Fachwissen DORA - DORA Verordnung, Kapitel 1-2

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur digitalen Betriebsstabilität des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 (Digital Operational Resilience Act – DORA)

Diese Verordnung wird allgemein als Digital Operational Resilience Act (DORA) bezeichnet und ist Teil des Digital Finance Package der Europäischen Union, das darauf abzielt, die digitale Resilienz von Finanzinstituten zu stärken und eine einheitliche Grundlage für IT-Sicherheitsstandards im Finanzsektor zu schaffen.

Kapitel 1: Allgemeine Bestimmungen

Kapitel 1 des Digital Operational Resilience Act (DORA) legt den allgemeinen Rahmen für die digitale operative Resilienz im Finanzsektor fest. Dieses Kapitel enthält grundlegende Definitionen, den Anwendungsbereich und die Zielsetzungen der Verordnung. Der Fokus liegt auf der Stärkung der Widerstandsfähigkeit von Finanzunternehmen gegenüber digitalen Risiken und Cyberbedrohungen und der Sicherstellung, dass diese auch unter widrigen Bedingungen betriebsfähig bleiben können.

Die Bestimmungen in diesem Kapitel schaffen die Grundlage für die gesamte Verordnung, indem sie klarstellen, welche Unternehmen und Risiken abgedeckt sind und welche spezifischen Anforderungen DORA zur Erhöhung der digitalen Resilienz stellt.


Praktische Auswirkungen auf den Finanzsektor

Die allgemeinen Bestimmungen von Kapitel 1 bilden die Grundlage für die Einhaltung der Verordnung und definieren die Rahmenbedingungen für die Umsetzung von DORA im Finanzsektor:

  • Erhöhte Verantwortung für IT-Sicherheit und Resilienz
    Finanzunternehmen sind verpflichtet, ihre digitalen Risiken aktiv zu managen und sicherzustellen, dass sie auf Bedrohungen vorbereitet sind. Dies wird die Finanzbranche dazu zwingen, ihre IKT-Sicherheitsmaßnahmen und -Richtlinien zu überdenken und verstärkte Investitionen in Cybersecurity und Resilienztests vorzunehmen.

  • Umfassende Meldepflichten und Transparenz
    Finanzunternehmen müssen schwerwiegende Vorfälle an die Behörden melden. Dies erhöht die Transparenz und die Überwachungsmöglichkeiten für die Aufsichtsbehörden. Unternehmen müssen dazu in entsprechende Berichts- und Meldestrukturen investieren, um sicherzustellen, dass alle Vorfälle dokumentiert und rechtzeitig gemeldet werden.

  • Management von Drittanbieterrisiken
    Unternehmen, die IKT-Dienstleistungen von externen Anbietern nutzen, müssen sicherstellen, dass diese Anbieter die Resilienzanforderungen erfüllen. Dies bedeutet, dass Finanzunternehmen strenge Verträge und Sicherheitsvorgaben für Drittanbieter festlegen müssen, um Compliance sicherzustellen und das Risiko von Sicherheitsvorfällen durch Drittanbieter zu minimieren.

  • Förderung einer Kultur der Resilienz
    Durch die Anforderungen von DORA sind Unternehmen gezwungen, eine widerstandsfähige IT-Kultur zu entwickeln. Das umfasst auch die Schulung von Mitarbeitern, die Implementierung von Sicherheitsrichtlinien und die kontinuierliche Verbesserung der Resilienzprozesse.

  • Differenzierter Ansatz für kleinere Unternehmen
    Durch den Grundsatz der Verhältnismäßigkeit werden kleinere Finanzunternehmen vor übermäßigen regulatorischen Belastungen geschützt. Dies stellt sicher, dass die Anforderungen der Verordnung im angemessenen Verhältnis zur Größe und Bedeutung der Unternehmen stehen.

Artikel 1 - Gegenstand

Artikel 1 beschreibt das Ziel der Verordnung: Die Einführung einheitlicher Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen. DORA verfolgt das Ziel, die Widerstandsfähigkeit von Finanzunternehmen gegenüber IT-Risiken zu erhöhen. Dies beinhaltet:

  • Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT)
    Finanzunternehmen müssen einen umfassenden Rahmen für das IKT-Risikomanagement entwickeln und implementieren, der sicherstellt, dass potenzielle Cyberrisiken und Schwachstellen identifiziert und kontrolliert werden.

  • Meldung von schwerwiegenden IKT-bezogenen Vorfällen
    Finanzunternehmen sind verpflichtet, schwerwiegende Vorfälle den zuständigen Behörden zu melden, um Transparenz zu schaffen und eine frühzeitige Reaktion auf systemische Bedrohungen zu ermöglichen.

  • Tests der digitalen operativen Resilienz
    Finanzunternehmen müssen regelmäßig Tests durchführen, um sicherzustellen, dass ihre digitalen Systeme und Prozesse robust genug sind, um Cyberangriffe und andere IKT-Risiken zu überstehen.

  • Informationsaustausch über Cyberbedrohungen
    Um Bedrohungen besser zu verstehen und gemeinsam effektive Abwehrmaßnahmen zu entwickeln, soll ein Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen und Schwachstellen stattfinden.

  • Management von IKT-Drittparteienrisiken
    Finanzunternehmen, die IKT-Dienstleistungen von Drittanbietern beziehen, müssen diese Beziehungen sorgfältig verwalten und sicherstellen, dass ihre Drittanbieter die erforderlichen Sicherheitsstandards erfüllen.

Original

 

(1)   Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden in dieser Verordnung einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, wie folgt festgelegt:

a)

auf Finanzunternehmen anwendbare Anforderungen in Bezug auf:

i)

Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT);

ii)

Meldung schwerwiegender IKT-bezogener Vorfälle und — auf freiwilliger Basis — erheblicher Cyberbedrohungen an die zuständigen Behörden;

iii)

Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch in Artikel 2 Absatz 1 Buchstaben a bis d aufgeführte Finanzunternehmen an die zuständigen Behörden;

iv)

Tests der digitalen operationalen Resilienz;

v)

Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;

vi)

Maßnahmen für das solide Management des IKT-Drittparteienrisikos;

b)

Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;

c)

Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;

d)

Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.

(2)   In Bezug auf Finanzunternehmen, die gemäß den nationalen Vorschriften zur Umsetzung von Artikel 3 der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Unternehmen ermittelt wurden, gilt diese Verordnung für die Zwecke von Artikel 4 der genannten Richtlinie als sektorspezifischer Rechtsakt der Union.

(3)   Diese Verordnung lässt die Zuständigkeiten der Mitgliedstaaten für grundlegende Funktionen des Staates in Bezug auf die öffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit im Einklang mit dem Unionsrecht unberührt.


Artikel 2 - Geltungsbereich

Artikel 2 definiert, auf welche Unternehmen DORA angewendet wird. Die Verordnung gilt für eine breite Palette an Finanzunternehmen, einschließlich:

  •     Kreditinstitute und Zahlungsinstitute
  •     Versicherungs- und Rückversicherungsunternehmen
  •     Anbieter von Krypto-Dienstleistungen
  •     Handelsplätze und Wertpapierfirmen
  •     IKT-Drittdienstleister

Der Artikel umfasst zudem Ausnahmen für bestimmte Unternehmen, wie Kleinstunternehmen und kleine Versicherungsvermittler, die nicht den gleichen strengen Anforderungen unterliegen. Dies zeigt den verhältnismäßigen Ansatz von DORA, bei dem Unternehmen entsprechend ihrer Größe und ihres Risikoprofils reguliert werden.

Die umfassende Liste der Unternehmen und Ausnahmen stellt sicher, dass alle systemrelevanten Akteure im Finanzsektor abgedeckt sind, gleichzeitig aber kleinere Unternehmen von besonders strengen Anforderungen befreit werden.

Original

(1)   Unbeschadet der Absätze 3 und 4 gilt diese Verordnung für folgende Unternehmen:

a)

Kreditinstitute,

b)

Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,

c)

Kontoinformationsdienstleister,

d)

E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,

e)

Wertpapierfirmen,

f)

Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,

g)

Zentralverwahrer,

h)

zentrale Gegenparteien,

i)

Handelsplätze,

j)

Transaktionsregister,

k)

Verwalter alternativer Investmentfonds,

l)

Verwaltungsgesellschaften,

m)

Datenbereitstellungsdienste,

n)

Versicherungs- und Rückversicherungsunternehmen,

o)

Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,

p)

Einrichtungen der betrieblichen Altersversorgung,

q)

Ratingagenturen,

r)

Administratoren kritischer Referenzwerte,

s)

Schwarmfinanzierungsdienstleister,

t)

Verbriefungsregister,

u)

IKT-Drittdienstleister.

(2)   Für die Zwecke dieser Verordnung werden die in Absatz 1 Buchstaben a bis t genannten Unternehmen zusammen als „Finanzunternehmen“ bezeichnet.

(3)   Diese Verordnung gilt nicht für:

a)

Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;

b)

Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;

c)

Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;

d)

gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;

e)

Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;

f)

Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

(4)   Die Mitgliedstaaten können die in Artikel 2 Absatz 5 Nummern 4 bis 23 der Richtlinie 2013/36/EU aufgeführten Stellen, die sich in ihrem jeweiligen Hoheitsgebiet befinden, vom Geltungsbereich dieser Verordnung ausnehmen. Macht ein Mitgliedstaat von dieser Möglichkeit Gebrauch, so setzt er die Kommission hiervon sowie von allen nachfolgenden Änderungen in Kenntnis. Die Kommission macht diese Informationen auf ihrer Website oder auf andere leicht zugängliche Weise öffentlich zugänglich.


Artikel 3 - Begriffsbestimmungen

In Artikel 3 werden wesentliche Begriffe definiert, die in der Verordnung verwendet werden.

 

Dazu gehören:

  • Digitale operationale Resilienz
    Die Fähigkeit eines Finanzunternehmens, die betriebliche Integrität und Zuverlässigkeit zu gewährleisten, auch im Falle von IKT-bezogenen Störungen.
  • IKT-Risiko
    Risiken, die sich aus der Nutzung von Netzwerk- und Informationssystemen ergeben und die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Diensten beeinflussen können.
  • Schwerwiegender IKT-bezogener Vorfall
    Ein Vorfall, der erhebliche nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme eines Finanzunternehmens hat und kritische Funktionen beeinträchtigt.
  • Cyberbedrohung
    Ein potenziell schädliches Ereignis oder eine Aktion, die ein Risiko für die Sicherheit und Integrität von IKT-Systemen darstellt.

Der Digital Operational Resilience Act (DORA) definiert in Artikel 3, Ziffer 30 zudem das „Leitungsorgan“ eines Unternehmens unter Bezugnahme auf verschiedene EU-Verordnungen und Richtlinien. Diese Definition umfasst folgende zentrale Merkmale:

  • Das Leitungsorgan ist das nach nationalem Recht bestellte Organ,
  • Es hat die Befugnis, Strategie, Ziele und Gesamtpolitik des Unternehmens festzulegen,
  • Es überwacht und kontrolliert die Entscheidungen der Geschäftsleitung und
  • Umfasst Personen, die die Geschäfte des Unternehmens tatsächlich führen.

Original

Text

 

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:

 

1.

„digitale operationale Resilienz“ die Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen;

 

2.

„Netzwerk- und Informationssystem“ ein Netz- und Informationssystem im Sinne von Artikel 6 Nummer 1 der Richtlinie (EU) 2022/2555;

 

3.

„IKT-Altsystem“ ein IKT-System, das das Ende seines Lebenszyklus (Ende seiner Lebensdauer) erreicht hat, aus technologischen oder wirtschaftlichen Gründen nicht für Upgrades oder Fehlerbehebungen in Frage kommt oder nicht mehr von seinem Anbieter oder einem IKT-Drittdienstleister unterstützt wird, das allerdings weiterhin genutzt wird und die Funktionen des Finanzunternehmens unterstützt;

 

4.

„Sicherheit von Netzwerk- und Informationssystemen“ die Sicherheit von Netz- und Informationssystemen im Sinne von Artikel 6 Nummer 2 der Richtlinie (EU) 2022/2555;

 

5.

„IKT-Risiko“ jeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten beeinträchtigen kann.

 

6.

„Informationsasset“ eine Sammlung materieller oder immaterieller Informationen, die geschützt werden sollten;

 

7.

„IKT-Asset“ eine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt;

 

8.

„IKT-bezogener Vorfall“ ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat;

 

9.

„zahlungsbezogener Betriebs- oder Sicherheitsvorfall“ ein von den in Artikel 2 Absatz 1 Buchstaben a bis d aufgeführten Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, unabhängig davon, ob es sich um IKT-bezogene Vorfälle handelt oder nicht, das bzw. die nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit zahlungsbezogener Daten oder auf die vom Finanzunternehmen bereitgestellten zahlungsbezogenen Dienste hat;

 

10.

„schwerwiegender IKT-bezogener Vorfall“ einen IKT-Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen;

 

11.

„schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfall“ einen zahlungsbezogenen Betriebs- oder Sicherheitsvorfall, der umfassende nachteilige Auswirkungen auf die bereitgestellten zahlungsbezogenen Dienste hat;

 

12.

„Cyberbedrohung“ eine Cyberbedrohung im Sinne von Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;

 

13.

„erhebliche Cyberbedrohung“ eine Cyberbedrohung, deren technische Merkmale darauf hindeuten, dass sie das Potenzial haben könnte, einen schwerwiegenden IKT-bezogenen Vorfall oder einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen;

 

14.

„Cyberangriff“ einen böswilligen IKT-bezogenen Vorfall, der auf den Versuch eines Angreifers zurückgeht, einen Vermögenswert zu zerstören, freizulegen, zu verändern, zu deaktivieren, zu entwenden oder auf unberechtigte Weise auf diesen Vermögenswert zuzugreifen oder ihn auf unberechtigte Weise zu nutzen;

 

15.

„Bedrohungsanalyse“ Informationen, die aggregiert, umgewandelt, analysiert, ausgewertet oder erweitert wurden, um den notwendigen Kontext für die Entscheidungsfindung zu schaffen und ein relevantes und ausreichendes Verständnis für die Abmilderung der Auswirkungen eines IKT-bezogenen Vorfalls oder einer Cyberbedrohung zu ermöglichen, einschließlich der technischen Einzelheiten eines Cyberangriffs, der für den Angriff verantwortlichen Personen und ihres Modus Operandi und ihrer Beweggründe;

 

16.

„Schwachstelle“ eine Schwachstelle, Empfindlichkeit oder Fehlfunktion eines Vermögenswerts, eines Systems, eines Prozesses oder einer Kontrolle, die ausgenutzt werden kann;

 

17.

„bedrohungsorientierte Penetrationstests (TLPT — Threat-Led Penetration Testing)“ einen Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht;

 

18.

„IKT-Drittparteienrisiko“ ein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden;

 

19.

„IKT-Drittdienstleister“ ein Unternehmen, das IKT-Dienstleistungen bereitstellt;

 

20.

„gruppeninterner IKT-Dienstleister“ ein Unternehmen, das Teil einer Finanzgruppe ist und überwiegend IKT-Dienstleistungen für Finanzunternehmen derselben Gruppe oder für Finanzunternehmen, die demselben institutsbezogenen Sicherungssystem angehören, bereitstellt, einschließlich deren Mutterunternehmen, Tochterunternehmen und Zweigniederlassungen oder anderer Unternehmen, die in gemeinsamem Eigentum oder unter gemeinsamer Kontrolle stehen;

 

21.

„IKT-Dienstleistungen“ digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;

 

22.

„kritische oder wichtige Funktion“ eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde;

 

23.

„kritischer IKT-Drittdienstleister“ einen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde;

 

24.

„IKT-Drittdienstleister mit Sitz in einem Drittland“ einen IKT-Drittdienstleister, bei dem es sich um eine in einem Drittland niedergelassene juristische Person handelt, die mit einem Finanzunternehmen eine vertragliche Vereinbarung über die Bereitstellung von IKT-Dienstleistungen geschlossen hat;

 

25.

„Tochterunternehmen“ ein Tochterunternehmen im Sinne von Artikel 2 Nummer 10 und Artikel 22 der Richtlinie 2013/34/EU;

 

26.

„Gruppe“ eine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU;

 

27.

„Mutterunternehmen“ ein Mutterunternehmen im Sinne von Artikel 2 Nummer 9 und Artikel 22 der Richtlinie 2013/34/EU;

 

28.

„IKT-Unterauftragnehmer mit Sitz in einem Drittland“ einen IKT-Unterauftragnehmer, bei dem es sich um eine in einem Drittland niedergelassene juristische Person handelt, die mit einem IKT-Drittdienstleister oder einem IKT-Drittdienstleister mit Sitz in einem Drittland eine vertragliche Vereinbarung geschlossen hat;

 

29.

„IKT-Konzentrationsrisiko“ die Exposition gegenüber einzelnen oder mehreren verbundenen kritischen IKT-Drittdienstleistern, die zu einer gewissen Abhängigkeit von diesen Dienstleistern führt, sodass die Nichtverfügbarkeit, der Ausfall oder sonstige Defizite dieser Dienstleister die Fähigkeit eines Finanzunternehmens gefährden könnten, kritische oder wichtige Funktionen zu erfüllen, oder bei dem Finanzunternehmen andere Formen nachteiliger Auswirkungen, einschließlich großer Verluste, herbeiführen oder die finanzielle Stabilität der Union insgesamt gefährden könnten;

 

30.

„Leitungsorgan“ ein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates (31), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;

 

31.

„Kreditinstitut“ ein Kreditinstitut im Sinne von Artikel 4 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates (32);

 

32.

„nach der Richtlinie 2013/36/EU ausgenommenes Institut“ eine in Artikel 2 Absatz 5 Nummern 4 bis 23 der Richtlinie 2013/36/EU aufgeführte Einrichtung;

 

33.

„Wertpapierfirma“ eine Wertpapierfirma im Sinne von Artikel 4 Absatz 1 Nummer 1 der Richtlinie 2014/65/EU;

 

34.

„kleine und nicht verflochtene Wertpapierfirma“ eine Wertpapierfirma, die die in Artikel 12 Absatz 1 der Verordnung (EU) 2019/2033 des Europäischen Parlaments und des Rates (33) genannten Bedingungen erfüllt;

 

35.

„Zahlungsinstitut“ ein Zahlungsinstitut im Sinne von Artikel 4 Nummer 4 der Richtlinie (EU) 2015/2366;

 

36.

„nach der Richtlinie (EU) 2015/2366 ausgenommenes Zahlungsinstitut“ ein Zahlungsinstitut, für das eine Ausnahme nach Artikel 32 Absatz 1 der Richtlinie (EU) 2015/2366 gilt;

 

37.

„Kontoinformationsdienstleister“ einen Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der Richtlinie (EU) 2015/2366;

 

38.

„E-Geld-Institut“ ein E-Geld-Institut im Sinne von Artikel 2 Nummer 1 der Richtlinie 2009/110/EG;

 

39.

„nach der Richtlinie 2009/110/EG ausgenommenes E-Geld-Institut“ ein E-Geld-Institut, für das eine Ausnahme nach Artikel 9 Absatz 1 der Richtlinie 2009/110/EG gilt;

 

40.

„zentrale Gegenpartei“ eine zentrale Gegenpartei im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) Nr. 648/2012;

 

41.

„Transaktionsregister“ ein Transaktionsregister im Sinne von Artikel 2 Nummer 2 der Verordnung (EU) Nr. 648/2012;

 

42.

„Zentralverwahrer“ ein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014;

 

43.

„Handelsplatz“ einen Handelsplatz im Sinne von Artikel 4 Absatz 1 Nummer 24 der Richtlinie 2014/65/EU.

 

44.

„Verwalter alternativer Investmentfonds“ einen Verwalter alternativer Investmentfonds im Sinne von Artikel 4 Absatz 1 Buchstabe b der Richtlinie 2011/61/EU;

 

45.

„Verwaltungsgesellschaft“ eine Verwaltungsgesellschaft im Sinne von Artikel 2 Absatz 1 Buchstabe b der Richtlinie 2009/65/EG.

 

46.

„Datenbereitstellungsdienst“ einen in Artikel 2 Absatz 1 Nummern 34 bis 36 der Verordnung (EU) Nr. 600/2014 genannten Datenbereitstellungsdienst im Sinne der genannten Verordnung;

 

47.

„Versicherungsunternehmen“ ein Versicherungsunternehmen im Sinne von Artikel 13 Nummer 1 der Richtlinie 2009/138/EG;

 

48.

„Rückversicherungsunternehmen“ ein Rückversicherungsunternehmen im Sinne von Artikel 13 Nummer 4 der Richtlinie 2009/138/EG;

 

49.

„Versicherungsvermittler“ einen Versicherungsvermittler im Sinne von Artikel 2 Absatz 1 Nummer 3 der Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates (34);

 

50.

„Versicherungsvermittler in Nebentätigkeit“ einen Versicherungsvermittler in Nebentätigkeit im Sinne von Artikel 2 Absatz 1 Nummer 4 der Richtlinie (EU) 2016/97;

 

51.

„Rückversicherungsvermittler“ einen Rückversicherungsvermittler im Sinne von Artikel 2 Absatz 1 Nummer 5 der Richtlinie (EU) 2016/97;

 

52.

„Einrichtung der betrieblichen Altersversorgung“ eine Einrichtung der betrieblichen Altersversorgung im Sinne von Artikel 6 Nummer 1 der Richtlinie (EU) 2016/2341;

 

53.

„kleine Einrichtung der betrieblichen Altersversorgung“ eine Einrichtung der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 100 Versorgungsanwärtern betreibt;

 

54.

„Ratingagentur“ eine Ratingagentur im Sinne von Artikel 3 Absatz 1 Buchstabe b der Verordnung (EG) Nr. 1060/2009;

 

55.

„Anbieter von Krypto-Dienstleistungen“ einen Anbieter von Krypto-Dienstleistungen im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten;

 

56.

„Emittent wertreferenzierter Token“ einen Emittenten „wertreferenzierter Token“ im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten;

 

57.

„Administrator kritischer Referenzwerte“ einen Administrator „kritischer Referenzwerte“ im Sinne von Artikel 3 Absatz 1 Nummer 25 der Verordnung (EU) 2016/1011;

 

58.

„Schwarmfinanzierungsdienstleister“ einen Schwarmfinanzierungsdienstleister im Sinne von Artikel 2 Absatz 1 Buchstabe e der Verordnung (EU) 2020/1503 des Europäischen Parlaments und des Rates (35);

 

59.

„Verbriefungsregister“ ein Verbriefungsregister im Sinne von Artikel 2 Nummer 23 der Verordnung (EU) 2017/2402 des Europäischen Parlaments und des Rates (36);

 

60.

„Kleinstunternehmen“ ein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet;

 

61.

„federführende Überwachungsbehörde“ die gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde;

 

62.

„Gemeinsamer Ausschuss“ den jeweils in Artikel 54 der Verordnung (EU) Nr. 1093/2010, der Verordnung (EU) Nr. 1094/2010 und der Verordnung (EU) Nr. 1095/2010 genannten Ausschuss;

 

63.

„Kleinunternehmen“ ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EUR;

 

64.

„mittleres Unternehmen“ ein Finanzunternehmen, das kein Kleinunternehmen ist, das weniger als 250 Personen beschäftigt und dessen Jahresumsatz 50 Mio. EUR und/oder dessen Jahresbilanzsumme 43 Mio. EUR nicht überschreitet;

 

65.

„staatliche Behörde“ jede staatliche Stelle oder sonstige Stelle der öffentlichen Verwaltung, einschließlich der nationalen Zentralbanken.

 


Artikel 4 - Grundsatz der Verhältnismäßigkeit

Artikel 4 fordert die Anwendung des Verhältnismäßigkeitsprinzips. Das bedeutet, dass die in DORA festgelegten Anforderungen im Einklang mit der Größe, dem Risikoprofil und der Komplexität der Finanzunternehmen angewendet werden müssen.

Für den Finanzsektor bedeutet dies, dass kleinere Unternehmen oder solche mit geringem Risikoprofil weniger strenge Anforderungen erfüllen müssen als größere, komplexere Institute. Auf diese Weise können Ressourcen effizient genutzt und die Compliance-Belastung für kleine Unternehmen minimiert werden, während große, systemrelevante Unternehmen strenge Sicherheitsstandards einhalten müssen.

Original

(1)   Die Finanzunternehmen wenden die in Kapitel II festgelegten Vorschriften im Einklang mit dem Grundsatz der Verhältnismäßigkeit an, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist.

(2)   Darüber hinaus muss die Anwendung der Kapitel III und IV sowie des Kapitels V Abschnitt I durch die Finanzunternehmen in einem angemessenen Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil sowie zu der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte stehen, wie dies in den einschlägigen Vorschriften jener Kapitel ausdrücklich vorgesehen ist.

(3)   Bei der Überprüfung der Kohärenz des IKT-Risikomanagementrahmens auf der Grundlage der Berichte, die den zuständigen Behörden gemäß Artikel 6 Absatz 5 und Artikel 16 Absatz 2 auf Anfrage vorgelegt werden, prüfen die zuständigen Behörden die Anwendung des Grundsatzes der Verhältnismäßigkeit durch die Finanzunternehmen.


Kapitel 2: IKT-Risikomanagement

Kapitel 2 des Digital Operational Resilience Act (DORA) stellt eine wesentliche Grundlage für die Sicherstellung der IKT-Risiken im Finanzsektor dar, indem es umfassende Anforderungen an die Governance, die Identifizierung, das Schutz- und Präventionsmanagement sowie die Erkennung und Wiederherstellung von IKT-Vorfällen etabliert. Die Auswirkungen und Maßnahmen, die daraus für Finanzinstitute resultieren, betreffen mehrere kritische Bereiche:

  1. Governance und interne Strukturen
    Finanzinstitute sind angehalten, klare Verantwortlichkeiten und Zuständigkeiten für das IKT-Risikomanagement zu schaffen und zu überwachen. Das Management ist verpflichtet, die IKT-Risiko-Strategien regelmäßig zu evaluieren und sicherzustellen, dass ausreichend Ressourcen und Kompetenzen für die Erkennung und Reaktion auf Bedrohungen vorhanden sind. Die Einführung einer transparenten und überprüfbaren Governance-Struktur im Bereich der IKT-Sicherheit stärkt die Fähigkeit des Unternehmens, Risiken proaktiv zu steuern und sich an regulatorische Standards zu halten.

  2. Umfangreiche Dokumentationspflichten
    Finanzunternehmen müssen detaillierte Dokumentationen aller IKT-Assets und deren Abhängigkeiten führen. Dies fördert eine umfassende Übersicht und Kontrolle über die bestehende IT-Infrastruktur und ermöglicht eine schnelle Identifikation von Schwachstellen. Die Implementierung eines IKT-Inventars stellt in der Praxis sicher, dass alle verwendeten Systeme regelmäßig überprüft und aktualisiert werden, was zu einer besseren Absicherung gegenüber Bedrohungen führt.

  3. Verstärkte Schutzmaßnahmen
    Die Einführung strikterer Schutz- und Präventionsvorgaben erfordert von Finanzunternehmen, dass sie modernste Technologien einsetzen, um den Zugang zu kritischen Systemen zu beschränken und Datenintegrität und -vertraulichkeit zu gewährleisten. Dies umfasst sowohl Verschlüsselungsmethoden als auch Zugriffskontrollmechanismen, um unberechtigte Zugriffe und Datenmanipulation zu verhindern. Für Unternehmen im Finanzsektor bedeutet dies höhere Investitionen in Sicherheitslösungen sowie die Entwicklung einer fortlaufenden Strategie zur Prävention und zur schnellen Anpassung an neu entstehende Bedrohungen.

  4. Erkennung und Reaktion auf Bedrohungen
    Finanzunternehmen sind verpflichtet, Anomalien und verdächtige Aktivitäten in ihren Netzwerken kontinuierlich zu überwachen und ein Frühwarnsystem einzurichten, das es ermöglicht, auf sicherheitsrelevante Vorfälle schnell zu reagieren. Automatisierte Alarmsysteme und erweiterte Bedrohungserkennungstools ermöglichen es den Unternehmen, eine schnelle Reaktion zu gewährleisten und so Schäden zu minimieren. Dies führt dazu, dass Unternehmen in die Entwicklung robuster Überwachungsmechanismen investieren müssen, um Cyberangriffe möglichst frühzeitig zu identifizieren.

  5. Wiederherstellung und Kontinuität
    Die Vorgaben zur Erstellung von Geschäftskontinuitäts- und Wiederherstellungsplänen stellen sicher, dass Finanzunternehmen auch bei schwerwiegenden Vorfällen betriebsbereit bleiben und die Verfügbarkeit kritischer Dienste schnell wiederherstellen können. Regelmäßige Tests der Wiederherstellungspläne und Notfallübungen sorgen dafür, dass die Wirksamkeit der Maßnahmen geprüft und optimiert wird. Für die Praxis bedeutet dies, dass Unternehmen neben der technischen Ausstattung auch auf eine kontinuierliche Schulung des Personals setzen müssen, um sicherzustellen, dass alle Beteiligten im Ernstfall wissen, welche Maßnahmen zu ergreifen sind.

  6. Backup- und Redundanz-Strategien
    Die Verpflichtung zur Sicherung und Redundanz bedeutet, dass Finanzunternehmen ihre kritischen Daten regelmäßig sichern und sichere Wiederherstellungsprotokolle einrichten müssen. Dies stellt sicher, dass Daten im Falle eines Vorfalls schnell wiederhergestellt werden können, was das Risiko eines dauerhaften Datenverlusts minimiert. Die Implementierung redundanter Systeme und Standorte erhöht die Resilienz der IT-Infrastruktur erheblich und stellt sicher, dass Unternehmen in der Lage sind, selbst bei großflächigen Ausfällen oder Angriffen ihren Betrieb fortzuführen.

  7. Lern- und Weiterentwicklungsprozesse
    Ein zentraler Bestandteil des IKT-Risikomanagements nach DORA ist die kontinuierliche Verbesserung der Resilienzmaßnahmen. Finanzunternehmen sind verpflichtet, aus vergangenen Vorfällen und regelmäßigen Tests zu lernen, um ihre Sicherheitsstrategien und Schutzmechanismen kontinuierlich zu verbessern. In der Praxis führt dies zu einer stärkeren Fokussierung auf Schulungen und Sensibilisierungsprogramme für Mitarbeiter und Management, um die unternehmensweite Awareness für Cyberrisiken zu stärken und die Reaktionsfähigkeit zu verbessern.

  8. Strukturierte Kommunikation
    Kapitel 2 hebt auch die Bedeutung eines umfassenden Kommunikationsplans hervor, um sowohl interne als auch externe Stakeholder bei IKT-bezogenen Vorfällen angemessen zu informieren. Diese Kommunikationsstrategie trägt dazu bei, dass die Öffentlichkeit und die Kunden das Vertrauen in das Unternehmen aufrechterhalten können und die zuständigen Behörden bei sicherheitsrelevanten Vorfällen schnell benachrichtigt werden. Für Finanzunternehmen bedeutet dies die Notwendigkeit, eine klare und transparente Kommunikationskultur zu etablieren, die insbesondere in Krisensituationen hilft, Informationen strukturiert und effizient weiterzugeben.

Auswirkungen auf den Finanzsektor

Kapitel 2 des DORA hat tiefgreifende Auswirkungen auf Finanzunternehmen, da es weitreichende Anforderungen an das Risikomanagement und die Sicherheitsinfrastruktur stellt. Unternehmen im Finanzsektor sind dadurch gezwungen, erhebliche Ressourcen in den Aufbau und die Pflege robuster Sicherheitsmaßnahmen zu investieren und eine resiliente, vernetzte und dynamische IKT-Umgebung zu schaffen, die den modernen Bedrohungen standhalten kann.

Insgesamt führt Kapitel 2 des DORA zu einer umfassenden Verstärkung der digitalen Resilienz im Finanzsektor und stellt sicher, dass Finanzunternehmen ihre IKT-Risiken nicht nur erkennen und bewältigen, sondern auch die erforderlichen Präventions-, Erkennungs- und Wiederherstellungsmaßnahmen ergreifen. Durch die Betonung auf kontinuierliche Anpassung und Verbesserung schafft DORA einen Rahmen, der es Unternehmen ermöglicht, ihre Sicherheitsmaßnahmen an die sich ständig weiterentwickelnden Cyberbedrohungen anzupassen. Dies fördert letztlich die Stabilität und Sicherheit des gesamten europäischen Finanzsystems.

Für Finanzunternehmen bedeutet dies:

  • Erhöhung der Sicherheitsstandards
    Unternehmen müssen ihre IT-Sicherheitsmaßnahmen ausbauen und sicherstellen, dass alle Prozesse, Systeme und Mitarbeiter auf potenzielle Bedrohungen vorbereitet sind.

  • Kosteneffiziente Ressourcenallokation
    Unternehmen müssen sicherstellen, dass genügend Ressourcen für das Risikomanagement vorhanden sind, was besonders für kleinere Unternehmen eine Herausforderung sein kann.

  • Förderung einer risikobewussten Unternehmenskultur
    Durch Schulungen und regelmäßige Tests wird eine Unternehmenskultur gefördert, die sich der Bedeutung von IKT-Sicherheit und Resilienz bewusst ist.

Artikel 5 - Governance und Organisation

Original

Artikel 5 fordert Finanzunternehmen auf, einen strukturierten internen Governance- und Kontrollrahmen für das IKT-Risikomanagement zu schaffen. Das Leitungsorgan des Unternehmens trägt die oberste Verantwortung für die Überwachung und Umsetzung aller Maßnahmen im Zusammenhang mit IKT-Risiken. Es hat folgende Aufgaben:

  • Festlegung der IKT-Risikostrategie
    Das Leitungsorgan muss sicherstellen, dass alle Aktivitäten im Zusammenhang mit dem IKT-Risikomanagement klar definiert und dokumentiert sind.

  • Zuweisung von Rollen und Verantwortlichkeiten
    Eindeutige Zuständigkeiten für IKT-bezogene Funktionen und Prozesse sind essenziell, um schnelle und effiziente Reaktionen auf Bedrohungen sicherzustellen.

  • Bereitstellung ausreichender Ressourcen
    Das Leitungsorgan muss sicherstellen, dass genügend finanzielle und personelle Ressourcen für das IKT-Risikomanagement zur Verfügung stehen.

Aufgaben des Leitungsorgans gemäß DORA
Artikel 5, Ziffer 2 der DORA beschreibt die spezifischen Aufgaben des Leitungsorgans. Es wird erwartet, dass das Leitungsorgan über fundierte Kenntnisse der DORA-Verordnung verfügt, die durch regelmäßige Fortbildungen und Schulungen nachgewiesen werden sollten. Ob diese Anforderungen auch auf den Verwaltungsrat anzuwenden sind, wird derzeit im Rahmen eines DORA-Projekts in Zusammenarbeit mit der BaFin geprüft.

Das Leitungsorgan trägt die ultimative Verantwortung für die Entscheidungen des Unternehmens und ist damit auch für die Risikoüberwachung und -steuerung verantwortlich. Bis zur endgültigen Klärung der Verantwortlichkeiten hat die Sparkasse Westholstein ihren Gesamtvorstand als Leitungsorgan definiert, der somit die Aufgabe übernimmt, Strategien und Richtlinien des Unternehmens festzulegen und deren Einhaltung zu überwachen.

Original

Text

(1)   Finanzunternehmen verfügen über einen internen Governance- und Kontrollrahmen, der im Einklang mit Artikel 6 Absatz 4 ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.

 

(2)   Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1.

Für die Zwecke von Unterabsatz 1 gilt Folgendes:

a)

Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken des Finanzunternehmens;

b)

das Leitungsorgan führt Leitlinien ein, die darauf abzielen, hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten;

c)

das Leitungsorgan legt klare Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen sowie angemessene Governance-Regelungen fest, um eine wirksame und rechtzeitige Kommunikation, Zusammenarbeit und Koordinierung zwischen diesen Funktionen zu gewährleisten;

d)

das Leitungsorgan trägt die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8, einschließlich der Festlegung der angemessenen Toleranzschwelle für das IKT-Risiko des Finanzunternehmens gemäß Artikel 6 Absatz 8 Buchstabe b;

e)

das Leitungsorgan genehmigt, überwacht und überprüft regelmäßig die Umsetzung der in Artikel 11 Absatz 1 genannten IKT-Geschäftsfortführungsleitlinie und der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne, die als eigenständige spezielle Leitlinie, die integraler Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens und seines Reaktions- und Wiederherstellungsplans ist, verabschiedet werden können;

f)

das Leitungsorgan genehmigt und überprüft regelmäßig die internen IKT-Revisionspläne des Finanzunternehmens, die IKT-Revision und die daran vorgenommenen wesentlichen Änderungen;

g)

das Leitungsorgan weist angemessene Budgetmittel zu und überprüft diese regelmäßig, um den Anforderungen des Finanzunternehmens an die digitale operationale Resilienz in Bezug auf alle Arten von Ressourcen gerecht zu werden, einschließlich einschlägiger Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz nach Artikel 13 Absatz 6 sowie IKT-Kompetenzen für alle Mitarbeiter;

h)

das Leitungsorgan genehmigt und überprüft regelmäßig die Leitlinie des Finanzunternehmens in Bezug auf Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden;

i)

das Leitungsorgan richtet auf Unternehmensebene Meldekanäle ein, die es ihm ermöglichen, ordnungsgemäß über Folgendes informiert zu werden:

i)

mit IKT-Drittdienstleistern geschlossene Vereinbarungen über die Nutzung von IKT-Dienstleistungen,

ii)

alle relevanten geplanten wesentlichen Änderungen in Bezug auf die IKT-Drittdienstleister,

iii)

die potenziellen Auswirkungen derartiger Änderungen auf die kritischen oder wichtigen Funktionen, die Gegenstand dieser Vereinbarungen sind, einschließlich einer Zusammenfassung der Risikoanalyse, um die Auswirkungen dieser Änderungen zu bewerten, und zumindest über schwerwiegende IKT-bezogene Vorfälle und deren Auswirkungen sowie über Gegen-, Wiederherstellungs- und Korrekturmaßnahmen.

 

(3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, richten eine Funktion ein, um die mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen geschlossenen Vereinbarungen zu überwachen, oder benennen ein Mitglied der Geschäftsleitung, das für die Überwachung der damit verbundenen Risikoexposition und die einschlägige Dokumentation verantwortlich ist.

 

(4)   Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können.


Artikel 6 - IKT-Risikomanagementrahmen

In Artikel 6 wird der IKT-Risikomanagementrahmen detailliert beschrieben. Finanzunternehmen müssen einen umfassenden und gut dokumentierten Rahmen entwickeln, der alle Aspekte des IKT-Risikomanagements abdeckt. Dieser Rahmen muss folgende Bereiche umfassen:

  • Identifizierung und Bewertung von IKT-Risiken
    Unternehmen sind verpflichtet, alle IKT-bezogenen Risiken systematisch zu identifizieren und ihre potenziellen Auswirkungen zu bewerten.

  • Schutzmechanismen und Präventionsmaßnahmen
    Der Rahmen muss Maßnahmen zur Risikominderung, wie z. B. Datenverschlüsselung und Netzwerk-Segmentierung, enthalten.

  • Regelmäßige Überprüfung und Verbesserung
    Der IKT-Risikomanagementrahmen ist mindestens einmal jährlich oder bei schwerwiegenden Vorfällen zu überprüfen und zu verbessern.

Original

(1)   Finanzunternehmen verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen, der Teil ihres Gesamtrisikomanagementsystems ist und es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten.

(2)   Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen sowie um alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche zu schützen, damit der angemessene Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, gewährleistet ist.

(3)   Im Einklang mit ihrem IKT-Risikomanagementrahmen minimieren Finanzunternehmen die Auswirkungen von IKT-Risiken, indem sie geeignete Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokolle und Tools einsetzen. Sie legen den zuständigen Behörden auf Anfrage vollständige und aktuelle Informationen über IKT-Risiken und ihren IKT-Risikomanagementrahmen vor.

(4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, übertragen die Zuständigkeit für das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion und stellen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenkonflikte zu vermeiden. Die Finanzunternehmen sorgen für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle.

(5)   Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich — bzw. im Falle von Kleinstunternehmen regelmäßig — sowie bei Auftreten schwerwiegender IKT-bezogener Vorfälle und nach aufsichtsrechtlichen Anweisungen oder Feststellungen, die sich aus einschlägigen Tests der digitalen operationalen Resilienz oder Auditverfahren ergeben, dokumentiert und überprüft. Der Rahmen wird auf Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf deren Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt.

(6)   Im Einklang mit dem Revisionsplan des betreffenden Finanzunternehmens ist der IKT-Risikomanagementrahmen von Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, regelmäßig einer internen Revision durch Revisoren zu unterziehen. Diese Revisoren verfügen über ausreichendes Wissen und ausreichende Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken sowie über eine angemessene Unabhängigkeit. Häufigkeit und Schwerpunkt von IKT-Revisionen sind den IKT-Risiken des Finanzunternehmens entsprechend angemessen.

(7)   Auf der Grundlage der Feststellungen aus der Überprüfung der internen Revision legen Finanzunternehmen ein förmliches Follow-up-Verfahren einschließlich Regeln für die rechtzeitige Überprüfung und Auswertung kritischer Erkenntnisse der IKT-Revision fest.

(8)   Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationale Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt wird. Zu diesem Zweck schließt die Strategie für die digitale operationale Resilienz Methoden, um IKT-Risiken anzugehen und spezifische IKT-Ziele zu erreichen, ein, indem

a)

erläutert wird, wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und die Ziele des Finanzunternehmens unterstützt;

b)

die Risikotoleranzschwelle für IKT-Risiken im Einklang mit der Risikobereitschaft des Finanzunternehmens festgelegt und die Auswirkungsstoleranz mit Blick auf IKT-Störungen untersucht wird;

c)

klare Ziele für die Informationssicherheit festgelegt werden, einschließlich der wesentlichen Leistungsindikatoren und der wesentlichen Risikokennzahlen;

d)

die IKT-Referenzarchitektur und etwaige Änderungen erläutert werden, die für die Erreichung spezifischer Geschäftsziele erforderlich sind;

e)

die verschiedenen Mechanismen dargelegt werden, die eingesetzt wurden, um IKT-bezogene Vorfälle zu erkennen, sich davor zu schützen und daraus entstehende Folgen zu verhindern;

f)

der aktuelle Stand bezüglich der digitalen operationalen Resilienz anhand der Anzahl gemeldeter schwerwiegender IKT-Vorfälle und bezüglich der Wirksamkeit von Präventivmaßnahmen dargelegt wird;

g)

Tests der digitalen operationalen Resilienz gemäß Kapitel IV dieser Verordnung durchgeführt werden;

h)

für IKT-bezogene Vorfälle eine Kommunikationsstrategie dargelegt wird, die gemäß Artikel 14 offengelegt werden muss.

(9)   Finanzunternehmen können im Zusammenhang mit der Strategie für die digitale operationale Resilienz nach Absatz 8 eine ganzheitliche Strategie zur Nutzung mehrerer IKT-Anbieter auf Gruppen- oder Unternehmensebene festlegen, in der wesentliche Abhängigkeiten von IKT-Drittdienstleistern aufgezeigt und die Gründe für die Nutzung verschiedener IKT-Drittdienstleister erläutert werden.

(10)   Finanzunternehmen können die Überprüfung der Einhaltung der Anforderungen für das IKT-Risikomanagement im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten an gruppeninterne oder externe Unternehmen auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzunternehmen weiterhin uneingeschränkt für die Überprüfung der Einhaltung der IKT-Risikomanagementanforderungen verantwortlich.


Artikel 7 - IKT-Systeme, -Protokolle und -Tools

Artikel 7 verlangt, dass Finanzunternehmen ihre IKT-Systeme, Protokolle und Tools ständig auf dem neuesten Stand halten. Diese Systeme müssen robust und anpassungsfähig sein, um nicht nur dem alltäglichen Geschäftsbetrieb, sondern auch erhöhten Anforderungen in Krisensituationen gerecht zu werden.

Für die Praxis bedeutet dies, dass Unternehmen ihre Systeme regelmäßig aktualisieren und auf technologische Entwicklungen reagieren müssen. Dies kann eine Herausforderung darstellen, da ältere Systeme oder sogenannte "Legacy-Systeme" oftmals schwer an moderne Sicherheitsstandards anzupassen sind.

Original

 

Um IKT-Risiken zu bewältigen und zu managen, verwenden und unterhalten Finanzunternehmen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools, die

 

a)

dem Umfang von Vorgängen, die die Ausübung ihrer Geschäftstätigkeiten unterstützen, im Einklang mit dem Grundsatz der Verhältnismäßigkeit nach Artikel 4 angemessen sind;

 

b)

zuverlässig sind;

 

c)

mit ausreichenden Kapazitäten ausgestattet sind, um die Daten, die für die Ausführung von Tätigkeiten und die rechtzeitige Erbringung von Dienstleistungen erforderlich sind, genau zu verarbeiten und Auftragsspitzen, Mitteilungen oder Transaktionen auch bei Einführung neuer Technologien bewältigen zu können;

 

d)

technologisch resilient sind, um dem unter angespannten Marktbedingungen oder anderen widrigen Umständen erforderlichen zusätzlichen Bedarf an Informationsverarbeitung angemessen zu begegnen.


Artikel 8 - Identifizierung

Artikel 8 legt fest, dass Finanzunternehmen alle IKT-bezogenen Unternehmensfunktionen, die potenzielle Schwachstellen aufweisen könnten, identifizieren und klassifizieren müssen. Dazu gehört:

  • Erstellung eines IKT-Inventars
    Unternehmen müssen ein Inventar aller IKT-Assets (wie Software und Hardware) führen und diese regelmäßig aktualisieren.

  • Risikoanalyse und Dokumentation
    Die Risiken, die von verschiedenen Assets ausgehen, sind zu dokumentieren und zu bewerten, insbesondere, wenn diese mit kritischen Geschäftsprozessen verbunden sind.

Original

(1)   Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind.

(2)   Finanzunternehmen ermitteln kontinuierlich alle Quellen für IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind. Finanzunternehmen überprüfen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien.

(3)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen bei jeder wesentlichen Änderung der Netzwerk- und Informationssysteminfrastruktur, der Prozesse oder Verfahren, die sich auf ihre IKT-gestützten Unternehmensfunktionen, Informations- oder IKT-Assets auswirken, eine Risikobewertung durch.

(4)   Finanzunternehmen ermitteln alle Informations- und IKT-Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, und erfassen diejenigen, die als kritisch gelten. Sie erfassen die Konfiguration von Informations- und IKT-Assets sowie die Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IKT-Assets.

(5)   Finanzunternehmen ermitteln und dokumentieren alle Prozesse, die von IKT-Drittdienstleistern abhängen, und ermitteln Vernetzungen mit IKT-Drittdienstleistern, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen.

(6)   Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren.

(7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen für alle IKT-Altsysteme regelmäßig, mindestens jedoch einmal jährlich und in jedem Fall vor und nach Anschluss von Technologien, Anwendungen oder Systemen eine spezifische Bewertung des IKT-Risikos durch.


Artikel 9 - Schutz und Prävention

Artikel 9 beschreibt spezifische Schutz- und Präventionsmaßnahmen, die Finanzunternehmen implementieren müssen, um die Sicherheit ihrer IKT-Systeme zu gewährleisten. Dazu gehören:

  • Zugriffskontrollen
    Zugang zu kritischen Systemen darf nur berechtigten Personen gewährt werden, und eine strenge Authentifizierung ist erforderlich.

  • Datenverschlüsselung
    Sensible Daten müssen sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden.

  • Netzwerksicherheit
    Implementierung robuster Sicherheitsrichtlinien und -protokolle, um den Netzwerkverkehr zu überwachen und vor Angriffen zu schützen.

Original

(1)   Um einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, überwachen und kontrollieren Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools und minimieren durch den Einsatz angemessener IKT-Sicherheitstools, -Richtlinien und -Verfahren die Auswirkungen von IKT-Risiken auf IKT-Systeme.

(2)   Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.

(3)   Um die in Absatz 2 genannten Ziele zu erreichen, greifen Finanzunternehmen auf IKT-Lösungen und -Prozesse zurück, die gemäß Artikel 4 angemessen sind. Diese IKT-Lösungen und -Prozesse müssen

a)

die Sicherheit der Datenübermittlungsmittel gewährleisten;

b)

das Risiko von Datenkorruption oder -verlust, unbefugtem Zugriff und technischen Mängeln, die die Geschäftstätigkeit beeinträchtigen können, minimieren;

c)

dem Mangel an Verfügbarkeit, der Beeinträchtigung der Authentizität und Integrität, den Verletzungen der Vertraulichkeit und dem Verlust von Daten vorbeugen;

d)

gewährleisten, dass Daten vor Risiken, die beim Datenmanagement entstehen, einschließlich schlechter Verwaltung, verarbeitungsbedingter Risiken und menschlichem Versagen, geschützt werden.

(4)   Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes:

a)

Sie erarbeiten und dokumentieren eine Informationssicherheitsleitlinie, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets, gegebenenfalls einschließlich derjenigen ihrer Kunden, festgelegt sind;

b)

sie richten entsprechend einem risikobasierten Ansatz eine solide Struktur für Netzwerk- und Infrastrukturmanagement unter Verwendung angemessener Techniken, Methoden und Protokolle ein, wozu auch die Umsetzung automatisierter Mechanismen zur Isolierung betroffener Informationsassets im Falle von Cyberangriffen gehören kann;

c)

sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung;

d)

sie implementieren Konzepte und Protokolle für starke Authentifizierungsmechanismen, die auf einschlägigen Normen und speziellen Kontrollsystemen basieren, sowie Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten auf der Grundlage der Ergebnisse aus genehmigten Datenklassifizierungs- und IKT-Risikobewertungsprozessen verschlüsselt werden;

e)

sie implementieren und dokumentieren Richtlinien, Verfahren und Kontrollen für das IKT-Änderungsmanagement, einschließlich Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren und fester Bestandteil des gesamten Änderungsmanagementprozesses des Finanzunternehmens sind, um sicherzustellen, dass alle Änderungen an IKT-Systemen auf kontrollierte Weise erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden;

f)

sie besitzen angemessene und umfassende dokumentierte Richtlinien für Patches und Updates.

Für die Zwecke von Unterabsatz 1 Buchstabe b konzipieren Finanzunternehmen die Infrastruktur für die Netzanbindung und Netzwerkverbindung so, dass sie sofort getrennt oder segmentiert werden kann, damit eine Ansteckung, insbesondere bei miteinander verbundenen Finanzprozessen, minimiert und verhindert wird.

Für die Zwecke von Unterabsatz 1 Buchstabe e wird das Verfahren für das IKT-Änderungsmanagement von zuständigen Leitungsebenen genehmigt und hat spezifische Protokolle.


Artikel 10 - Erkennung

Artikel 10 fordert, dass Finanzunternehmen Mechanismen zur Erkennung von Bedrohungen und Anomalien implementieren. Hierzu gehören:

  • Überwachungssysteme
    Ständige Überwachung des Netzwerkverkehrs, um ungewöhnliche Aktivitäten und potenzielle Angriffe frühzeitig zu erkennen.

  • Automatische Warnmechanismen
    Einsatz von Alarmsystemen, die Sicherheitsverantwortliche sofort über Bedrohungen informieren.

Original

(1)   Finanzunternehmen verfügen über Mechanismen, um anomale Aktivitäten im Einklang mit Artikel 17, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln.

Alle in Unterabsatz 1 aufgeführten Erkennungsmechanismen werden gemäß Artikel 25 regelmäßig getestet.

(2)   Die in Absatz 1 genannten Erkennungsmechanismen ermöglichen mehrere Kontrollebenen und legen Alarmschwellen und -kriterien fest, um Reaktionsprozesse bei IKT-bezogenen Vorfällen auszulösen und einzuleiten, einschließlich automatischer Warnmechanismen für Mitarbeiter, die für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen zuständig sind.

(3)   Finanzunternehmen stellen ausreichende Ressourcen und Kapazitäten bereit, um Nutzeraktivitäten, das Auftreten von IKT-Anomalien und IKT-bezogenen Vorfällen, darunter insbesondere Cyberangriffe, zu überwachen.

(4)   Datenbereitstellungsdienste verfügen darüber hinaus über Systeme, mit denen wirksam Handelsauskünfte auf Vollständigkeit geprüft, Lücken und offensichtliche Fehler erkannt und eine Neuübermittlung angefordert werden können.


Artikel 11 - Reaktion und Wiederherstellung

Artikel 11 legt fest, dass Finanzunternehmen einen IKT-Geschäftsfortführungsplan und Wiederherstellungspläne implementieren müssen. Diese Pläne sollten sicherstellen, dass:

  • Kritische Geschäftsprozesse auch im Falle eines IKT-Vorfalls funktionsfähig bleiben.

  • Notfallmaßnahmen und Kommunikationsstrategien bereitstehen, um schnell auf Sicherheitsvorfälle zu reagieren und die Geschäftskontinuität wiederherzustellen.

  • Regelmäßige Tests der Wiederherstellungspläne durchgeführt werden, um ihre Effektivität zu gewährleisten.

Original

(1)   Als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens und auf der Grundlage der Identifizierungsanforderungen nach Artikel 8 legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann.

(2)   Finanzunternehmen implementieren die IKT-Geschäftsfortführungsleitlinie mittels spezieller, angemessener und dokumentierter Regelungen, Pläne, Verfahren und Mechanismen, die darauf abzielen,

a)

die Fortführung der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen;

b)

auf alle IKT-bezogenen Vorfälle rasch, angemessen und wirksam zu reagieren und diesen so entgegenzuwirken, dass Schäden begrenzt werden und die Wiederaufnahme von Tätigkeiten und Wiederherstellungsmaßnahmen Vorrang erhalten;

c)

unverzüglich spezielle Pläne zu aktivieren, die Eindämmungsmaßnahmen, Prozesse und Technologien für alle Arten IKT-bezogener Vorfälle ermöglichen und weitere Schäden vermeiden, sowie maßgeschneiderte Verfahren zur Reaktion und Wiederherstellung gemäß Artikel 12 zu aktivieren;

d)

vorläufige Auswirkungen, Schäden und Verluste einzuschätzen;

e)

Kommunikations- und Krisenmanagementmaßnahmen festzulegen, die gewährleisten, dass allen relevanten internen Mitarbeitern und externen Interessenträgern im Sinne von Artikel 14 aktualisierte Informationen übermittelt werden, und die Meldung an die zuständigen Behörden gemäß Artikel 19 sicherstellen.

(3)   Finanzunternehmen implementieren als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens damit verbundene IKT-Reaktions- und Wiederherstellungspläne, die einer unabhängigen internen Revision zu unterziehen sind, sofern es sich bei dem Finanzunternehmen nicht um ein Kleinstunternehmen handelt.

(4)   Finanzunternehmen erstellen, pflegen und testen regelmäßig angemessene IKT-Geschäftsfortführungspläne, insbesondere in Bezug auf kritische oder wichtige Funktionen, die ausgelagert oder durch vertragliche Vereinbarungen an IKT-Drittdienstleister vergeben werden.

(5)   Als Teil der allgemeinen Geschäftsfortführungsleitlinie führen Finanzunternehmen eine Business-Impact-Analyse (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durch. Im Rahmen der BIA bewerten Finanzunternehmen die potenziellen Auswirkungen schwerwiegender Betriebsstörungen anhand quantitativer und qualitativer Kriterien, wobei sie gegebenenfalls interne und externe Daten und Szenarioanalysen heranziehen. Dabei werden die Kritikalität der identifizierten und erfassten Unternehmensfunktionen, Unterstützungsprozesse, Abhängigkeiten von Dritten und Informationsassets sowie deren Interdependenzen berücksichtigt. Die Finanzunternehmen stellen sicher, dass IKT-Assets und -Dienste in voller Übereinstimmung mit der BIA konzipiert und genutzt werden, insbesondere wenn es darum geht, die Redundanz aller kritischen Komponenten in angemessener Weise zu gewährleisten.

(6)   Im Rahmen ihres umfassenden IKT-Risikomanagements gilt für Finanzunternehmen Folgendes:

a)

sie testen bei IKT-Systemen, die alle Funktionen unterstützen, mindestens jährlich sowie im Falle jeglicher wesentlicher Änderungen an IKT-Systemen, die kritische oder wichtige Funktionen unterstützen, die IKT-Geschäftsfortführungspläne sowie die IKT-Reaktions- und Wiederherstellungspläne;

b)

sie testen die gemäß Artikel 14 erstellten Krisenkommunikationspläne.

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, nehmen für die Zwecke von Unterabsatz 1 Buchstabe a Szenarien für Cyberangriffe und Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme, die für die Erfüllung der Verpflichtungen nach Artikel 12 erforderlich sind, in ihre Testpläne auf.

Finanzunternehmen überprüfen ihre IKT-Geschäftsfortführungsleitlinie und ihre IKT-Reaktions- und Wiederherstellungspläne regelmäßig und berücksichtigen dabei die Ergebnisse von Tests, die gemäß Unterabsatz 1 durchgeführt wurden, sowie die Empfehlungen, die sich aus Audits oder aufsichtlichen Überprüfungen ergeben.

(7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, verfügen über eine Krisenmanagementfunktion, die bei Aktivierung ihrer IKT- Geschäftsfortführungspläne oder ihrer IKT-Reaktions- und Wiederherstellungspläne unter anderem klare Verfahren für die Abwicklung interner und externer Krisenkommunikation gemäß Artikel 14 festlegt.

(8)   Finanzunternehmen sorgen dafür, dass Aufzeichnungen über die Tätigkeiten vor und während Störungen, wenn ihre IKT-Geschäftsfortführungspläne oder ihre IKT-Reaktions- und Wiederherstellungspläne aktiviert werden, jederzeit eingesehen werden können.

(9)   Zentralverwahrer übermitteln den zuständigen Behörden Kopien der Ergebnisse der Tests der IKT-Geschäftsfortführung oder ähnlicher Vorgänge.

(10)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, melden den zuständigen Behörden auf Anfrage die geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden.

(11)   Gemäß jeweils Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 arbeiten die Europäischen Aufsichtsbehörden (im Folgenden „ESA“) über den Gemeinsamen Ausschuss bis zum 17. Juli 2024 gemeinsame Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste nach Absatz 10 aus.


Artikel 12 - Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung

Artikel 12 verlangt, dass Finanzunternehmen umfassende Backup- und Wiederherstellungsrichtlinien umsetzen. Hierzu gehören:

  • Regelmäßige Datensicherung
    Regelmäßiges Backup aller kritischen Daten, um bei Datenverlust schnell eine Wiederherstellung zu ermöglichen.

  • Redundante Systeme
    Einrichtung redundanter IKT-Kapazitäten, die im Notfall den Geschäftsbetrieb übernehmen können.

Original

(1)   Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten als Teil ihres IKT-Risikomanagementrahmens sicherzustellen, entwickeln und dokumentieren Finanzunternehmen:

a)

Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden;

b)

Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden.

(2)   Finanzunternehmen richten Datensicherungssysteme ein, die in Übereinstimmung mit den Richtlinien und Verfahren zur Datensicherung sowie den Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung aktiviert werden können. Die Aktivierung von Datensicherungssystemen darf die Sicherheit der Netzwerk- und Informationssysteme oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten nicht gefährden. Die Datensicherungsverfahren sowie die Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden sind regelmäßig zu testen.

(3)   Bei der Wiedergewinnung gesicherter Daten mithilfe eigener Systeme verwenden Finanzunternehmen IKT-Systeme, die von ihrem Quellsystem physisch und logisch getrennt sind. Die IKT-Systeme müssen sicher vor unbefugtem Zugriff oder IKT-Manipulationen geschützt sein und die rechtzeitige Wiederherstellung von Diensten ermöglichen, wobei erforderlichenfalls Daten- und Systemsicherungen (Backups) zu nutzen sind.

Bei zentralen Gegenparteien ermöglichen die Wiederherstellungspläne die Wiederherstellung aller zum Zeitpunkt der Störung laufenden Transaktionen, damit die zentrale Gegenpartei weiterhin sicher arbeiten und die Abwicklung zum vorgesehenen Zeitpunkt abschließen kann.

Datenbereitstellungsdienste unterhalten zusätzlich angemessene Ressourcen und verfügen über die entsprechenden Sicherungs- und Wiedergewinnungseinrichtungen, damit ihre Dienste jederzeit angeboten und aufrechterhalten werden können.

(4)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, unterhalten redundante IKT-Kapazitäten mit Ressourcen, Fähigkeiten und Funktionen, die für die Deckung des Geschäftsbedarfs ausreichen und angemessen sind. Kleinstunternehmen bewerten auf der Grundlage ihres Risikoprofils, ob diese redundanten IKT-Kapazitäten unterhalten werden müssen.

(5)   Zentralverwahrer unterhalten mindestens einen sekundären Verarbeitungsstandort, dessen Ressourcen, Kapazitäten, Funktionen und Personalressourcen angemessen sind, um den Geschäftsbedarf zu decken.

Der sekundäre Verarbeitungsstandort

a)

befindet sich in geografischer Entfernung vom primären Verarbeitungsstandort, damit er ein eigenes Risikoprofil aufweist und nicht von dem Ereignis, das sich am primären Standort ereignet hat, betroffen ist;

b)

kann die Kontinuität kritischer oder wichtiger, mit dem primären Standort identischer Funktionen gewährleisten oder ein Leistungsniveau bereitstellen, mit dem sichergestellt wird, dass das Finanzunternehmen seine kritischen Vorgänge im Rahmen der Wiederherstellungsziele durchführt;

c)

ist für das Personal des Finanzunternehmens unmittelbar zugänglich, damit die Kontinuität kritischer oder wichtiger Funktionen gewährleistet werden kann, falls der primäre Verarbeitungsstandort nicht mehr zur Verfügung steht.

(6)   Bei der Festlegung der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte jeder Funktion berücksichtigen die Finanzunternehmen, ob es sich um eine kritische oder wichtige Funktion handelt, sowie die potenziellen Gesamtauswirkungen auf die Markteffizienz. Mit diesen Zeitvorgaben ist sichergestellt, dass die vereinbarte Dienstleistungsgüte in Extremszenarien erreicht werden.

(7)   Bei der Wiederherstellung nach IKT-bezogenen Vorfällen führen Finanzunternehmen die erforderlichen Prüfungen durch, einschließlich jeglicher Mehrfachprüfungen und Abgleiche, um die größtmögliche Datenintegrität sicherzustellen. Diese Prüfungen werden auch bei der Rekonstruktion von Daten externer Interessenträger durchgeführt, um sicherzustellen, dass alle Daten systemübergreifend einheitlich sind.


Artikel 13 - Lernprozesse und Weiterentwicklung

Artikel 13 fordert Finanzunternehmen auf, aus vergangenen Vorfällen und Tests zu lernen und ihre IKT-Risikomanagementpraktiken kontinuierlich zu verbessern. Hierzu gehören:

  • Nachträgliche Analysen von Sicherheitsvorfällen, um Schwachstellen zu identifizieren und zukünftige Vorfälle zu vermeiden.

  • Regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter, um das Bewusstsein für Cyberrisiken zu schärfen und deren Fähigkeit zur Erkennung und Reaktion auf Bedrohungen zu stärken.

Original

(1)   Finanzunternehmen verfügen über Kapazitäten und Personal, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen.

(2)   Nach Störungen ihrer Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle sehen Finanzunternehmen nachträgliche Prüfungen IKT-bezogener Vorfälle vor, die die Ursachen für Störungen untersuchen und die erforderlichen Verbesserungen an IKT-Vorgängen oder im Rahmen der in Artikel 11 genannten IKT-Geschäftsfortführungsleitlinie identifizieren.

Finanzunternehmen, die keine Kleinstunternehmen sind, teilen den zuständigen Behörden auf Verlangen die Änderungen mit, die nach der Prüfung IKT-bezogener Vorfälle gemäß Unterabsatz 1 vorgenommen wurden.

Bei den in Unterabsatz 1 genannten nachträglichen Prüfungen IKT-bezogener Vorfälle wird ermittelt, ob die festgelegten Verfahren befolgt und die ergriffenen Maßnahmen wirksam waren, unter anderem in Bezug auf:

a)

die Schnelligkeit bei der Reaktion auf Sicherheitswarnungen und bei der Bestimmung der Auswirkungen von IKT-bezogenen Vorfällen und ihrer Schwere;

b)

die Qualität und Schnelligkeit bei der Durchführung forensischer Analysen, sofern dies als zweckmäßig erachtet wird;

c)

die Wirksamkeit der Eskalation von Vorfällen innerhalb des Finanzunternehmens;

d)

die Wirksamkeit interner und externer Kommunikation.

(3)   Erkenntnisse aus gemäß den Artikeln 26 und 27 durchgeführten Tests der digitalen operationalen Resilienz und aus realen IKT-bezogenen Vorfällen, insbesondere Cyberangriffen, werden neben Herausforderungen, die sich bei der Aktivierung von IKT- Geschäftsfortführungsplänen und IKT-Reaktions- und Wiederherstellungsplänen ergeben, zusammen mit einschlägigen Informationen, die mit Gegenparteien ausgetauscht und im Rahmen aufsichtlicher Überprüfungen bewertet werden, kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen. Diese Erkenntnisse bilden die Grundlage für angemessene Überprüfungen relevanter Komponenten des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1.

(4)   Finanzunternehmen überwachen die Wirksamkeit der Umsetzung ihrer Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8. Dabei erfassen sie die Entwicklung der IKT-Risiken im Zeitverlauf, untersuchen Häufigkeit, Art, Ausmaß und Entwicklung IKT-bezogener Vorfälle, insbesondere Cyberangriffe und deren Muster, um das Ausmaß der IKT-Risiken — insbesondere in Bezug auf kritische oder wichtige Funktionen — zu verstehen und die Cyberreife und die Abwehrbereitschaft des Finanzunternehmens zu verbessern.

(5)   Leitende IKT-Mitarbeiter erstatten dem Leitungsorgan mindestens einmal jährlich über die in Absatz 3 genannten Feststellungen Bericht und geben Empfehlungen ab.

(6)   Finanzunternehmen entwickeln Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz, die im Rahmen ihrer Programme für die Mitarbeiterschulung obligatorisch sind. Diese Programme und Schulungen gelten für alle Beschäftigten und die Geschäftsleitung und sind so komplex, dass sie deren jeweiligem Aufgabenbereich angemessen sind. Gegebenenfalls nehmen die Finanzunternehmen entsprechend Artikel 30 Absatz 2 Buchstabe i auch IKT-Drittdienstleister in ihre einschlägigen Schulungsprogramme auf.

(7)   Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, überwachen einschlägige technologische Entwicklungen fortlaufend — auch um die möglichen Auswirkungen des Einsatzes solcher neuen Technologien auf die Anforderungen an die IKT-Sicherheit und die digitale operationale Resilienz zu verstehen. Sie halten sich über die neuesten Prozesse für das IKT-Risikomanagement auf dem Laufenden, um gegenwärtige oder neue Formen von Cyberangriffen wirksam abzuwehren.


Artikel 14 - Kommunikation

Artikel 14 betont die Bedeutung eines strukturierten Kommunikationsplans im Falle eines IKT-bezogenen Vorfalls. Finanzunternehmen müssen Kommunikationsstrategien entwickeln, die sicherstellen, dass:

  • Interne und externe Stakeholder über relevante Vorfälle informiert werden.

  • Sensible Informationen angemessen geschützt bleiben und gleichzeitig Transparenz gewahrt wird, um das Vertrauen der Kunden zu erhalten.

Original

 

(1)   Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 verfügen Finanzunternehmen über Kommunikationspläne, die je nach Sachlage eine verantwortungsbewusste Offenlegung zumindest von schwerwiegenden IKT-bezogenen Vorfällen oder Schwachstellen gegenüber Kunden und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen.

(2)   Als Teil des IKT-Risikomanagementrahmens setzen Finanzunternehmen Kommunikationsstrategien für interne Mitarbeiter und externe Interessenträger um. Bei Kommunikationsleitlinien für Mitarbeiter wird berücksichtigt, dass zwischen dem Personal, das am IKT-Risikomanagement, insbesondere im Bereich Reaktion und Wiederherstellung, beteiligt ist, und dem zu informierendem Personal unterschieden werden muss.

(3)   Mindestens eine Person im Finanzunternehmen ist mit der Umsetzung der Kommunikationsstrategie für IKT-bezogene Vorfälle beauftragt und nimmt zu diesem Zweck die entsprechende Aufgabe gegenüber der Öffentlichkeit und den Medien wahr.


Artikel 15 - Weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für IKT-Risikomanagement

Artikel 15 des Digital Operational Resilience Act (DORA) befasst sich mit der Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für das IKT-Risikomanagement. Die Europäischen Aufsichtsbehörden (ESA) sollen in Zusammenarbeit mit der ENISA technische Regulierungsstandards entwickeln, um spezifische Anforderungen an die IKT-Sicherheit in Finanzinstituten zu definieren.

Kerninhalte:

  • Erweiterung der Sicherheitsrichtlinien
    Es sollen zusätzliche Elemente für IKT-Sicherheitsrichtlinien festgelegt werden, um sicherzustellen, dass Netzwerke und Daten vor Missbrauch und Angriffen geschützt sind. Dies umfasst hohe Standards für die Verfügbarkeit, Integrität und Vertraulichkeit von Daten.

  • Zugangskontrollen
    Detaillierte Richtlinien für die Verwaltung von Zugangsrechten, einschließlich der Überwachung anomaler Aktivitäten und der Implementierung spezifischer Kontrollsysteme, sollen entwickelt werden. Dies ist besonders wichtig für die Kontrolle von Netzwerknutzungsmustern und die Sicherung von IT-Ressourcen gegen unautorisierte Zugriffe.

  • Erkennung anomaler Aktivitäten
    Verbesserte Mechanismen zur Erkennung und schnellen Reaktion auf verdächtige Aktivitäten in Netzwerken sollen eingeführt werden, um eine frühzeitige Identifikation und Handhabung von Sicherheitsrisiken zu ermöglichen.

Original

 

Die ESA entwickeln über den Gemeinsamen Ausschuss in Abstimmung mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) gemeinsame Entwürfe technischer Regulierungsstandards für folgende Zwecke:

a)

die Festlegung weiterer Elemente, die in die in Artikel 9 Absatz 2 genannten Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit aufzunehmen sind, um die Sicherheit von Netzwerken zu gewährleisten, angemessene Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten zu ermöglichen, die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten, einschließlich kryptografischer Techniken, zu wahren und eine präzise und rasche Datenübermittlung ohne wesentliche Störungen und unangemessene Verzögerungen zu gewährleisten;

b)

die Entwicklung weiterer Komponenten der Kontrollen von Zugangs- und Zugriffsrechten gemäß Artikel 9 Absatz 4 Buchstabe c und der damit verbundenen Personalpolitik, mit denen Zugangsrechte, Verfahren für Erteilung und Widerruf von Rechten, die Überwachung anomalen Verhaltens in Bezug auf IKT-Risiken durch angemessene Indikatoren — auch für Netzwerknutzungsmuster, Zeiten, IT-Aktivität und unbekannte Geräte — spezifiziert werden;

c)

die Weiterentwicklung der in Artikel 10 Absatz 1 genannten Mechanismen, die eine umgehende Erkennung anomaler Aktivitäten ermöglichen, sowie der in Artikel 10 Absatz 2 genannten Kriterien, die Verfahren für die Erkennung IKT-bezogener Vorfälle und die damit verbundenen Reaktionsprozesse auslösen;

d)

die Spezifizierung der in Artikel 11 Absatz 1 genannten Komponenten der IKT-Geschäftsfortführungsleitlinie;

e)

die Spezifizierung der Tests von IKT-Geschäftsfortführungsplänen gemäß Artikel 11 Absatz 6, damit bei diesen Tests Szenarien, in denen die Qualität der Bereitstellung einer kritischen oder wichtigen Funktion auf ein inakzeptables Niveau absinkt oder diese Funktion ganz ausfällt, und die potenziellen Auswirkungen der Insolvenz oder sonstiger Ausfälle einschlägiger IKT-Drittdienstleister sowie gegebenenfalls die etwaigen politischen Risiken in den Rechtsordnungen in den Ländern und Gebieten der jeweiligen Anbieter gebührend berücksichtigt werden;

f)

die Spezifizierung der Komponenten der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne;

g)

die Spezifizierung von Inhalt und Form des in Artikel 6 Absatz 5 genannten Berichts über die Überprüfung des IKT-Risikomanagementrahmens.

Bei der Entwicklung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte, wobei sie etwaigen Besonderheiten, die sich aus der unterschiedlichen Art der Tätigkeiten in verschiedenen Finanzdienstleistungssektoren ergeben, gebührend Rechnung tragen.

Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024.

Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Absatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

 


Artikel 16 - Vereinfachter IKT-Risikomanagementrahmen

Artikel 16 des Digital Operational Resilience Act (DORA) definiert den vereinfachten IKT-Risikomanagementrahmen für bestimmte kleine und nicht verflochtene Finanzinstitute wie Wertpapierfirmen, Zahlungsinstitute und kleine Altersvorsorgeeinrichtungen. Dieser Artikel stellt klar, dass für diese kleineren Einrichtungen einige Anforderungen (Artikel 5 bis 15) des umfassenden IKT-Risikomanagements nicht gelten. Stattdessen wird ein reduzierter Rahmen geschaffen, der den spezifischen Bedürfnissen und Ressourcen dieser kleineren Finanzunternehmen gerecht wird.

Kerninhalte:

  • Grundanforderungen für IKT-Risikomanagement
    Die betroffenen Unternehmen müssen dennoch einen dokumentierten IKT-Risikomanagementrahmen etablieren, der Mechanismen zur Identifikation und Steuerung von IKT-Risiken umfasst, einschließlich Maßnahmen zum Schutz der Infrastruktur.

  • Kontinuierliche Überwachung
    Es wird gefordert, dass die Sicherheit und das ordnungsgemäße Funktionieren aller IKT-Systeme kontinuierlich überwacht wird.

  • IKT-Systeme und -Protokolle
    Die Unternehmen sind verpflichtet, robuste und aktualisierte Systeme und Protokolle einzusetzen, um die Auswirkungen von IKT-Risiken zu minimieren. Dies umfasst auch Backups und Maßnahmen zur Wiederherstellung bei Ausfällen.

Original

(1)   Artikel 5 bis 15 gelten nicht für kleine und nicht verflochtene Wertpapierfirmen, entsprechend der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, entsprechend der Richtlinie 2013/36/EU ausgenommene Institute, für die die Mitgliedstaaten beschlossen haben, nicht von der in Artikel 2 Absatz 4 der vorliegenden Verordnung genannten Möglichkeit Gebrauch zu machen, nach der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersversorgung.

Unbeschadet des Unterabsatzes 1 müssen die in Unterabsatz 1 genannten Stellen

a)

einen soliden und dokumentierten IKT-Risikomanagementrahmen errichten und aufrechterhalten, in dem die Mechanismen und Maßnahmen für ein rasches, effizientes und umfassendes Management des IKT-Risikos, einschließlich des Schutzes der einschlägigen physischen Komponenten und Infrastrukturen, detailliert sind;

b)

die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen;

c)

die Auswirkungen von IKT-Risiken minimieren, indem solide, resiliente und aktualisierte IKT-Systeme, -Protokolle und -Tools, die zur Unterstützung der Durchführung ihrer Tätigkeiten und zur Bereitstellung von Diensten angemessen sind, verwendet werden, und in angemessener Weise die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten in den Netzwerk- und Informationssystemen schützen;

d)

eine rasche Ermittlung und Aufdeckung der Ursachen von IKT-Risiken und -Anomalien in den Netzwerk- und Informationssystemen sowie eine rasche Handhabung von IKT-Vorfällen ermöglichen;

e)

die wesentlichen Abhängigkeiten von IKT-Drittdienstleistern ermitteln;

f)

die Kontinuität kritischer oder wichtiger Funktionen durch Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen, die zumindest Sicherungs- und Wiedergewinnungsmaßnahmen umfassen, gewährleisten;

g)

die unter Buchstabe f genannten Pläne und Maßnahmen sowie die Wirksamkeit der gemäß den Buchstaben a und c durchgeführten Kontrollen regelmäßig testen;

h)

gegebenenfalls die relevanten operativen Schlussfolgerungen, die sich aus den Tests gemäß Buchstabe g und der Analyse nach einem Vorfall ergeben, in den IKT-Risikobewertungsprozess einbeziehen und entsprechend dem Bedarf und dem IKT-Risikoprofil Programme zur Sensibilisierung für IKT-Sicherheit sowie Schulungen zur digitalen operationalen Resilienz für Personal und Management entwickeln.

(2)   Der in Absatz 1 Unterabsatz 2 Buchstabe a genannte IKT-Risikomanagementrahmen wird regelmäßig und bei Auftreten schwerwiegender IKT-bezogener Vorfälle entsprechend den aufsichtsrechtlichen Anweisungen dokumentiert und überprüft. Der Rahmen wird auf der Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt.

(3)   Die ESA entwickeln über den Gemeinsamen Ausschuss in Abstimmung mit der ENISA gemeinsame Entwürfe technischer Regulierungsstandards für die folgenden Zwecke:

a)

Spezifizierung der Elemente, die in den in Absatz 1 Unterabsatz 1 Buchstabe a genannten IKT-Risikomanagementrahmen aufzunehmen sind;

b)

Spezifizierung der Elemente in Bezug auf Systeme, Protokolle und Tools zur Minimierung der in Absatz 1 Unterabsatz 2 Buchstabe c genannten Auswirkungen von IKT-Risiken, um die Sicherheit der Netzwerke zu gewährleisten, angemessene Schutzvorkehrungen gegen Eindringen und Datenmissbrauch zu ermöglichen und die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten zu wahren;

c)

Spezifizierung der Komponenten der in Absatz 1 Unterabsatz 2 Buchstabe f genannten IKT-Geschäftsfortführungspläne;

d)

Spezifizierung der Vorschriften über die Tests der Geschäftsfortführungspläne und Gewährleistung der Wirksamkeit der Kontrollen gemäß Absatz 1 Unterabsatz 2 Buchstabe g und Gewährleistung, dass bei diesen Tests Szenarien, in denen die Qualität der Bereitstellung einer kritischen oder wichtigen Funktion auf ein inakzeptables Niveau absinkt oder diese Funktion ganz ausfällt, gebührend berücksichtigt werden;

e)

nähere Spezifizierung von Inhalt und Form des in Absatz 2 genannten Berichts über die Überprüfung des IKT-Risikomanagementrahmens.

Bei der Entwicklung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte.

Die ESA übermitteln der Kommission die Entwürfe dieser technischen Regulierungsstandards bis zum 17. Januar 2024.

Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

 


Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Wir bieten

  • Projektmanagement aus einer Hand
  • Strategische Partnerschaften mit exzellenten Marktführern
  • Unterstützt durch modernste Künstliche Intelligenz Technologie eischl. Machine Learning Library (KI, MLL)
  • Innovative Lösungen und fundierte Expertise für Ihren Projekterfolg
KI-unterstütztes Projektmanagement
Mit strategischen Partnerschaften zum nachhaltigen Erfolg
HUB_Leistungsportfolio.pdf
Adobe Acrobat Dokument 5.3 MB

Auszeichnung

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

- Eine Beratung mit PROFIL -

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH