Fachwissen DORA - DORA Verordnung, Kapitel 4

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur digitalen Betriebsstabilität des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 (Digital Operational Resilience Act – DORA)

Diese Verordnung wird allgemein als Digital Operational Resilience Act (DORA) bezeichnet und ist Teil des Digital Finance Package der Europäischen Union, das darauf abzielt, die digitale Resilienz von Finanzinstituten zu stärken und eine einheitliche Grundlage für IT-Sicherheitsstandards im Finanzsektor zu schaffen.

Kapitel 4: Tests der digitalen operationellen Resilienz

Kapitel 4 des Digital Operational Resilience Act (DORA) befasst sich mit der Durchführung von Tests zur digitalen operationellen Resilienz, die sicherstellen sollen, dass Finanzunternehmen in der Lage sind, Cyberangriffe und technische Störungen erfolgreich zu bewältigen. Diese Tests sind entscheidend, um die Widerstandsfähigkeit der IKT-Systeme und -Prozesse zu überprüfen und Schwachstellen frühzeitig zu identifizieren. Finanzinstitute müssen durch regelmäßige und umfassende Tests ihrer IKT-Infrastruktur sicherstellen, dass ihre Geschäftsprozesse auch unter widrigen Bedingungen aufrechterhalten werden können.

Dieses Kapitel legt konkrete Anforderungen für die Planung und Durchführung solcher Tests fest und fordert Finanzinstitute dazu auf, sowohl einfache technische Tests als auch komplexe Szenario-Analysen durchzuführen, um die Resilienz ihrer Systeme zu bewerten und zu verbessern.

Wesentliche Anforderungen und Maßnahmen

  1. Regelmäßige Tests der digitalen operationellen Resilienz
    • Finanzunternehmen sind verpflichtet, ihre digitalen Systeme und IKT-Prozesse regelmäßig auf ihre Resilienz zu testen. Die Häufigkeit und Tiefe der Tests müssen im Einklang mit der Kritikalität der jeweiligen IKT-Systeme und den spezifischen Risikoprofilen des Unternehmens stehen.

    • Für kritische Systeme sind häufigere und umfassendere Tests erforderlich, während für weniger kritische Systeme auch weniger umfangreiche Tests ausreichen können. Die Testhäufigkeit richtet sich dabei nach der Risikobewertung und der Bedeutung der getesteten Systeme für das Unternehmen.

  2. Verschiedene Testarten und Szenarioanalysen
    • Die Tests müssen eine Vielzahl von Bedrohungsszenarien abdecken, darunter Cyberangriffe, Systemausfälle und andere operative Risiken. Zu den erforderlichen Testarten gehören unter anderem:
      • Vulnerability Scans
        Identifizieren potenzieller Schwachstellen in der IT-Infrastruktur.

      • Penetrationstests
        Simulation von Angriffen, um mögliche Schwachstellen auszunutzen und die Effektivität der Sicherheitsmaßnahmen zu prüfen.

      • Red-Team-Tests
        Einsatz eines unabhängigen Teams, das gezielte Angriffe auf die Systeme des Unternehmens simuliert, um die Abwehrfähigkeiten der Sicherheitsmaßnahmen zu testen.

      • Szenarioanalysen
        Analyse von potenziellen Szenarien, um die Resilienz gegenüber komplexen und kombinierten Bedrohungen zu bewerten.
    • Die umfassende Teststrategie hilft Finanzunternehmen, die Robustheit ihrer Sicherheitsarchitektur zu verstehen und gezielte Maßnahmen zur Risikominderung umzusetzen.

  3. Bedrohungsorientierte Penetrationstests (TLPT)
    • Finanzinstitute sind dazu verpflichtet, regelmäßig bedrohungsorientierte Penetrationstests durchzuführen, auch bekannt als Threat-Led Penetration Testing (TLPT). Diese Tests orientieren sich an realen Bedrohungen und Angriffsmethoden, um das Unternehmen auf die Abwehr tatsächlicher Bedrohungsszenarien vorzubereiten.

    • TLPTs müssen alle kritischen Systeme und Prozesse des Unternehmens abdecken und sollten mit einer ausreichend realistischen Nachbildung der Taktiken und Techniken echter Angreifer durchgeführt werden.

    • Ziel der TLPTs ist es, die Effektivität der Sicherheitsmechanismen und die Reaktionsfähigkeit auf potenzielle Bedrohungen realistisch zu bewerten.

  4. Dokumentation und Berichterstattung
    • Finanzinstitute sind verpflichtet, die Ergebnisse aller Tests sorgfältig zu dokumentieren und für interne sowie externe Audits bereitzuhalten. Diese Dokumentation umfasst:
      • Testziele, Methoden und durchgeführte Szenarien.
      • Identifizierte Schwachstellen und Empfehlungen für Gegenmaßnahmen.
      • Maßnahmenpläne zur Behebung der aufgedeckten Schwachstellen
    • Die regelmäßige Berichterstattung über Testergebnisse und geplante Verbesserungsmaßnahmen an das Management und gegebenenfalls an Aufsichtsbehörden stellt sicher, dass alle identifizierten Risiken und Schwachstellen zeitnah adressiert werden.

  5. Korrekturmaßnahmen und Anpassungen
    • Finanzinstitute müssen auf Grundlage der Testergebnisse Korrekturmaßnahmen einleiten, um die identifizierten Schwachstellen zu beheben. Diese Maßnahmen sollten priorisiert und in einem klaren Aktionsplan festgehalten werden, um sicherzustellen, dass die Resilienz der Systeme kontinuierlich verbessert wird.

    • Die Korrekturmaßnahmen umfassen technische Anpassungen, wie das Einspielen von Sicherheitsupdates, sowie organisatorische Maßnahmen, wie Schulungen und Anpassungen der Sicherheitsrichtlinien.

    • Um die Wirksamkeit der Maßnahmen sicherzustellen, müssen diese nach der Umsetzung überprüft und gegebenenfalls erneut getestet werden.

  6. Zusammenarbeit mit kritischen IKT-Drittdienstleistern
    • Falls kritische Funktionen des Finanzunternehmens von IKT-Drittdienstleistern abhängig sind, müssen diese in die Resilienztests einbezogen werden. Dies bedeutet, dass die Dienstleister verpflichtet werden, ebenfalls geeignete Tests zur Sicherheitsüberprüfung durchzuführen und den Finanzinstituten die Ergebnisse bereitzustellen.

    • Eine enge Zusammenarbeit und klare vertragliche Regelungen mit Drittdienstleistern stellen sicher, dass auch ausgelagerte Systeme und Services die geforderte digitale Resilienz aufweisen.

Praktische Auswirkungen und Herausforderungen für den Finanzsektor

Die Anforderungen an Tests zur digitalen operationellen Resilienz haben bedeutende Auswirkungen auf den Finanzsektor und bringen verschiedene praktische Herausforderungen mit sich:

  • Erhöhung der Sicherheit durch proaktive Schwachstellenidentifikation
    Die regelmäßigen Tests ermöglichen es Finanzunternehmen, Sicherheitslücken proaktiv zu erkennen und zu schließen, bevor diese von Angreifern ausgenutzt werden können. Dies führt zu einer höheren allgemeinen Sicherheitslage und einer verbesserten Resilienz gegenüber Cyberbedrohungen.

  • Investitionen in Sicherheitsressourcen
    Die Durchführung komplexer Tests wie TLPT erfordert spezialisierte technische und personelle Ressourcen. Finanzunternehmen müssen daher in qualifiziertes Personal und spezialisierte Dienstleister investieren, die in der Lage sind, diese Tests auf einem hohen Niveau durchzuführen.

  • Stärkung der internen Cyberabwehrkompetenzen
    Die Durchführung von Tests, insbesondere Red-Team-Übungen und TLPT, schult die internen Sicherheitsteams im Umgang mit realen Bedrohungsszenarien. Dadurch werden die Kompetenzen und die Reaktionsgeschwindigkeit der IT-Abteilungen gegenüber Cyberangriffen gestärkt.

  • Verbesserung der Reaktions- und Wiederherstellungsfähigkeiten
    Die regelmäßige Durchführung von Szenarioanalysen und Simulationen sorgt dafür, dass Finanzinstitute ihre Reaktions- und Wiederherstellungsprozesse optimieren können. In Notfällen wissen die zuständigen Teams genau, wie sie vorgehen müssen, um den Schaden zu minimieren und den Betrieb schnellstmöglich wiederherzustellen.

  • Zusätzliche Belastungen durch Dokumentations- und Berichtspflichten
    Die Verpflichtung zur detaillierten Dokumentation und Berichterstattung der Testergebnisse bedeutet einen erheblichen administrativen Aufwand. Finanzinstitute müssen interne Prozesse und Systeme einrichten, um diese Daten effektiv zu erfassen, zu dokumentieren und an die zuständigen Aufsichtsbehörden weiterzuleiten.

  • Kritische Kooperation mit Drittanbietern
    Da viele Finanzinstitute auf externe Dienstleister angewiesen sind, ist eine enge Zusammenarbeit mit diesen für die Umsetzung der DORA-Anforderungen essenziell. Vertragsverhandlungen müssen so gestaltet sein, dass die Drittanbieter ebenfalls den Testanforderungen nachkommen und ihren Teil zur digitalen Resilienz beitragen. Dies könnte zu zusätzlichen Kosten und Herausforderungen bei der Zusammenarbeit führen.

  • Erweiterte Verantwortung für das Management
    Die Ergebnisse der Tests müssen regelmäßig an die Geschäftsleitung berichtet werden. Das Management ist dadurch stärker in die Überwachung der IKT-Sicherheitslage eingebunden und trägt eine erhöhte Verantwortung für die Entscheidung über Risikomanagementmaßnahmen.

Artikel 24 - Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz

(1)   Um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in Bezug auf die digitale operationale Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen, erstellen, pflegen und überprüfen Finanzunternehmen, die keine Kleinstunternehmen sind, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz als integraler Bestandteil des in Artikel 6 genannten IKT-Risikomanagementrahmens.

(2)   Das Programm für Tests der digitalen operationalen Resilienz umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools, die gemäß den Artikeln 25 und 26 anzuwenden sind.

(3)   Bei der Ausführung des in Absatz 1 genannten Programms für das Testen der digitalen operationalen Resilienz wenden Finanzunternehmen, die keine Kleinstunternehmen sind, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien einen risikobasierten Ansatz an, wobei sie die sich entwickelnden IKT-Risikolandschaften, etwaige spezifische Risiken, denen das betreffende Finanzunternehmen ausgesetzt ist oder ausgesetzt sein könnte, die Kritikalität von Informationsassets und erbrachten Dienstleistungen sowie alle sonstigen Faktoren, die das Finanzunternehmen für angemessen hält, gebührend berücksichtigen.

(4)   Finanzunternehmen, die keine Kleinstunternehmen sind, stellen sicher, dass Tests von unabhängigen, internen oder externen Parteien durchgeführt werden. Werden die Tests von einem internen Tester durchgeführt, stellen die Finanzunternehmen ausreichende Ressourcen bereit und tragen dafür Sorge, dass während der Konzeptions- und Durchführungsphase der Prüfung keine Interessenkonflikte entstehen.

(5)   Finanzunternehmen, die keine Kleinstunternehmen sind, legen Verfahren und Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme fest und legen interne Validierungsmethoden fest, um sicherzustellen, dass alle ermittelten Schwächen, Mängel oder Lücken vollständig angegangen werden.

(6)   Finanzunternehmen, die keine Kleinstunternehmen sind, stellen sicher, dass bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich angemessene Tests durchgeführt werden.

 


Artikel 25 - Testen von IKT-Tools und -Systemen

(1)   Das in Artikel 24 genannte Programm für die Tests der digitalen operationalen Resilienz beinhaltet im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien die Durchführung angemessener Tests, wie etwa Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.

(2)   Zentralverwahrer und zentrale Gegenparteien führen Schwachstellenbewertungen durch, bevor Anwendungen und Infrastrukturkomponenten sowie IKT-Dienstleistungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, eingesetzt oder wieder eingesetzt werden.

(3)   Kleinstunternehmen führen die in Absatz 1 genannten Tests durch, indem sie einen risikobasierten Ansatz mit einer strategischen Planung für IKT-Tests kombinieren, wobei sie gebührend berücksichtigen, dass zwischen dem Umfang von Ressourcen und der Zeit, die für die IKT-Tests gemäß diesem Artikel aufzuwenden sind, einerseits, und der Dringlichkeit, der Art des Risikos, der Kritikalität von Informationsassets und erbrachten Dienstleistungen sowie allen sonstigen relevanten Faktoren, einschließlich der Fähigkeit des Finanzunternehmens, kalkulierte Risiken einzugehen, andererseits, ein ausgewogenes Verhältnis gewahrt werden muss.

 


Artikel 26 - Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT

(1)   Gemäß Absatz 8 Unterabsatz 3 des vorliegenden Artikels ermittelte Finanzunternehmen, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, führen mindestens alle drei Jahre anhand von TLPT erweiterte Tests durch. Auf der Grundlage des Risikoprofils des Finanzunternehmens und unter Berücksichtigung der betrieblichen Gegebenheiten kann die zuständige Behörde das Finanzunternehmen erforderlichenfalls auffordern, die Häufigkeit dieser Tests zu verringern oder zu erhöhen.

(2)   Jeder bedrohungsorientierte Penetrationstest schließt mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens ein und wird an Live-Produktionssystemen durchgeführt, die derartige Funktionen unterstützen.

Finanzunternehmen ermitteln alle relevanten zugrunde liegenden IKT-Systeme, -Prozesse und -Technologien, die kritische oder wichtige Funktionen und IKT-Dienstleistungen unterstützen, einschließlich derer, die diejenigen kritischen oder wichtigen Funktionen unterstützen, die an IKT-Drittdienstleister ausgelagert oder per Vertrag vergeben wurden.

Finanzunternehmen bewerten, welche kritischen oder wichtigen Funktionen ein TLPT einschließen muss. Der genaue Umfang von TLPT ist vom Ergebnis dieser Bewertung abhängig und wird von den zuständigen Behörden validiert.

(3)   Sind IKT-Drittdienstleister in das Spektrum der TLPT einbezogen, ergreift das Finanzunternehmen alle erforderlichen Maßnahmen und Vorkehrungen, um die Einbindung dieser IKT-Drittdienstleister in die TLPT sicherzustellen, und trägt jederzeit die volle Verantwortung für die Gewährleistung der Einhaltung dieser Verordnung.

(4)   Wenn vernünftigerweise davon auszugehen ist, dass sich die Einbindung eines IKT-Drittdienstleisters in einen TLPT gemäß Absatz 3 nachteilig auf die Qualität oder die Sicherheit von Dienstleistungen des IKT-Drittdienstleisters an Kunden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, oder auf die Vertraulichkeit in Bezug auf die mit diesen Dienstleistungen verbundenen Daten auswirkt, können das Finanzunternehmen und der IKT-Drittdienstleister unbeschadet Absatz 2 Unterabsätze 1 und 2 schriftlich vereinbaren, dass der IKT-Drittdienstleister unmittelbar vertragliche Vereinbarungen mit einem externen Tester schließt, um unter der Leitung eines benannten Finanzunternehmens einen gebündelten TLPT durchzuführen, an dem mehrere Finanzunternehmen beteiligt sind (gebündelter Test), für die der IKT-Drittdienstleister IKT-Dienstleistungen erbringt.

Diese gebündelten Tests erstrecken sich auf das relevante Spektrum von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von den Finanzunternehmen per Vertrag an die jeweiligen IKT-Drittdienstleister vergeben wurden. Die gebündelten Tests gelten als TLPT, die von den an den gebündelten Tests beteiligten Finanzunternehmen durchgeführt werden.

Die Zahl der Finanzunternehmen, die sich an den gebündelten Tests beteiligen, wird unter Berücksichtigung der Komplexität und der Art der betreffenden Dienstleistungen angemessen austariert.

(5)   Finanzunternehmen wenden in Zusammenarbeit mit IKT-Drittdienstleistern und anderen beteiligten Parteien, einschließlich der Tester, jedoch ohne die zuständigen Behörden, wirksame Risikomanagementkontrollen an, um die Gefahr von potenziellen Auswirkungen auf Daten, Schäden an Vermögenswerten und Unterbrechungen kritischer oder wichtiger Funktionen, Dienste oder Vorgänge im Finanzunternehmen selbst, seinen Gegenparteien oder im Finanzsektor zu mindern.

(6)   Nach Abschluss der Tests und der Ausarbeitung von Berichten und Plänen mit Abhilfemaßnahmen legen das Finanzunternehmen und gegebenenfalls die externen Tester der gemäß Absatz 9 oder 10 benannten Behörde eine Zusammenfassung der maßgeblichen Ergebnisse, die Pläne mit Abhilfemaßnahmen und die Unterlagen vor, mit denen belegt wird, dass der TLPT anforderungsgemäß durchgeführt wurden.

(7)   Die Behörden stellen Finanzunternehmen eine Bescheinigung aus, aus der hervorgeht, dass der Test — wie in den Unterlagen nachgewiesen — im Einklang mit den Anforderungen durchgeführt wurde, um die gegenseitige Anerkennung bedrohungsorientierter Penetrationstests zwischen den zuständigen Behörden zu ermöglichen. Das Finanzunternehmen übermittelt der jeweils zuständigen Behörde die Bescheinigung, die Zusammenfassung der maßgeblichen Ergebnisse und die Abhilfemaßnahmen.

Unbeschadet einer solchen Bescheinigung bleiben Finanzunternehmen jederzeit in vollem Umfang für die Auswirkungen der in Absatz 4 genannten Tests verantwortlich.

(8)   Finanzunternehmen beauftragen Tester für die Zwecke der Durchführung von TLPT gemäß Artikel 27. Ziehen Finanzunternehmen für die Zwecke der Durchführung von TLPT interne Tester heran, so beauftragen sie für jeden dritten Test einen externen Tester.

Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, ziehen nur externe Tester gemäß Artikel 27 Absatz 1 Buchstaben a bis e heran.

Die zuständigen Behörden ermitteln Finanzunternehmen, die TLPT durchzuführen haben, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien und stützen sich dabei auf die Bewertung von:

a)

wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;

b)

etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;

c)

dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.

(9)   Die Mitgliedstaaten können eine einzige staatliche Behörde für den Finanzsektor benennen, die auf nationaler Ebene für mit TLPT verbundenen Angelegenheiten im Finanzsektor zuständig ist, und betrauen sie mit allen diesbezüglichen Zuständigkeiten und Aufgaben.

(10)   In Ermangelung einer Benennung gemäß Absatz 9 und unbeschadet der Befugnis zur Ermittlung der Finanzunternehmen, die verpflichtet sind, TLPT durchzuführen, kann eine zuständige Behörde die Wahrnehmung einiger oder aller in diesem Artikel oder in Artikel 27 genannten Aufgaben auf eine andere für den Finanzsektor zuständige nationale Behörde übertragen.

(11)   Die ESA arbeiten im Einvernehmen mit der EZB im Einklang mit dem TIBER-EU-Rahmen gemeinsame Entwürfe technischer Regulierungsstandards aus, in denen Folgendes präzisiert wird:

a)

die für die Zwecke der Anwendung von Absatz 8 Unterabsatz 2 herangezogenen Kriterien;

b)

die Anforderungen und Standards für den Einsatz interner Tester;

c)

die Anforderungen hinsichtlich:

i)

des Umfangs der in Absatz 2 genannten TLPT;

ii)

der Testmethodik und des Testkonzepts für jede einzelne Phase des Testverfahrens;

iii)

der Ergebnisse, des Abschlusses und der Behebungsphasen der Tests;

d)

der Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Umsetzung von TLPT und die Erleichterung der gegenseitigen Anerkennung dieser Tests im Kontext von Finanzunternehmen, die in mehr als einem Mitgliedstaat tätig sind, erforderlich ist, um eine angemessene Beteiligung der Aufsichtsbehörden und eine flexible Umsetzung zu ermöglichen, damit den Besonderheiten finanzieller Teilsektoren oder lokaler Finanzmärkte Rechnung getragen wird.

Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA gebührend etwaige Besonderheiten, die sich aus der unterschiedlichen Art der Tätigkeiten in verschiedenen Finanzdienstleistungssektoren ergeben.

Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Juli 2024.

Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

 


Artikel 27 - Anforderungen an Tester bezüglich der Durchführung von TLPT

(1)   Finanzunternehmen ziehen für TLPT nur Tester heran, die

a)

von höchster Eignung und Ansehen sind;

b)

über technische und organisatorische Fähigkeiten verfügen und spezifisches Fachwissen in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen;

c)

von einer Akkreditierungsstelle in einem Mitgliedstaat zertifiziert wurden oder formale Verhaltenskodizes oder ethische Rahmenregelungen einhalten;

d)

eine unabhängige Gewähr oder einen Auditbericht in Bezug auf das zuverlässige Management von Risiken vorlegen, die mit der Durchführung von TLPT verbunden sind, darunter auch der angemessene Schutz vertraulicher Informationen des Finanzunternehmens und ein Ausgleich der geschäftlichen Risiken des Finanzunternehmens;

e)

ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit.

(2)   Beim Einsatz interner Tester gewährleisten Finanzunternehmen, dass neben den Anforderungen in Absatz 1 auch folgende Bedingungen erfüllt sind:

a)

der Einsatz wurde von der jeweils zuständigen Behörde oder von der gemäß Artikel 26 Absätze 9 und 10 benannten einzigen staatlichen Behörde genehmigt;

b)

die jeweils zuständige Behörde hat überprüft, dass das Finanzunternehmen über ausreichende Ressourcen verfügt und sichergestellt hat, dass während der Konzeptions- und Durchführungsphase der Tests keine Interessenkonflikte entstehen; und

c)

der Anbieter von Bedrohungsanalysen gehört nicht dem Finanzunternehmen an.

(3)   Finanzunternehmen stellen sicher, dass in Verträgen, die mit externen Testern geschlossen werden, eine ordentliche Handhabung der Ergebnisse von TLPT vorgesehen ist und die diesbezügliche Datenverarbeitung, einschließlich Generierung, Speicherung, Aggregation, Entwurf, Berichterstattung, Weitergabe oder Vernichtung, keine Risiken für das Finanzunternehmen mit sich bringt.


Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

Download
H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB
Download

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH