EU: Ent­wurf Ver­ord­nung zur Stär­kung der IT-Resi­li­enz im Finanz­be­reich

Die EU arbei­tet an einer neu­en Ver­ord­nung zur Rege­lung der Stär­kung der Resi­li­enz von IT-Pro­zes­sen im Finanz­be­reich (Regu­la­ti­on on digi­tal ope­ra­tio­nal resi­li­en­ce for the finan­cial sec­tor). Der Ent­wurf ist bis­her nur auf Eng­lisch ver­füg­bar.

Die Ver­ord­nung soll bestimm­te ein­heit­li­che Anfor­de­run­gen an die Sicher­heit von Netz- und IT-Syste­men fest­le­gen, die Finanz­in­sti­tu­te zur Unter­stüt­zung der Geschäfts­pro­zes­sen ver­wen­den, mit dem Ziel, um “ein hohes gemein­sa­mes Maß an digi­ta­ler Betriebs­si­cher­heit” zu gewähr­lei­sten (Art. 1). Dies umfasst Anfor­de­run­gen etwa an das IT-Risi­ko­ma­nage­ment, die Mel­dung grö­sse­rer Inci­dents an Behör­den, Mass­nah­men an das Dritt­par­tei­en­ma­nage­ment, an ver­trag­li­che Ver­ein­ba­run­gen mit IT-Dienst­lei­stern und die Auf­sicht über kri­ti­sche IT-Dritt­dienst­lei­ster.

In per­sön­li­cher Hin­sicht soll die Ver­ord­nung einen sehr brei­ten Anwen­dungs­be­reich haben, neben Ban­ken und Ver­si­che­rern auch Zah­lungs­dienst­lei­ster, Anbie­ter von Kryp­to-Asset-Dien­sten, zen­tra­le Gegen­par­tei­en, Han­dels­plät­ze, Mana­ger von alter­na­ti­ven Invest­ment­fonds, Anbie­ter von Daten­über­mitt­lungs­dien­sten, Ver­si­che­rer, Ver­si­che­rungs­ver­mitt­ler, Rating-Agen­tu­ren, Prüf­ge­sell­schaf­ten usw., aber auch IT-Dienst­lei­ster wie z.B. Cloud-Dienst­lei­ster, Soft­ware­an­bie­ter oder Ana­ly­tics-Dienst­lei­ster.