdienstleistern geschlossene Vereinbarungen über die Nutzung von IKT-Dienstleistungen, ii) alle relevanten geplanten wesentlichen Änderungen in Bezug auf die IKT-Drittdienstleister, iii) die potenziellen Auswirkungen derartiger Änderungen auf die kritischen oder wichtigen Funktionen, die Gegenstand dieser Vereinbarungen sind, einschließlich einer Zusammenfassung der Risikoanalyse, um die Auswirkungen dieser Änderungen zu bewerten, und zumindest über schwerwiegende IKT-bezogene Vorfälle und deren Auswirkungen sowie über Gegen-, Wiederherstellungs- und Korrekturmaßnahmen. 81. [Artikel] VO (EU) 2022/2554, Art. 5(3) text: (3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, richten eine Funktion ein, um die mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen geschlossenen Vereinbarungen zu überwachen, oder benennen ein Mitglied der Geschäftsleitung, das für die Überwachung der damit verbundenen Risikoexposition und die einschlägige Dokumentation verantwortlich ist. 82. [Artikel] VO (EU) 2022/2554, Art. 5(4) text: (4)   Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können. 83. [Artikel] VO (EU) 2022/2554, Art. 6(1) text: (1)   Finanzunternehmen verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen, der Teil ihres Gesamtrisikomanagementsystems ist und es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten. 84. [Artikel] VO (EU) 2022/2554, Art. 6(2) text: (2)   Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen sowie um alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche zu schützen, damit der angemessene Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, gewährleistet ist. 85. [Artikel] VO (EU) 2022/2554, Art. 6(3) text: (3)   Im Einklang mit ihrem IKT-Risikomanagementrahmen minimieren Finanzunternehmen die Auswirkungen von IKT-Risiken, indem sie geeignete Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokolle und Tools einsetzen. Sie legen den zuständigen Behörden auf Anfrage vollständige und aktuelle Informationen über IKT-Risiken und ihren IKT-Risikomanagementrahmen vor. 86. [Artikel] VO (EU) 2022/2554, Art. 6(4) text: (4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, übertragen die Zuständigkeit für das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion und stellen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenkonflikte zu vermeiden. Die Finanzunternehmen sorgen für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle. 87. [Artikel] VO (EU) 2022/2554, Art. 6(5) text: (5)   Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich — bzw. im Falle von Kleinstunternehmen regelmäßig — sowie bei Auftreten schwerwiegender IKT-bezogener Vorfälle und nach aufsichtsrechtlichen Anweisungen oder Feststellungen, die sich aus einschlägigen Tests der digitalen operationalen Resilienz oder Auditverfahren ergeben, dokumentiert und überprüft. Der Rahmen wird auf Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf deren Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt. 88. [Artikel] VO (EU) 2022/2554, Art. 6(6) text: (6)   Im Einklang mit dem Revisionsplan des betreffenden Finanzunternehmens ist der IKT-Risikomanagementrahmen von Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, regelmäßig einer internen Revision durch Revisoren zu unterziehen. Diese Revisoren verfügen über ausreichendes Wissen und ausreichende Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken sowie über eine angemessene Unabhängigkeit. Häufigkeit und Schwerpunkt von IKT-Revisionen sind den IKT-Risiken des Finanzunternehmens entsprechend angemessen. 89. [Artikel] VO (EU) 2022/2554, Art. 6(7) text: (7)   Auf der Grundlage der Feststellungen aus der Überprüfung der internen Revision legen Finanzunternehmen ein förmliches Follow-up-Verfahren einschließlich Regeln für die rechtzeitige Überprüfung und Auswertung kritischer Erkenntnisse der IKT-Revision fest. 90. [Artikel] VO (EU) 2022/2554, Art. 6(9) text: (9)   Finanzunternehmen können im Zusammenhang mit der Strategie für die digitale operationale Resilienz nach Absatz 8 eine ganzheitliche Strategie zur Nutzung mehrerer IKT-Anbieter auf Gruppen- oder Unternehmensebene festlegen, in der wesentliche Abhängigkeiten von IKT-Drittdienstleistern aufgezeigt und die Gründe für die Nutzung verschiedener IKT-Drittdienstleister erläutert werden. 91. [Artikel] VO (EU) 2022/2554, Art. 6(10) text: (10)   Finanzunternehmen können die Überprüfung der Einhaltung der Anforderungen für das IKT-Risikomanagement im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten an gruppeninterne oder externe Unternehmen auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzunternehmen weiterhin uneingeschränkt für die Überprüfung der Einhaltung der IKT-Risikomanagementanforderungen verantwortlich. 92. [Artikel] VO (EU) 2022/2554, Art. 8(1) text: (1)   Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind. 93. [Artikel] VO (EU) 2022/2554, Art. 8(2) text: (2)   Finanzunternehmen ermitteln kontinuierlich alle Quellen für IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind. Finanzunternehmen überprüfen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien. 94. [Artikel] VO (EU) 2022/2554, Art. 8(3) text: (3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen bei jeder wesentlichen Änderung der Netzwerk- und Informationssysteminfrastruktur, der Prozesse oder Verfahren, die sich auf ihre IKT-gestützten Unternehmensfunktionen, Informations- oder IKT-Assets auswirken, eine Risikobewertung durch. 95. [Artikel] VO (EU) 2022/2554, Art. 8(4) text: (4)   Finanzunternehmen ermitteln alle Informations- und IKT-Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, und erfassen diejenigen, die als kritisch gelten. Sie erfassen die Konfiguration von Informations- und IKT-Assets sowie die Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IKT-Assets. 96. [Artikel] VO (EU) 2022/2554, Art. 8(5) text: (5)   Finanzunternehmen ermitteln und dokumentieren alle Prozesse, die von IKT-Drittdienstleistern abhängen, und ermitteln Vernetzungen mit IKT-Drittdienstleistern, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. 97. [Artikel] VO (EU) 2022/2554, Art. 8(6) text: (6)   Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren. 98. [Artikel] VO (EU) 2022/2554, Art. 8(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen für alle IKT-Altsysteme regelmäßig, mindestens jedoch einmal jährlich und in jedem Fall vor und nach Anschluss von Technologien, Anwendungen oder Systemen eine spezifische Bewertung des IKT-Risikos durch. 99. [Artikel] VO (EU) 2022/2554, Art. 9(1) text: (1)   Um einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, überwachen und kontrollieren Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools und minimieren durch den Einsatz angemessener IKT-Sicherheitstools, -Richtlinien und -Verfahren die Auswirkungen von IKT-Risiken auf IKT-Systeme. 100. [Artikel] VO (EU) 2022/2554, Art. 9(2) text: (2)   Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden. 101. [Artikel] VO (EU) 2022/2554, Art. 9(3) text: (3)   Um die in Absatz 2 genannten Ziele zu erreichen, greifen Finanzunternehmen auf IKT-Lösungen und -Prozesse zurück, die gemäß Artikel 4 angemessen sind. Diese IKT-Lösungen und -Prozesse müssen a) die Sicherheit der Datenübermittlungsmittel gewährleisten; b) das Risiko von Datenkorruption oder -verlust, unbefugtem Zugriff und technischen Mängeln, die die Geschäftstätigkeit beeinträchtigen können, minimieren; c) dem Mangel an Verfügbarkeit, der Beeinträchtigung der Authentizität und Integrität, den Verletzungen der Vertraulichkeit und dem Verlust von Daten vorbeugen; d) gewährleisten, dass Daten vor Risiken, die beim Datenmanagement entstehen, einschließlich schlechter Verwaltung, verarbeitungsbedingter Risiken und menschlichem Versagen, geschützt werden. 102. [Artikel] VO (EU) 2022/2554, Art. 10(1) text: (1)   Finanzunternehmen verfügen über Mechanismen, um anomale Aktivitäten im Einklang mit Artikel 17, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln. Alle in Unterabsatz 1 aufgeführten Erkennungsmechanismen werden gemäß Artikel 25 regelmäßig getestet. 103. [Artikel] VO (EU) 2022/2554, Art. 10(2) text: (2)   Die in Absatz 1 genannten Erkennungsmechanismen ermöglichen mehrere Kontrollebenen und legen Alarmschwellen und -kriterien fest, um Reaktionsprozesse bei IKT-bezogenen Vorfällen auszulösen und einzuleiten, einschließlich automatischer Warnmechanismen für Mitarbeiter, die für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen zuständig sind. 104. [Artikel] VO (EU) 2022/2554, Art. 10(3) text: (3)   Finanzunternehmen stellen ausreichende Ressourcen und Kapazitäten bereit, um Nutzeraktivitäten, das Auftreten von IKT-Anomalien und IKT-bezogenen Vorfällen, darunter insbesondere Cyberangriffe, zu überwachen. 105. [Artikel] VO (EU) 2022/2554, Art. 10(4) text: (4)   Datenbereitstellungsdienste verfügen darüber hinaus über Systeme, mit denen wirksam Handelsauskünfte auf Vollständigkeit geprüft, Lücken und offensichtliche Fehler erkannt und eine Neuübermittlung angefordert werden können. 106. [Artikel] VO (EU) 2022/2554, Art. 11(1) text: (1)   Als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens und auf der Grundlage der Identifizierungsanforderungen nach Artikel 8 legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann. 107. [Artikel] VO (EU) 2022/2554, Art. 11(2) text: (2)   Finanzunternehmen implementieren die IKT-Geschäftsfortführungsleitlinie mittels spezieller, angemessener und dokumentierter Regelungen, Pläne, Verfahren und Mechanismen, die darauf abzielen, a) die Fortführung der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen; b) auf alle IKT-bezogenen Vorfälle rasch, angemessen und wirksam zu reagieren und diesen so entgegenzuwirken, dass Schäden begrenzt werden und die Wiederaufnahme von Tätigkeiten und Wiederherstellungsmaßnahmen Vorrang erhalten; c) unverzüglich spezielle Pläne zu aktivieren, die Eindämmungsmaßnahmen, Prozesse und Technologien für alle Arten IKT-bezogener Vorfälle ermöglichen und weitere Schäden vermeiden, sowie maßgeschneiderte Verfahren zur Reaktion und Wiederherstellung gemäß Artikel 12 zu aktivieren; d) vorläufige Auswirkungen, Schäden und Verluste einzuschätzen; e) Kommunikations- und Krisenmanagementmaßnahmen festzulegen, die gewährleisten, dass allen relevanten internen Mitarbeitern und externen Interessenträgern im Sinne von Artikel 14 aktualisierte Informationen übermittelt werden, und die Meldung an die zuständigen Behörden gemäß Artikel 19 sicherstellen. 108. [Artikel] VO (EU) 2022/2554, Art. 11(3) text: (3)   Finanzunternehmen implementieren als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens damit verbundene IKT-Reaktions- und Wiederherstellungspläne, die einer unabhängigen internen Revision zu unterziehen sind, sofern es sich bei dem Finanzunternehmen nicht um ein Kleinstunternehmen handelt. 109. [Artikel] VO (EU) 2022/2554, Art. 11(4) text: (4)   Finanzunternehmen erstellen, pflegen und testen regelmäßig angemessene IKT-Geschäftsfortführungspläne, insbesondere in Bezug auf kritische oder wichtige Funktionen, die ausgelagert oder durch vertragliche Vereinbarungen an IKT-Drittdienstleister vergeben werden. 110. [Artikel] VO (EU) 2022/2554, Art. 11(5) text: (5)   Als Teil der allgemeinen Geschäftsfortführungsleitlinie führen Finanzunternehmen eine Business-Impact-Analyse (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durch. Im Rahmen der BIA bewerten Finanzunternehmen die potenziellen Auswirkungen schwerwiegender Betriebsstörungen anhand quantitativer und qualitativer Kriterien, wobei sie gegebenenfalls interne und externe Daten und Szenarioanalysen heranziehen. Dabei werden die Kritikalität der identifizierten und erfassten Unternehmensfunktionen, Unterstützungsprozesse, Abhängigkeiten von Dritten und Informationsassets sowie deren Interdependenzen berücksichtigt. Die Finanzunternehmen stellen sicher, dass IKT-Assets und -Dienste in voller Übereinstimmung mit der BIA konzipiert und genutzt werden, insbesondere wenn es darum geht, die Redundanz aller kritischen Komponenten in angemessener Weise zu gewährleisten. 111. [Artikel] VO (EU) 2022/2554, Art. 11(6) text: (6)   Im Rahmen ihres umfassenden IKT-Risikomanagements gilt für Finanzunternehmen Folgendes: a) sie testen bei IKT-Systemen, die alle Funktionen unterstützen, mindestens jährlich sowie im Falle jeglicher wesentlicher Änderungen an IKT-Systemen, die kritische oder wichtige Funktionen unterstützen, die IKT-Geschäftsfortführungspläne sowie die IKT-Reaktions- und Wiederherstellungspläne; b) sie testen die gemäß Artikel 14 erstellten Krisenkommunikationspläne. Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, nehmen für die Zwecke von Unterabsatz 1 Buchstabe a Szenarien für Cyberangriffe und Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme, die für die Erfüllung der Verpflichtungen nach Artikel 12 erforderlich sind, in ihre Testpläne auf. Finanzunternehmen überprüfen ihre IKT-Geschäftsfortführungsleitlinie und ihre IKT-Reaktions- und Wiederherstellungspläne regelmäßig und berücksichtigen dabei die Ergebnisse von Tests, die gemäß Unterabsatz 1 durchgeführt wurden, sowie die Empfehlungen, die sich aus Audits oder aufsichtlichen Überprüfungen ergeben. 112. [Artikel] VO (EU) 2022/2554, Art. 11(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, verfügen über eine Krisenmanagementfunktion, die bei Aktivierung ihrer IKT- Geschäftsfortführungspläne oder ihrer IKT-Reaktions- und Wiederherstellungspläne unter anderem klare Verfahren für die Abwicklung interner und externer Krisenkommunikation gemäß Artikel 14 festlegt. 113. [Artikel] VO (EU) 2022/2554, Art. 11(8) text: (8)   Finanzunternehmen sorgen dafür, dass Aufzeichnungen über die Tätigkeiten vor und während Störungen, wenn ihre IKT-Geschäftsfortführungspläne oder ihre IKT-Reaktions- und Wiederherstellungspläne aktiviert werden, jederzeit eingesehen werden können. 114. [Artikel] VO (EU) 2022/2554, Art. 11(9) text: (9)   Zentralverwahrer übermitteln den zuständigen Behörden Kopien der Ergebnisse der Tests der IKT-Geschäftsfortführung oder ähnlicher Vorgänge. 115. [Artikel] VO (EU) 2022/2554, Art. 11(10) text: (10)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, melden den zuständigen Behörden auf Anfrage die geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden. 116. [Artikel] VO (EU) 2022/2554, Art. 11(11) text: (11)   Gemäß jeweils Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 arbeiten die Europäischen Aufsichtsbehörden (im Folgenden „ESA“) über den Gemeinsamen Ausschuss bis zum 17. Juli 2024 gemeinsame Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste nach Absatz 10 aus. 117. [Artikel] VO (EU) 2022/2554, Art. 12(1) text: (1)   Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten als Teil ihres IKT-Risikomanagementrahmens sicherzustellen, entwickeln und dokumentieren Finanzunternehmen: a) Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden; b) Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden. 118. [Artikel] VO (EU) 2022/2554, Art. 12(2) text: (2)   Finanzunternehmen richten Datensicherungssysteme ein, die in Übereinstimmung mit den Richtlinien und Verfahren zur Datensicherung sowie den Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung aktiviert werden können. Die Aktivierung von Datensicherungssystemen darf die Sicherheit der Netzwerk- und Informationssysteme oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten nicht gefährden. Die Datensicherungsverfahren sowie die Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden sind regelmäßig zu testen. 119. [Artikel] VO (EU) 2022/2554, Art. 12(3) text: (3)   Bei der Wiedergewinnung gesicherter Daten mithilfe eigener Systeme verwenden Finanzunternehmen IKT-Systeme, die von ihrem Quellsystem physisch und logisch getrennt sind. Die IKT-Systeme müssen sicher vor unbefugtem Zugriff oder IKT-Manipulationen geschützt sein und die rechtzeitige Wiederherstellung von Diensten ermöglichen, wobei erforderlichenfalls Daten- und Systemsicherungen (Backups) zu nutzen sind. Bei zentralen Gegenparteien ermöglichen die Wiederherstellungspläne die Wiederherstellung aller zum Zeitpunkt der Störung laufenden Transaktionen, damit die zentrale Gegenpartei weiterhin sicher arbeiten und die Abwicklung zum vorgesehenen Zeitpunkt abschließen kann. Datenbereitstellungsdienste unterhalten zusätzlich angemessene Ressourcen und verfügen über die entsprechenden Sicherungs- und Wiedergewinnungseinrichtungen, damit ihre Dienste jederzeit angeboten und aufrechterhalten werden können. 120. [Artikel] VO (EU) 2022/2554, Art. 12(4) text: (4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, unterhalten redundante IKT-Kapazitäten mit Ressourcen, Fähigkeiten und Funktionen, die für die Deckung des Geschäftsbedarfs ausreichen und angemessen sind. Kleinstunternehmen bewerten auf der Grundlage ihres Risikoprofils, ob diese redundanten IKT-Kapazitäten unterhalten werden müssen. 121. [Artikel] VO (EU) 2022/2554, Art. 12(5) text: (5)   Zentralverwahrer unterhalten mindestens einen sekundären Verarbeitungsstandort, dessen Ressourcen, Kapazitäten, Funktionen und Personalressourcen angemessen sind, um den Geschäftsbedarf zu decken. Der sekundäre Verarbeitungsstandort a) befindet sich in geografischer Entfernung vom primären Verarbeitungsstandort, damit er ein eigenes Risikoprofil aufweist und nicht von dem Ereignis, das sich am primären Standort ereignet hat, betroffen ist; b) kann die Kontinuität kritischer oder wichtiger, mit dem primären Standort identischer Funktionen gewährleisten oder ein Leistungsniveau bereitstellen, mit dem sichergestellt wird, dass das Finanzunternehmen seine kritischen Vorgänge im Rahmen der Wiederherstellungsziele durchführt; c) ist für das Personal des Finanzunternehmens unmittelbar zugänglich, damit die Kontinuität kritischer oder wichtiger Funktionen gewährleistet werden kann, falls der primäre Verarbeitungsstandort nicht mehr zur Verfügung steht. 122. [Artikel] VO (EU) 2022/2554, Art. 12(6) text: (6)   Bei der Festlegung der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte jeder Funktion berücksichtigen die Finanzunternehmen, ob es sich um eine kritische oder wichtige Funktion handelt, sowie die potenziellen Gesamtauswirkungen auf die Markteffizienz. Mit diesen Zeitvorgaben ist sichergestellt, dass die vereinbarte Dienstleistungsgüte in Extremszenarien erreicht werden. 123. [Artikel] VO (EU) 2022/2554, Art. 12(7) text: (7)   Bei der Wiederherstellung nach IKT-bezogenen Vorfällen führen Finanzunternehmen die erforderlichen Prüfungen durch, einschließlich jeglicher Mehrfachprüfungen und Abgleiche, um die größtmögliche Datenintegrität sicherzustellen. Diese Prüfungen werden auch bei der Rekonstruktion von Daten externer Interessenträger durchgeführt, um sicherzustellen, dass alle Daten systemübergreifend einheitlich sind. 124. [Artikel] VO (EU) 2022/2554, Art. 2(4) text: (4)   Die Mitgliedstaaten können die in Artikel 2 Absatz 5 Nummern 4 bis 23 der Richtlinie 2013/36/EU aufgeführten Stellen, die sich in ihrem jeweiligen Hoheitsgebiet befinden, vom Geltungsbereich dieser Verordnung ausnehmen. Macht ein Mitgliedstaat von dieser Möglichkeit Gebrauch, so setzt er die Kommission hiervon sowie von allen nachfolgenden Änderungen in Kenntnis. Die Kommission macht diese Informationen auf ihrer Website oder auf andere leicht zugängliche Weise öffentlich zugänglich. 125. [Artikel] VO (EU) 2022/2554, Art. 2(3) text: (3)   Diese Verordnung gilt nicht für: a) Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU; b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG; c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben; d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen; e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt; f) Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU. 126. [Artikel] VO (EU) 2022/2554, Art. 2(2) text: (2)   Für die Zwecke dieser Verordnung werden die in Absatz 1 Buchstaben a bis t genannten Unternehmen zusammen als „Finanzunternehmen“ bezeichnet. 127. [Artikel] VO (EU) 2022/2554, Art. 2(1) text: (1)   Unbeschadet der Absätze 3 und 4 gilt diese Verordnung für folgende Unternehmen: a) Kreditinstitute, b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, c) Kontoinformationsdienstleister, d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, e) Wertpapierfirmen, f) Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token, g) Zentralverwahrer, h) zentrale Gegenparteien, i) Handelsplätze, j) Transaktionsregister, k) Verwalter alternativer Investmentfonds, l) Verwaltungsgesellschaften, m) Datenbereitstellungsdienste, n) Versicherungs- und Rückversicherungsunternehmen, o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, p) Einrichtungen der betrieblichen Altersversorgung, q) Ratingagenturen, r) Administratoren kritischer Referenzwerte, s) Schwarmfinanzierungsdienstleister, t) Verbriefungsregister, u) IKT-Drittdienstleister. 128. [Artikel] VO (EU) 2022/2554, Art. 1(3) text: (3)   Diese Verordnung lässt die Zuständigkeiten der Mitgliedstaaten für grundlegende Funktionen des Staates in Bezug auf die öffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit im Einklang mit dem Unionsrecht unberührt. 129. [Artikel] VO (EU) 2022/2554, Art. 1(2) text: (2)   In Bezug auf Finanzunternehmen, die gemäß den nationalen Vorschriften zur Umsetzung von Artikel 3 der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Unternehmen ermittelt wurden, gilt diese Verordnung für die Zwecke von Artikel 4 der genannten Richtlinie als sektorspezifischer Rechtsakt der Union. 130. [Artikel] VO (EU) 2022/2554, Art. 1(1) text: (1)   Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden in dieser Verordnung einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, wie folgt festgelegt: a) auf Finanzunternehmen anwendbare Anforderungen in Bezug auf: i) Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT); ii) Meldung schwerwiegender IKT-bezogener Vorfälle und — auf freiwilliger Basis — erheblicher Cyberbedrohungen an die zuständigen Behörden; iii) Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch in Artikel 2 Absatz 1 Buchstaben a bis d aufgeführte Finanzunternehmen an die zuständigen Behörden; iv) Tests der digitalen operationalen Resilienz; v) Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen; vi) Maßnahmen für das solide Management des IKT-Drittparteienrisikos; b) Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen; c) Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen; d) Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden. 131. [Artikel] VO (EU) 2024/1774, Art. 14(2) text: (2)   Die Finanzunternehmen konzipieren die Richtlinien, Protokolle und Tools zum Schutz von Informationen bei der Übermittlung nach Absatz 1 auf der Grundlage der Ergebnisse einer genehmigten Datenklassifizierung und der IKT-Risikobewertung. 132. [Artikel] VO (EU) 2024/1774, Art. 14(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten Richtlinien, Verfahren, Protokolle und Tools zum Schutz von Informationen, die übermittelt werden. Die Finanzunternehmen gewährleisten insbesondere Folgendes: a) die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten während der Übermittlung über das Netzwerk und die Festlegung von Verfahren, um zu bewerten, ob diese Anforderungen eingehalten werden; b) die Verhinderung und Erkennung von Datenlecks und die sichere Übertragung von Informationen zwischen dem Finanzunternehmen und externen Parteien; c) die Implementierung, Dokumentation und regelmäßige Überprüfung der Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die dem Bedarf des Finanzunternehmens hinsichtlich des Schutzes von Informationen im Zusammenhang mit den Mitarbeitern des Finanzunternehmens und Dritten Rechnung tragen. 133. [Artikel] VO (EU) 2024/1774, Art. 9(2) text: (2)   Durch die in Absatz 1 genannten Verfahren für das Kapazitäts- und Leistungsmanagement wird sichergestellt, dass die Finanzunternehmen geeignete Maßnahmen ergreifen, um den Besonderheiten von IKT-Systemen mit langen oder komplexen Beschaffungs- oder Genehmigungsverfahren oder von ressourcenintensiven IKT-Systemen Rechnung zu tragen. 134. [Artikel] VO (EU) 2024/1774, Art. 9(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Kapazitäts- und Leistungsmanagement, die Folgendes betreffen: a) die Ermittlung der Anforderungen an die Kapazität ihrer IKT-Systeme, b) die Anwendung von Methoden zur Ressourcenoptimierung, c) Überwachungsverfahren, um Folgendes aufrechtzuerhalten und zu verbessern: i) die Verfügbarkeit von Daten und IKT-Systemen, ii) die Effizienz der IKT-Systeme, iii) die Verhinderung von IKT-Kapazitätsengpässen. 135. [Artikel] VO (EU) 2024/1774, Art. 17(2) text: (2)   Wenn zentrale Gegenparteien und Zentralverwahrer an ihren IKT-Systemen erhebliche Änderungen vorgenommen haben, unterziehen sie diese strengen Tests unter Simulation von Stressbedingungen. Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgenden Parteien ein: a) Clearingmitglieder und Kunden, b) interoperable zentrale Gegenparteien, c) andere interessierte Parteien. Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgende Parteien ein: a) Nutzer, b) kritische Versorgungsbetriebe und kritische Dienstleister, c) andere Zentralverwahrer, d) andere Marktinfrastrukturen, e) alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer IKT-Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden. 136. [Artikel] VO (EU) 2024/1774, Art. 17(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sehen die Finanzunternehmen in den in Artikel 9 Absatz 4 Buchstabe e der Verordnung (EU) 2022/2554 genannten IKT-Änderungsmanagementverfahren für alle Änderungen an Software, Hardware, Firmware-Komponenten, Systemen oder Sicherheitsparametern alles Folgende vor: a) eine Überprüfung, ob die IKT-Sicherheitsanforderungen erfüllt sind, b) Mechanismen, die gewährleisten, dass die Funktionen, die Änderungen genehmigen, und die Funktionen, die für die Beantragung und Umsetzung dieser Änderungen zuständig sind, unabhängig sind, c) eine klare Beschreibung der Aufgaben und Zuständigkeiten, um zu gewährleisten, dass i) Änderungen angegeben und geplant werden, ii) ein angemessener Übergang vorgesehen ist, iii) die Änderungen kontrolliert getestet und finalisiert werden, iv) eine wirksame Qualitätssicherung gewährleistet ist, d) die Dokumentation und Kommunikation der Änderungen im Detail, wozu u. a. Folgendes zählt: i) Zweck und Umfang der Änderung, ii) Zeitplan für die Umsetzung der Änderung, iii) die erwarteten Ergebnisse; e) die Angabe von Ausweichverfahren und -zuständigkeiten, einschließlich Verfahren und Zuständigkeiten für den Abbruch von Änderungen oder die Wiederherstellung, wenn Änderungen nicht erfolgreich implementiert wurden, f) Verfahren, Protokolle und Tools für den Umgang mit Notfalländerungen, die angemessene Schutzvorkehrungen vorsehen, g) Verfahren zur Dokumentation, Neubewertung, Bewertung und Genehmigung von Notfalländerungen, nachdem diese vorgenommen wurden, einschließlich Ausweichlösungen und Patches, h) Angabe der potenziellen Auswirkungen einer Änderung auf bestehende IKT-Sicherheitsmaßnahmen und Bewertung, ob eine solche Änderung zusätzliche IKT-Sicherheitsmaßnahmen erfordert. 137. [Artikel] VO (EU) 2024/1774, Art. 8(2) text: (2)   Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente: a) eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente: i) Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems, ii) Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung, iii) Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen; b) Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente: i) Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen, ii) Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT-Systemen, iii) Protokolle für Prüfpfad- und Systemprotokollinformationen, iv) Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden, v) Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen, vi) Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind, vii) Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden; c) Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente: i) Verfahren und Protokolle für die Fehlerbehandlung, ii) Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme, iii) Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems. Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt. Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher. 138. [Artikel] VO (EU) 2024/1774, Art. 8(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge. 139. [Artikel] VO (EU) 2022/2554, Art. 26(8) text: (8)   Finanzunternehmen beauftragen Tester für die Zwecke der Durchführung von TLPT gemäß Artikel 27. Ziehen Finanzunternehmen für die Zwecke der Durchführung von TLPT interne Tester heran, so beauftragen sie für jeden dritten Test einen externen Tester. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, ziehen nur externe Tester gemäß Artikel 27 Absatz 1 Buchstaben a bis e heran. Die zuständigen Behörden ermitteln Finanzunternehmen, die TLPT durchzuführen haben, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien und stützen sich dabei auf die Bewertung von: a) wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken; b) etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage; c) dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen. 140. [Artikel] VO (EU) 2022/2554, Art. 19(2) text: (2)   Finanzunternehmen können der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Die jeweils zuständige Behörde kann derartige Informationen anderen in Absatz 6 genannten einschlägigen Behörden zur Verfügung stellen. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, können erhebliche Cyberbedrohungen auf freiwilliger Basis der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde melden, die diese Meldung unverzüglich an die EZB weiterleitet. Die Mitgliedstaaten können festlegen, dass die Finanzunternehmen, die auf freiwilliger Basis eine Meldung gemäß Unterabsatz 1 vornehmen, diese Meldung auch an die gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRT erstatten können. 141. [Artikel] VO (EU) 2024/1774, Art. 7(5) text: (5)   Die Finanzunternehmen stellen sicher, dass die Zertifikate vor Ablauf unverzüglich erneuert werden. 142. [Artikel] VO (EU) 2024/1774, Art. 7(4) text: (4)   Die Finanzunternehmen erstellen und führen für mindestens diejenigen IKT-Assets, die kritische oder wichtige Funktionen unterstützen, ein Register aller Zertifikate und Zertifikatspeicher. Die Finanzunternehmen halten dieses Register auf dem neuesten Stand. 143. [Artikel] VO (EU) 2024/1774, Art. 7(3) text: (3)   Die Finanzunternehmen entwickeln und implementieren Methoden, um die kryptografischen Schlüssel im Verlustfall oder bei Beeinträchtigungen oder Beschädigungen dieser Schlüssel auszutauschen. 144. [Artikel] VO (EU) 2024/1774, Art. 7(2) text: (2)   Die Finanzunternehmen ermitteln und implementieren Kontrollen, um kryptografische Schlüssel während ihres gesamten Lebenszyklus vor Verlust, unbefugtem Zugriff, Offenlegung und Änderung zu schützen. Die Finanzunternehmen konzipieren diese Kontrollen auf der Grundlage der Ergebnisse der genehmigten Datenklassifizierung und der IKT-Risikobewertung. 145. [Artikel] VO (EU) 2024/1774, Art. 7(1) text: (1)   Die Finanzunternehmen nehmen in die in Artikel 6 Absatz 2 Buchstabe d genannte Richtlinie für das Management kryptografischer Schlüssel Anforderungen auf, die für das Management kryptografischer Schlüssel über ihren gesamten Lebenszyklus hinweg gelten, einschließlich mit Blick auf die Generierung, Erneuerung, Speicherung, Sicherung, Archivierung, den Abruf, die Übermittlung, Rücknahme, den Widerruf und die Vernichtung dieser kryptografischen Schlüssel. 146. [Artikel] VO (EU) 2024/1774, Art. 6(5) text: (5)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen eine Anforderung auf, nach der die Annahme von Abhilfe- und Überwachungsmaßnahmen im Einklang mit den Absätzen 3 und 4 aufzuzeichnen und zu begründen ist. 147. [Artikel] VO (EU) 2024/1774, Art. 6(4) text: (4)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen Bestimmungen auf, in denen geregelt ist, wie die kryptografische Technologie aufgrund von Entwicklungen im Bereich der Kryptoanalyse gegebenenfalls zu aktualisieren oder zu ändern ist. Mit solchen Aktualisierungen oder Änderungen wird sichergestellt, dass die kryptografische Technologie nach Maßgabe von Artikel 10 Absatz 2 Buchstabe a gegen Cyberbedrohungen resilient bleibt. Finanzunternehmen, die nicht in der Lage sind, die kryptografische Technologie zu aktualisieren oder zu ändern, ergreifen Abhilfe- und Überwachungsmaßnahmen, die die Resilienz gegenüber Cyberbedrohungen sicherstellen. 148. [Artikel] VO (EU) 2024/1774, Art. 6(3) text: (3)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen Kriterien für die Auswahl kryptografischer Techniken und Nutzungspraktiken auf, wobei führende Praktiken und Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 sowie die Klassifizierung einschlägiger IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 zu berücksichtigen sind. Finanzunternehmen, die nicht in der Lage sind, die führenden Praktiken oder Normen einzuhalten oder die zuverlässigsten Techniken anzuwenden, ergreifen Abhilfe- und Überwachungsmaßnahmen, die die Resilienz gegenüber Cyberbedrohungen gewährleisten. 149. [Artikel] VO (EU) 2024/1774, Art. 6(2) text: (2)   Die Finanzunternehmen konzipieren die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen auf der Grundlage der Ergebnisse einer genehmigten Datenklassifizierung sowie der IKT-Risikobewertung. Diese Richtlinie enthält Vorschriften zu allen folgenden Aspekten: a) Verschlüsselung von Daten, die gespeichert sind oder gerade übermittelt werden; b) Verschlüsselung von Daten, die gerade verwendet werden, soweit erforderlich; c) Verschlüsselung der internen Netzwerkverbindungen und der Datenübermittlungen mit externen Parteien; d) Management kryptografischer Schlüssel nach Artikel 7, um die Regeln für die korrekte Verwendung, den Schutz und den Lebenszyklus kryptografischer Schlüssel festzulegen. Ist eine Verschlüsselung gerade verwendeter Daten nicht möglich, verarbeiten die Finanzunternehmen für die Zwecke von Buchstabe b gerade verwendete Daten in einer getrennten und geschützten Umgebung oder ergreifen gleichwertige Maßnahmen, um die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten zu gewährleisten. 150. [Artikel] VO (EU) 2024/1774, Art. 6(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für Verschlüsselung und kryptografische Kontrollen. 151. [Artikel] VO (EU) 2024/1774, Art. 21 text: Im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien, die alles Folgende vorsehen: a) die Zuweisung der Rechte auf Zugang zu IKT-Assets nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang, b) die Abtrennung der Aufgaben, einen ungerechtfertigten Zugang zu kritischen Daten zu verhindern oder die Zuweisung einer Kombination von Zugriffsrechten zu verhindern, die zur Umgehung von Kontrollen genutzt werden können, c) eine Bestimmung zur Zurechenbarkeit, die die Nutzung generischer und gemeinsam genutzter Nutzerkonten so weit wie möglich einschränkt und die sicherstellt, dass die in den IKT-Systemen vorgenommenen Handlungen jederzeit einem Nutzer zugeordnet werden können, d) eine Bestimmung zur Beschränkung des Zugangs zu IKT-Assets, die Kontrollen und Tools zur Verhinderung eines unbefugten Zugangs vorsieht, e) Kontoverwaltungsverfahren für die Gewährung, Änderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten, die alles Folgende beinhalten: i) die Zuweisung der Aufgaben und Zuständigkeiten für die Gewährung, Überprüfung und Entziehung von Zugangsrechten, ii) die Zuweisung eines bevorrechtigten Zugangs, eines Notfallzugangs und eines Administratorzugangs nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc bei allen IKT-Systemen, iii) den umgehenden Entzug der Zugangsrechte bei Beendigung des Beschäftigungsverhältnisses oder wenn der Zugang nicht länger erforderlich ist, iv) die Aktualisierung der Zugangsrechte, wenn Änderungen notwendig sind, mindestens aber einmal jährlich bei allen IKT-Systemen mit Ausnahme derjenigen, die kritische oder wichtige Funktionen unterstützen, und mindestens alle sechs Monate bei IKT-Systemen, die kritische oder wichtige Funktionen unterstützen; f) Authentifizierungsmethoden, die alles Folgende vorsehen: i) die Nutzung von Authentifizierungsmethoden ist der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen und trägt führenden Praktiken Rechnung, ii) die Nutzung starker Authentifizierungsmethoden entspricht den führenden Praktiken und Techniken für den Fernzugang zum Netz des Finanzunternehmens, für den bevorrechtigten Zugang, für den Zugang zu IKT-Assets, die kritische oder wichtige Funktionen unterstützen oder IKT-Assets, die öffentlich zugänglich sind, g) physische Zugangskontrollen, die Folgendes einschließen: i) die Identifizierung und Protokollierung natürlicher Personen mit Zugangsberechtigung für Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, ii) die Gewährung der Rechte auf physischen Zugang zu kritischen IKT-Assets nur für befugte Personen nach dem Grundsatz „Kenntnis nur, wenn nötig“ und dem Grundsatz der minimalen Berechtigung sowie ad hoc, iii) die Überwachung des physischen Zugangs zu Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und/oder Informationsassets untergebracht sind, iv) die Überprüfung der physischen Zugangsrechte, um zu gewährleisten, dass unnötige Zugangsrechte umgehend entzogen werden. Für die Zwecke von Buchstabe e Ziffer i legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, den Gründen für die Protokollierung des Ereignisses und den Ergebnissen der IKT-Risikobewertung Rechnung. Für die Zwecke von Buchstabe e Ziffer ii verwenden die Finanzunternehmen für die Ausführung administrativer Aufgaben in IKT-Systemen nach Möglichkeit spezielle Konten. Für das Management des bevorrechtigten Zugangs greifen die Finanzunternehmen soweit möglich und angemessen auf automatisierte Lösungen zurück. Für die Zwecke von Buchstabe g Ziffer i müssen die Identifizierung und Protokollierung der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke von Buchstabe g Ziffer iii muss die Überwachung der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und der Kritikalität des Zugangsbereichs angemessen sein. 152. [Artikel] VO (EU) 2024/1774, Art. 20(2) text: (2)   Die in Absatz 1 genannten Richtlinien für das Identitätsmanagement müssen alles Folgende vorsehen: a) unbeschadet des Artikels 21 Absatz 1 Buchstabe c ist jedem Mitarbeiter des Finanzunternehmens oder Mitarbeitern der IKT-Drittdienstleister, die auf die Informationsassets und IKT-Assets des Finanzunternehmens zugreifen, eine eindeutige Identität zuzuweisen, die einem eindeutigen Nutzerkonto zugeordnet werden kann, b) einen Lebenszyklusmanagementprozess für Identitäten und Konten, der die Erstellung, Änderung, Überprüfung und Aktualisierung, die vorübergehende Deaktivierung und die Beendigung aller Konten umfasst. Für die Zwecke des Buchstabens a führen die Finanzunternehmen Aufzeichnungen über alle zugeordneten Identitäten. Diese Aufzeichnungen werden unbeschadet der im geltenden Unionsrecht und im nationalen Recht festgelegten Speicherpflichten nach einer Umstrukturierung des Finanzunternehmens oder nach Ablauf der Vertragsbeziehung aufbewahrt. Für die Zwecke des Buchstabens b greifen die Finanzunternehmen beim Lebenszyklusmanagementprozess für Identitäten soweit möglich und angemessen auf automatisierte Lösungen zurück. 153. [Artikel] VO (EU) 2024/1774, Art. 20(1) text: (1)   Um die Zuweisung der Nutzerzugriffsrechte gemäß Artikel 21 zu ermöglichen, entwickeln, dokumentieren und implementieren die Finanzunternehmen im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte Richtlinien und Verfahren für das Identitätsmanagement, die die eindeutige Identifizierung und Authentifizierung der natürlichen Personen und Systeme, die auf Informationen der Finanzunternehmen zugreifen, gewährleisten. 154. [Artikel] VO (EU) 2024/1774, Art. 19 text: Die Finanzunternehmen nehmen in ihre Richtlinien für Personalpolitik oder in ihre anderen einschlägigen Richtlinien alle nachstehend genannten IKT-sicherheitsbezogenen Elemente auf: a) die Angabe und Zuweisung etwaiger spezifischer Zuständigkeiten im Bereich der IKT-Sicherheit, b) die Vorgabe für die Mitarbeiter des Finanzunternehmens und des IKT-Drittdienstleisters, die IKT-Assets des Finanzunternehmens nutzen oder auf diese zugreifen, i) sich über die Richtlinien, Verfahren und Protokolle des Finanzunternehmens zur IKT-Sicherheit zu informieren und diese einzuhalten, ii) auf dem Laufenden darüber zu sein, welche Kanäle das Finanzunternehmen für die Meldung anomaler Verhaltensweisen geschaffen hat, wozu — soweit relevant — die gemäß der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates(11)eingerichteten Meldekanäle zählen, iii) dem Finanzunternehmen nach Beendigung des Beschäftigungsverhältnisses alle in ihrem Besitz befindlichen IKT-Assets und materiellen Informationsassets, die Eigentum des Finanzunternehmens sind, auszuhändigen. 155. [Artikel] VO (EU) 2024/1774, Art. 18(2) text: (2)   Die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen müssen alles Folgende beinhalten: a) einen Verweis auf den Abschnitt der Richtlinien, in dem es um die in Artikel 21 Absatz 1 Buchstabe g genannte Kontrolle der Zugangs- und Zugriffsrechte geht, b) die Maßnahmen, mit denen die Räumlichkeiten und Rechenzentren des Finanzunternehmens und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, vor Angriffen, Unfällen und Umweltbedrohungen und -gefahren geschützt werden, c) die Maßnahmen, mit denen die IKT-Assets inner- und außerhalb der Räumlichkeiten des Finanzunternehmens unter Berücksichtigung der Ergebnisse der IKT-Risikobewertung für diese IKT-Assets gesichert werden, d) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von IKT-Assets, Informationsassets und Einrichtungen für die physische Zugangskontrolle des Finanzunternehmens durch angemessene Wartung sichergestellt werden soll, e) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewahrt werden sollen, einschließlich i) der Vorgabe eines „leeren Schreibtischs“, ii) der Vorgabe eines „leeren Bildschirms“ bei Datenverarbeitungsanlagen. Für die Zwecke des Buchstabens b müssen die Maßnahmen zum Schutz vor Umweltbedrohungen und -gefahren der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke des Buchstabens c müssen die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen angemessene Schutzmaßnahmen für unbeaufsichtigte IKT-Assets enthalten. 156. [Artikel] VO (EU) 2024/1774, Art. 18(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten verfassen, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen. Die Finanzunternehmen gestalten diese Richtlinien unter Berücksichtigung der Cyberbedrohungslage gemäß der nach Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets. ---------------------------------------- #### Mitwirkung bei #### 1. [Anforderung] Effektive Notfallpläne Beschreibung: Effektive Notfallpläne: Aufrechterhaltung kritischer Funktionen bei Störungen. hinweis: Schäden begrenzen, Betrieb wiederherstellen (Seite 152). 2. [Anforderung] Regelmäßige Überprüfung Beschreibung: Regelmäßige Überprüfung: Mindestens jährliche Aktualisierung oder bei Vorfällen. hinweis: Anlassbezogene Überprüfungen bei aufsichtlichen Feststellungen (Seite 138). 3. [Anforderung] DORA-Prozessdokumentation Beschreibung: Dokumentation und Archivierung der DORA-relevanten Prozesse hinweis: Nachweisbare Dokumentation für interne und externe Prüfungen 4. [Anforderung] Verpflichtende TLPT Beschreibung: Verpflichtende TLPT: Für systemisch relevante Institute und andere Finanzunternehmen. hinweis: Gilt für G-SIIs, O-SIIs, Zentralverwahrer etc. (Seite 150). 5. [Anforderung] Aktiver Informationsaustausch Beschreibung: Aktiver Informationsaustausch: Engagement in Netzwerken für Bedrohungsinformationen. hinweis: Stärkt Resilienz (Seite 153). 6. [Anforderung] Proaktive Erkennung Beschreibung: Proaktive Erkennung: Mechanismen für anomale Aktivitäten. hinweis: Schnelle Identifikation erforderlich (Seite 152). 7. [Anforderung] Sorgfaltspflicht Dienstleister Beschreibung: Sorgfaltspflicht bei Auswahl und Bewertung von IKT-Dienstleistern hinweis: Beachtung von Zertifizierungen, Auditberichten, ethischem Verhalten 8. [Anforderung] IKT-Kapazitätsoptimierung Beschreibung: Überwachung und Optimierung von IKT-Kapazitäten und Leistung hinweis: Vermeidung von Engpässen bei kritischen Systemen 9. [Anforderung] Regelmäßige Tests Schutzmaßnahmen Beschreibung: Regelmäßige Tests: Unabhängige Tests der Schutzmaßnahmen. hinweis: Schwächen in Schwachstellenmanagement (Seite 148). 10. [Anforderung] Robuste Backup-Strategien Beschreibung: Robuste Backup-Strategien: Backup-Zyklen und Wiederherstellungsmethoden. hinweis: Schutz vor katastrophalen Schäden (Seite 152). 11. [Anforderung] Ereignisdokumentation Beschreibung: Definition der aufzuzeichnenden Ereignisse, Speicherfristen und Schutzmaßnahmen hinweis: Synchronisation, Schutz vor Manipulation, Aufbewahrungsdauer 12. [Anforderung] Regelmäßige Tests Notfallpläne Beschreibung: Regelmäßige Tests: Tests der Notfallpläne mit detaillierten Szenarien. hinweis: DORA spezifiziert Szenarien (Seite 152). 13. [Anforderung] IKT-Vorgänge Dokumentation Beschreibung: Definition und Dokumentation aller IKT-Vorgänge inkl. Trennung von Produktions- und Testumgebungen hinweis: Vermeidung von Störungen, klare Vorgaben für Notfälle und Fehlerbehandlung 14. [Anforderung] Kommunikationsstrategien Beschreibung: Kommunikationsstrategien: Strategien für Stakeholder und Behörden. hinweis: Effektive Kommunikation notwendig (Seite 152). 15. [Anforderung] Ausstiegsplan Beschreibung: Entwicklung und Pflege eines realistischen Ausstiegsplans hinweis: Planung für Unterbrechungen, Vertragsverletzungen und Exit-Szenarien 16. [Anforderung] Drittparteienrisiken Kontrolle Beschreibung: Kontrolle über Drittparteienrisiken: Volle Kontrolle über Risiken von IKT-Drittdienstleistungen. hinweis: Umfasst Unterauftragnehmer (Seite 141). 17. [Anforderung] Sicherheitsrichtlinien Konfiguration Beschreibung: Richtlinien für sichere Konfiguration, Malware-Abwehr, sichere Nutzung von Geräten und Datenlöschung hinweis: Schutz vor Datenverlust und Missbrauch auch bei Telearbeit 18. [Anforderung] Vertragliche IKT-Rahmen Beschreibung: Sicherstellung der Einhaltung des IKT-Rahmens durch vertragliche Vereinbarungen hinweis: Abgleich mit IKT-Risikomanagement, Sicherheitsleitlinie, Notfallstrategie 19. [Anforderung] Kritikalitätsbewertung Beschreibung: Kritikalitätsbewertung: Klare Kriterien für Kritikalität von Daten und Systemen. hinweis: Grundlage für Schutzmaßnahmen (Seite 147). 20. [Anforderung] Vertraulichkeit TLPT Beschreibung: Vertraulichkeit: Begrenzter Personenkreis im Unternehmen. hinweis: Sicherstellung der Realitätsnähe (Seite 150). 21. [Anforderung] Informationsregister Beschreibung: Informationsregister: Register aller Verträge mit IKT-Drittdienstleistern. hinweis: Basis für Identifikation kritischer Dienstleister (Seite 141). 22. [Anforderung] Auswahlkriterien TLPT Beschreibung: Auswahlkriterien: Basierend auf Wirkung, Stabilität und Risikoprofil. hinweis: Entscheidung durch EZB, BaFin etc. (Seite 150). 23. [Anforderung] Planung TLPT-Tests Beschreibung: Planung und Koordination der TLPT-Tests hinweis: Sicherstellung der Durchführung und Vertraulichkeit der Tests 24. [Anforderung] Monitoring Dienstleister Beschreibung: Kontinuierliches Monitoring der Dienstleister-Leistung inkl. Eskalation hinweis: Nutzung von KPIs, Berichten, Audits zur Überprüfung 25. [Anforderung] Unabhängige IKT-Kontrollfunktion Beschreibung: Unabhängige IKT-Kontrollfunktion: Interne Funktion zur Überwachung von IKT-Risiken. hinweis: Ersetzt BAIT-Vorschrift zu Informationssicherheitsbeauftragten (Seite 140). 26. [Anforderung] Mindestvertragsinhalte Beschreibung: Definition von Mindestvertragsinhalten inkl. Audit- und Zugangsrechte hinweis: Sicherstellung der Auditfähigkeit und Kontrollrechte 27. [Anforderung] Verschlüsselungsrichtlinie Beschreibung: Implementierung einer Richtlinie für Verschlüsselung und kryptografische Kontrollen hinweis: Berücksichtigung von Datenklassifizierung und Kryptoanalyse-Entwicklungen 28. [Anforderung] Schwachstellen-Patch-Management Beschreibung: Etablierung eines vollständigen Prozesses für Schwachstellen- und Patch-Management hinweis: Automatisierte Scans, Lieferantenkommunikation, Patching-Prozesse 29. [Anforderung] Änderungskontrolle Beschreibung: Dokumentation und Kontrolle aller Änderungen mit Genehmigungsprozessen hinweis: Aufgabentrennung, Rückfallpläne, Testverfahren 30. [Anforderung] Informationssicherheitsleitlinie Beschreibung: Informationssicherheitsleitlinie: Leitlinie für Verfügbarkeit, Authentizität, Integrität. hinweis: Vom Leitungsorgan zu verabschieden (Seite 148). 31. [Anforderung] Technisch-organisatorische Maßnahmen Beschreibung: Technisch-organisatorische Maßnahmen: Arbeitsfähigkeit bei IKT-Vorfällen. hinweis: Sicherstellung des Normalbetriebs (Seite 129). 32. [Anforderung] Ausreichende Ressourcen Tools Beschreibung: Ausreichende Ressourcen: Ressourcen und Tools mit klaren Zuständigkeiten. hinweis: Klare Verantwortlichkeiten erforderlich (Seite 152). 33. [Anforderung] Umfassende Verträge Beschreibung: Umfassende Verträge: Verträge müssen aufsichtliche Anforderungen erfüllen. hinweis: Häufig unvollständige Verträge in Prüfungen (Seite 142). 34. [Anforderung] IKT-Vorfallstrategie Beschreibung: Festlegung einer Strategie für IKT-bezogene Vorfälle hinweis: Erkennung, Reaktion, Analyse, Verantwortlichkeiten 35. [Anforderung] Aufsichtsrechtliche Berichte Beschreibung: Erstellung von aufsichtsrechtlichen Berichten hinweis: Koordination der Kommunikation mit Aufsichtsbehörden 36. [Anforderung] Informationsschutz Übermittlung Beschreibung: Schutz von Informationen bei Übermittlung intern und extern hinweis: Datenklassifizierung, Vertraulichkeit, technische Maßnahmen 37. [Anforderung] IKT-Projektmanagement Beschreibung: Entwicklung von Richtlinien für IKT-Projektmanagement inkl. Testmethoden und Berichterstattung hinweis: Einbindung betroffener Fachbereiche, Berichte ans Leitungsorgan 38. [Artikel] VO (EU) 2022/2554, Art. 11(11) text: (11)   Gemäß jeweils Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 arbeiten die Europäischen Aufsichtsbehörden (im Folgenden „ESA“) über den Gemeinsamen Ausschuss bis zum 17. Juli 2024 gemeinsame Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste nach Absatz 10 aus. 39. [Artikel] VO (EU) 2022/2554, Art. 11(10) text: (10)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, melden den zuständigen Behörden auf Anfrage die geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden. 40. [Artikel] VO (EU) 2022/2554, Art. 11(9) text: (9)   Zentralverwahrer übermitteln den zuständigen Behörden Kopien der Ergebnisse der Tests der IKT-Geschäftsfortführung oder ähnlicher Vorgänge. 41. [Artikel] VO (EU) 2022/2554, Art. 11(8) text: (8)   Finanzunternehmen sorgen dafür, dass Aufzeichnungen über die Tätigkeiten vor und während Störungen, wenn ihre IKT-Geschäftsfortführungspläne oder ihre IKT-Reaktions- und Wiederherstellungspläne aktiviert werden, jederzeit eingesehen werden können. 42. [Artikel] VO (EU) 2022/2554, Art. 11(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, verfügen über eine Krisenmanagementfunktion, die bei Aktivierung ihrer IKT- Geschäftsfortführungspläne oder ihrer IKT-Reaktions- und Wiederherstellungspläne unter anderem klare Verfahren für die Abwicklung interner und externer Krisenkommunikation gemäß Artikel 14 festlegt. 43. [Artikel] VO (EU) 2022/2554, Art. 11(6) text: (6)   Im Rahmen ihres umfassenden IKT-Risikomanagements gilt für Finanzunternehmen Folgendes: a) sie testen bei IKT-Systemen, die alle Funktionen unterstützen, mindestens jährlich sowie im Falle jeglicher wesentlicher Änderungen an IKT-Systemen, die kritische oder wichtige Funktionen unterstützen, die IKT-Geschäftsfortführungspläne sowie die IKT-Reaktions- und Wiederherstellungspläne; b) sie testen die gemäß Artikel 14 erstellten Krisenkommunikationspläne. Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, nehmen für die Zwecke von Unterabsatz 1 Buchstabe a Szenarien für Cyberangriffe und Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme, die für die Erfüllung der Verpflichtungen nach Artikel 12 erforderlich sind, in ihre Testpläne auf. Finanzunternehmen überprüfen ihre IKT-Geschäftsfortführungsleitlinie und ihre IKT-Reaktions- und Wiederherstellungspläne regelmäßig und berücksichtigen dabei die Ergebnisse von Tests, die gemäß Unterabsatz 1 durchgeführt wurden, sowie die Empfehlungen, die sich aus Audits oder aufsichtlichen Überprüfungen ergeben. 44. [Artikel] VO (EU) 2022/2554, Art. 11(5) text: (5)   Als Teil der allgemeinen Geschäftsfortführungsleitlinie führen Finanzunternehmen eine Business-Impact-Analyse (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durch. Im Rahmen der BIA bewerten Finanzunternehmen die potenziellen Auswirkungen schwerwiegender Betriebsstörungen anhand quantitativer und qualitativer Kriterien, wobei sie gegebenenfalls interne und externe Daten und Szenarioanalysen heranziehen. Dabei werden die Kritikalität der identifizierten und erfassten Unternehmensfunktionen, Unterstützungsprozesse, Abhängigkeiten von Dritten und Informationsassets sowie deren Interdependenzen berücksichtigt. Die Finanzunternehmen stellen sicher, dass IKT-Assets und -Dienste in voller Übereinstimmung mit der BIA konzipiert und genutzt werden, insbesondere wenn es darum geht, die Redundanz aller kritischen Komponenten in angemessener Weise zu gewährleisten. 45. [Artikel] VO (EU) 2022/2554, Art. 11(4) text: (4)   Finanzunternehmen erstellen, pflegen und testen regelmäßig angemessene IKT-Geschäftsfortführungspläne, insbesondere in Bezug auf kritische oder wichtige Funktionen, die ausgelagert oder durch vertragliche Vereinbarungen an IKT-Drittdienstleister vergeben werden. 46. [Artikel] VO (EU) 2022/2554, Art. 11(3) text: (3)   Finanzunternehmen implementieren als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens damit verbundene IKT-Reaktions- und Wiederherstellungspläne, die einer unabhängigen internen Revision zu unterziehen sind, sofern es sich bei dem Finanzunternehmen nicht um ein Kleinstunternehmen handelt. 47. [Artikel] VO (EU) 2022/2554, Art. 11(2) text: (2)   Finanzunternehmen implementieren die IKT-Geschäftsfortführungsleitlinie mittels spezieller, angemessener und dokumentierter Regelungen, Pläne, Verfahren und Mechanismen, die darauf abzielen, a) die Fortführung der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen; b) auf alle IKT-bezogenen Vorfälle rasch, angemessen und wirksam zu reagieren und diesen so entgegenzuwirken, dass Schäden begrenzt werden und die Wiederaufnahme von Tätigkeiten und Wiederherstellungsmaßnahmen Vorrang erhalten; c) unverzüglich spezielle Pläne zu aktivieren, die Eindämmungsmaßnahmen, Prozesse und Technologien für alle Arten IKT-bezogener Vorfälle ermöglichen und weitere Schäden vermeiden, sowie maßgeschneiderte Verfahren zur Reaktion und Wiederherstellung gemäß Artikel 12 zu aktivieren; d) vorläufige Auswirkungen, Schäden und Verluste einzuschätzen; e) Kommunikations- und Krisenmanagementmaßnahmen festzulegen, die gewährleisten, dass allen relevanten internen Mitarbeitern und externen Interessenträgern im Sinne von Artikel 14 aktualisierte Informationen übermittelt werden, und die Meldung an die zuständigen Behörden gemäß Artikel 19 sicherstellen. 48. [Artikel] VO (EU) 2022/2554, Art. 11(1) text: (1)   Als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens und auf der Grundlage der Identifizierungsanforderungen nach Artikel 8 legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann. 49. [Artikel] VO (EU) 2022/2554, Art. 6(5) text: (5)   Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich — bzw. im Falle von Kleinstunternehmen regelmäßig — sowie bei Auftreten schwerwiegender IKT-bezogener Vorfälle und nach aufsichtsrechtlichen Anweisungen oder Feststellungen, die sich aus einschlägigen Tests der digitalen operationalen Resilienz oder Auditverfahren ergeben, dokumentiert und überprüft. Der Rahmen wird auf Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf deren Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt. 50. [Artikel] VO (EU) 2022/2554, Art. 13(1) text: (1)   Finanzunternehmen verfügen über Kapazitäten und Personal, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen. 51. [Artikel] VO (EU) 2022/2554, Art. 13(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, überwachen einschlägige technologische Entwicklungen fortlaufend — auch um die möglichen Auswirkungen des Einsatzes solcher neuen Technologien auf die Anforderungen an die IKT-Sicherheit und die digitale operationale Resilienz zu verstehen. Sie halten sich über die neuesten Prozesse für das IKT-Risikomanagement auf dem Laufenden, um gegenwärtige oder neue Formen von Cyberangriffen wirksam abzuwehren. 52. [Artikel] VO (EU) 2022/2554, Art. 13(6) text: (6)   Finanzunternehmen entwickeln Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz, die im Rahmen ihrer Programme für die Mitarbeiterschulung obligatorisch sind. Diese Programme und Schulungen gelten für alle Beschäftigten und die Geschäftsleitung und sind so komplex, dass sie deren jeweiligem Aufgabenbereich angemessen sind. Gegebenenfalls nehmen die Finanzunternehmen entsprechend Artikel 30 Absatz 2 Buchstabe i auch IKT-Drittdienstleister in ihre einschlägigen Schulungsprogramme auf. 53. [Artikel] VO (EU) 2022/2554, Art. 13(5) text: (5)   Leitende IKT-Mitarbeiter erstatten dem Leitungsorgan mindestens einmal jährlich über die in Absatz 3 genannten Feststellungen Bericht und geben Empfehlungen ab. 54. [Artikel] VO (EU) 2022/2554, Art. 13(4) text: (4)   Finanzunternehmen überwachen die Wirksamkeit der Umsetzung ihrer Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8. Dabei erfassen sie die Entwicklung der IKT-Risiken im Zeitverlauf, untersuchen Häufigkeit, Art, Ausmaß und Entwicklung IKT-bezogener Vorfälle, insbesondere Cyberangriffe und deren Muster, um das Ausmaß der IKT-Risiken — insbesondere in Bezug auf kritische oder wichtige Funktionen — zu verstehen und die Cyberreife und die Abwehrbereitschaft des Finanzunternehmens zu verbessern. 55. [Artikel] VO (EU) 2022/2554, Art. 13(3) text: (3)   Erkenntnisse aus gemäß den Artikeln 26 und 27 durchgeführten Tests der digitalen operationalen Resilienz und aus realen IKT-bezogenen Vorfällen, insbesondere Cyberangriffen, werden neben Herausforderungen, die sich bei der Aktivierung von IKT- Geschäftsfortführungsplänen und IKT-Reaktions- und Wiederherstellungsplänen ergeben, zusammen mit einschlägigen Informationen, die mit Gegenparteien ausgetauscht und im Rahmen aufsichtlicher Überprüfungen bewertet werden, kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen. Diese Erkenntnisse bilden die Grundlage für angemessene Überprüfungen relevanter Komponenten des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1. 56. [Artikel] VO (EU) 2022/2554, Art. 13(2) text: (2)   Nach Störungen ihrer Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle sehen Finanzunternehmen nachträgliche Prüfungen IKT-bezogener Vorfälle vor, die die Ursachen für Störungen untersuchen und die erforderlichen Verbesserungen an IKT-Vorgängen oder im Rahmen der in Artikel 11 genannten IKT-Geschäftsfortführungsleitlinie identifizieren. Finanzunternehmen, die keine Kleinstunternehmen sind, teilen den zuständigen Behörden auf Verlangen die Änderungen mit, die nach der Prüfung IKT-bezogener Vorfälle gemäß Unterabsatz 1 vorgenommen wurden. Bei den in Unterabsatz 1 genannten nachträglichen Prüfungen IKT-bezogener Vorfälle wird ermittelt, ob die festgelegten Verfahren befolgt und die ergriffenen Maßnahmen wirksam waren, unter anderem in Bezug auf: a) die Schnelligkeit bei der Reaktion auf Sicherheitswarnungen und bei der Bestimmung der Auswirkungen von IKT-bezogenen Vorfällen und ihrer Schwere; b) die Qualität und Schnelligkeit bei der Durchführung forensischer Analysen, sofern dies als zweckmäßig erachtet wird; c) die Wirksamkeit der Eskalation von Vorfällen innerhalb des Finanzunternehmens; d) die Wirksamkeit interner und externer Kommunikation. 57. [Artikel] VO (EU) 2022/2554, Art. 5(1) text: (1)   Finanzunternehmen verfügen über einen internen Governance- und Kontrollrahmen, der im Einklang mit Artikel 6 Absatz 4 ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen. 58. [Artikel] VO (EU) 2022/2554, Art. 5(2) text: (2)   Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1. Für die Zwecke von Unterabsatz 1 gilt Folgendes: a) Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken des Finanzunternehmens; b) das Leitungsorgan führt Leitlinien ein, die darauf abzielen, hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten; c) das Leitungsorgan legt klare Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen sowie angemessene Governance-Regelungen fest, um eine wirksame und rechtzeitige Kommunikation, Zusammenarbeit und Koordinierung zwischen diesen Funktionen zu gewährleisten; d) das Leitungsorgan trägt die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8, einschließlich der Festlegung der angemessenen Toleranzschwelle für das IKT-Risiko des Finanzunternehmens gemäß Artikel 6 Absatz 8 Buchstabe b; e) das Leitungsorgan genehmigt, überwacht und überprüft regelmäßig die Umsetzung der in Artikel 11 Absatz 1 genannten IKT-Geschäftsfortführungsleitlinie und der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne, die als eigenständige spezielle Leitlinie, die integraler Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens und seines Reaktions- und Wiederherstellungsplans ist, verabschiedet werden können; f) das Leitungsorgan genehmigt und überprüft regelmäßig die internen IKT-Revisionspläne des Finanzunternehmens, die IKT-Revision und die daran vorgenommenen wesentlichen Änderungen; g) das Leitungsorgan weist angemessene Budgetmittel zu und überprüft diese regelmäßig, um den Anforderungen des Finanzunternehmens an die digitale operationale Resilienz in Bezug auf alle Arten von Ressourcen gerecht zu werden, einschließlich einschlägiger Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz nach Artikel 13 Absatz 6 sowie IKT-Kompetenzen für alle Mitarbeiter; h) das Leitungsorgan genehmigt und überprüft regelmäßig die Leitlinie des Finanzunternehmens in Bezug auf Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden; i) das Leitungsorgan richtet auf Unternehmensebene Meldekanäle ein, die es ihm ermöglichen, ordnungsgemäß über Folgendes informiert zu werden: i) mit IKT-Drittdienstleistern geschlossene Vereinbarungen über die Nutzung von IKT-Dienstleistungen, ii) alle relevanten geplanten wesentlichen Änderungen in Bezug auf die IKT-Drittdienstleister, iii) die potenziellen Auswirkungen derartiger Änderungen auf die kritischen oder wichtigen Funktionen, die Gegenstand dieser Vereinbarungen sind, einschließlich einer Zusammenfassung der Risikoanalyse, um die Auswirkungen dieser Änderungen zu bewerten, und zumindest über schwerwiegende IKT-bezogene Vorfälle und deren Auswirkungen sowie über Gegen-, Wiederherstellungs- und Korrekturmaßnahmen. 59. [Artikel] VO (EU) 2022/2554, Art. 5(3) text: (3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, richten eine Funktion ein, um die mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen geschlossenen Vereinbarungen zu überwachen, oder benennen ein Mitglied der Geschäftsleitung, das für die Überwachung der damit verbundenen Risikoexposition und die einschlägige Dokumentation verantwortlich ist. 60. [Artikel] VO (EU) 2022/2554, Art. 5(4) text: (4)   Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können. 61. [Artikel] VO (EU) 2022/2554, Art. 6(1) text: (1)   Finanzunternehmen verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen, der Teil ihres Gesamtrisikomanagementsystems ist und es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten. 62. [Artikel] VO (EU) 2022/2554, Art. 6(2) text: (2)   Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen sowie um alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche zu schützen, damit der angemessene Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, gewährleistet ist. 63. [Artikel] VO (EU) 2022/2554, Art. 6(3) text: (3)   Im Einklang mit ihrem IKT-Risikomanagementrahmen minimieren Finanzunternehmen die Auswirkungen von IKT-Risiken, indem sie geeignete Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokolle und Tools einsetzen. Sie legen den zuständigen Behörden auf Anfrage vollständige und aktuelle Informationen über IKT-Risiken und ihren IKT-Risikomanagementrahmen vor. 64. [Artikel] VO (EU) 2022/2554, Art. 6(4) text: (4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, übertragen die Zuständigkeit für das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion und stellen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenkonflikte zu vermeiden. Die Finanzunternehmen sorgen für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle. 65. [Artikel] VO (EU) 2022/2554, Art. 6(6) text: (6)   Im Einklang mit dem Revisionsplan des betreffenden Finanzunternehmens ist der IKT-Risikomanagementrahmen von Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, regelmäßig einer internen Revision durch Revisoren zu unterziehen. Diese Revisoren verfügen über ausreichendes Wissen und ausreichende Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken sowie über eine angemessene Unabhängigkeit. Häufigkeit und Schwerpunkt von IKT-Revisionen sind den IKT-Risiken des Finanzunternehmens entsprechend angemessen. 66. [Artikel] VO (EU) 2022/2554, Art. 6(7) text: (7)   Auf der Grundlage der Feststellungen aus der Überprüfung der internen Revision legen Finanzunternehmen ein förmliches Follow-up-Verfahren einschließlich Regeln für die rechtzeitige Überprüfung und Auswertung kritischer Erkenntnisse der IKT-Revision fest. 67. [Artikel] VO (EU) 2022/2554, Art. 6(8) text: (8)   Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationale Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt wird. Zu diesem Zweck schließt die Strategie für die digitale operationale Resilienz Methoden, um IKT-Risiken anzugehen und spezifische IKT-Ziele zu erreichen, ein, indem a) erläutert wird, wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und die Ziele des Finanzunternehmens unterstützt; b) die Risikotoleranzschwelle für IKT-Risiken im Einklang mit der Risikobereitschaft des Finanzunternehmens festgelegt und die Auswirkungsstoleranz mit Blick auf IKT-Störungen untersucht wird; c) klare Ziele für die Informationssicherheit festgelegt werden, einschließlich der wesentlichen Leistungsindikatoren und der wesentlichen Risikokennzahlen; d) die IKT-Referenzarchitektur und etwaige Änderungen erläutert werden, die für die Erreichung spezifischer Geschäftsziele erforderlich sind; e) die verschiedenen Mechanismen dargelegt werden, die eingesetzt wurden, um IKT-bezogene Vorfälle zu erkennen, sich davor zu schützen und daraus entstehende Folgen zu verhindern; f) der aktuelle Stand bezüglich der digitalen operationalen Resilienz anhand der Anzahl gemeldeter schwerwiegender IKT-Vorfälle und bezüglich der Wirksamkeit von Präventivmaßnahmen dargelegt wird; g) Tests der digitalen operationalen Resilienz gemäß Kapitel IV dieser Verordnung durchgeführt werden; h) für IKT-bezogene Vorfälle eine Kommunikationsstrategie dargelegt wird, die gemäß Artikel 14 offengelegt werden muss. 68. [Artikel] VO (EU) 2022/2554, Art. 6(9) text: (9)   Finanzunternehmen können im Zusammenhang mit der Strategie für die digitale operationale Resilienz nach Absatz 8 eine ganzheitliche Strategie zur Nutzung mehrerer IKT-Anbieter auf Gruppen- oder Unternehmensebene festlegen, in der wesentliche Abhängigkeiten von IKT-Drittdienstleistern aufgezeigt und die Gründe für die Nutzung verschiedener IKT-Drittdienstleister erläutert werden. 69. [Artikel] VO (EU) 2022/2554, Art. 6(10) text: (10)   Finanzunternehmen können die Überprüfung der Einhaltung der Anforderungen für das IKT-Risikomanagement im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten an gruppeninterne oder externe Unternehmen auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzunternehmen weiterhin uneingeschränkt für die Überprüfung der Einhaltung der IKT-Risikomanagementanforderungen verantwortlich. 70. [Artikel] VO (EU) 2022/2554, Art. 7 text: Um IKT-Risiken zu bewältigen und zu managen, verwenden und unterhalten Finanzunternehmen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools, die a) dem Umfang von Vorgängen, die die Ausübung ihrer Geschäftstätigkeiten unterstützen, im Einklang mit dem Grundsatz der Verhältnismäßigkeit nach Artikel 4 angemessen sind; b) zuverlässig sind; c) mit ausreichenden Kapazitäten ausgestattet sind, um die Daten, die für die Ausführung von Tätigkeiten und die rechtzeitige Erbringung von Dienstleistungen erforderlich sind, genau zu verarbeiten und Auftragsspitzen, Mitteilungen oder Transaktionen auch bei Einführung neuer Technologien bewältigen zu können; d) technologisch resilient sind, um dem unter angespannten Marktbedingungen oder anderen widrigen Umständen erforderlichen zusätzlichen Bedarf an Informationsverarbeitung angemessen zu begegnen. 71. [Artikel] VO (EU) 2022/2554, Art. 8(1) text: (1)   Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind. 72. [Artikel] VO (EU) 2022/2554, Art. 8(2) text: (2)   Finanzunternehmen ermitteln kontinuierlich alle Quellen für IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind. Finanzunternehmen überprüfen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien. 73. [Artikel] VO (EU) 2022/2554, Art. 8(3) text: (3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen bei jeder wesentlichen Änderung der Netzwerk- und Informationssysteminfrastruktur, der Prozesse oder Verfahren, die sich auf ihre IKT-gestützten Unternehmensfunktionen, Informations- oder IKT-Assets auswirken, eine Risikobewertung durch. 74. [Artikel] VO (EU) 2022/2554, Art. 8(4) text: (4)   Finanzunternehmen ermitteln alle Informations- und IKT-Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, und erfassen diejenigen, die als kritisch gelten. Sie erfassen die Konfiguration von Informations- und IKT-Assets sowie die Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IKT-Assets. 75. [Artikel] VO (EU) 2022/2554, Art. 8(5) text: (5)   Finanzunternehmen ermitteln und dokumentieren alle Prozesse, die von IKT-Drittdienstleistern abhängen, und ermitteln Vernetzungen mit IKT-Drittdienstleistern, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. 76. [Artikel] VO (EU) 2022/2554, Art. 8(6) text: (6)   Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren. 77. [Artikel] VO (EU) 2022/2554, Art. 8(7) text: (7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen für alle IKT-Altsysteme regelmäßig, mindestens jedoch einmal jährlich und in jedem Fall vor und nach Anschluss von Technologien, Anwendungen oder Systemen eine spezifische Bewertung des IKT-Risikos durch. 78. [Artikel] VO (EU) 2022/2554, Art. 9(1) text: (1)   Um einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, überwachen und kontrollieren Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools und minimieren durch den Einsatz angemessener IKT-Sicherheitstools, -Richtlinien und -Verfahren die Auswirkungen von IKT-Risiken auf IKT-Systeme. 79. [Artikel] VO (EU) 2022/2554, Art. 9(2) text: (2)   Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden. 80. [Artikel] VO (EU) 2022/2554, Art. 9(3) text: (3)   Um die in Absatz 2 genannten Ziele zu erreichen, greifen Finanzunternehmen auf IKT-Lösungen und -Prozesse zurück, die gemäß Artikel 4 angemessen sind. Diese IKT-Lösungen und -Prozesse müssen a) die Sicherheit der Datenübermittlungsmittel gewährleisten; b) das Risiko von Datenkorruption oder -verlust, unbefugtem Zugriff und technischen Mängeln, die die Geschäftstätigkeit beeinträchtigen können, minimieren; c) dem Mangel an Verfügbarkeit, der Beeinträchtigung der Authentizität und Integrität, den Verletzungen der Vertraulichkeit und dem Verlust von Daten vorbeugen; d) gewährleisten, dass Daten vor Risiken, die beim Datenmanagement entstehen, einschließlich schlechter Verwaltung, verarbeitungsbedingter Risiken und menschlichem Versagen, geschützt werden. 81. [Artikel] VO (EU) 2022/2554, Art. 9(4) text: (4)   Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: a) Sie erarbeiten und dokumentieren eine Informationssicherheitsleitlinie, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets, gegebenenfalls einschließlich derjenigen ihrer Kunden, festgelegt sind; b) sie richten entsprechend einem risikobasierten Ansatz eine solide Struktur für Netzwerk- und Infrastrukturmanagement unter Verwendung angemessener Techniken, Methoden und Protokolle ein, wozu auch die Umsetzung automatisierter Mechanismen zur Isolierung betroffener Informationsassets im Falle von Cyberangriffen gehören kann; c) sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung; d) sie implementieren Konzepte und Protokolle für starke Authentifizierungsmechanismen, die auf einschlägigen Normen und speziellen Kontrollsystemen basieren, sowie Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten auf der Grundlage der Ergebnisse aus genehmigten Datenklassifizierungs- und IKT-Risikobewertungsprozessen verschlüsselt werden; e) sie implementieren und dokumentieren Richtlinien, Verfahren und Kontrollen für das IKT-Änderungsmanagement, einschließlich Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren und fester Bestandteil des gesamten Änderungsmanagementprozesses des Finanzunternehmens sind, um sicherzustellen, dass alle Änderungen an IKT-Systemen auf kontrollierte Weise erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden; f) sie besitzen angemessene und umfassende dokumentierte Richtlinien für Patches und Updates. Für die Zwecke von Unterabsatz 1 Buchstabe b konzipieren Finanzunternehmen die Infrastruktur für die Netzanbindung und Netzwerkverbindung so, dass sie sofort getrennt oder segmentiert werden kann, damit eine Ansteckung, insbesondere bei miteinander verbundenen Finanzprozessen, minimiert und verhindert wird. Für die Zwecke von Unterabsatz 1 Buchstabe e wird das Verfahren für das IKT-Änderungsmanagement von zuständigen Leitungsebenen genehmigt und hat spezifische Protokolle. 82. [Artikel] VO (EU) 2022/2554, Art. 10(1) text: (1)   Finanzunternehmen verfügen über Mechanismen, um anomale Aktivitäten im Einklang mit Artikel 17, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln. Alle in Unterabsatz 1 aufgeführten Erkennungsmechanismen werden gemäß Artikel 25 regelmäßig getestet. 83. [Artikel] VO (EU) 2022/2554, Art. 10(2) text: (2)   Die in Absatz 1 genannten Erkennungsmechanismen ermöglichen mehrere Kontrollebenen und legen Alarmschwellen und -kriterien fest, um Reaktionsprozesse bei IKT-bezogenen Vorfällen auszulösen und einzuleiten, einschließlich automatischer Warnmechanismen für Mitarbeiter, die für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen zuständig sind. 84. [Artikel] VO (EU) 2022/2554, Art. 10(3) text: (3)   Finanzunternehmen stellen ausreichende Ressourcen und Kapazitäten bereit, um Nutzeraktivitäten, das Auftreten von IKT-Anomalien und IKT-bezogenen Vorfällen, darunter insbesondere Cyberangriffe, zu überwachen. 85. [Artikel] VO (EU) 2022/2554, Art. 10(4) text: (4)   Datenbereitstellungsdienste verfügen darüber hinaus über Systeme, mit denen wirksam Handelsauskünfte auf Vollständigkeit geprüft, Lücken und offensichtliche Fehler erkannt und eine Neuübermittlung angefordert werden können. 86. [Artikel] VO (EU) 2022/2554, Art. 12(1) text: (1)   Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten als Teil ihres IKT-Risikomanagementrahmens sicherzustellen, entwickeln und dokumentieren Finanzunternehmen: a) Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden; b) Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden. 87. [Artikel] VO (EU) 2022/2554, Art. 12(2) text: (2)   Finanzunternehmen richten Datensicherungssysteme ein, die in Übereinstimmung mit den Richtlinien und Verfahren zur Datensicherung sowie den Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung aktiviert werden können. Die Aktivierung von Datensicherungssystemen darf die Sicherheit der Netzwerk- und Informationssysteme oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten nicht gefährden. Die Datensicherungsverfahren sowie die Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden sind regelmäßig zu testen. 88. [Artikel] VO (EU) 2022/2554, Art. 12(3) text: (3)   Bei der Wiedergewinnung gesicherter Daten mithilfe eigener Systeme verwenden Finanzunternehmen IKT-Systeme, die von ihrem Quellsystem physisch und logisch getrennt sind. Die IKT-Systeme müssen sicher vor unbefugtem Zugriff oder IKT-Manipulationen geschützt sein und die rechtzeitige Wiederherstellung von Diensten ermöglichen, wobei erforderlichenfalls Daten- und Systemsicherungen (Backups) zu nutzen sind. Bei zentralen Gegenparteien ermöglichen die Wiederherstellungspläne die Wiederherstellung aller zum Zeitpunkt der Störung laufenden Transaktionen, damit die zentrale Gegenpartei weiterhin sicher arbeiten und die Abwicklung zum vorgesehenen Zeitpunkt abschließen kann. Datenbereitstellungsdienste unterhalten zusätzlich angemessene Ressourcen und verfügen über die entsprechenden Sicherungs- und Wiedergewinnungseinrichtungen, damit ihre Dienste jederzeit angeboten und aufrechterhalten werden können. 89. [Artikel] VO (EU) 2022/2554, Art. 12(4) text: (4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, unterhalten redundante IKT-Kapazitäten mit Ressourcen, Fähigkeiten und Funktionen, die für die Deckung des Geschäftsbedarfs ausreichen und angemessen sind. Kleinstunternehmen bewerten auf der Grundlage ihres Risikoprofils, ob diese redundanten IKT-Kapazitäten unterhalten werden müssen. 90. [Artikel] VO (EU) 2022/2554, Art. 12(5) text: (5)   Zentralverwahrer unterhalten mindestens einen sekundären Verarbeitungsstandort, dessen Ressourcen, Kapazitäten, Funktionen und Personalressourcen angemessen sind, um den Geschäftsbedarf zu decken. Der sekundäre Verarbeitungsstandort a) befindet sich in geografischer Entfernung vom primären Verarbeitungsstandort, damit er ein eigenes Risikoprofil aufweist und nicht von dem Ereignis, das sich am primären Standort ereignet hat, betroffen ist; b) kann die Kontinuität kritischer oder wichtiger, mit dem primären Standort identischer Funktionen gewährleisten oder ein Leistungsniveau bereitstellen, mit dem sichergestellt wird, dass das Finanzunternehmen seine kritischen Vorgänge im Rahmen der Wiederherstellungsziele durchführt; c) ist für das Personal des Finanzunternehmens unmittelbar zugänglich, damit die Kontinuität kritischer oder wichtiger Funktionen gewährleistet werden kann, falls der primäre Verarbeitungsstandort nicht mehr zur Verfügung steht. 91. [Artikel] VO (EU) 2022/2554, Art. 12(6) text: (6)   Bei der Festlegung der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte jeder Funktion berücksichtigen die Finanzunternehmen, ob es sich um eine kritische oder wichtige Funktion handelt, sowie die potenziellen Gesamtauswirkungen auf die Markteffizienz. Mit diesen Zeitvorgaben ist sichergestellt, dass die vereinbarte Dienstleistungsgüte in Extremszenarien erreicht werden. 92. [Artikel] VO (EU) 2022/2554, Art. 12(7) text: (7)   Bei der Wiederherstellung nach IKT-bezogenen Vorfällen führen Finanzunternehmen die erforderlichen Prüfungen durch, einschließlich jeglicher Mehrfachprüfungen und Abgleiche, um die größtmögliche Datenintegrität sicherzustellen. Diese Prüfungen werden auch bei der Rekonstruktion von Daten externer Interessenträger durchgeführt, um sicherzustellen, dass alle Daten systemübergreifend einheitlich sind. 93. [Artikel] VO (EU) 2022/2554, Art. 26(8) text: (8)   Finanzunternehmen beauftragen Tester für die Zwecke der Durchführung von TLPT gemäß Artikel 27. Ziehen Finanzunternehmen für die Zwecke der Durchführung von TLPT interne Tester heran, so beauftragen sie für jeden dritten Test einen externen Tester. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, ziehen nur externe Tester gemäß Artikel 27 Absatz 1 Buchstaben a bis e heran. Die zuständigen Behörden ermitteln Finanzunternehmen, die TLPT durchzuführen haben, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien und stützen sich dabei auf die Bewertung von: a) wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken; b) etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage; c) dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen. 94. [Artikel] VO (EU) 2024/1773, Art. 6(1) text: (1)   In der Leitlinie wird ein angemessenes und verhältnismäßiges Verfahren für die Auswahl und Bewertung der künftigen IKT-Drittdienstleister festgelegt, wobei zu berücksichtigen ist, ob es sich bei dem IKT-Drittdienstleister um einen gruppeninternen IKT-Dienstleister handelt, und verlangt wird, dass das Finanzunternehmen vor Abschluss einer vertraglichen Vereinbarung bewertet, ob der IKT-Drittdienstleister a) über die geschäftliche Reputation, hinreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, Informationssicherheitsstandards, eine angemessene Organisationsstruktur, ein angemessenes Risikomanagement und angemessene interne Kontrollen sowie gegebenenfalls über die erforderlichen Zulassungen oder Registrierungen verfügt, um die IKT-Dienstleistungen zur Unterstützung der kritischen oder wichtigen Funktion zuverlässig und professionell erbringen zu können; b) in der Lage ist, einschlägige technologische Entwicklungen zu überwachen und führende Praktiken im Bereich der IKT-Sicherheit zu ermitteln und sie gegebenenfalls zu implementieren, damit er über einen wirksamen und soliden Rahmen für die digitale operationale Resilienz verfügt; c) IKT-Unterauftragnehmer nutzt oder zu nutzen gedenkt, um IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon zu erbringen; d) in einem Drittstaat lokalisiert ist oder die Daten in einem Drittstaat verarbeitet oder speichert und, falls dies der Fall ist, ob diese Praxis die operationellen Risiken, Reputationsrisiken oder das Risiko erhöht, von restriktiven Maßnahmen, einschließlich Embargos und Sanktionen, betroffen zu sein, die sich auf die Fähigkeit des IKT-Drittdienstleisters, die IKT-Dienstleistungen zu erbringen, oder die Fähigkeit des Finanzunternehmens, diese IKT-Dienstleistungen zu empfangen, auswirken können; e) vertraglichen Vereinbarungen zustimmt, mit denen effektiv die Möglichkeit sichergestellt wird, dass das Finanzunternehmen selbst, beauftragte Dritte und zuständige Behörden Audits beim IKT-Drittdienstleister, auch in dessen Räumlichkeiten, durchführen; f) in ethischer und sozial verantwortlicher Weise handelt, die Menschenrechte und die Rechte des Kindes achtet, einschließlich des Verbots der Kinderarbeit, die geltenden Grundsätze des Umweltschutzes einhält und angemessene Arbeitsbedingungen gewährleistet. 95. [Artikel] VO (EU) 2024/1773, Art. 6(2) text: (2)   In der Leitlinie wird festgelegt, welches Maß an Sicherheit hinsichtlich der Wirksamkeit des Risikomanagementrahmens von IKT-Drittdienstleistern für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von einem IKT-Drittdienstleister bereitgestellt werden sollen, gegeben sein muss. In der Leitlinie ist vorzusehen, dass im Rahmen des Verfahrens zur Erfüllung der Sorgfaltspflicht bewertet wird, ob Maßnahmen zur Risikominderung und zur Geschäftsfortführung bestehen und wie deren Funktionsfähigkeit innerhalb des IKT-Drittdienstleisters sichergestellt wird. 96. [Artikel] VO (EU) 2024/1773, Art. 6(3) text: (3)   In der Leitlinie wird das Verfahren zur Erfüllung der Sorgfaltspflicht festgelegt, anhand dessen die künftigen IKT-Drittdienstleister ausgewählt und bewertet werden, und es wird angegeben, welche der folgenden Elemente mit Blick auf das erforderliche Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters zu berücksichtigen sind: a) Audits oder unabhängige Bewertungen, die vom Finanzunternehmen selbst oder in seinem Auftrag durchgeführt werden; b) Berichte über unabhängige Audits, die auf Verlangen des IKT-Drittdienstleisters erstellt werden; c) Auditberichte der internen Revisionsfunktion des IKT-Drittdienstleisters; d) geeignete Zertifizierungen Dritter; e) andere relevante Informationen, die dem Finanzunternehmen zur Verfügung stehen, oder andere vom IKT-Drittdienstleister bereitgestellte Informationen. 97. [Artikel] VO (EU) 2024/1773, Art. 6(4) text: (4)   Die Finanzunternehmen gewährleisten unter Berücksichtigung der in Absatz 3 Buchstaben a bis e aufgeführten Elemente ein angemessenes Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters. Gegebenenfalls ist mehr als eines der unter diesen Buchstaben aufgeführten Elemente zu berücksichtigen. 98. [Artikel] VO (EU) 2024/1774, Art. 9(2) text: (2)   Durch die in Absatz 1 genannten Verfahren für das Kapazitäts- und Leistungsmanagement wird sichergestellt, dass die Finanzunternehmen geeignete Maßnahmen ergreifen, um den Besonderheiten von IKT-Systemen mit langen oder komplexen Beschaffungs- oder Genehmigungsverfahren oder von ressourcenintensiven IKT-Systemen Rechnung zu tragen. 99. [Artikel] VO (EU) 2024/1774, Art. 9(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Kapazitäts- und Leistungsmanagement, die Folgendes betreffen: a) die Ermittlung der Anforderungen an die Kapazität ihrer IKT-Systeme, b) die Anwendung von Methoden zur Ressourcenoptimierung, c) Überwachungsverfahren, um Folgendes aufrechtzuerhalten und zu verbessern: i) die Verfügbarkeit von Daten und IKT-Systemen, ii) die Effizienz der IKT-Systeme, iii) die Verhinderung von IKT-Kapazitätsengpässen. 100. [Artikel] VO (EU) 2024/1774, Art. 12(2) text: (2)   Die in Absatz 1 genannten Verfahren, Protokolle und Tools für die Datenaufzeichnung umfassen alle folgenden Elemente: a) die Ermittlung der aufzuzeichnenden Ereignisse, die Speicherfrist für die Datenaufzeichnungen und die Maßnahmen zur Sicherung und Verarbeitung der Aufzeichnungsdaten unter Berücksichtigung des Zwecks, für den die Datenaufzeichnungen erstellt werden; b) die Abstimmung des Detaillierungsgrads der Datenaufzeichnungen auf deren Zweck und Verwendung, um die wirksame Erkennung anomaler Aktivitäten nach Artikel 24 zu ermöglichen; c) die Anforderung, Ereignisse aufzuzeichnen, die sämtliche der folgenden Aspekte betreffen: i) logische und physische Zugangskontrolle nach Artikel 21 und Identitätsmanagement, ii) Kapazitätsmanagement, iii) Änderungsmanagement, iv) IKT-Vorgänge, einschließlich IKT-Systemaktivitäten, v) Netzwerkverkehrsaktivitäten, einschließlich der Leistung der IKT-Netzwerke; d) Maßnahmen zum Schutz von Datenaufzeichnungssystemen und -informationen vor Manipulation, Löschung und unbefugtem Zugriff mit Blick auf gespeicherte, übermittelte oder gegebenenfalls gerade verwendete Daten; e) Maßnahmen zur Erkennung eines Ausfalls von Datenaufzeichnungssystemen; f) unbeschadet etwaiger im Unionsrecht oder nationalen Recht festgelegter anwendbarer rechtlicher Anforderungen die Synchronisierung der Uhren jedes IKT-Systems des Finanzunternehmens auf der Grundlage einer dokumentierten zuverlässigen Referenzzeitquelle. Für die Zwecke von Buchstabe a legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, dem Grund, weshalb das Ereignis aufgezeichnet wurde, und den Ergebnissen der IKT-Risikobewertung Rechnung. 101. [Artikel] VO (EU) 2024/1774, Art. 12(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen gegen Eindringen und Missbrauch von Daten Verfahren, Protokolle und Tools für die Datenaufzeichnung. 102. [Artikel] VO (EU) 2024/1774, Art. 8(2) text: (2)   Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente: a) eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente: i) Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems, ii) Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung, iii) Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen; b) Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente: i) Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen, ii) Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT-Systemen, iii) Protokolle für Prüfpfad- und Systemprotokollinformationen, iv) Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden, v) Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen, vi) Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind, vii) Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden; c) Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente: i) Verfahren und Protokolle für die Fehlerbehandlung, ii) Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme, iii) Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems. Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt. Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher. 103. [Artikel] VO (EU) 2024/1774, Art. 8(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge. 104. [Artikel] VO (EU) 2024/1773, Art. 10 text: Die Leitlinie enthält Anforderungen an einen dokumentierten Ausstiegsplan für jede vertragliche Vereinbarung sowie Anforderungen, die die regelmäßigen Überprüfungen und Tests des dokumentierten Ausstiegsplans betreffen. Bei der Festlegung des Ausstiegsplans ist Folgendes zu berücksichtigen: a) unvorhergesehene und anhaltende Unterbrechungen bei der Bereitstellung von Dienstleistungen; b) eine mangelhafte oder nicht erfolgte Erbringung von Dienstleistungen; c) eine unerwartete Beendigung vertraglicher Vereinbarungen. Der Ausstiegsplan muss realistisch und durchführbar sein, auf plausiblen Szenarien und vernünftigen Annahmen beruhen und einen Durchführungszeitplan enthalten, der mit den in den vertraglichen Vereinbarungen festgelegten Ausstiegs- und Beendigungsbedingungen vereinbar ist. 105. [Artikel] VO (EU) 2022/2554, Art. 30(5) text: (5)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Regulierungsstandards, um die in Absatz 2 Buchstabe a genannten Aspekte zu präzisieren, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Juli 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. 106. [Artikel] VO (EU) 2022/2554, Art. 30(4) text: (4)   Bei der Aushandlung vertraglicher Vereinbarungen erwägen Finanzunternehmen und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt wurden. 107. [Artikel] VO (EU) 2022/2554, Art. 30(3) text: (3)   Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen zusätzlich zu den in Absatz 2 genannten Elementen mindestens Folgendes: a) vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte, um dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen zu ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird; b) Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen, einschließlich der Meldung aller Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters, IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß den vereinbarten Leistungsniveaus wirksam bereitzustellen, auswirken könnten; c) Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten; d) die Verpflichtung des IKT-Drittdienstleisters, sich an den in den Artikeln 26 und 27 genannten TLPT des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken; e) das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu Folgendes gehört: i) uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird; ii) das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind; iii) die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit bei Vor-Ort-Inspektionen und Audits, die von den zuständigen Behörden, der federführenden Überwachungsbehörde, dem Finanzunternehmen oder einem beauftragten Dritten durchgeführt werden; und iv) die Verpflichtung, Einzelheiten zu Umfang und Häufigkeit dieser Inspektionen sowie dem dabei zu befolgenden Verfahren mitzuteilen; f) Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums, i) in dem der IKT-Drittdienstleister weiterhin die entsprechenden Funktionen oder IKT-Dienstleistungen bereitstellt, um das Risiko von Störungen im Finanzunternehmen zu verringern oder um dessen geordnete Abwicklung und Umstrukturierung sicherzustellen; ii) der dem Finanzunternehmen ermöglicht, zu einem anderen IKT-Drittdienstleister zu wechseln oder auf interne Lösungen umzustellen, die der Komplexität der erbrachten Dienstleistung entsprechen. Abweichend von Buchstabe e können der IKT-Drittdienstleister und das Finanzunternehmen, das ein Kleinstunternehmen ist, vereinbaren, dass die Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens auf einen unabhängigen Dritten übertragen werden können, der vom IKT-Drittdienstleister benannt wird, sowie dass das Finanzunternehmen von diesem Dritten jederzeit Informationen und Gewähr in Bezug auf die Leistung des IKT-Drittdienstleisters verlangen kann. 108. [Artikel] VO (EU) 2022/2554, Art. 30(2) text: (2)   Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen umfassen mindestens folgende Elemente: a) eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und — wenn dies der Fall ist — welche Bedingungen für diese Unterauftragsvergabe gelten; b) die Standorte — das heißt die Regionen oder Länder —, an denen die vertraglich vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und IKT-Dienstleistungen bereitzustellen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Auflage für den IKT-Drittdienstleister, das Finanzunternehmen vorab zu benachrichtigen, wenn er eine Änderung dieser Standorte beabsichtigt; c) Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten; d) Bestimmungen über die Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten, die von dem Finanzunternehmen im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder einer Beendigung der vertraglichen Vereinbarungen verarbeitet werden, sowie über die Wiederherstellung und Rückgabe dieser Daten in einem leicht zugänglichen Format; e) Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen; f) die Verpflichtung des IKT-Drittdienstleisters, dem Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten; g) die Verpflichtung des IKT-Drittdienstleisters, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten, einschließlich der von diesen benannten Personen; h) Kündigungsrechte und damit zusammenhängende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen entsprechend den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden; i) Bedingungen für die Teilnahme von IKT-Drittdienstleistern an den von den Finanzunternehmen angebotenen Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz gemäß Artikel 13 Absatz 6. 109. [Artikel] VO (EU) 2022/2554, Art. 30(1) text: (1)   Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters werden eindeutig zugewiesen und schriftlich dargelegt. Der vollständige Vertrag umfasst die Vereinbarung über die Dienstleistungsgüte und wird in einem schriftlichen Dokument, das den Parteien in Papierform zur Verfügung steht, oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert. 110. [Artikel] VO (EU) 2022/2554, Art. 29(2) text: (2)   Ist in der vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Möglichkeit vorgesehen, dass ein IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion per Unterauftrag an andere IKT-Drittdienstleister vergibt, wägen Finanzunternehmen die Vorteile und Risiken ab, die im Zusammenhang mit einer solchen Unterauftragsvergabe entstehen können, insbesondere sofern der IKT-Unterauftragnehmer in einem Drittland niedergelassen ist. Betreffen vertragliche Vereinbarungen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, berücksichtigen die Finanzunternehmen gebührend die Bestimmungen des Insolvenzrechts, die im Falle der Insolvenz des IKT-Drittdienstleisters anwendbar wären, sowie jede Einschränkung, die sich im Zusammenhang mit der dringenden Wiederherstellung der Daten des Finanzunternehmens ergeben könnte. Werden mit einem IKT-Drittdienstleister mit Sitz in einem Drittland vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen geschlossen, so beachten Finanzunternehmen neben den in Unterabsatz 2 genannten Umständen auch, dass die Datenschutzvorschriften der Union eingehalten und die Rechtsvorschriften in diesem Drittland wirksam durchgesetzt werden. Ist in den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Unterauftragsvergabe vorgesehen, so bewerten die Finanzunternehmen, ob und wie sich potenziell lange oder komplexe Ketten der Unterauftragsvergabe auf ihre Fähigkeit auswirken können, die vertraglich vereinbarten Funktionen vollständig zu überwachen, und ob die zuständige Behörde in dieser Hinsicht in der Lage ist, das Finanzunternehmen wirksam zu beaufsichtigen. 111. [Artikel] VO (EU) 2022/2554, Art. 29(1) text: (1)   Bei der Ermittlung und Bewertung der in Artikel 28 Absatz 4 Buchstabe c genannten Risiken berücksichtigen Finanzunternehmen zudem, ob der geplante Abschluss einer vertraglichen Vereinbarung in Bezug auf IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, Folgendes herbeiführen würde: a) Verträge mit einem IKT-Drittdienstleister, der nicht ohne Weiteres ersetzbar ist; oder b) mehrfache vertragliche Vereinbarungen über die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen mit demselben IKT-Drittdienstleister oder mit eng verbundenen IKT-Drittdienstleistern. Finanzunternehmen wägen Nutzen und Kosten alternativer Lösungen ab, z. B. die Nutzung verschiedener IKT-Drittdienstleister, und berücksichtigen, ob und wie geplante Lösungen den geschäftlichen Erfordernissen und Zielen entsprechen, die in ihrer Strategie für digitale Resilienz festgelegt sind. 112. [Artikel] VO (EU) 2022/2554, Art. 28(10) text: (10)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe für technische Regulierungsstandards, um den detaillierten Inhalt der Leitlinie, die in Absatz 2 in Bezug auf die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, genannt wird, weiter zu spezifizieren. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. 113. [Artikel] VO (EU) 2022/2554, Art. 28(9) text: (9)   Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Durchführungsstandards, um die Standardvorlagen für die Zwecke des in Absatz 3 genannten Informationsregisters festzulegen, einschließlich Informationen, die allen vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen gemein sind. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die in Unterabsatz 1 genannten technischen Durchführungsstandards gemäß Artikel 15 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen. 114. [Artikel] VO (EU) 2022/2554, Art. 28(8) text: (8)   Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein. In den Ausstiegsstrategien wird den Risiken Rechnung getragen, die auf der Ebene der IKT-Drittdienstleister entstehen können, darunter insbesondere ein möglicher Fehler des IKT-Drittdienstleisters, eine Verschlechterung der Qualität der bereitgestellten IKT-Dienstleistungen, jede Unterbrechung der Geschäftstätigkeit aufgrund unangemessener oder unterlassener Bereitstellung von IKT-Dienstleistungen oder jedes erhebliche Risiko im Zusammenhang mit der angemessenen und kontinuierlichen Bereitstellung der jeweiligen IKT-Dienstleistungen oder der Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern unter einem der in Absatz 7 genannten Umstände. Finanzunternehmen stellen sicher, dass sie aus vertraglichen Vereinbarungen ausscheiden können, ohne: a) Unterbrechung ihrer Geschäftstätigkeit, b) Einschränkung der Einhaltung regulatorischer Anforderungen, c) Beeinträchtigung der Kontinuität und Qualität ihrer für Kunden erbrachten Dienstleistungen. Ausstiegspläne müssen umfassend, dokumentiert und im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien ausreichend getestet sein sowie regelmäßig überprüft werden. Finanzunternehmen ermitteln alternative Lösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, dem IKT-Drittdienstleister die vertraglich vereinbarten IKT-Dienstleistungen und die relevanten Daten zu entziehen und sie sicher und vollständig alternativen Anbietern zu übertragen oder wieder in die eigenen Systeme zu überführen. Finanzunternehmen verfügen über angemessene Notfallmaßnahmen, um die Fortführung der Geschäftstätigkeit zu gewährleisten, falls die in Unterabsatz 1 genannten Umstände auftreten. 115. [Artikel] VO (EU) 2022/2554, Art. 28(7) text: (7)   Finanzunternehmen stellen sicher, dass vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen gekündigt werden können, wenn einer der folgenden Umstände vorliegt: a) ein erheblicher Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze, sonstige Vorschriften oder Vertragsbedingungen; b) Umstände, die im Laufe der Überwachung des IKT-Drittparteienrisikos festgestellt wurden und die als geeignet eingeschätzt werden, die Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen zu beeinträchtigen, einschließlich wesentlicher Änderungen, die sich auf die Vereinbarung oder die Verhältnisse des IKT-Drittdienstleisters auswirken; c) nachweisliche Schwächen des IKT-Drittdienstleisters in Bezug auf sein allgemeines IKT-Risikomanagement und insbesondere bei der Art und Weise, in der er die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet, unabhängig davon, ob es sich um personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten handelt; d) die zuständige Behörde kann das Finanzunternehmen infolge der Bedingungen der jeweiligen vertraglichen Vereinbarung oder der mit dieser Vereinbarung verbundenen Umstände nicht mehr wirksam beaufsichtigen. 116. [Artikel] VO (EU) 2022/2554, Art. 28(6) text: (6)   Bei der Ausübung der Zugangs-, Inspektions- und Auditrechte in Bezug auf den IKT-Drittdienstleister bestimmen Finanzunternehmen auf der Grundlage eines risikobasierten Ansatzes vorab die Häufigkeit von Audits und Inspektionen sowie die zu prüfenden Bereiche, indem allgemein anerkannte Auditstandards im Einklang mit etwaigen Aufsichtsanweisungen für die Anwendung und Einbeziehung solcher Auditstandards eingehalten werden. Wenn vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen werden, ein hohes Maß an technischer Komplexität mit sich bringen, überprüft das Finanzunternehmen, dass die internen oder externen Revisoren oder ein Revisorenpool über die Fähigkeiten und Kenntnisse verfügen bzw. verfügt, die für die wirksame Durchführung der einschlägigen Audits und Bewertungen erforderlich sind. 117. [Artikel] VO (EU) 2022/2554, Art. 28(5) text: (5)   Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Betreffen diese vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so berücksichtigen die Finanzunternehmen vor Abschluss der Vereinbarungen angemessen, ob die IKT-Drittdienstleister die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden. 118. [Artikel] VO (EU) 2022/2554, Art. 28(4) text: (4)   Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen müssen Finanzunternehmen: a) beurteilen, ob sich die vertragliche Vereinbarung auf die Nutzung von IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion bezieht; b) beurteilen, ob die aufsichtsrechtlichen Bedingungen für die Auftragsvergabe erfüllt sind; c) alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten, einschließlich der Möglichkeit, dass diese vertragliche Vereinbarung dazu beitragen kann, das in Artikel 29 genannte IKT-Konzentrationsrisiko zu erhöhen; d) bei potenziellen IKT-Drittdienstleistern der gebotenen Sorgfaltspflicht nachkommen und während des gesamten Auswahl- und Bewertungsprozesses sicherstellen, dass der IKT-Drittdienstleister geeignet ist; e) Interessenkonflikte, die durch die vertragliche Vereinbarung entstehen können, ermitteln und bewerten. 119. [Artikel] VO (EU) 2022/2554, Art. 28(3) text: (3)   Finanzunternehmen führen und aktualisieren im Rahmen ihres IKT-Risikomanagementrahmens auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Die vertraglichen Vereinbarungen gemäß Unterabsatz 1 werden angemessen dokumentiert, wobei zwischen Vereinbarungen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen abdecken, und solchen unterschieden wird, bei denen dies nicht der Fall ist. Finanzunternehmen erstatten den zuständigen Behörden mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen, den Kategorien von IKT-Drittdienstleistern, der Art der vertraglichen Vereinbarungen sowie den bereitgestellten IKT-Dienstleistungen und -Funktionen. Finanzunternehmen stellen der zuständigen Behörde auf Verlangen das vollständige Informationsregister oder auf Anfrage bestimmte Teile dieses Registers zusammen mit allen Informationen zur Verfügung, die für eine wirksame Beaufsichtigung des Finanzunternehmens als notwendig erachtet werden. Finanzunternehmen unterrichten die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist. 120. [Artikel] VO (EU) 2022/2554, Art. 28(2) text: (2)   Finanzinstitute, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, beschließen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko und überprüfen diese regelmäßig, wobei gegebenenfalls die in Artikel 6 Absatz 9 genannte Strategie zur Nutzung mehrerer Anbieter Berücksichtigung findet. Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, und gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzunternehmens und des Umfangs und der Komplexität der Unternehmensdienstleistungen regelmäßig Risiken, die im Zusammenhang mit den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. 121. [Artikel] VO (EU) 2022/2554, Art. 28(1) text: (1)   Finanzunternehmen managen das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 und im Einklang mit den folgenden Prinzipien: a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich. b) Beim Management des IKT-Drittparteienrisikos tragen Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung, wobei Folgendes zu berücksichtigen ist: i) die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten, ii) die Risiken infolge vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen wurden, wobei die Kritikalität oder Relevanz der jeweiligen Dienstleistungen, Prozesse oder Funktionen sowie die potenziellen Auswirkungen auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf Einzel- und Gruppenebene zu berücksichtigen sind. 122. [Artikel] VO (EU) 2024/1774, Art. 11(2) text: (2)   Das in Absatz 1 genannte Verfahren für die Daten- und Systemsicherheit umfasst alle folgenden Elemente im Zusammenhang mit der Daten- und IKT-Systemsicherheit im Einklang mit der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung: a) die in Artikel 21 dieser Verordnung genannten Zugangsbeschränkungen zur Unterstützung der Anforderungen im Zusammenhang mit dem Schutz für jede Klassifizierungsstufe; b) die Ermittlung von Mindestanforderungen an eine sichere Konfigurationsbasis für IKT-Assets, durch die die Exposition dieser IKT-Assets gegenüber Cyberbedrohungen minimiert wird, sowie Maßnahmen zur regelmäßigen Überprüfung, ob diese Mindestanforderungen wirksam verwendet werden; c) die Ermittlung von Sicherheitsmaßnahmen, um zu gewährleisten, dass ausschließlich zugelassene Software in IKT-Systemen und Endgeräten installiert wird; d) die Ermittlung von Sicherheitsmaßnahmen gegen Schadprogramme; e) die Ermittlung von Sicherheitsmaßnahmen, um zu gewährleisten, dass ausschließlich zugelassene Datenträger, Systeme und Endgeräte für die Übermittlung und Speicherung von Daten des Finanzunternehmens verwendet werden; f) die folgenden Anforderungen, um die sichere Nutzung tragbarer Endgeräte und privater nicht tragbarer Endgeräte zu gewährleisten: i) die Anforderung einer Lösung für das Management der Endgeräte und die Löschung von Daten des Finanzunternehmens durch Fernzugriff, ii) die Anforderung, Sicherheitsmechanismen zu verwenden, die von den Mitarbeitern oder IKT-Drittdienstleistern nicht auf unbefugte Weise geändert, entfernt oder umgangen werden können, iii) die Anforderung, mobile Datenspeicher nur dann zu verwenden, wenn das IKT-Restrisiko unter der in Artikel 3 Absatz 1 Buchstabe a genannten Risikotoleranzschwelle des Finanzunternehmens liegt; g) das Verfahren zur sicheren Löschung von Daten in den Räumlichkeiten des Finanzunternehmens oder von extern gespeicherten Daten, die das Finanzunternehmen nicht mehr erheben oder speichern muss; h) das Verfahren zur sicheren Entsorgung oder Außerbetriebnahme von Datenspeichern in den Räumlichkeiten des Finanzunternehmens oder von extern aufbewahrten Datenspeichern, die vertrauliche Informationen enthalten; i) die Ermittlung und Implementierung von Sicherheitsmaßnahmen zur Verhinderung von Datenverlust und Datenlecks bei Systemen und Endgeräten; j) die Implementierung von Sicherheitsmaßnahmen, um zu gewährleisten, dass Telearbeit und die Nutzung privater Endgeräte nicht die IKT-Sicherheit des Finanzunternehmens beeinträchtigen; k) für IKT-Assets oder -Dienstleistungen, die von einem IKT- Drittdienstleister betrieben werden, die Ermittlung und Umsetzung von Anforderungen an die Aufrechterhaltung der digitalen operationalen Resilienz im Einklang mit den Ergebnissen der Datenklassifizierung und der IKT-Risikobewertung. Für die Zwecke von Buchstabe b werden im Rahmen der dort genannten sicheren Konfigurationsbasis die führenden Praktiken und geeigneten Techniken berücksichtigt, die in den Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 festgelegt sind. Für die Zwecke von Buchstabe k berücksichtigen Finanzunternehmen Folgendes: a) die Implementierung der vom Anbieter empfohlenen Einstellungen für Komponenten, die vom Finanzunternehmen betrieben werden; b) eine klare Aufteilung der die Informationssicherheit betreffenden Aufgaben und Verantwortlichkeiten zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister im Einklang mit dem in Artikel 28 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Grundsatz der vollen Verantwortlichkeit des Finanzunternehmens für seinen IKT-Drittdienstleister und für Finanzunternehmen nach Artikel 28 Absatz 2 der genannten Verordnung sowie im Einklang mit der Richtlinie des Finanzunternehmens für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen; c) die Notwendigkeit, innerhalb des Finanzunternehmens angemessene Kompetenzen für das Management und die Sicherheit der in Anspruch genommenen Dienstleistungen sicherzustellen und aufrechtzuerhalten; d) technische und organisatorische Maßnahmen zur Minimierung der Risiken im Zusammenhang mit der Infrastruktur, die der IKT-Drittdienstleister für seine IKT-Dienstleistungen nutzt, unter Berücksichtigung führender Praktiken und Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012. 123. [Artikel] VO (EU) 2024/1774, Art. 11(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools ein Verfahren für die Daten- und Systemsicherheit. 124. [Artikel] VO (EU) 2024/1773, Art. 3(6) text: (6)   Die Leitlinie gewährleistet, dass die vertraglichen Vereinbarungen mit Folgendem im Einklang stehen: a) dem in Artikel 6 der Verordnung (EU) 2022/2554 genannten IKT-Risikomanagementrahmen; b) der in Artikel 9 Absatz 4 der Verordnung (EU) 2022/2554 genannten Informationssicherheitsleitlinie; c) der in Artikel 11 der Verordnung (EU) 2022/2554 genannten IKT-Geschäftsfortführungsleitlinie; d) den in Artikel 19 der Verordnung (EU) 2022/2554 festgelegten Anforderungen für die Meldung von Vorfällen. 125. [Artikel] VO (EU) 2022/2554, Art. 26(7) text: (7)   Die Behörden stellen Finanzunternehmen eine Bescheinigung aus, aus der hervorgeht, dass der Test — wie in den Unterlagen nachgewiesen — im Einklang mit den Anforderungen durchgeführt wurde, um die gegenseitige Anerkennung bedrohungsorientierter Penetrationstests zwischen den zuständigen Behörden zu ermöglichen. Das Finanzunternehmen übermittelt der jeweils zuständigen Behörde die Bescheinigung, die Zusammenfassung der maßgeblichen Ergebnisse und die Abhilfemaßnahmen. Unbeschadet einer solchen Bescheinigung bleiben Finanzunternehmen jederzeit in vollem Umfang für die Auswirkungen der in Absatz 4 genannten Tests verantwortlich. 126. [Artikel] VO (EU) 2022/2554, Art. 27(3) text: (3)   Finanzunternehmen stellen sicher, dass in Verträgen, die mit externen Testern geschlossen werden, eine ordentliche Handhabung der Ergebnisse von TLPT vorgesehen ist und die diesbezügliche Datenverarbeitung, einschließlich Generierung, Speicherung, Aggregation, Entwurf, Berichterstattung, Weitergabe oder Vernichtung, keine Risiken für das Finanzunternehmen mit sich bringt. 127. [Artikel] VO (EU) 2022/2554, Art. 27(2) text: (2)   Beim Einsatz interner Tester gewährleisten Finanzunternehmen, dass neben den Anforderungen in Absatz 1 auch folgende Bedingungen erfüllt sind: a) der Einsatz wurde von der jeweils zuständigen Behörde oder von der gemäß Artikel 26 Absätze 9 und 10 benannten einzigen staatlichen Behörde genehmigt; b) die jeweils zuständige Behörde hat überprüft, dass das Finanzunternehmen über ausreichende Ressourcen verfügt und sichergestellt hat, dass während der Konzeptions- und Durchführungsphase der Tests keine Interessenkonflikte entstehen; und c) der Anbieter von Bedrohungsanalysen gehört nicht dem Finanzunternehmen an. 128. [Artikel] VO (EU) 2022/2554, Art. 27(1) text: (1)   Finanzunternehmen ziehen für TLPT nur Tester heran, die a) von höchster Eignung und Ansehen sind; b) über technische und organisatorische Fähigkeiten verfügen und spezifisches Fachwissen in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen; c) von einer Akkreditierungsstelle in einem Mitgliedstaat zertifiziert wurden oder formale Verhaltenskodizes oder ethische Rahmenregelungen einhalten; d) eine unabhängige Gewähr oder einen Auditbericht in Bezug auf das zuverlässige Management von Risiken vorlegen, die mit der Durchführung von TLPT verbunden sind, darunter auch der angemessene Schutz vertraulicher Informationen des Finanzunternehmens und ein Ausgleich der geschäftlichen Risiken des Finanzunternehmens; e) ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit. 129. [Artikel] VO (EU) 2022/2554, Art. 26(11) text: (11)   Die ESA arbeiten im Einvernehmen mit der EZB im Einklang mit dem TIBER-EU-Rahmen gemeinsame Entwürfe technischer Regulierungsstandards aus, in denen Folgendes präzisiert wird: a) die für die Zwecke der Anwendung von Absatz 8 Unterabsatz 2 herangezogenen Kriterien; b) die Anforderungen und Standards für den Einsatz interner Tester; c) die Anforderungen hinsichtlich: i) des Umfangs der in Absatz 2 genannten TLPT; ii) der Testmethodik und des Testkonzepts für jede einzelne Phase des Testverfahrens; iii) der Ergebnisse, des Abschlusses und der Behebungsphasen der Tests; d) der Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Umsetzung von TLPT und die Erleichterung der gegenseitigen Anerkennung dieser Tests im Kontext von Finanzunternehmen, die in mehr als einem Mitgliedstaat tätig sind, erforderlich ist, um eine angemessene Beteiligung der Aufsichtsbehörden und eine flexible Umsetzung zu ermöglichen, damit den Besonderheiten finanzieller Teilsektoren oder lokaler Finanzmärkte Rechnung getragen wird. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA gebührend etwaige Besonderheiten, die sich aus der unterschiedlichen Art der Tätigkeiten in verschiedenen Finanzdienstleistungssektoren ergeben. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Juli 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. 130. [Artikel] VO (EU) 2022/2554, Art. 26(10) text: (10)   In Ermangelung einer Benennung gemäß Absatz 9 und unbeschadet der Befugnis zur Ermittlung der Finanzunternehmen, die verpflichtet sind, TLPT durchzuführen, kann eine zuständige Behörde die Wahrnehmung einiger oder aller in diesem Artikel oder in Artikel 27 genannten Aufgaben auf eine andere für den Finanzsektor zuständige nationale Behörde übertragen. 131. [Artikel] VO (EU) 2022/2554, Art. 26(9) text: (9)   Die Mitgliedstaaten können eine einzige staatliche Behörde für den Finanzsektor benennen, die auf nationaler Ebene für mit TLPT verbundenen Angelegenheiten im Finanzsektor zuständig ist, und betrauen sie mit allen diesbezüglichen Zuständigkeiten und Aufgaben. 132. [Artikel] VO (EU) 2022/2554, Art. 26(6) text: (6)   Nach Abschluss der Tests und der Ausarbeitung von Berichten und Plänen mit Abhilfemaßnahmen legen das Finanzunternehmen und gegebenenfalls die externen Tester der gemäß Absatz 9 oder 10 benannten Behörde eine Zusammenfassung der maßgeblichen Ergebnisse, die Pläne mit Abhilfemaßnahmen und die Unterlagen vor, mit denen belegt wird, dass der TLPT anforderungsgemäß durchgeführt wurden. 133. [Artikel] VO (EU) 2022/2554, Art. 26(5) text: (5)   Finanzunternehmen wenden in Zusammenarbeit mit IKT-Drittdienstleistern und anderen beteiligten Parteien, einschließlich der Tester, jedoch ohne die zuständigen Behörden, wirksame Risikomanagementkontrollen an, um die Gefahr von potenziellen Auswirkungen auf Daten, Schäden an Vermögenswerten und Unterbrechungen kritischer oder wichtiger Funktionen, Dienste oder Vorgänge im Finanzunternehmen selbst, seinen Gegenparteien oder im Finanzsektor zu mindern. 134. [Artikel] VO (EU) 2022/2554, Art. 26(4) text: (4)   Wenn vernünftigerweise davon auszugehen ist, dass sich die Einbindung eines IKT-Drittdienstleisters in einen TLPT gemäß Absatz 3 nachteilig auf die Qualität oder die Sicherheit von Dienstleistungen des IKT-Drittdienstleisters an Kunden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, oder auf die Vertraulichkeit in Bezug auf die mit diesen Dienstleistungen verbundenen Daten auswirkt, können das Finanzunternehmen und der IKT-Drittdienstleister unbeschadet Absatz 2 Unterabsätze 1 und 2 schriftlich vereinbaren, dass der IKT-Drittdienstleister unmittelbar vertragliche Vereinbarungen mit einem externen Tester schließt, um unter der Leitung eines benannten Finanzunternehmens einen gebündelten TLPT durchzuführen, an dem mehrere Finanzunternehmen beteiligt sind (gebündelter Test), für die der IKT-Drittdienstleister IKT-Dienstleistungen erbringt. Diese gebündelten Tests erstrecken sich auf das relevante Spektrum von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von den Finanzunternehmen per Vertrag an die jeweiligen IKT-Drittdienstleister vergeben wurden. Die gebündelten Tests gelten als TLPT, die von den an den gebündelten Tests beteiligten Finanzunternehmen durchgeführt werden. Die Zahl der Finanzunternehmen, die sich an den gebündelten Tests beteiligen, wird unter Berücksichtigung der Komplexität und der Art der betreffenden Dienstleistungen angemessen austariert. 135. [Artikel] VO (EU) 2022/2554, Art. 26(3) text: (3)   Sind IKT-Drittdienstleister in das Spektrum der TLPT einbezogen, ergreift das Finanzunternehmen alle erforderlichen Maßnahmen und Vorkehrungen, um die Einbindung dieser IKT-Drittdienstleister in die TLPT sicherzustellen, und trägt jederzeit die volle Verantwortung für die Gewährleistung der Einhaltung dieser Verordnung. 136. [Artikel] VO (EU) 2022/2554, Art. 26(2) text: (2)   Jeder bedrohungsorientierte Penetrationstest schließt mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens ein und wird an Live-Produktionssystemen durchgeführt, die derartige Funktionen unterstützen. Finanzunternehmen ermitteln alle relevanten zugrunde liegenden IKT-Systeme, -Prozesse und -Technologien, die kritische oder wichtige Funktionen und IKT-Dienstleistungen unterstützen, einschließlich derer, die diejenigen kritischen oder wichtigen Funktionen unterstützen, die an IKT-Drittdienstleister ausgelagert oder per Vertrag vergeben wurden. Finanzunternehmen bewerten, welche kritischen oder wichtigen Funktionen ein TLPT einschließen muss. Der genaue Umfang von TLPT ist vom Ergebnis dieser Bewertung abhängig und wird von den zuständigen Behörden validiert. 137. [Artikel] VO (EU) 2022/2554, Art. 26(1) text: (1)   Gemäß Absatz 8 Unterabsatz 3 des vorliegenden Artikels ermittelte Finanzunternehmen, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, führen mindestens alle drei Jahre anhand von TLPT erweiterte Tests durch. Auf der Grundlage des Risikoprofils des Finanzunternehmens und unter Berücksichtigung der betrieblichen Gegebenheiten kann die zuständige Behörde das Finanzunternehmen erforderlichenfalls auffordern, die Häufigkeit dieser Tests zu verringern oder zu erhöhen. 138. [Artikel] VO (EU) 2024/1773, Art. 9(4) text: (4)   In der Leitlinie werden die geeigneten Maßnahmen festgelegt, die das Finanzunternehmen ergreifen muss, wenn es Mängel beim IKT-Drittdienstleister, einschließlich IKT-bezogener Vorfälle und operationaler oder sicherheitsbezogener Vorfälle im Zusammenhang mit Zahlungen, bei der Erbringung der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder bei der Einhaltung vertraglicher Vereinbarungen oder rechtlicher Anforderungen feststellt. Ferner wird darin festgelegt, wie die Umsetzung solcher Maßnahmen zu überwachen ist, um sicherzustellen, dass die Maßnahmen innerhalb eines festgelegten Zeitrahmens wirksam eingehalten werden, wobei zu berücksichtigen ist, wie wesentlich die Mängel sind. 139. [Artikel] VO (EU) 2024/1773, Art. 9(3) text: (3)   In der Leitlinie wird festgelegt, dass die Bewertung nach Absatz 2 zu dokumentieren ist und ihre Ergebnisse verwendet werden müssen, um die Risikobewertung des Finanzunternehmens im Sinne von Artikel 6 zu aktualisieren. 140. [Artikel] VO (EU) 2024/1773, Art. 9(2) text: (2)   In der Leitlinie wird festgelegt, wie das Finanzunternehmen bewertet, ob die IKT-Drittdienstleister, die für die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen in Anspruch genommen werden, angemessene Leistungs- und Qualitätsstandards im Einklang mit der vertraglichen Vereinbarung und den Strategien des Finanzunternehmens einhalten. Die Leitlinie muss insbesondere gewährleisten, dass a) die IKT-Drittdienstleister dem Finanzunternehmen angemessene Berichte über ihre Tätigkeiten und Dienstleistungen vorlegen, darunter regelmäßige Berichte, Berichte über Vorfälle, Berichte über die Erbringung von Dienstleistungen, Berichte über die IKT-Sicherheit und Berichte über Maßnahmen und Tests zur Geschäftsfortführung; b) die Leistungsfähigkeit von IKT-Drittdienstleistern anhand wesentlicher Leistungsindikatoren, wesentlicher Kontrollindikatoren, Audits, Selbstzertifizierungen und unabhängiger Überprüfungen im Einklang mit dem IKT-Risikomanagementrahmen des Finanzunternehmens bewertet wird; c) das Finanzunternehmen andere relevante Informationen von den IKT-Drittdienstleistern erhält; d) das Finanzunternehmen gegebenenfalls über IKT-bezogene Vorfälle und operationale oder sicherheitsbezogene Vorfälle im Zusammenhang mit Zahlungen unterrichtet wird; e) eine unabhängige Überprüfung und Audits vorgenommen werden, um die Einhaltung der rechtlichen und regulatorischen Anforderungen und Strategien zu prüfen. 141. [Artikel] VO (EU) 2024/1773, Art. 9(1) text: (1)   In der Leitlinie ist vorzusehen, dass in den vertraglichen Vereinbarungen die Maßnahmen und Schlüsselindikatoren festgelegt werden, anhand deren die Leistungsfähigkeit der IKT-Drittdienstleister kontinuierlich überwacht wird, einschließlich Maßnahmen, die dazu dienen, die Einhaltung der Anforderungen für die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Daten und Informationen und die Einhaltung der einschlägigen Strategien und Verfahren des Finanzunternehmens durch die IKT-Drittdienstleister zu überwachen. Darüber hinaus sind in der Leitlinie Maßnahmen zu spezifizieren, die Anwendung finden, wenn Dienstleistungsvereinbarungen nicht eingehalten werden, und gegebenenfalls Vertragsstrafen umfassen. 142. [Artikel] VO (EU) 2024/1773, Art. 8(4) text: (4)   Die Leitlinie stellt sicher, dass wesentliche Änderungen der vertraglichen Vereinbarung in einem schriftlichen Dokument förmlich festgehalten werden, das von allen Parteien datiert und unterzeichnet wird und in dem das Verfahren zur Verlängerung der vertraglichen Vereinbarungen festgelegt ist. 143. [Artikel] VO (EU) 2024/1773, Art. 8(3) text: (3)   Das Finanzunternehmen darf sich längerfristig nicht nur auf die in Absatz 2 Buchstabe c genannten Zertifizierungen oder die in Absatz 2 Buchstabe d genannten Auditberichte verlassen. Nach der Leitlinie ist die Anwendung der in Absatz 2 Buchstaben c und d genannten Methoden nur dann gestattet, wenn das Finanzunternehmen a) den Auditplan des IKT-Drittdienstleisters für die einschlägigen vertraglichen Vereinbarungen als zufriedenstellend erachtet; b) sicherstellt, dass der Umfang der Zertifizierungen oder Auditberichte die von ihm ermittelten Systeme und wesentlichen Kontrollen abdeckt und die Einhaltung der einschlägigen rechtlichen Anforderungen gewährleistet; c) den Inhalt der Zertifizierungen oder Auditberichte laufend gründlich bewertet und prüft, ob die Berichte oder Zertifizierungen nicht obsolet sind; d) sicherstellt, dass wesentliche Systeme und Kontrollen in künftigen Fassungen der Zertifizierung oder des Auditberichts berücksichtigt werden; e) die zertifizierende oder prüfende Partei in zufriedenstellendem Maße für geeignet hält; f) davon überzeugt ist, dass die Zertifizierungen ausgestellt werden und die Zertifizierungen und die Audits nach weithin anerkannten einschlägigen professionellen Standards durchgeführt werden und einen Test der operationalen Wirksamkeit der bestehenden wesentlichen Kontrollen umfassen; g) das vertragliche Recht hat, in einer aus der Perspektive des Risikomanagements vertretbaren und legitimen Häufigkeit Änderungen des Umfangs der Zertifizierungen oder Auditberichte mit Blick auf andere einschlägige Systeme und Kontrollen zu verlangen; h) das vertragliche Recht hat, nach eigenem Ermessen Einzel- und Sammelaudits im Zusammenhang mit den vertraglichen Vereinbarungen durchzuführen und diese Rechte in der vereinbarten Häufigkeit wahrzunehmen. 144. [Artikel] VO (EU) 2024/1773, Art. 8(2) text: (2)   In der Leitlinie ist festzulegen, dass die einschlägigen vertraglichen Vereinbarungen das Recht des Finanzunternehmens auf Zugang zu Informationen, auf die Durchführung von Inspektionen und Audits sowie auf die Durchführung von IKT-Tests vorsehen müssen. In der Leitlinie ist vorzusehen, dass das Finanzunternehmen zu diesen Zwecken — unbeschadet seiner letztlichen Verantwortung — auf folgende Methoden zurückgreifen muss: a) eigene interne Audits oder Audits eines beauftragten Dritten; b) gegebenenfalls Sammelaudits und gepoolte IKT-Tests, einschließlich bedrohungsorientierter Penetrationstests, die gemeinsam mit anderen als Auftraggeber auftretenden Finanzunternehmen oder Firmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters nutzen, organisiert und von diesen Finanzunternehmen oder Firmen oder einem von ihnen beauftragten Dritten durchgeführt werden; c) gegebenenfalls Zertifizierungen Dritter; d) gegebenenfalls Berichte über interne oder von Dritten durchgeführte Audits, die vom IKT-Drittdienstleister zur Verfügung gestellt werden. 145. [Artikel] VO (EU) 2024/1773, Art. 8(1) text: (1)   In der Leitlinie wird festgelegt, dass die einschlägige vertragliche Vereinbarung schriftlich abzufassen ist und alle in Artikel 30 Absätze 2 und 3 der Verordnung (EU) 2022/2554 genannten Elemente enthalten muss. Die Leitlinie umfasst auch Elemente mit Blick auf die in Artikel 1 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Anforderungen sowie gegebenenfalls andere einschlägige Rechtsvorschriften der Union und der Mitgliedstaaten. 146. [Artikel] VO (EU) 2024/1774, Art. 7(5) text: (5)   Die Finanzunternehmen stellen sicher, dass die Zertifikate vor Ablauf unverzüglich erneuert werden. 147. [Artikel] VO (EU) 2024/1774, Art. 7(4) text: (4)   Die Finanzunternehmen erstellen und führen für mindestens diejenigen IKT-Assets, die kritische oder wichtige Funktionen unterstützen, ein Register aller Zertifikate und Zertifikatspeicher. Die Finanzunternehmen halten dieses Register auf dem neuesten Stand. 148. [Artikel] VO (EU) 2024/1774, Art. 7(3) text: (3)   Die Finanzunternehmen entwickeln und implementieren Methoden, um die kryptografischen Schlüssel im Verlustfall oder bei Beeinträchtigungen oder Beschädigungen dieser Schlüssel auszutauschen. 149. [Artikel] VO (EU) 2024/1774, Art. 7(2) text: (2)   Die Finanzunternehmen ermitteln und implementieren Kontrollen, um kryptografische Schlüssel während ihres gesamten Lebenszyklus vor Verlust, unbefugtem Zugriff, Offenlegung und Änderung zu schützen. Die Finanzunternehmen konzipieren diese Kontrollen auf der Grundlage der Ergebnisse der genehmigten Datenklassifizierung und der IKT-Risikobewertung. 150. [Artikel] VO (EU) 2024/1774, Art. 7(1) text: (1)   Die Finanzunternehmen nehmen in die in Artikel 6 Absatz 2 Buchstabe d genannte Richtlinie für das Management kryptografischer Schlüssel Anforderungen auf, die für das Management kryptografischer Schlüssel über ihren gesamten Lebenszyklus hinweg gelten, einschließlich mit Blick auf die Generierung, Erneuerung, Speicherung, Sicherung, Archivierung, den Abruf, die Übermittlung, Rücknahme, den Widerruf und die Vernichtung dieser kryptografischen Schlüssel. 151. [Artikel] VO (EU) 2024/1774, Art. 6(5) text: (5)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen eine Anforderung auf, nach der die Annahme von Abhilfe- und Überwachungsmaßnahmen im Einklang mit den Absätzen 3 und 4 aufzuzeichnen und zu begründen ist. 152. [Artikel] VO (EU) 2024/1774, Art. 6(4) text: (4)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen Bestimmungen auf, in denen geregelt ist, wie die kryptografische Technologie aufgrund von Entwicklungen im Bereich der Kryptoanalyse gegebenenfalls zu aktualisieren oder zu ändern ist. Mit solchen Aktualisierungen oder Änderungen wird sichergestellt, dass die kryptografische Technologie nach Maßgabe von Artikel 10 Absatz 2 Buchstabe a gegen Cyberbedrohungen resilient bleibt. Finanzunternehmen, die nicht in der Lage sind, die kryptografische Technologie zu aktualisieren oder zu ändern, ergreifen Abhilfe- und Überwachungsmaßnahmen, die die Resilienz gegenüber Cyberbedrohungen sicherstellen. 153. [Artikel] VO (EU) 2024/1774, Art. 6(3) text: (3)   Die Finanzunternehmen nehmen in die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen Kriterien für die Auswahl kryptografischer Techniken und Nutzungspraktiken auf, wobei führende Praktiken und Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 sowie die Klassifizierung einschlägiger IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 zu berücksichtigen sind. Finanzunternehmen, die nicht in der Lage sind, die führenden Praktiken oder Normen einzuhalten oder die zuverlässigsten Techniken anzuwenden, ergreifen Abhilfe- und Überwachungsmaßnahmen, die die Resilienz gegenüber Cyberbedrohungen gewährleisten. 154. [Artikel] VO (EU) 2024/1774, Art. 6(2) text: (2)   Die Finanzunternehmen konzipieren die in Absatz 1 genannte Richtlinie für Verschlüsselung und kryptografische Kontrollen auf der Grundlage der Ergebnisse einer genehmigten Datenklassifizierung sowie der IKT-Risikobewertung. Diese Richtlinie enthält Vorschriften zu allen folgenden Aspekten: a) Verschlüsselung von Daten, die gespeichert sind oder gerade übermittelt werden; b) Verschlüsselung von Daten, die gerade verwendet werden, soweit erforderlich; c) Verschlüsselung der internen Netzwerkverbindungen und der Datenübermittlungen mit externen Parteien; d) Management kryptografischer Schlüssel nach Artikel 7, um die Regeln für die korrekte Verwendung, den Schutz und den Lebenszyklus kryptografischer Schlüssel festzulegen. Ist eine Verschlüsselung gerade verwendeter Daten nicht möglich, verarbeiten die Finanzunternehmen für die Zwecke von Buchstabe b gerade verwendete Daten in einer getrennten und geschützten Umgebung oder ergreifen gleichwertige Maßnahmen, um die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten zu gewährleisten. 155. [Artikel] VO (EU) 2024/1774, Art. 6(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für Verschlüsselung und kryptografische Kontrollen. 156. [Artikel] VO (EU) 2024/1774, Art. 10(4) text: (4)   Die in Absatz 3 genannten Verfahren für das Patch-Management dienen dazu, a) soweit möglich verfügbare Software- und Hardware-Patches und -Aktualisierungen mithilfe automatisierter Tools zu ermitteln und zu bewerten; b) Notfallverfahren für das Patching und die Aktualisierung von IKT-Assets zu ermitteln; c) Software- und Hardware-Patches und die Aktualisierungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii zu testen und einzuführen; d) Fristen für die Installation von Software- und Hardware-Patches und von Aktualisierungen zu setzen sowie Eskalationsverfahren für den Fall festzulegen, dass diese Fristen nicht eingehalten werden können. 157. [Artikel] VO (EU) 2024/1774, Art. 10(3) text: (3)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Patch-Management. 158. [Artikel] VO (EU) 2024/1774, Art. 10(2) text: (2)   Die in Absatz 1 genannten Verfahren für das Schwachstellen-Management sorgen dafür, dass a) relevante und vertrauenswürdige Informationsressourcen ermittelt und aktualisiert werden, um für Schwachstellen zu sensibilisieren und das Bewusstsein dafür aufrechtzuerhalten, b) die Durchführung automatisierter Schwachstellenbewertungen und -scans bei IKT-Assets gewährleistet und dabei sichergestellt wird, dass deren Häufigkeit und Umfang der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil des IKT-Assets entsprechen, c) überprüft wird, ob i) IKT-Drittdienstleister Schwachstellen angehen, die im Zusammenhang mit den IKT-Dienstleistungen für das Finanzunternehmen stehen, ii) diese Dienstleister dem Finanzunternehmen zumindest die kritischen Schwachstellen und Statistiken und Trends zeitnah melden; d) nachverfolgt wird, wie Folgendes verwendet wird: i) Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, die für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen genutzt werden, ii) IKT-Dienstleistungen, die das Finanzunternehmen selbst entwickelt hat oder von einem IKT-Drittdienstleister speziell für das Finanzunternehmen angepasst oder entwickelt wurden; e) Verfahren für die verantwortungsvolle Offenlegung von Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festgelegt werden, f) die Einführung von Patches und anderen Abhilfemaßnahmen priorisiert wird, um die ermittelten Schwachstellen zu beheben, g) die Behebung von Schwachstellen überwacht und geprüft wird, h) eine Aufzeichnung aller festgestellten Schwachstellen, die IKT-Systeme betreffen, und die Überwachung der Behebung dieser Schwachstellen verlangt werden. Für die Zwecke von Buchstabe b führen die Finanzunternehmen die automatisierten Schwachstellenbewertungen und -scans für IKT-Assets bei IKT-Assets, die kritische oder wichtige Funktionen unterstützen, mindestens einmal wöchentlich durch. Für die Zwecke von Buchstabe c fordern die Finanzunternehmen IKT-Drittdienstleister auf, die einschlägigen Schwachstellen zu untersuchen, die Ursachen zu ermitteln und geeignete Abhilfemaßnahmen zu ergreifen. Für die Zwecke von Buchstabe d überwachen die Finanzunternehmen, gegebenenfalls in Zusammenarbeit mit dem IKT-Drittdienstleister, die aktuelle Version der Bibliotheken Dritter sowie mögliche Aktualisierungen. Was gebrauchsfertige (Standard-)IKT-Assets oder Komponenten von IKT-Assets betrifft, die für die Ausführung von IKT-Dienstleistungen erworben und verwendet werden, die keine kritischen oder wichtigen Funktionen unterstützen, wird die Nutzung von Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, von den Finanzunternehmen soweit wie möglich nachverfolgt. Für die Zwecke von Buchstabe f berücksichtigen die Finanzunternehmen die Kritikalität der Schwachstelle, die im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegte Klassifizierung sowie das Risikoprofil der IKT-Assets, die von den ermittelten Schwachstellen betroffen sind. 159. [Artikel] VO (EU) 2024/1774, Art. 10(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Schwachstellen-Management. 160. [Artikel] VO (EU) 2024/1774, Art. 17(2) text: (2)   Wenn zentrale Gegenparteien und Zentralverwahrer an ihren IKT-Systemen erhebliche Änderungen vorgenommen haben, unterziehen sie diese strengen Tests unter Simulation von Stressbedingungen. Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgenden Parteien ein: a) Clearingmitglieder und Kunden, b) interoperable zentrale Gegenparteien, c) andere interessierte Parteien. Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgende Parteien ein: a) Nutzer, b) kritische Versorgungsbetriebe und kritische Dienstleister, c) andere Zentralverwahrer, d) andere Marktinfrastrukturen, e) alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer IKT-Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden. 161. [Artikel] VO (EU) 2024/1774, Art. 17(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sehen die Finanzunternehmen in den in Artikel 9 Absatz 4 Buchstabe e der Verordnung (EU) 2022/2554 genannten IKT-Änderungsmanagementverfahren für alle Änderungen an Software, Hardware, Firmware-Komponenten, Systemen oder Sicherheitsparametern alles Folgende vor: a) eine Überprüfung, ob die IKT-Sicherheitsanforderungen erfüllt sind, b) Mechanismen, die gewährleisten, dass die Funktionen, die Änderungen genehmigen, und die Funktionen, die für die Beantragung und Umsetzung dieser Änderungen zuständig sind, unabhängig sind, c) eine klare Beschreibung der Aufgaben und Zuständigkeiten, um zu gewährleisten, dass i) Änderungen angegeben und geplant werden, ii) ein angemessener Übergang vorgesehen ist, iii) die Änderungen kontrolliert getestet und finalisiert werden, iv) eine wirksame Qualitätssicherung gewährleistet ist, d) die Dokumentation und Kommunikation der Änderungen im Detail, wozu u. a. Folgendes zählt: i) Zweck und Umfang der Änderung, ii) Zeitplan für die Umsetzung der Änderung, iii) die erwarteten Ergebnisse; e) die Angabe von Ausweichverfahren und -zuständigkeiten, einschließlich Verfahren und Zuständigkeiten für den Abbruch von Änderungen oder die Wiederherstellung, wenn Änderungen nicht erfolgreich implementiert wurden, f) Verfahren, Protokolle und Tools für den Umgang mit Notfalländerungen, die angemessene Schutzvorkehrungen vorsehen, g) Verfahren zur Dokumentation, Neubewertung, Bewertung und Genehmigung von Notfalländerungen, nachdem diese vorgenommen wurden, einschließlich Ausweichlösungen und Patches, h) Angabe der potenziellen Auswirkungen einer Änderung auf bestehende IKT-Sicherheitsmaßnahmen und Bewertung, ob eine solche Änderung zusätzliche IKT-Sicherheitsmaßnahmen erfordert. 162. [Artikel] VO (EU) 2022/2554, Art. 4(3) text: (3)   Bei der Überprüfung der Kohärenz des IKT-Risikomanagementrahmens auf der Grundlage der Berichte, die den zuständigen Behörden gemäß Artikel 6 Absatz 5 und Artikel 16 Absatz 2 auf Anfrage vorgelegt werden, prüfen die zuständigen Behörden die Anwendung des Grundsatzes der Verhältnismäßigkeit durch die Finanzunternehmen. 163. [Artikel] VO (EU) 2022/2554, Art. 4(2) text: (2)   Darüber hinaus muss die Anwendung der Kapitel III und IV sowie des Kapitels V Abschnitt I durch die Finanzunternehmen in einem angemessenen Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil sowie zu der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte stehen, wie dies in den einschlägigen Vorschriften jener Kapitel ausdrücklich vorgesehen ist. 164. [Artikel] VO (EU) 2022/2554, Art. 4(1) text: (1)   Die Finanzunternehmen wenden die in Kapitel II festgelegten Vorschriften im Einklang mit dem Grundsatz der Verhältnismäßigkeit an, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist. 165. [Artikel] VO (EU) 2024/1774, Art. 21 text: Im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien, die alles Folgende vorsehen: a) die Zuweisung der Rechte auf Zugang zu IKT-Assets nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang, b) die Abtrennung der Aufgaben, einen ungerechtfertigten Zugang zu kritischen Daten zu verhindern oder die Zuweisung einer Kombination von Zugriffsrechten zu verhindern, die zur Umgehung von Kontrollen genutzt werden können, c) eine Bestimmung zur Zurechenbarkeit, die die Nutzung generischer und gemeinsam genutzter Nutzerkonten so weit wie möglich einschränkt und die sicherstellt, dass die in den IKT-Systemen vorgenommenen Handlungen jederzeit einem Nutzer zugeordnet werden können, d) eine Bestimmung zur Beschränkung des Zugangs zu IKT-Assets, die Kontrollen und Tools zur Verhinderung eines unbefugten Zugangs vorsieht, e) Kontoverwaltungsverfahren für die Gewährung, Änderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten, die alles Folgende beinhalten: i) die Zuweisung der Aufgaben und Zuständigkeiten für die Gewährung, Überprüfung und Entziehung von Zugangsrechten, ii) die Zuweisung eines bevorrechtigten Zugangs, eines Notfallzugangs und eines Administratorzugangs nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc bei allen IKT-Systemen, iii) den umgehenden Entzug der Zugangsrechte bei Beendigung des Beschäftigungsverhältnisses oder wenn der Zugang nicht länger erforderlich ist, iv) die Aktualisierung der Zugangsrechte, wenn Änderungen notwendig sind, mindestens aber einmal jährlich bei allen IKT-Systemen mit Ausnahme derjenigen, die kritische oder wichtige Funktionen unterstützen, und mindestens alle sechs Monate bei IKT-Systemen, die kritische oder wichtige Funktionen unterstützen; f) Authentifizierungsmethoden, die alles Folgende vorsehen: i) die Nutzung von Authentifizierungsmethoden ist der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen und trägt führenden Praktiken Rechnung, ii) die Nutzung starker Authentifizierungsmethoden entspricht den führenden Praktiken und Techniken für den Fernzugang zum Netz des Finanzunternehmens, für den bevorrechtigten Zugang, für den Zugang zu IKT-Assets, die kritische oder wichtige Funktionen unterstützen oder IKT-Assets, die öffentlich zugänglich sind, g) physische Zugangskontrollen, die Folgendes einschließen: i) die Identifizierung und Protokollierung natürlicher Personen mit Zugangsberechtigung für Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, ii) die Gewährung der Rechte auf physischen Zugang zu kritischen IKT-Assets nur für befugte Personen nach dem Grundsatz „Kenntnis nur, wenn nötig“ und dem Grundsatz der minimalen Berechtigung sowie ad hoc, iii) die Überwachung des physischen Zugangs zu Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und/oder Informationsassets untergebracht sind, iv) die Überprüfung der physischen Zugangsrechte, um zu gewährleisten, dass unnötige Zugangsrechte umgehend entzogen werden. Für die Zwecke von Buchstabe e Ziffer i legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, den Gründen für die Protokollierung des Ereignisses und den Ergebnissen der IKT-Risikobewertung Rechnung. Für die Zwecke von Buchstabe e Ziffer ii verwenden die Finanzunternehmen für die Ausführung administrativer Aufgaben in IKT-Systemen nach Möglichkeit spezielle Konten. Für das Management des bevorrechtigten Zugangs greifen die Finanzunternehmen soweit möglich und angemessen auf automatisierte Lösungen zurück. Für die Zwecke von Buchstabe g Ziffer i müssen die Identifizierung und Protokollierung der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke von Buchstabe g Ziffer iii muss die Überwachung der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und der Kritikalität des Zugangsbereichs angemessen sein. 166. [Artikel] VO (EU) 2024/1774, Art. 20(2) text: (2)   Die in Absatz 1 genannten Richtlinien für das Identitätsmanagement müssen alles Folgende vorsehen: a) unbeschadet des Artikels 21 Absatz 1 Buchstabe c ist jedem Mitarbeiter des Finanzunternehmens oder Mitarbeitern der IKT-Drittdienstleister, die auf die Informationsassets und IKT-Assets des Finanzunternehmens zugreifen, eine eindeutige Identität zuzuweisen, die einem eindeutigen Nutzerkonto zugeordnet werden kann, b) einen Lebenszyklusmanagementprozess für Identitäten und Konten, der die Erstellung, Änderung, Überprüfung und Aktualisierung, die vorübergehende Deaktivierung und die Beendigung aller Konten umfasst. Für die Zwecke des Buchstabens a führen die Finanzunternehmen Aufzeichnungen über alle zugeordneten Identitäten. Diese Aufzeichnungen werden unbeschadet der im geltenden Unionsrecht und im nationalen Recht festgelegten Speicherpflichten nach einer Umstrukturierung des Finanzunternehmens oder nach Ablauf der Vertragsbeziehung aufbewahrt. Für die Zwecke des Buchstabens b greifen die Finanzunternehmen beim Lebenszyklusmanagementprozess für Identitäten soweit möglich und angemessen auf automatisierte Lösungen zurück. 167. [Artikel] VO (EU) 2024/1774, Art. 20(1) text: (1)   Um die Zuweisung der Nutzerzugriffsrechte gemäß Artikel 21 zu ermöglichen, entwickeln, dokumentieren und implementieren die Finanzunternehmen im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte Richtlinien und Verfahren für das Identitätsmanagement, die die eindeutige Identifizierung und Authentifizierung der natürlichen Personen und Systeme, die auf Informationen der Finanzunternehmen zugreifen, gewährleisten. 168. [Artikel] VO (EU) 2024/1774, Art. 19 text: Die Finanzunternehmen nehmen in ihre Richtlinien für Personalpolitik oder in ihre anderen einschlägigen Richtlinien alle nachstehend genannten IKT-sicherheitsbezogenen Elemente auf: a) die Angabe und Zuweisung etwaiger spezifischer Zuständigkeiten im Bereich der IKT-Sicherheit, b) die Vorgabe für die Mitarbeiter des Finanzunternehmens und des IKT-Drittdienstleisters, die IKT-Assets des Finanzunternehmens nutzen oder auf diese zugreifen, i) sich über die Richtlinien, Verfahren und Protokolle des Finanzunternehmens zur IKT-Sicherheit zu informieren und diese einzuhalten, ii) auf dem Laufenden darüber zu sein, welche Kanäle das Finanzunternehmen für die Meldung anomaler Verhaltensweisen geschaffen hat, wozu — soweit relevant — die gemäß der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates(11)eingerichteten Meldekanäle zählen, iii) dem Finanzunternehmen nach Beendigung des Beschäftigungsverhältnisses alle in ihrem Besitz befindlichen IKT-Assets und materiellen Informationsassets, die Eigentum des Finanzunternehmens sind, auszuhändigen. 169. [Artikel] VO (EU) 2024/1774, Art. 18(2) text: (2)   Die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen müssen alles Folgende beinhalten: a) einen Verweis auf den Abschnitt der Richtlinien, in dem es um die in Artikel 21 Absatz 1 Buchstabe g genannte Kontrolle der Zugangs- und Zugriffsrechte geht, b) die Maßnahmen, mit denen die Räumlichkeiten und Rechenzentren des Finanzunternehmens und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, vor Angriffen, Unfällen und Umweltbedrohungen und -gefahren geschützt werden, c) die Maßnahmen, mit denen die IKT-Assets inner- und außerhalb der Räumlichkeiten des Finanzunternehmens unter Berücksichtigung der Ergebnisse der IKT-Risikobewertung für diese IKT-Assets gesichert werden, d) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von IKT-Assets, Informationsassets und Einrichtungen für die physische Zugangskontrolle des Finanzunternehmens durch angemessene Wartung sichergestellt werden soll, e) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewahrt werden sollen, einschließlich i) der Vorgabe eines „leeren Schreibtischs“, ii) der Vorgabe eines „leeren Bildschirms“ bei Datenverarbeitungsanlagen. Für die Zwecke des Buchstabens b müssen die Maßnahmen zum Schutz vor Umweltbedrohungen und -gefahren der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke des Buchstabens c müssen die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen angemessene Schutzmaßnahmen für unbeaufsichtigte IKT-Assets enthalten. 170. [Artikel] VO (EU) 2024/1774, Art. 18(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten verfassen, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen. Die Finanzunternehmen gestalten diese Richtlinien unter Berücksichtigung der Cyberbedrohungslage gemäß der nach Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets. 171. [Artikel] VO (EU) 2022/2554, Art. 19(1) text: (1)   Finanzunternehmen melden der nach Artikel 46 jeweils zuständigen Behörde gemäß Absatz 4 schwerwiegende IKT-bezogene Vorfälle. Unterliegt ein Finanzunternehmen der Aufsicht mehr als einer nach Artikel 46 zuständigen nationalen Behörde, so benennen die Mitgliedstaaten eine einzige zuständige Behörde als einschlägige zuständige Behörde, die für die Wahrnehmung der im vorliegenden Artikel aufgeführten Funktionen und Aufgaben verantwortlich ist. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, melden schwerwiegende IKT-bezogene Vorfälle der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde, die diese Meldung unverzüglich an die EZB weiterleitet. Für die Zwecke von Unterabsatz 1 erstellen Finanzunternehmen nach Erfassung und Analyse aller relevanten Informationen unter Verwendung der in Artikel 20 genannten Vorlage die Erstmeldung und die Meldungen nach Absatz 4 und übermitteln diese der zuständigen Behörde. Falls es aus technischen Gründen nicht möglich ist, die Erstmeldung unter Verwendung der Vorlage zu übermitteln, teilen die Finanzunternehmen dies der zuständigen Behörde auf anderem Wege mit. Die Erstmeldung und die Meldungen nach Absatz 4 enthalten alle Informationen, die die zuständige Behörde benötigt, um die Signifikanz des schwerwiegenden IKT-bezogenen Vorfalls zu ermitteln und mögliche grenzüberschreitende Auswirkungen zu bewerten. Unbeschadet der Meldung gemäß Unterabsatz 1 durch das Finanzunternehmen an die jeweils zuständige Behörde können die Mitgliedstaaten zusätzlich festlegen, dass einige oder alle Finanzunternehmen die Erstmeldung und jede Meldung nach Absatz 4 auch den gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden oder Computer-Notfallteams (computer security incident response teams — CSIRT) unter Verwendung der in Artikel 20 genannten Vorlage zur Verfügung stellen müssen. 172. [Artikel] VO (EU) 2022/2554, Art. 19(2) text: (2)   Finanzunternehmen können der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Die jeweils zuständige Behörde kann derartige Informationen anderen in Absatz 6 genannten einschlägigen Behörden zur Verfügung stellen. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, können erhebliche Cyberbedrohungen auf freiwilliger Basis der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde melden, die diese Meldung unverzüglich an die EZB weiterleitet. Die Mitgliedstaaten können festlegen, dass die Finanzunternehmen, die auf freiwilliger Basis eine Meldung gemäß Unterabsatz 1 vornehmen, diese Meldung auch an die gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRT erstatten können. 173. [Artikel] VO (EU) 2022/2554, Art. 19(3) text: (3)   Wenn ein schwerwiegender IKT-bezogener Vorfall auftritt und Auswirkungen auf die finanziellen Interessen von Kunden hat, unterrichten die Finanzunternehmen, sobald sie hiervon Kenntnis erlangt haben, ihre Kunden unverzüglich über den schwerwiegenden IKT-bezogenen Vorfall und die Maßnahmen, die ergriffen wurden, um die nachteiligen Auswirkungen eines solchen Vorfalls zu mindern. Im Falle einer erheblichen Cyberbedrohung unterrichten die Finanzunternehmen gegebenenfalls ihre potenziell betroffenen Kunden über angemessene Schutzmaßnahmen, die diese ergreifen könnten. 174. [Artikel] VO (EU) 2022/2554, Art. 19(4) text: (4)   Finanzunternehmen legen innerhalb der in Artikel 20 Absatz 1 Buchstabe a Ziffer ii festzulegenden Fristen der jeweils zuständigen Behörde Folgendes vor: a) eine Erstmeldung; b) nach der Erstmeldung gemäß Buchstabe a eine Zwischenmeldung, sobald sich der Status des ursprünglichen Vorfalls erheblich geändert hat oder sich die Handhabung des schwerwiegenden IKT-bezogenen Vorfalls auf der Grundlage neuer verfügbarer Informationen geändert hat, gegebenenfalls gefolgt von aktualisierten Meldungen, wann immer eine entsprechende Statusaktualisierung vorliegt, sowie auf ausdrücklichen Antrag der zuständigen Behörde; c) eine Abschlussmeldung, wenn die Ursachenanalyse abgeschlossen ist — unabhängig davon, ob bereits Minderungsmaßnahmen getroffen wurden oder nicht — und sich die tatsächlichen Auswirkungen beziffern lassen und Schätzungen ersetzen. 175. [Artikel] VO (EU) 2022/2554, Art. 19(5) text: (5)   Finanzunternehmen dürfen im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten die Meldepflichten nach diesem Artikel an einen Drittdienstleister auslagern. Bei einer solchen Auslagerung bleibt das Finanzunternehmen in vollem Umfang für die Erfüllung der Anforderungen für die Meldung von Vorfällen verantwortlich. 176. [Artikel] VO (EU) 2022/2554, Art. 19(6) text: (6)   Nach Eingang der Erstmeldung und jeder Meldung nach Absatz 4 übermittelt die zuständige Behörde auf der Grundlage der je nach Sachlage bestehenden jeweiligen Zuständigkeiten zeitnah Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall an die folgenden Empfänger: a) die EBA, die ESMA oder die EIOPA; b) die EZB, sofern es sich um Finanzunternehmen im Sinne von Artikel 2 Absatz 1 Buchstaben a, b und d handelt; c) die zuständigen Behörden, die zentrale Anlaufstelle oder die CSIRT, die jeweils gemäß der Richtlinie (EU) 2022/2555 benannt oder eingerichtet werden; d) die in Artikel 3 der Richtlinie 2014/59/EU genannten Abwicklungsbehörden und den Einheitlichen Abwicklungsausschuss (Single Resolution Board — SRB) in Bezug auf die in Artikel 7 Absatz 2 der Verordnung (EU) Nr. 806/2014 des Europäischen Parlaments und des Rates(37)genannten Unternehmen sowie in Bezug auf die in Artikel 7 Absatz 4 Buchstabe b und Absatz 5 der Verordnung (EU) Nr. 806/2014 genannten Unternehmen und Gruppen, wenn diese Einzelheiten Vorfälle betreffen, die ein Risiko für die Sicherstellung kritischer Funktionen im Sinne von Artikel 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU darstellen; und e) andere einschlägige Behörden nach nationalem Recht. 177. [Artikel] VO (EU) 2022/2554, Art. 19(7) text: (7)   Nach Erhalt der Informationen gemäß Absatz 6 bewerten die EBA, die ESMA oder die EIOPA und die EZB in Abstimmung mit der ENISA und in Zusammenarbeit mit der jeweils zuständigen Behörde, ob der schwerwiegende IKT-bezogene Vorfall für die zuständigen Behörden in anderen Mitgliedstaaten von Belang ist. Im Anschluss an diese Bewertung benachrichtigen die EBA, die ESMA oder die EIOPA die jeweils zuständigen Behörden in anderen Mitgliedstaaten entsprechend. Die EZB unterrichtet die Mitglieder des Europäischen Systems der Zentralbanken über die für das Zahlungssystem relevanten Aspekte. Auf der Grundlage dieser Unterrichtung treffen die zuständigen Behörden gegebenenfalls alle für die unmittelbare Stabilität des Finanzsystems notwendigen Schutzvorkehrungen. 178. [Artikel] VO (EU) 2022/2554, Art. 19(8) text: (8)   Die von der ESMA gemäß Absatz 7 vorzunehmende Meldung berührt nicht die Verantwortung der zuständigen Behörde, die Einzelheiten des schwerwiegenden IKT-bezogenen Vorfalls umgehend an die einschlägige Behörde des Aufnahmemitgliedstaats weiterzuleiten, wenn ein Zentralverwahrer eine umfassende grenzüberschreitende Tätigkeit in dem Aufnahmemitgliedstaat ausübt, der schwerwiegende IKT-bezogene Vorfall wahrscheinlich schwerwiegende Folgen für die Finanzmärkte des Aufnahmemitgliedstaats hat und zwischen den zuständigen Behörden Kooperationsvereinbarungen in Bezug auf die Beaufsichtigung von Finanzunternehmen bestehen. 179. [Artikel] VO (EU) 2024/1774, Art. 14(2) text: (2)   Die Finanzunternehmen konzipieren die Richtlinien, Protokolle und Tools zum Schutz von Informationen bei der Übermittlung nach Absatz 1 auf der Grundlage der Ergebnisse einer genehmigten Datenklassifizierung und der IKT-Risikobewertung. 180. [Artikel] VO (EU) 2024/1774, Art. 14(1) text: (1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten Richtlinien, Verfahren, Protokolle und Tools zum Schutz von Informationen, die übermittelt werden. Die Finanzunternehmen gewährleisten insbesondere Folgendes: a) die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten während der Übermittlung über das Netzwerk und die Festlegung von Verfahren, um zu bewerten, ob diese Anforderungen eingehalten werden; b) die Verhinderung und Erkennung von Datenlecks und die sichere Übertragung von Informationen zwischen dem Finanzunternehmen und externen Parteien; c) die Implementierung, Dokumentation und regelmäßige Überprüfung der Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die dem Bedarf des Finanzunternehmens hinsichtlich des Schutzes von Informationen im Zusammenhang mit den Mitarbeitern des Finanzunternehmens und Dritten Rechnung tragen. 181. [Artikel] VO (EU) 2024/1774, Art. 15(5) text: (5)   Der in Absatz 3 Buchstabe d genannten IKT-Projektrisikobewertung entsprechend müssen die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement vorsehen, dass das Leitungsorgan wie folgt über die Einleitung von IKT-Projekten, die sich auf kritische oder wichtige Funktionen des Finanzunternehmens auswirken, deren Fortschritte und die damit verbundenen Risiken unterrichtet wird: a) einzeln oder zusammengefasst, je nach Bedeutung und Umfang der IKT-Projekte, b) in regelmäßigen Abständen sowie erforderlichenfalls bei einzelnen Ereignissen. 182. [Artikel] VO (EU) 2024/1774, Art. 15(4) text: (4)   Durch Bereitstellung der erforderlichen Informationen und Fachkenntnisse aus dem Geschäftsbereich oder den geschäftlichen Funktionen, auf die sich das IKT-Projekt auswirkt, gewährleisten die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement die sichere Durchführung des Projekts. 183. [Artikel] VO (EU) 2024/1774, Art. 15(3) text: (3)   Die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement müssen alles Folgende beinhalten: a) die Ziele des IKT-Projekts, b) die Governance des IKT-Projekts, samt Aufgaben und Zuständigkeiten, c) die Planung, den zeitlichen Rahmen und die Etappen des IKT-Projekts, d) eine IKT-Projektrisikobewertung, e) die relevanten Etappenziele, f) die Anforderungen an das Änderungsmanagement, g) das Testen aller Anforderungen, einschließlich der Sicherheitsanforderungen, und das zugehörige Genehmigungsverfahren bei der Einführung eines IKT-Systems in der Produktionsumgebung. 184. [Artikel] VO (EU) 2024/1774, Art. 15(2) text: (2)   In den in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement werden die Elemente festgelegt, die ein wirksames Management der IKT-Projekte in Bezug auf die Beschaffung, die Wartung sowie gegebenenfalls die Entwicklung der IKT-Systeme des Finanzunternehmens gewährleisten. 185. [Artikel] VO (EU) 2024/1774, Art. 15(1) text: (1)   Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für das IKT-Projektmanagement. ============================================================ Zusammenfassung: - Verantwortlich für: 156 Einträge - Mitwirkung bei: 185 Einträge