DORA

Table of Contents 

VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor und zur Ände­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011

Erwä­gungs­grün­de


(1) Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien (IKT) unter­stüt­zen im digi­ta­len Zeit­al­ter kom­ple­xe Syste­me, die für all­täg­li­che Akti­vi­tä­ten ein­ge­setzt wer­den. Sie sor­gen dafür, dass Schlüs­sel­sek­to­ren unse­rer Volks­wirt­schaf­ten, ein­schließ­lich des Finanz­sek­tors, am Lau­fen gehal­ten wer­den, und ver­bes­sern das Funk­tio­nie­ren des Bin­nen­markts. Die zuneh­men­de Digi­ta­li­sie­rung und Ver­net­zung ver­stär­ken auch das IKT-Risi­ko, das die Gesell­schaft ins­ge­samt — und ins­be­son­de­re das Finanz­sy­stem — anfäl­li­ger für Cyber­be­dro­hun­gen oder IKT-Stö­run­gen macht. Wäh­rend die all­ge­gen­wär­ti­ge Nut­zung von IKT-Syste­men und die hohe Digi­ta­li­sie­rung und Kon­nek­ti­vi­tät heu­te grund­le­gen­de Merk­ma­le der Tätig­kei­ten von Finanz­un­ter­neh­men der Uni­on sind, muss ihre digi­ta­le Resi­li­enz erst noch bes­ser ange­gan­gen und in ihre all­ge­mei­nen ope­ra­ti­ven Rah­men inte­griert wer­den.

(2) Die Nut­zung von IKT hat in den letz­ten Jahr­zehn­ten einen der­art zen­tra­len Stel­len­wert bei der Erbrin­gung von Finanz­dienst­lei­stun­gen erlangt, dass sie heu­te ent­schei­dend zur Aus­füh­rung typi­scher all­täg­li­cher Auf­ga­ben aller Finanz­un­ter­neh­men bei­trägt. Auf Digi­ta­li­sie­rung beru­hen heu­te bei­spiels­wei­se Zah­lun­gen, die von bar­geld- und papier­ge­stütz­ten Metho­den zuneh­mend auf die Nut­zung digi­ta­ler Lösun­gen ver­la­gert wur­den, sowie Wert­pa­pier­clea­ring und ‑abrech­nungs­sy­ste­me, elek­tro­ni­scher und algo­rith­mi­scher Han­del, Dar­le­hens- und Finan­zie­rungs­ge­schäf­te, Peer-to-Peer-Finan­zie­rung, Boni­täts­ein­stu­fung, Scha­dens­ma­nage­ment und Back-Office-Trans­ak­tio­nen. Auch der Ver­si­che­rungs­sek­tor hat sich durch den Ein­satz von IKT ver­än­dert — vom Auf­kom­men digi­ta­ler Ver­si­che­rungs­ver­mitt­ler, die ihre Dien­ste online anbie­ten und mit Ins­ur­Tech arbei­ten, bis hin zu digi­ta­len Ver­si­che­rungs­ge­schäf­ten. Das Finanz­we­sen ist nicht nur sek­tor­weit weit­ge­hend digi­tal gewor­den, son­dern die Digi­ta­li­sie­rung hat auch die Ver­flech­tun­gen und Abhän­gig­kei­ten inner­halb des Finanz­sek­tors sowie von Infra­struk­tu­ren Drit­ter und Dritt­dienst­lei­stern verstärkt.

(3) Der Euro­päi­sche Aus­schuss für System­ri­si­ken (ESRB) bekräf­tig­te in einem Bericht aus dem Jahr 2020 über syste­mi­sche Cyber­ri­si­ken, wie das bestehen­de hohe Maß an Ver­flech­tun­gen zwi­schen Finanz­un­ter­neh­men, Finanz­märk­ten und Finanz­markt­in­fra­struk­tu­ren und ins­be­son­de­re die gegen­sei­ti­gen Abhän­gig­kei­ten ihrer IKT-Syste­me eine System­an­fäl­lig­keit her­bei­füh­ren könn­ten, da loka­li­sier­te Cyber­vor­fäl­le in einem der rund 22 000 Finanz­un­ter­neh­men der Uni­on über geo­gra­fi­sche Gren­zen hin­weg rasch auf das gesam­te Finanz­sy­stem über­grei­fen könn­ten. Schwer­wie­gen­de IKT-Sicher­heits­ver­let­zun­gen, die im Finanz­sek­tor auf­tre­ten kön­nen, betref­fen nicht nur Finanz­un­ter­neh­men, die iso­liert betrach­tet wer­den. Eben­so kön­nen sich hier­durch ermit­tel­te Schwach­stel­len über die Über­tra­gungs­ka­nä­le des Finanz­sy­stems ver­brei­ten und die Sta­bi­li­tät des Finanz­sy­stems der Uni­on beein­träch­ti­gen, etwa durch Liqui­di­täts­eng­päs­se und einen all­ge­mei­nen Ver­lust des Ver­trau­ens in die Finanzmärkte.

(4) Poli­ti­sche Ent­schei­dungs­trä­ger, Regu­lie­rungs­be­hör­den und Nor­mungs­gre­mi­en auf inter­na­tio­na­ler Ebe­ne, Uni­ons­ebe­ne und natio­na­ler Ebe­ne haben sich in den letz­ten Jah­ren mit dem IKT-Risi­ko befasst, um die digi­ta­le Resi­li­enz zu stär­ken, Stan­dards fest­zu­le­gen und die Regu­lie­rungs- und Auf­sichts­ar­beit zu koor­di­nie­ren. Auf inter­na­tio­na­ler Ebe­ne sind der Bas­ler Aus­schuss für Ban­ken­auf­sicht, der Aus­schuss für Zah­lungs­ver­kehr und Markt­in­fra­struk­tu­ren, der Rat für Finanz­sta­bi­li­tät, das Insti­tut für Finanz­sta­bi­li­tät sowie die G7 und G20 bestrebt, den zustän­di­gen Behör­den und Markt­teil­neh­mern in ver­schie­de­nen Rechts­ord­nun­gen Instru­men­te an die Hand zu geben, um die Resi­li­enz ihrer Finanz­sy­ste­me zu stär­ken. Die­sen Arbei­ten lag auch die Not­wen­dig­keit zugrun­de, das IKT-Risi­ko im Kon­text eines stark ver­netz­ten glo­ba­len Finanz­sy­stems zu berück­sich­ti­gen und sich um mehr Kohä­renz der rele­van­ten bewähr­ten Ver­fah­ren zu bemühen.

(5) Das IKT-Risi­ko bleibt trotz geziel­ter poli­ti­scher und legis­la­ti­ver Initia­ti­ven auf Uni­ons­ebe­ne und natio­na­ler Ebe­ne eine Her­aus­for­de­rung für die ope­ra­tio­na­le Resi­li­enz, Lei­stungs­fä­hig­keit und Sta­bi­li­tät des Finanz­sy­stems der Uni­on. Mit den Refor­men nach der Finanz­kri­se von 2008 wur­de in erster Linie die finan­zi­el­le Resi­li­enz des Finanz­sek­tors der Uni­on gestärkt und dar­auf abge­zielt, die Wett­be­werbs­fä­hig­keit und Sta­bi­li­tät der Uni­on aus wirt­schaft­li­cher, auf­sichts­recht­li­cher und markt­po­li­ti­scher Sicht zu bewah­ren. Obwohl IKT-Sicher­heit und digi­ta­le Resi­li­enz Bestand­teil des ope­ra­tio­nel­len Risi­kos sind, stan­den sie in der Zeit nach der Finanz­kri­se weni­ger im Fokus der Regu­lie­rungs­agen­da und wur­den nur in eini­gen Berei­chen der Uni­ons­po­li­tik für Finanz­dienst­lei­stun­gen und Regu­lie­rung oder nur in weni­gen Mit­glied­staa­ten weiterentwickelt.

(6) In ihrer Mit­tei­lung mit dem Titel „Fin­Tech-Akti­ons­plan: für einen wett­be­werbs­fä­hi­ge­ren und inno­va­ti­ven euro­päi­schen Finanz­sek­tor“ vom 8. März 2018 hob die Kom­mis­si­on her­vor, wie über­aus wich­tig es ist, den Finanz­sek­tor der Uni­on wider­stands­fä­hi­ger zu machen, auch aus ope­ra­ti­ver Sicht, um sei­ne tech­no­lo­gi­sche Sicher­heit und sein rei­bungs­lo­ses Funk­tio­nie­ren sowie sei­ne rasche Wie­der­her­stel­lung nach IKT-Sicher­heits­ver­let­zun­gen und ‑Vor­fäl­len zu gewähr­lei­sten, damit Finanz­dienst­lei­stun­gen in der gesam­ten Uni­on — auch in Stress­si­tua­tio­nen — wirk­sam und rei­bungs­los erbracht wer­den kön­nen und gleich­zei­tig das Ver­trau­en der Ver­brau­cher und der Märk­te gewahrt wird.

(7) Im April 2019 ver­öf­fent­lich­ten die mit der Ver­ord­nung (EU) Nr. 1093/2010 des Euro­päi­schen Par­la­ments und des Rates (4) ein­ge­rich­te­te Euro­päi­sche Auf­sichts­be­hör­de (Euro­päi­sche Ban­ken­auf­sichts­be­hör­de, EBA), die mit der Ver­ord­nung (EU) Nr. 1094/2010 des Euro­päi­schen Par­la­ments und des Rates (5) ein­ge­rich­te­te Euro­päi­sche Auf­sichts­be­hör­de (Euro­päi­sche Auf­sichts­be­hör­de für das Ver­si­che­rungs­we­sen und die betrieb­li­che Alters­ver­sor­gung, EIOPA) und die mit der Ver­ord­nung (EU) Nr. 1095/2010 des Euro­päi­schen Par­la­ments und des Rates (6) ein­ge­rich­te­te Euro­päi­sche Auf­sichts­be­hör­de (Euro­päi­sche Wert­pa­pier- und Markt­auf­sichts­be­hör­de, ESMA) (zusam­men als „Euro­päi­sche Auf­sichts­be­hör­den“ oder „ESA“, im Fol­gen­den „ESA“) gemein­sam fach­li­che Gut­ach­ten, in denen ein kohä­ren­ter Ansatz für das IKT-Risi­ko im Finanz­be­reich gefor­dert und emp­foh­len wur­de, die digi­ta­le ope­ra­tio­na­le Resi­li­enz der Finanz­dienst­lei­stungs­bran­che durch eine sek­tor­spe­zi­fi­sche Initia­ti­ve der Uni­on auf ver­hält­nis­mä­ßi­ge Wei­se zu stärken.

(8) Der Finanz­sek­tor der Uni­on wird durch ein ein­heit­li­ches Regel­werk (Sin­gle Rule­book) regu­liert und unter­liegt einem euro­päi­schen Finanz­auf­sichts­sy­stem. Den­noch wur­den Bestim­mun­gen über die digi­ta­le ope­ra­tio­na­le Resi­li­enz und die IKT-Sicher­heit noch nicht voll­stän­dig oder kon­se­quent har­mo­ni­siert, obwohl die digi­ta­le ope­ra­tio­na­le Resi­li­enz für die Gewähr­lei­stung von Finanz­sta­bi­li­tät und Markt­in­te­gri­tät im digi­ta­len Zeit­al­ter von ent­schei­den­der Bedeu­tung und nicht weni­ger wich­tig ist als bei­spiels­wei­se gemein­sa­me Auf­sichts- oder Markt­ver­hal­tens­stan­dards. Daher soll­ten das ein­heit­li­che Regel­werk und das Auf­sichts­sy­stem so wei­ter­ent­wickelt wer­den, dass sie auch die digi­ta­le ope­ra­tio­na­le Resi­li­enz abdecken, indem die Man­da­te der zustän­di­gen Behör­den gestärkt wer­den, damit sie zur Wah­rung der Inte­gri­tät und der Effi­zi­enz des Bin­nen­markts und zur För­de­rung sei­nes ord­nungs­ge­mä­ßen Funk­tio­nie­rens des Manage­ments des IKT-Risi­kos im Finanz­sek­tor über­wa­chen können.

(9) Recht­li­che Unter­schie­de und unglei­che natio­na­le Regu­lie­rungs- oder Auf­sichts­an­sät­ze in Bezug auf das IKT-Risi­ko schaf­fen Hin­der­nis­se für das Funk­tio­nie­ren des Bin­nen­markts für Finanz­dienst­lei­stun­gen und erschwe­ren grenz­über­schrei­tend täti­gen Finanz­un­ter­neh­men die rei­bungs­lo­se Aus­übung der Nie­der­las­sungs­frei­heit und die Erbrin­gung von Dienst­lei­stun­gen. Auch der Wett­be­werb zwi­schen den­sel­ben Arten von Finanz­un­ter­neh­men, die in ver­schie­de­nen Mit­glied­staa­ten tätig sind, könn­te ver­zerrt wer­den. Dies gilt ins­be­son­de­re in Berei­chen, in denen die Har­mo­ni­sie­rung auf Uni­ons­ebe­ne bis­lang sehr begrenzt — wie beim Testen der digi­ta­len ope­ra­tio­na­len Resi­li­enz — oder gar nicht vor­han­den ist — wie bei der Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos. Unter­schie­de, die sich aus den auf natio­na­ler Ebe­ne geplan­ten Ent­wick­lun­gen erge­ben, könn­ten wei­te­re Hin­der­nis­se für das Funk­tio­nie­ren des Bin­nen­markts schaf­fen, die sich nach­tei­lig auf die Markt­teil­neh­mer und die Finanz­sta­bi­li­tät auswirken.

(10) Da die ein­schlä­gi­gen Bestim­mun­gen über IKT-Risi­ken bis­her auf Uni­ons­ebe­ne nur auf unvoll­stän­di­ge Art und Wei­se ange­gan­gen wur­den, bestehen Lücken oder Über­schnei­dun­gen in wich­ti­gen Berei­chen — wie der Mel­dung IKT-bezo­ge­ner Vor­fäl­le und Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz — sowie Unstim­mig­kei­ten auf­grund sich abzeich­nen­der unter­schied­li­cher natio­na­ler Vor­schrif­ten oder einer kosten­in­ef­fi­zi­en­ten Anwen­dung sich über­schnei­den­der Vor­schrif­ten. Dies ist beson­ders schäd­lich für inten­si­ve IKT-Nut­zer wie den Finanz­sek­tor, da tech­no­lo­gi­sche Risi­ken kei­ne Gren­zen haben und der Finanz­sek­tor sei­ne Dien­ste auf brei­ter grenz­über­schrei­ten­der Basis inner- und außer­halb der Uni­on erbringt. Ein­zel­ne Finanz­un­ter­neh­men, die grenz­über­schrei­tend tätig sind oder über meh­re­re Zulas­sun­gen ver­fü­gen (z. B. kann ein Finanz­un­ter­neh­men eine Lizenz für eine Bank, eine Wert­pa­pier­fir­ma und ein Zah­lungs­in­sti­tut besit­zen, die jeweils von einer ande­ren zustän­di­gen Behör­de in einem oder meh­re­ren Mit­glied­staa­ten aus­ge­stellt wur­de), ste­hen bei der allei­ni­gen und kohä­ren­ten und kosten­wirk­sa­men Bewäl­ti­gung des IKT-Risi­kos und der Abmil­de­rung nach­tei­li­ger Aus­wir­kun­gen von IKT-Vor­fäl­len vor ope­ra­ti­ven Herausforderungen.

(11) Da das ein­heit­li­che Regel­werk nicht mit einem umfas­sen­den Rah­men für IKT oder ope­ra­tio­nel­le Risi­ken ein­her­geht, ist eine wei­te­re Har­mo­ni­sie­rung der wich­tig­sten Anfor­de­run­gen an die digi­ta­le ope­ra­tio­na­le Resi­li­enz für alle Finanz­un­ter­neh­men erfor­der­lich. Die Ent­wick­lung der IKT-Kapa­zi­tä­ten und der all­ge­mei­nen Resi­li­enz durch Finanz­un­ter­neh­men auf der Grund­la­ge die­ser Kern­an­for­de­run­gen, um ope­ra­ti­ven Aus­fäl­len stand­zu­hal­ten, wür­de dabei hel­fen, die Sta­bi­li­tät und Inte­gri­tät der Finanz­märk­te der Uni­on zu erhal­ten, und auf die­se Wei­se dazu bei­tra­gen, ein hohes Schutz­ni­veau für Anle­ger und Ver­brau­cher in der Uni­on sicher­zu­stel­len. Da die­se Ver­ord­nung zum rei­bungs­lo­sen Funk­tio­nie­ren des Bin­nen­markts bei­tra­gen soll, soll­te sie sich auf die Bestim­mun­gen von Arti­kel 114 des Ver­trags über die Arbeits­wei­se der Euro­päi­schen Uni­on (AEUV) in der Aus­le­gung der stän­di­gen Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on (im Fol­gen­den „Gerichts­hof“) stützen.

(12) Mit die­ser Ver­ord­nung sol­len die Anfor­de­run­gen mit Blick auf IKT-Risi­ken im Rah­men der Anfor­de­run­gen an das ope­ra­tio­nel­le Risi­ko kon­so­li­diert und ver­bes­sert wer­den, die bis­her in ver­schie­de­nen Rechts­ak­ten der Uni­on geson­dert behan­delt wur­den. Die­se Rechts­ak­te deck­ten zwar die wich­tig­sten Kate­go­rien finan­zi­el­ler Risi­ken ab (z. B. Kre­dit­ri­si­ko, Markt­ri­si­ko, Gegen­par­tei­aus­fall­ri­si­ko, Liqui­di­täts­ri­si­ko und Markt­ri­si­ko), waren aber bei ihrer Annah­me nicht umfas­send auf alle Kom­po­nen­ten der ope­ra­tio­na­len Resi­li­enz aus­ge­rich­tet. Bei der Wei­ter­ent­wick­lung der Vor­schrif­ten über das ope­ra­tio­nel­le Risi­ko in die­sen Rechts­ak­ten der Uni­on wur­de häu­fig ein tra­di­tio­nel­ler quan­ti­ta­ti­ver Ansatz zur Bewäl­ti­gung von Risi­ken (d. h. die Fest­le­gung einer Kapi­tal­vor­ga­be zur Absi­che­rung gegen das IKT-Risi­ko) bevor­zugt, anstel­le geziel­ter qua­li­ta­ti­ver Vor­schrif­ten für den Schutz, die Erken­nung, Ein­däm­mung, Wie­der­her­stel­lung und die Sanie­rungs­ka­pa­zi­tä­ten bei IKT-bezo­ge­nen Vor­fäl­len oder für die Kapa­zi­tä­ten für Mel­dun­gen und Tests digi­ta­ler Tech­no­lo­gie. Mit die­sen Rechts­ak­ten soll­ten in erster Linie wesent­li­che Vor­schrif­ten über die Beauf­sich­ti­gung, die Inte­gri­tät oder das Ver­hal­ten des Mark­tes abge­deckt und aktua­li­siert wer­den. Indem die ver­schie­de­nen Vor­schrif­ten über IKT-Risi­ken kon­so­li­diert und ver­bes­sert wer­den, soll­ten alle Bestim­mun­gen, die sich mit digi­ta­len Risi­ken im Finanz­sek­tor befas­sen, erst­mals in ein­heit­li­cher Wei­se in einem ein­zi­gen Rechts­akt zusam­men­ge­fasst wer­den. Somit schließt die­se Ver­ord­nung Lücken oder behebt Unstim­mig­kei­ten in eini­gen der vor­aus­ge­hen­den Rechts­ak­te (auch in Bezug auf die dar­in ver­wen­de­te Ter­mi­no­lo­gie) und nimmt durch geziel­te Vor­schrif­ten über die Kapa­zi­tä­ten für das IKT-Risi­ko­ma­nage­ment, die Mel­dung von Vor­fäl­len, Tests der ope­ra­tio­na­len Resi­li­enz sowie die Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos aus­drück­lich auf IKT-Risi­ken Bezug. Somit soll­te die­se Ver­ord­nung auch für das IKT-Risi­ko sen­si­bi­li­sie­ren und berück­sich­ti­gen, dass die finan­zi­el­le Soli­di­tät von Finanz­un­ter­neh­men durch IKT-Vor­fäl­le und eine man­geln­de ope­ra­tio­na­le Resi­li­enz beein­träch­tigt wer­den könnten.

(13) Finanz­un­ter­neh­men soll­ten bei der Bewäl­ti­gung von IKT-Risi­ken den­sel­ben Ansatz und die­sel­ben grund­satz­ba­sier­ten Regeln befol­gen, wobei ihrer Grö­ße und ihrem Gesamt­ri­si­ko­pro­fil sowie der Art, dem Umfang und der Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te Rech­nung zu tra­gen ist. Kohä­renz trägt dazu bei, das Ver­trau­en in das Finanz­sy­stem zu stär­ken und des­sen Sta­bi­li­tät zu erhal­ten, ins­be­son­de­re in Zei­ten star­ker Abhän­gig­keit von IKT-Syste­men, ‑Platt­for­men und ‑Infra­struk­tu­ren, die erhöh­tes digi­ta­les Risi­ko mit sich bringt. Eben­so soll­te durch Ein­hal­tung einer grund­le­gen­den Cyber­hy­gie­ne ver­hin­dert wer­den, dass der Wirt­schaft durch die Mini­mie­rung der Aus­wir­kun­gen und Kosten von IKT-Stör­fäl­len hohe Kosten entstehen.

(14) Eine Ver­ord­nung hilft, die Kom­ple­xi­tät der Regu­lie­rung zu ver­rin­gern, för­dert die auf­sicht­li­che Kon­ver­genz, erhöht die Rechts­si­cher­heit und trägt fer­ner dazu bei, die Befol­gungs­ko­sten, ins­be­son­de­re für grenz­über­schrei­tend täti­ge Finanz­un­ter­neh­men, zu begren­zen und Wett­be­werbs­ver­zer­run­gen zu ver­rin­gern. Daher ist die Wahl einer Ver­ord­nung zur Schaf­fung eines gemein­sa­men Rah­mens für die digi­ta­le ope­ra­tio­na­le Resi­li­enz von Finanz­un­ter­neh­men am besten geeig­net, eine ein­heit­li­che und kohä­ren­te Anwen­dung aller Kom­po­nen­ten des IKT-Risi­ko­ma­nage­ments im Finanz­sek­tor der Uni­on zu gewährleisten.

(15) Die Richt­li­nie (EU) 2016/1148 des Euro­päi­schen Par­la­ments und des Rates (7) stell­te den ersten hori­zon­ta­len Rah­men für die Cyber­si­cher­heit auf Uni­ons­ebe­ne dar, der auch für drei Arten von Finanz­un­ter­neh­men, nament­lich für Kre­dit­in­sti­tu­te, Han­dels­plät­ze und zen­tra­le Gegen­par­tei­en gilt. Da in der Richt­li­nie (EU) 2016/1148 jedoch ein Mecha­nis­mus zur Iden­ti­fi­zie­rung der Betrei­ber wesent­li­cher Dien­ste auf natio­na­ler Ebe­ne vor­ge­se­hen ist, wur­den nur bestimm­te Kre­dit­in­sti­tu­te, Han­dels­plät­ze und zen­tra­le Gegen­par­tei­en, die von den Mit­glied­staa­ten ermit­telt wur­den, in der Pra­xis in den Anwen­dungs­be­reich der Richt­li­nie auf­ge­nom­men und daher ver­pflich­tet, die dar­in fest­ge­leg­ten Anfor­de­run­gen an die IKT-Sicher­heit und die Mel­dung von Vor­fäl­len zu erfül­len. Die Richt­li­nie (EU) 2022/2555 des Euro­päi­schen Par­la­ments und des Rates (8) legt ein ein­heit­li­ches Kri­te­ri­um dafür fest, wel­che Unter­neh­men in ihren Anwen­dungs­be­reich fal­len (Schwel­len­wert für die Grö­ße), wobei auch die drei Arten von Finanz­un­ter­neh­men in ihrem Anwen­dungs­be­reich verbleiben.

(16) Da mit die­ser Ver­ord­nung jedoch das Aus­maß der Har­mo­ni­sie­rung in Bezug auf die ver­schie­de­nen Kom­po­nen­ten der digi­ta­len Resi­li­enz erhöht wird, indem Anfor­de­run­gen an das IKT-Risi­ko­ma­nage­ment und die Mel­dung von IKT-Vor­fäl­len ein­ge­führt wer­den, die stren­ger sind als die­je­ni­gen im aktu­el­len Finanz­dienst­lei­stungs­recht der Uni­on, stellt dies auch im Ver­gleich zu den Anfor­de­run­gen der Richt­li­nie (EU) 2022/2555 eine stär­ke­re Har­mo­ni­sie­rung dar. Folg­lich ver­kör­pert die­se Ver­ord­nung eine Lex spe­cia­lis zur Richt­li­nie (EU) 2022/2555. Es ist zugleich von ent­schei­den­der Bedeu­tung, dass eine enge Bezie­hung zwi­schen dem Finanz­sek­tor und dem der­zeit in der Richt­li­nie (EU) 2022/2555 fest­ge­leg­ten hori­zon­ta­len Rah­men der Uni­on für Cyber­si­cher­heit auf­recht­erhal­ten wird, um die Kohä­renz mit den von den Mit­glied­staa­ten ange­nom­me­nen Stra­te­gien für Cyber­si­cher­heit zu gewähr­lei­sten und es Finanz­auf­sichts­be­hör­den zu ermög­li­chen, auf Cyber­vor­fäl­le auf­merk­sam gemacht zu wer­den, die ande­re unter die genann­te Richt­li­nie fal­len­de Sek­to­ren betreffen.

(17) Im Ein­klang mit Arti­kel 4 Absatz 2 des Ver­trags über die Euro­päi­sche Uni­on und unbe­scha­det der gericht­li­chen Über­prü­fung durch den Gerichts­hof soll­te die­se Ver­ord­nung die Zustän­dig­keit der Mit­glied­staa­ten für die grund­le­gen­den Funk­tio­nen des Staa­tes in Bezug auf die öffent­li­che Sicher­heit, die Ver­tei­di­gung und den Schutz der natio­na­len Sicher­heit — z. B. in Bezug auf die Bereit­stel­lung von Infor­ma­tio­nen, die dem Schutz der natio­na­len Sicher­heit zuwi­der­lau­fen wür­den — unbe­rührt lassen.

(18) Um sek­tor­über­grei­fen­des Ler­nen zu ermög­li­chen und Erfah­run­gen ande­rer Sek­to­ren beim Umgang mit Cyber­be­dro­hun­gen wirk­sam zu nut­zen, soll­ten Finanz­un­ter­neh­men im Sin­ne der Richt­li­nie (EU) 2022/2555 Teil des „Öko­sy­stems“ jener Richt­li­nie blei­ben (z. B. Koope­ra­ti­ons­grup­pe und Com­pu­ter-Not­fall­team (com­pu­ter secu­ri­ty inci­dent respon­se team, CSIRT)). Die ESA und zustän­di­ge natio­na­le Behör­den soll­ten in der Lage sein, sich an den stra­te­gi­schen poli­ti­schen Dis­kus­sio­nen und der tech­ni­schen Arbeit der Koope­ra­ti­ons­grup­pe im Sin­ne der genann­ten Richt­li­nie zu betei­li­gen, Infor­ma­tio­nen aus­tau­schen und mit den ent­spre­chend der genann­ten Richt­li­nie benann­ten oder ein­ge­rich­te­ten zen­tra­len Anlauf­stel­len wei­ter zusam­men­ar­bei­ten. Die nach der vor­lie­gen­den Ver­ord­nung zustän­di­gen Behör­den soll­ten auch die CSIRT kon­sul­tie­ren und mit ihnen zusam­men­ar­bei­ten. Dar­über hin­aus soll­ten die zustän­di­gen Behör­den die gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den um fach­li­che Bera­tung ersu­chen und Koope­ra­ti­ons­ver­ein­ba­run­gen schlie­ßen kön­nen, mit denen wirk­sa­me und schnel­le Koor­di­nie­rungs­me­cha­nis­men sicher­ge­stellt wer­den sollen.

(19) Ange­sichts der engen Ver­flech­tun­gen zwi­schen der digi­ta­len Resi­li­enz und der phy­si­schen Resi­li­enz von Finanz­un­ter­neh­men ist in der vor­lie­gen­den Ver­ord­nung und in der Richt­li­nie (EU) 2022/2557 des Euro­päi­schen Par­la­ments und des Rates (9) ein kohä­ren­ter Ansatz in Bezug auf die Resi­li­enz kri­ti­scher Ein­rich­tun­gen erfor­der­lich. Da das IKT-Risi­ko­ma­nage­ment und die Mel­de­pflich­ten nach der vor­lie­gen­den Ver­ord­nung der phy­si­schen Resi­li­enz von Finanz­un­ter­neh­men umfas­send Rech­nung tra­gen, soll­ten die in den Kapi­teln III und IV der Richt­li­nie (EU) 2022/2557 fest­ge­leg­ten Ver­pflich­tun­gen nicht für Finanz­un­ter­neh­men gel­ten, die in den Anwen­dungs­be­reich der genann­ten Richt­li­nie fallen.

(20) Anbie­ter von Cloud-Com­pu­ting-Dien­sten sind eine Kate­go­rie digi­ta­ler Infra­struk­tur, die unter die Richt­li­nie (EU) 2022/2555 fällt. Der mit die­ser Ver­ord­nung geschaf­fe­ne Über­wa­chungs­rah­men der Uni­on (im Fol­gen­den „Über­wa­chungs­rah­men“) gilt für alle kri­ti­schen IKT-Dritt­dienst­lei­ster, ein­schließ­lich Anbie­tern von Cloud-Com­pu­ting-Dien­sten, die Finanz­un­ter­neh­men IKT-Dienst­lei­stun­gen bereit­stel­len, und soll­te als Ergän­zung zu der Beauf­sich­ti­gung gemäß der Richt­li­nie (EU) 2022/2555 betrach­tet wer­den. Dar­über hin­aus soll­te der mit die­ser Ver­ord­nung geschaf­fe­ne Über­wa­chungs­rah­men für Anbie­ter von Cloud-Com­pu­ting-Dien­sten gel­ten, wenn es kei­nen hori­zon­ta­len Rah­men der Uni­on gibt, mit dem eine Behör­de für die digi­ta­le Über­wa­chung ein­ge­rich­tet wird.

(21) Um die voll­stän­di­ge Kon­trol­le über das IKT-Risi­ko zu behal­ten, müs­sen Finanz­un­ter­neh­men über umfas­sen­de Kapa­zi­tä­ten ver­fü­gen, die ein lei­stungs­fä­hi­ges und wirk­sa­mes IKT-Risi­ko­ma­nage­ment sowie spe­zi­fi­sche Mecha­nis­men und Stra­te­gien für die Hand­ha­bung aller IKT-bezo­ge­ner Vor­fäl­le und für die Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le ermög­li­chen. Eben­so soll­ten Finanz­un­ter­neh­men über Leit- und Richt­li­ni­en für die Erpro­bung von IKT-Syste­men, ‑Kon­trol­len und ‑Pro­zes­sen sowie für das Manage­ment des IKT-Dritt­par­tei­en­ri­si­kos ver­fü­gen. Die Min­dest­an­for­de­run­gen an die digi­ta­le ope­ra­tio­na­le Resi­li­enz für Finanz­un­ter­neh­men soll­ten ange­ho­ben wer­den, wobei auch eine ver­hält­nis­mä­ßi­ge Anwen­dung der Anfor­de­run­gen für bestimm­te Finanz­un­ter­neh­men mög­lich sein soll­te, ins­be­son­de­re bei Kleinst­un­ter­neh­men sowie Finanz­un­ter­neh­men, die einem ver­ein­fach­ten IKT-Risi­ko­ma­nage­m­ent­rah­men unter­lie­gen. Um eine effi­zi­en­te Beauf­sich­ti­gung von Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung zu ermög­li­chen, die ver­hält­nis­mä­ßig ist und der Not­wen­dig­keit Rech­nung trägt, den Ver­wal­tungs­auf­wand für die zustän­di­gen Behör­den zu ver­rin­gern, soll­ten die ein­schlä­gi­gen natio­na­len Auf­sichts­me­cha­nis­men für der­ar­ti­ge Finanz­un­ter­neh­men deren Grö­ße und Gesamt­ri­si­ko­pro­fil sowie die Art, den Umfang und die Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te berück­sich­ti­gen, auch wenn die in Arti­kel 5 der Richt­li­nie (EU) 2016/2341 des Euro­päi­schen Par­la­ments und des Rates (10) fest­ge­leg­ten ein­schlä­gi­gen Schwel­len­wer­te über­schrit­ten wer­den. Ins­be­son­de­re soll­ten sich die Auf­sichts­tä­tig­kei­ten vor­ran­gig auf die Not­wen­dig­keit kon­zen­trie­ren, ernst­haf­ten Risi­ken im Zusam­men­hang mit dem IKT-Risi­ko­ma­nage­ment eines bestimm­ten Unter­neh­mens entgegenzuwirken.

Die zustän­di­gen Behör­den soll­ten auch einen wach­sa­men, aber ver­hält­nis­mä­ßi­gen Ansatz in Bezug auf die Beauf­sich­ti­gung von Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung ver­fol­gen, die gemäß Arti­kel 31 der Richt­li­nie (EU) 2016/2341 einen wesent­li­chen Teil ihres Kern­ge­schäfts, wie Ver­mö­gens­ver­wal­tung, ver­si­che­rungs­ma­the­ma­ti­sche Berech­nun­gen, Rech­nungs­le­gung und Daten­ver­wal­tung, an Dienst­lei­ster auslagern.

(22) Die Schwel­len­wer­te und Taxo­no­mien für die Mel­dung IKT-bezo­ge­ner Vor­fäl­le unter­schei­den sich auf natio­na­ler Ebe­ne erheb­lich. Wenn­gleich sich durch ein­schlä­gi­ge Arbei­ten der durch die Ver­ord­nung (EU) 2019/881 des Euro­päi­schen Par­la­ments und des Rates (11) ein­ge­rich­te­te Agen­tur der Euro­päi­schen Uni­on für Cyber­si­cher­heit (ENISA) und der Koope­ra­ti­ons­grup­pe im Sin­ne der Richt­li­nie (EU) 2022/2555 eine gemein­sa­me Grund­la­ge schaf­fen lässt, bestehen für die übri­gen Finanz­un­ter­neh­men noch immer unter­schied­li­che Ansät­ze in Bezug auf die Fest­le­gung der Schwel­len­wer­te und die Ver­wen­dung von Taxo­no­mien bzw. kön­nen sich für die­se erge­ben. Auf­grund die­ser Unter­schie­de besteht eine Viel­zahl von Anfor­de­run­gen, die Finanz­un­ter­neh­men ein­hal­ten müs­sen, ins­be­son­de­re wenn sie in meh­re­ren Mit­glied­staa­ten tätig sind und Teil einer Finanz­grup­pe sind. Dar­über hin­aus kön­nen der­ar­ti­ge Unter­schie­de die Ein­rich­tung wei­te­rer ein­heit­li­cher oder zen­tra­li­sier­ter Mecha­nis­men der Uni­on behin­dern, die das Mel­de­ver­fah­ren beschleu­ni­gen und einen raschen und rei­bungs­lo­sen Infor­ma­ti­ons­aus­tausch zwi­schen den zustän­di­gen Behör­den unter­stüt­zen, was für die Bewäl­ti­gung des IKT-Risi­kos bei Groß­an­grif­fen mit poten­zi­ell syste­mi­schen Fol­gen von ent­schei­den­der Bedeu­tung ist.

(23) Um für bestimm­te Finanz­un­ter­neh­men den Ver­wal­tungs­auf­wand zu ver­rin­gern und poten­zi­ell dop­pel­te Mel­de­pflich­ten zu ver­mei­den, soll­te die Ver­pflich­tung zur Mel­dung von Vor­fäl­len gemäß der Richt­li­nie (EU) 2015/2366 des Euro­päi­schen Par­la­ments und des Rates (12) nicht mehr für Zah­lungs­dienst­lei­ster gel­ten, die in den Gel­tungs­be­reich die­ser Ver­ord­nung fal­len. Folg­lich soll­ten Kre­dit­in­sti­tu­te, E‑Geld-Insti­tu­te, Zah­lungs­in­sti­tu­te und Kon­to­in­for­ma­ti­ons­dienst­lei­ster im Sin­ne von Arti­kel 33 Absatz 1 der genann­ten Richt­li­nie alle zah­lungs­be­zo­ge­nen Betriebs- oder Sicher­heits­vor­fäl­le, die vor­mals gemäß der genann­ten Richt­li­nie gemel­det wur­den, ab dem Gel­tungs­be­ginn die­ser Ver­ord­nung gemäß die­ser mel­den, und zwar unab­hän­gig davon, ob es sich um IKT-bezo­ge­ne Vor­fäl­le han­delt oder nicht.

(24) Um den zustän­di­gen Behör­den die Erfül­lung von Auf­sichts­auf­ga­ben zu ermög­li­chen, indem sie einen voll­stän­di­gen Über­blick über Art, Häu­fig­keit, Aus­maß und Aus­wir­kun­gen IKT-bezo­ge­ner Vor­fäl­le erhal­ten, und um den Infor­ma­ti­ons­aus­tausch zwi­schen ein­schlä­gi­gen Behör­den, ein­schließ­lich Straf­ver­fol­gungs- und Abwick­lungs­be­hör­den, zu ver­bes­sern, soll­te die­se Ver­ord­nung eine soli­de Rege­lung für die Mel­dung IKT-bezo­ge­ner Vor­fäl­le fest­le­gen, wobei die ein­schlä­gi­gen Anfor­de­run­gen der­zei­ti­ge Lücken im Finanz­dienst­lei­stungs­recht schlie­ßen, und Über­schnei­dun­gen und Dop­pel­ar­beit mit Blick auf eine Sen­kung der Kosten besei­ti­gen. Es ist von ent­schei­den­der Bedeu­tung, die Rege­lung für die Mel­dung IKT-bezo­ge­ner Vor­fäl­le zu har­mo­ni­sie­ren, indem alle Finanz­un­ter­neh­men ver­pflich­tet wer­den, ihren zustän­di­gen Behör­den in dem in die­ser Ver­ord­nung vor­ge­se­he­nen ein­heit­li­chen, gestraff­ten Rah­men Bericht zu erstat­ten. Dar­über hin­aus soll­ten die ESA ermäch­tigt wer­den, rele­van­te Aspek­te für den Rah­men für die Mel­dung IKT-bezo­ge­ner Vor­fäl­le — wie Taxo­no­mie, Zeit­rah­men, Daten­sät­ze, Vor­la­gen und anwend­ba­re Schwel­len­wer­te — näher zu spe­zi­fi­zie­ren. Um voll­stän­di­ge Über­ein­stim­mung mit der Richt­li­nie (EU) 2022/2555 zu gewähr­lei­sten, soll­ten Finanz­un­ter­neh­men der jeweils zustän­di­gen Behör­de auf frei­wil­li­ger Basis erheb­li­che Cyber­be­dro­hun­gen mel­den kön­nen, wenn sie der Auf­fas­sung sind, dass die Cyber­be­dro­hung für das Finanz­sy­stem, die Dienst­nut­zer oder die Kun­den rele­vant ist.

(25) In eini­gen Teil­sek­to­ren des Finanz­sek­tors wur­den Anfor­de­run­gen für Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz ent­wickelt, deren Rah­men nicht immer voll­stän­dig anein­an­der ange­gli­chen waren. Dies führt zu poten­zi­ell dop­pel­ten Kosten für grenz­über­schrei­tend täti­ge Finanz­un­ter­neh­men und ver­kom­pli­ziert die gegen­sei­ti­ge Aner­ken­nung der Ergeb­nis­se von Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz, was wie­der­um zu einer Frag­men­tie­rung des Bin­nen­markts füh­ren könnte.

(26) Dar­über hin­aus blei­ben Schwach­stel­len, wenn kei­ne IKT-Tests vor­ge­schrie­ben sind, unent­deckt, wodurch ein Finanz­un­ter­neh­men IKT-Risi­ken aus­ge­setzt wird und letzt­lich ein höhe­res Risi­ko für die Sta­bi­li­tät und Inte­gri­tät des Finanz­sek­tors ent­steht. Ohne ein Tätig­wer­den der Uni­on wären Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz wei­ter­hin unein­heit­lich, und es gäbe kein System für die gegen­sei­ti­ge Aner­ken­nung der IKT-Test­ergeb­nis­se in ver­schie­de­nen Rechts­ord­nun­gen. Da es unwahr­schein­lich ist, dass Test­re­ge­lun­gen in ande­ren Teil­sek­to­ren des Finanz­sek­tors in bedeu­ten­dem Umfang ein­ge­führt wür­den, gin­gen dar­über hin­aus die poten­zi­el­len Vor­tei­le eines Rah­mens für Tests im Hin­blick auf die Auf­deckung von Schwach­stel­len und Risi­ken sowie von Tests von Ver­tei­di­gungs­fä­hig­kei­ten und die Fort­füh­rung der Geschäfts­tä­tig­keit ver­lo­ren, die zur Stär­kung des Ver­trau­ens von Kun­den, Lie­fe­ran­ten und Geschäfts­part­nern bei­tra­gen. Um die­se Über­schnei­dun­gen, Diver­gen­zen und Lücken zu besei­ti­gen, müs­sen Vor­schrif­ten für ein koor­di­nier­tes Test­sy­stem fest­ge­legt wer­den, damit die gegen­sei­ti­ge Aner­ken­nung erwei­ter­ter Tests für die­je­ni­gen Finanz­un­ter­neh­men erleich­tert wird, die die Kri­te­ri­en in die­ser Ver­ord­nung erfüllen.

(27) Die Abhän­gig­keit der Finanz­un­ter­neh­men von IKT-Dienst­lei­stun­gen ist zum Teil dar­auf zurück­zu­füh­ren, dass sie sich an eine sich ent­wickeln­de wett­be­werbs­ori­en­tier­te digi­ta­le Welt­wirt­schaft anpas­sen, ihre geschäft­li­che Effi­zi­enz stei­gern und die Ver­brau­cher­nach­fra­ge befrie­di­gen müs­sen. Die Art und das Aus­maß die­ser Nut­zung von IKT-Dienst­lei­stun­gen haben sich in den letz­ten Jah­ren stän­dig wei­ter­ent­wickelt, was zu Kosten­sen­kun­gen bei der Finanz­in­ter­me­dia­ti­on geführt hat, die Expan­si­on von Unter­neh­men und die Ska­lier­bar­keit bei der Aus­übung von Finanz­tä­tig­kei­ten ermög­licht und gleich­zei­tig ein brei­tes Spek­trum an IKT-Tools für die Ver­wal­tung kom­ple­xer inter­ner Pro­zes­se zur Ver­fü­gung gestellt hat.

(28) Die umfang­rei­che Nut­zung von IKT-Dienst­lei­stun­gen zeigt sich an kom­ple­xen ver­trag­li­chen Ver­ein­ba­run­gen, wobei Finanz­un­ter­neh­men häu­fig Schwie­rig­kei­ten haben, Ver­trags­be­din­gun­gen aus­zu­han­deln, die auf die Auf­sichts­stan­dards oder son­sti­ge auf­sichts­recht­li­che Anfor­de­run­gen, denen sie unter­lie­gen, zuge­schnit­ten sind; Glei­ches gilt für die Durch­set­zung bestimm­ter Rech­te, wie Zugangs- oder Audit­rech­te, selbst wenn die­se in ihren ver­trag­li­chen Ver­ein­ba­run­gen ver­an­kert sind. Dar­über hin­aus feh­len in vie­len die­ser ver­trag­li­chen Ver­ein­ba­run­gen aus­rei­chen­de Garan­tien, die die voll­stän­di­ge Über­wa­chung von Ver­fah­ren für die Unter­auf­trags­ver­ga­be ermög­li­chen, wodurch das Finanz­un­ter­neh­men die damit ver­bun­de­nen Risi­ken nicht bewer­ten kann. Da IKT-Dritt­dienst­lei­ster häu­fig stan­dar­di­sier­te Dienst­lei­stun­gen für ver­schie­de­ne Arten von Kun­den anbie­ten, wird den indi­vi­du­el­len oder spe­zi­fi­schen Bedürf­nis­sen der Akteu­re der Finanz­bran­che in der­ar­ti­gen ver­trag­li­chen Ver­ein­ba­run­gen nicht immer ange­mes­sen Rech­nung getragen.

(29) Obwohl die Rechts­vor­schrif­ten für Finanz­dienst­lei­stun­gen bestimm­te all­ge­mei­ne Vor­schrif­ten über die Aus­la­ge­rung von Tätig­kei­ten ent­hal­ten, ist die Über­wa­chung der ver­trag­li­chen Dimen­si­on nicht voll­stän­dig in den Rechts­vor­schrif­ten der Uni­on ver­an­kert. Weil ein­deu­ti­ge und ange­pass­te Uni­ons­stan­dards, die auf die ver­trag­li­chen Ver­ein­ba­run­gen mit IKT-Dritt­dienst­lei­stern anwend­bar sind, feh­len, wer­den exter­ne Quel­len für IKT-Risi­ken nicht umfas­send behan­delt. Daher müs­sen bestimm­te Schlüs­sel­prin­zi­pi­en fest­ge­legt wer­den, die Finanz­un­ter­neh­men als Richt­schnur für das Manage­ment des IKT-Dritt­par­tei­en­ri­si­kos die­nen und von beson­de­rer Bedeu­tung sind, wenn Finanz­un­ter­neh­men zur Unter­stüt­zung ihrer kri­ti­schen oder wich­ti­gen Funk­tio­nen auf IKT-Dritt­dienst­lei­ster zurück­grei­fen. Die­se Prin­zi­pi­en soll­ten mit einer Rei­he grund­le­gen­der ver­trag­li­cher Rech­te ein­her­ge­hen, die sich auf meh­re­re Aspek­te bei der Erfül­lung und Been­di­gung von ver­trag­li­chen Ver­ein­ba­run­gen bezie­hen, damit bestimm­te Min­dest­ga­ran­tien gebo­ten wer­den, um die Fähig­keit von Finanz­un­ter­neh­men, alle von Dritt­dienst­lei­stern aus­ge­hen­den IKT-Risi­ken wirk­sam zu über­wa­chen, zu stär­ken. Die­se Prin­zi­pi­en ergän­zen die für die Aus­la­ge­rung gel­ten­den sek­tor­spe­zi­fi­schen Rechtsvorschriften.

(30) Ein gewis­ser Man­gel an Homo­ge­ni­tät und Kon­ver­genz in Bezug auf die Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos und die Abhän­gig­keit von IKT-Dritt­dienst­lei­stern ist der­zeit fest­zu­stel­len. Obwohl Anstren­gun­gen unter­nom­men wur­den, um den Bereich der Aus­la­ge­rung anzu­ge­hen, wie bei­spiels­wei­se die Leit­li­ni­en der EBA zu Aus­la­ge­rung von 2019 und Leit­li­ni­en der ESMA zur Aus­la­ge­rung an Cloud-Anbie­ter von 2021, wird die all­ge­mei­ne­re Fra­ge der Ein­däm­mung syste­mi­scher Risi­ken, die ent­ste­hen könn­ten, wenn der Finanz­sek­tor einer begrenz­ten Anzahl kri­ti­scher IKT-Dritt­dienst­lei­ster aus­ge­setzt ist, im Uni­ons­recht nicht aus­rei­chend behan­delt. Der Man­gel an Vor­schrif­ten auf Uni­ons­ebe­ne wird noch dadurch ver­schärft, dass es kei­ne natio­na­len Vor­schrif­ten für die Man­da­te und Instru­men­te gibt, die es Finanz­auf­sichts­be­hör­den ermög­li­chen, Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern ord­nungs­ge­mäß zu erfas­sen und Risi­ken, die sich aus der Kon­zen­tra­ti­on der Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern erge­ben, ange­mes­sen zu überwachen.

(31) Unter Berück­sich­ti­gung der poten­zi­el­len System­ri­si­ken, die mit der ver­stärk­ten Aus­la­ge­rung und der Kon­zen­tra­ti­on der Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern ver­bun­den sind, und in Anbe­tracht natio­na­ler Rege­lun­gen, die den Finanz­auf­sichts­be­hör­den unzu­rei­chend Werk­zeu­ge bereit­stel­len, die geeig­net sind, die Fol­gen der bei kri­ti­schen IKT-Dritt­dienst­lei­stern auf­tre­ten­den IKT-Risi­ken zu quan­ti­fi­zie­ren, zu qua­li­fi­zie­ren und zu behe­ben, muss ein geeig­ne­ter Über­wa­chungs­rah­men geschaf­fen wer­den, der eine kon­ti­nu­ier­li­che Über­wa­chung der Tätig­kei­ten von IKT-Dritt­dienst­lei­stern, bei denen es sich um für Finanz­un­ter­neh­men kri­ti­sche IKT-Dritt­dienst­lei­ster han­delt, ermög­licht und zugleich bei Kun­den, bei denen es sich nicht um Finanz­un­ter­neh­men han­delt, Ver­trau­lich­keit und Sicher­heit gewähr­lei­stet. Auch wenn mit der grup­pen­in­ter­nen Bereit­stel­lung von IKT-Dienst­lei­stun­gen spe­zi­fi­sche Risi­ken und Vor­tei­le ein­her­ge­hen, soll­te sie nicht auto­ma­tisch als weni­ger ris­kant ange­se­hen wer­den als die Bereit­stel­lung von IKT-Dienst­lei­stun­gen durch Dienst­lei­ster außer­halb einer Finanz­grup­pe und soll­te daher dem­sel­ben Rechts­rah­men unter­lie­gen. Wenn IKT-Dienst­lei­stun­gen inner­halb einer Finanz­grup­pe bereit­ge­stellt wer­den, könn­ten Finanz­un­ter­neh­men mög­li­cher­wei­se jedoch ein höhe­res Maß an Kon­trol­le über grup­pen­in­ter­ne Dienst­lei­ster haben, was bei der Gesamt­ri­si­ko­be­wer­tung berück­sich­tigt wer­den sollte.

(32) Da IKT- Risi­ken immer kom­ple­xer und tech­nisch aus­ge­reif­ter wer­den, hän­gen gute Maß­nah­men für die Erken­nung und Prä­ven­ti­on von IKT-Risi­ken in hohem Maße von einem regel­mä­ßi­gen Infor­ma­ti­ons­aus­tausch zwi­schen Finanz­un­ter­neh­men über Bedro­hun­gen und Schwach­stel­len ab. Ein Infor­ma­ti­ons­aus­tausch trägt dazu bei, das Bewusst­sein für Cyber­be­dro­hun­gen zu schär­fen. Dies wie­der­um ver­stärkt die Fähig­keit der Finanz­un­ter­neh­men, zu ver­hin­dern, dass Cyber­be­dro­hun­gen in rea­le IKT-bezo­ge­ne Vor­fäl­le mün­den, und ver­setzt Finanz­un­ter­neh­men in die Lage, die Aus­wir­kun­gen IKT-bezo­ge­ner Vor­fäl­le wirk­sa­mer ein­zu­däm­men und sich schnel­ler zu erho­len. In Erman­ge­lung von Leit­li­ni­en auf Uni­ons­ebe­ne schei­nen meh­re­re Fak­to­ren einen sol­chen Wis­sens­aus­tausch ver­hin­dert zu haben, dar­un­ter ins­be­son­de­re die Unsi­cher­heit hin­sicht­lich der Ver­ein­bar­keit mit den Datenschutz‑, Kar­tell- und Haftungsvorschriften.

(33) Dar­über hin­aus füh­ren Zwei­fel bezüg­lich der Art von Infor­ma­tio­nen, die mit ande­ren Markt­teil­neh­mern oder mit Nicht-Auf­sichts­be­hör­den (z. B. ENISA für ana­ly­ti­sche Ein­ga­ben oder Euro­pol für Straf­ver­fol­gungs­zwecke) aus­ge­tauscht wer­den kön­nen, dazu, dass nütz­li­che Infor­ma­tio­nen vor­ent­hal­ten wer­den. Des­we­gen sind Umfang und Qua­li­tät des Infor­ma­ti­ons­aus­tauschs der­zeit nach wie vor begrenzt und frag­men­tiert, wobei der ein­schlä­gi­ge Aus­tausch haupt­säch­lich auf loka­ler Ebe­ne (über natio­na­le Initia­ti­ven) erfolgt und kei­ne ein­heit­li­chen uni­ons­wei­ten Rege­lun­gen für den Infor­ma­ti­ons­aus­tausch bestehen, die auf die Bedürf­nis­se eines inte­grier­ten Finanz­sy­stems zuge­schnit­ten sind. Aus die­sem Grund ist es wich­tig, die­se Kom­mu­ni­ka­ti­ons­ka­nä­le zu stärken.

(34) Finanz­un­ter­neh­men soll­ten ermu­tigt wer­den, Infor­ma­tio­nen und Erkennt­nis­se zu Cyber­be­dro­hun­gen unter­ein­an­der aus­zu­tau­schen und ihre indi­vi­du­el­len Kennt­nis­se und prak­ti­schen Erfah­run­gen auf stra­te­gi­scher, tak­ti­scher und ope­ra­ti­ver Ebe­ne gemein­sam zu nut­zen, damit sich ihre Fähig­keit ver­bes­sert, Cyber­be­dro­hun­gen ange­mes­sen zu bewer­ten, zu über­wa­chen, abzu­weh­ren und auf sie zu reagie­ren, indem sie an Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen teil­neh­men. Daher muss auf Uni­ons­ebe­ne die Ein­rich­tung von Rege­lun­gen für frei­wil­li­ge Ver­ein­ba­run­gen über den Infor­ma­ti­ons­aus­tausch ermög­licht wer­den, die — bei der Umset­zung in ver­trau­ens­wür­di­gen Umge­bun­gen — der Finanz­welt dabei hel­fen wür­den, Cyber­be­dro­hun­gen vor­zu­beu­gen und gemein­sam auf die­se zu reagie­ren, indem die Aus­brei­tung von IKT-Risi­ken rasch ein­ge­dämmt und poten­zi­el­le Ansteckungs­ef­fek­te über alle Finanz­ka­nä­le hin­weg ver­hin­dert wer­den. Die­se Rege­lun­gen soll­ten mit dem anwend­ba­ren Wett­be­werbs­recht der Uni­on, das in der Mit­tei­lung der Kom­mis­si­on vom 14. Janu­ar 2011 mit dem Titel „Leit­li­ni­en zur Anwend­bar­keit des Arti­kels 101 des Ver­trags über die Arbeits­wei­se der Euro­päi­schen Uni­on auf Ver­ein­ba­run­gen über hori­zon­ta­le Zusam­men­ar­beit“ sowie den Daten­schutz­vor­schrif­ten der Uni­on und ins­be­son­de­re der Ver­ord­nung (EU) 2016/679 des Euro­päi­schen Par­la­ments und des Rates (13) im Ein­klang ste­hen. Sie soll­ten auf der Grund­la­ge einer oder meh­re­rer der in Arti­kel 6 jener Ver­ord­nung fest­ge­leg­ten Rechts­grund­la­gen tätig wer­den, bei­spiels­wei­se im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die zur Wah­rung der berech­tig­ten Inter­es­sen des für die Ver­ar­bei­tung Ver­ant­wort­li­chen oder eines Drit­ten gemäß Arti­kel 6 Absatz 1 Buch­sta­be f jener Ver­ord­nung erfor­der­lich ist, sowie im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die für die Erfül­lung einer recht­li­chen Ver­pflich­tung, der der Ver­ant­wort­li­che unter­liegt, oder für die Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, gemäß Arti­kel 6 Absatz 1 Buch­sta­be c bzw. e jener Ver­ord­nung erfor­der­lich ist.

(35) Um ein hohes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz im gesam­ten Finanz­sek­tor auf­recht­zu­er­hal­ten und zugleich mit den tech­no­lo­gi­schen Ent­wick­lun­gen Schritt zu hal­ten, soll­te in der vor­lie­gen­den Ver­ord­nung auf Risi­ken ein­ge­gan­gen wer­den, die sich aus allen Arten von IKT-Dienst­lei­stun­gen erge­ben. Zu die­sem Zweck soll­te die Defi­ni­ti­on von IKT-Dienst­lei­stun­gen im Zusam­men­hang mit der vor­lie­gen­den Ver­ord­nung weit aus­ge­legt wer­den und digi­ta­le Dien­ste und Daten­dien­ste umfas­sen, die über IKT-Syste­me einem oder meh­re­ren inter­nen oder exter­nen Nut­zern fort­lau­fend bereit­ge­stellt wer­den. Die­se Defi­ni­ti­on soll­te bei­spiels­wei­se soge­nann­te „Over-the-top“-Dienste umfas­sen, die unter die Kate­go­rie der elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dien­ste fal­len. Sie soll­te nur die begrenz­te Kate­go­rie tra­di­tio­nel­ler ana­lo­ger Tele­fon­dien­ste aus­schlie­ßen, die als Dien­ste des öffent­li­chen Fern­sprech­net­zes (PSTN — Public Swit­ched Tele­pho­ne Net­work), Fest­netz-Dien­ste, her­kömm­li­che Fern­sprech­dien­ste (POTS — Plain Old Tele­pho­ne Ser­vice) oder Fest­netz­te­le­fon­dien­ste gelten.

(36) Unge­ach­tet des in die­ser Ver­ord­nung vor­ge­se­he­nen brei­ten Gel­tungs­be­reichs soll­ten bei der Anwen­dung der Vor­schrif­ten für die digi­ta­le ope­ra­tio­na­le Resi­li­enz die wesent­li­chen Unter­schie­de zwi­schen Finanz­un­ter­neh­men in Bezug auf deren Grö­ße und Gesamt­ri­si­ko­pro­fil berück­sich­tigt wer­den. Als Grund­prin­zip soll­ten Finanz­un­ter­neh­men bei der Ver­tei­lung von Res­sour­cen und Kapa­zi­tä­ten für die Umset­zung des Rah­mens für das IKT-Risi­ko­ma­nage­ment ihren IKT-Bedarf sorg­fäl­tig auf ihre Grö­ße und ihr Gesamt­ri­si­ko­pro­fil sowie die Art, den Umfang und die Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te abstim­men, wäh­rend die zustän­di­gen Behör­den den Ansatz einer sol­chen Ver­tei­lung wei­ter­hin bewer­ten und über­prü­fen sollten.

(37) Die in Arti­kel 33 Absatz 1 der Richt­li­nie (EU) 2015/2366 genann­ten Kon­to­in­for­ma­ti­ons­dienst­lei­ster wer­den unter Berück­sich­ti­gung der Beson­der­hei­ten ihrer Tätig­kei­ten und der mit ihnen ver­bun­de­nen Risi­ken aus­drück­lich in den Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung ein­be­zo­gen. Dar­über hin­aus fal­len gemäß Arti­kel 9 Absatz 1 der Richt­li­nie 2009/110/EG des Euro­päi­schen Par­la­ments und des Rates (14) und Arti­kel 32 Absatz 1 der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­ne E‑Geld-Insti­tu­te und Zah­lungs­in­sti­tu­te auch dann in den Gel­tungs­be­reich die­ser Ver­ord­nung, wenn ihnen kei­ne Zulas­sung gemäß der Richt­li­nie 2009/110/EG für die Aus­ga­be von E‑Geld erteilt wur­de oder wenn ihnen kei­ne Zulas­sung für die Erbrin­gung und Aus­füh­rung von Zah­lungs­dien­sten gemäß der Richt­li­nie (EU) 2015/2366 erteilt wur­de. Post­scheck­äm­ter im Sin­ne von Arti­kel 2 Absatz 5 Num­mer 3 der Richt­li­nie 2013/36/EU des Euro­päi­schen Par­la­ments und des Rates (15) sind jedoch vom Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung aus­ge­nom­men. Die zustän­di­ge Behör­de für die nach der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­nen Zah­lungs­in­sti­tu­te, die nach der Richt­li­nie 2009/110/EG aus­ge­nom­me­nen E‑Geld-Insti­tu­te und die Kon­to­in­for­ma­ti­ons­dienst­lei­ster im Sin­ne von Arti­kel 33 Absatz 1 der Richt­li­nie (EU) 2015/2366 soll­te die gemäß Arti­kel 22 der Richt­li­nie (EU) 2015/2366 benann­te zustän­di­ge Behör­de sein.

(38) Da grö­ße­re Finanz­un­ter­neh­men unter Umstän­den über umfang­rei­che­re Res­sour­cen ver­fü­gen und rasch Mit­tel für die Ein­rich­tung von Gover­nan­ce-Struk­tu­ren und die Ein­füh­rung ver­schie­de­ner Unter­neh­mens­stra­te­gien bereit­stel­len könn­ten, soll­ten nur Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men im Sin­ne die­ser Ver­ord­nung sind, ver­pflich­tet wer­den, kom­ple­xe­re Gover­nan­ce-Rege­lun­gen ein­zu­füh­ren. Die­se Unter­neh­men sind bes­ser gerü­stet, um ins­be­son­de­re spe­zi­el­le Manage­ment­funk­tio­nen für die Über­wa­chung von Ver­ein­ba­run­gen mit IKT-Dritt­dienst­lei­stern oder für den Umgang mit dem Kri­sen­ma­nage­ment ein­zu­rich­ten, ihr IKT-Risi­ko­ma­nage­ment nach dem Modell der drei Ver­tei­di­gungs­li­ni­en zu struk­tu­rie­ren oder ein inter­nes Modell für Risi­ko­ma­nage­ment und Kon­trol­le ein­zu­füh­ren und ihren IKT-Risi­ko­ma­nage­m­ent­rah­men inter­nen Revi­sio­nen zu unterziehen.

(39) Eini­ge Finanz­un­ter­neh­men kom­men in den Genuss von Aus­nah­men oder unter­lie­gen gemäß dem ein­schlä­gi­gen sek­tor­spe­zi­fi­schen Uni­ons­recht einem sehr locke­ren Rege­lungs­rah­men. Zu die­sen Finanz­un­ter­neh­men zäh­len Ver­wal­ter alter­na­ti­ver Invest­ment­fonds im Sin­ne von Arti­kel 3 Absatz 2 der Richt­li­nie 2011/61/EU des Euro­päi­schen Par­la­ments und des Rates (16), Ver­si­che­rungs- und Rück­ver­si­che­rungs­un­ter­neh­men im Sin­ne von Arti­kel 4 der Richt­li­nie 2009/138/EG des Euro­päi­schen Par­la­ments und des Rates (17) und Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung, die Alters­ver­sor­gungs­sy­ste­me mit ins­ge­samt nicht mehr als 15 Ver­sor­gungs­an­wär­tern betrei­ben. Ange­sichts die­ser Aus­nah­men wäre es nicht ver­hält­nis­mä­ßig, die­se Finanz­un­ter­neh­men in den Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung auf­zu­neh­men. Dar­über hin­aus wird in der vor­lie­gen­den Ver­ord­nung den struk­tu­rel­len Beson­der­hei­ten des Ver­si­che­rungs­ver­mitt­ler­markts Rech­nung getra­gen, sodass Ver­si­che­rungs­ver­mitt­ler, Rück­ver­si­che­rungs­ver­mitt­ler und Ver­si­che­rungs­ver­mitt­ler in Neben­tä­tig­keit, die als Kleinst­un­ter­neh­men oder als klei­ne oder mitt­le­re Unter­neh­men gel­ten, nicht unter die­se Ver­ord­nung fal­len sollten.

(40) Da die in Arti­kel 2 Absatz 5 Num­mern 4 bis 23 der Richt­li­nie 2013/36/EU genann­ten Ein­rich­tun­gen vom Anwen­dungs­be­reich jener Richt­li­nie aus­ge­nom­men sind, soll­ten die Mit­glied­staa­ten beschlie­ßen kön­nen, die­je­ni­gen die­ser Ein­rich­tun­gen, die sich in ihrem jewei­li­gen Hoheits­ge­biet befin­den, von der Anwen­dung die­ser Ver­ord­nung auszunehmen.

(41) Um die­se Ver­ord­nung an den Anwen­dungs­be­reich der Richt­li­nie 2014/65/EU des Euro­päi­schen Par­la­ments und des Rates (18) anzu­glei­chen, ist es auch ange­zeigt, die­je­ni­gen in Arti­kel 2 und 3 jener Richt­li­nie genann­ten natür­li­chen und juri­sti­schen Per­so­nen, die Wert­pa­pier­dienst­lei­stun­gen erbrin­gen dür­fen, ohne eine Zulas­sung gemäß der genann­ten Richt­li­nie erhal­ten zu müs­sen, vom Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung aus­zu­neh­men. Nach Arti­kel 2 der Richt­li­nie 2014/65/EU sind jedoch auch Unter­neh­men, die für die Zwecke der vor­lie­gen­den Ver­ord­nung als Finanz­un­ter­neh­men gel­ten, wie Zen­tral­ver­wah­rer, Orga­nis­men für gemein­sa­me Anla­gen oder Ver­si­che­rungs- und Rück­ver­si­che­rungs­un­ter­neh­men, vom Anwen­dungs­be­reich der genann­ten Richt­li­nie aus­ge­nom­men. Die Aus­nah­me der in den Arti­keln 2 und 3 jener Richt­li­nie genann­ten Per­so­nen und Unter­neh­men vom Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung soll­te nicht für die­se Zen­tral­ver­wah­rer, Orga­nis­men für gemein­sa­me Anla­gen oder Ver­si­che­rungs- und Rück­ver­si­che­rungs­un­ter­neh­men gelten.

(42) Nach dem sek­tor­spe­zi­fi­schen Uni­ons­recht unter­lie­gen eini­ge Finanz­un­ter­neh­men auf­grund ihrer Grö­ße oder den von ihnen erbrach­ten Dienst­lei­stun­gen weni­ger stren­gen Anfor­de­run­gen oder Aus­nah­men. Die­se Kate­go­rie von Finanz­un­ter­neh­men umfasst auch klei­ne und nicht ver­floch­te­ne Wert­pa­pier­fir­men, klei­ne Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung, die unter den in Arti­kel 5 der Richt­li­nie (EU) 2016/2341 fest­ge­leg­ten Bedin­gun­gen durch die betrof­fe­nen Mit­glied­staa­ten vom Anwen­dungs­be­reich jener Richt­li­nie aus­ge­nom­men wer­den kön­nen und Alters­ver­sor­gungs­sy­ste­me betrei­ben, die zusam­men nicht mehr als 100 Mit­glie­der haben, sowie gemäß der Richt­li­nie 2013/36/EU aus­ge­nom­me­ne Insti­tu­te. Im Ein­klang mit dem Grund­satz der Ver­hält­nis­mä­ßig­keit und zur Wah­rung des Gei­stes des sek­tor­spe­zi­fi­schen Uni­ons­rechts ist es daher auch ange­zeigt, die­se Finanz­un­ter­neh­men durch die vor­lie­gen­de Ver­ord­nung einem ver­ein­fach­ten IKT-Risi­ko­ma­nage­m­ent­rah­men zu unter­wer­fen. Die Ver­hält­nis­mä­ßig­keit des IKT-Risi­ko­ma­nage­m­ent­rah­mens für die­se Finanz­un­ter­neh­men soll­te durch die von den ESA zu ent­wickeln­den tech­ni­schen Regu­lie­rungs­stan­dards nicht ver­än­dert wer­den. Dar­über hin­aus ist es im Ein­klang mit dem Grund­satz der Ver­hält­nis­mä­ßig­keit ange­zeigt, durch die vor­lie­gen­de Ver­ord­nung auch Zah­lungs­in­sti­tu­te im Sin­ne des Arti­kels 32 Absatz 1 der Richt­li­nie (EU) 2015/2366 und E‑Geld-Insti­tu­te im Sin­ne des Arti­kels 9 der Richt­li­nie 2009/110/EG, die gemäß dem natio­na­len Recht, das die­se Rechts­ak­te der Uni­on umsetzt, aus­ge­nom­men sind, einem ver­ein­fach­ten IKT-Risi­ko­ma­nage­m­ent­rah­men zu unter­wer­fen, wäh­rend Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te, die gemäß der jewei­li­gen Umset­zung des sek­tor­spe­zi­fi­schen Uni­ons­rechts nicht aus­ge­nom­men wur­den, den in der vor­lie­gen­den Ver­ord­nung fest­ge­leg­ten all­ge­mei­nen Rah­men ein­hal­ten sollten.

(43) Eben­so soll­ten Finanz­un­ter­neh­men, die als Kleinst­un­ter­neh­men gel­ten oder dem ver­ein­fach­ten IKT-Risi­ko­ma­nage­m­ent­rah­men nach die­ser Ver­ord­nung unter­lie­gen, nicht ver­pflich­tet sein, eine Funk­ti­on zur Über­wa­chung ihrer mit IKT-Dritt­dienst­lei­stern geschlos­se­nen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen ein­zu­rich­ten oder ein Mit­glied der Geschäfts­lei­tung zu benen­nen, das für die Über­wa­chung der damit ver­bun­de­nen Risi­ko­ex­po­si­ti­on und die ein­schlä­gi­ge Doku­men­ta­ti­on zustän­dig ist, die Ver­ant­wor­tung für das Manage­ment und die Über­wa­chung von IKT-Risi­ken einer Kon­troll­funk­ti­on zuzu­wei­sen und zur Ver­mei­dung von Inter­es­sen­kon­flik­ten ein ange­mes­se­nes Maß an Unab­hän­gig­keit die­ser Kon­troll­funk­ti­on sicher­zu­stel­len, den IKT-Risi­ko­ma­nage­m­ent­rah­men min­de­stens ein­mal jähr­lich zu doku­men­tie­ren und zu über­prü­fen, den IKT-Risi­ko­ma­nage­m­ent­rah­men regel­mä­ßig einer inter­nen Revi­si­on zu unter­zie­hen, nach grö­ße­ren Ver­än­de­run­gen ihrer Netz­werk- und Infor­ma­ti­ons­sy­stem­in­fra­struk­tu­ren und ‑pro­zes­se ein­ge­hen­de Bewer­tun­gen durch­zu­füh­ren, regel­mä­ßig Risi­ko­ana­ly­sen von IKT-Alt­sy­ste­men vor­zu­neh­men, die Umset­zung der IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne einer unab­hän­gi­gen inter­nen Revi­si­on zu unter­zie­hen, eine Kri­sen­ma­nage­ment­funk­ti­on fest­zu­le­gen, die Tests der Geschäfts­fort­füh­rungs­plä­ne und der Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne zur Erfas­sung von Sze­na­ri­en für die Umstel­lung von pri­mä­rer IKT-Infra­struk­tur auf red­un­dan­te Syste­me aus­zu­wei­ten, den zustän­di­gen Behör­den auf deren Anfra­ge eine Schät­zung der von schwer­wie­gen­den IKT-bezo­ge­nen Vor­fäl­len ver­ur­sach­ten agg­re­gier­ten jähr­li­chen Kosten und Ver­lu­ste vor­zu­le­gen, red­un­dan­te IKT-Kapa­zi­tä­ten zu unter­hal­ten, den zustän­di­gen natio­na­len Behör­den die nach nach­träg­li­chen Prü­fun­gen IKT-bezo­ge­ner Vor­fäl­le vor­ge­nom­me­nen Ände­run­gen zu mel­den, die ein­schlä­gi­gen tech­no­lo­gi­schen Ent­wick­lun­gen fort­lau­fend zu über­wa­chen, als inte­gra­len Bestand­teil des in die­ser Ver­ord­nung vor­ge­se­he­nen IKT-Risi­ko­ma­nage­m­ent­rah­mens ein umfas­sen­des Pro­gramm für Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz ein­zu­rich­ten oder eine Stra­te­gie für das IKT-Dritt­par­tei­en­ri­si­ko zu ver­ab­schie­den und regel­mä­ßig zu über­prü­fen. Dar­über hin­aus soll­ten Kleinst­un­ter­neh­men nur ver­pflich­tet sein, auf der Grund­la­ge ihres Risi­ko­pro­fils zu bewer­ten, ob die­se red­un­dan­ten IKT-Kapa­zi­tä­ten unter­hal­ten wer­den müs­sen. Kleinst­un­ter­neh­men soll­ten in den Genuss einer fle­xi­ble­ren Rege­lung für Pro­gram­me für Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz kom­men. Bei der Erwä­gung der Art und Häu­fig­keit der durch­zu­füh­ren­den Tests soll­ten sie ein ange­mes­se­nes Gleich­ge­wicht zwi­schen dem Ziel der Auf­recht­erhal­tung einer hohen digi­ta­len ope­ra­tio­na­len Resi­li­enz, den ver­füg­ba­ren Res­sour­cen und ihrem Gesamt­ri­si­ko­pro­fil fin­den. Kleinst­un­ter­neh­men und Finanz­un­ter­neh­men, die dem ver­ein­fach­ten IKT-Risi­ko­ma­nage­m­ent­rah­men nach die­ser Ver­ord­nung unter­lie­gen, soll­ten von der Ver­pflich­tung aus­ge­nom­men wer­den, erwei­ter­te Tests von IKT-Tools, ‑Syste­men und ‑Pro­zes­sen auf Basis bedro­hungs­ori­en­tier­ter Pene­tra­ti­ons­tests (TLPT — Thre­at Led Pene­tra­ti­on Test­ing) durch­zu­füh­ren, da nur Finanz­un­ter­neh­men, die die Kri­te­ri­en in die­ser Ver­ord­nung erfül­len, ver­pflich­tet sein soll­ten, die­se Tests durch­zu­füh­ren. Ange­sichts ihrer begrenz­ten Kapa­zi­tä­ten soll­ten Kleinst­un­ter­neh­men mit dem IKT-Dritt­dienst­lei­ster ver­ein­ba­ren kön­nen, die Zugangs‑, Inspek­ti­ons- und Audit­rech­te des Finanz­un­ter­neh­mens an einen vom IKT-Dritt­dienst­lei­ster zu beauf­tra­gen­den unab­hän­gi­gen Drit­ten zu dele­gie­ren, sofern das Finanz­un­ter­neh­men jeder­zeit alle rele­van­ten Infor­ma­tio­nen und Zusi­che­run­gen über die Lei­stung des IKT-Dritt­dienst­lei­sters von dem jewei­li­gen unab­hän­gi­gen Drit­ten anfor­dern kann.

(44) Da nur die Finanz­un­ter­neh­men, die für die Zwecke der erwei­ter­ten Tests der digi­ta­len Resi­li­enz bestimmt wur­den, zu bedro­hungs­ori­en­tier­ten Pene­tra­ti­ons­tests ver­pflich­tet wer­den soll­ten, soll­ten die Ver­wal­tungs­ver­fah­ren und finan­zi­el­len Kosten, die mit der Durch­füh­rung die­ser Tests ver­bun­den sind, von einem klei­nen Pro­zent­satz der Finanz­un­ter­neh­men getra­gen werden.

(45) Um die voll­stän­di­ge Abstim­mung und all­ge­mei­ne Kohä­renz zwi­schen den Geschäfts­stra­te­gien der Finanz­un­ter­neh­men einer­seits und der Durch­füh­rung des IKT-Risi­ko­ma­nage­ments ande­rer­seits zu gewähr­lei­sten, soll­ten die Lei­tungs­or­ga­ne der Finanz­un­ter­neh­men ver­pflich­tet sein, beim Manage­ment und bei der Anpas­sung des IKT-Risi­ko­ma­nage­m­ent­rah­mens und der Gesamt­stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz eine zen­tra­le und akti­ve Rol­le zu bewah­ren. Der von den Lei­tungs­or­ga­nen her­an­zu­zie­hen­de Ansatz soll­te sich nicht nur auf die Mit­tel zur Gewähr­lei­stung der Resi­li­enz der IKT-Syste­me kon­zen­trie­ren, son­dern auch Men­schen und Pro­zes­se durch eine Rei­he von Leit- und Richt­li­ni­en ein­be­zie­hen, die auf jeder Unter­neh­mens­ebe­ne und bei allen Mit­ar­bei­tern ein star­kes Bewusst­sein für Cyber­ri­si­ken und die Ver­pflich­tung zur Ein­hal­tung einer stren­gen Cyber­hy­gie­ne auf allen Ebe­nen her­vor­ru­fen. Die letzt­li­che Ver­ant­wor­tung des Lei­tungs­or­gans für das Manage­ment des IKT-Risi­kos eines Finanz­un­ter­neh­mens soll­te in einem über­ge­ord­ne­ten Prin­zip die­ses umfas­sen­den Ansat­zes bestehen, das sich wei­ter im kon­ti­nu­ier­li­chen Enga­ge­ment des Lei­tungs­or­gans bei der Kon­trol­le der Über­wa­chung des IKT-Risi­ko­ma­nage­ments niederschlägt.

(46) Dar­über hin­aus geht der Grund­satz der unein­ge­schränk­ten und letzt­li­chen Ver­ant­wor­tung des Lei­tungs­or­gans für das Manage­ment der IKT-Risi­ken des Finanz­un­ter­neh­mens mit der Not­wen­dig­keit ein­her, einen bestimm­ten Umfang von IKT-Inve­sti­tio­nen und ein Gesamt­bud­get sicher­zu­stel­len, die das Finanz­un­ter­neh­men in die Lage ver­set­zen, ein hohes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz zu erreichen.

(47) Auf­bau­end auf ein­schlä­gi­gen inter­na­tio­na­len, natio­na­len und bran­chen­spe­zi­fi­schen bewähr­ten Ver­fah­ren, Leit­li­ni­en, Emp­feh­lun­gen und Kon­zep­ten für das Manage­ment von Cyber­ri­si­ken wer­den mit die­ser Ver­ord­nung eine Rei­he von Prin­zi­pi­en geför­dert, die die all­ge­mei­ne Struk­tur des IKT-Risi­ko­ma­nage­ments erleich­tern. Solan­ge die wich­tig­sten von Finanz­un­ter­neh­men ein­ge­rich­te­ten Kapa­zi­tä­ten die ver­schie­de­nen in die­ser Ver­ord­nung vor­ge­se­he­nen Auf­ga­ben im IKT-Risi­ko­ma­nage­ment (Ermitt­lung, Schutz und Prä­ven­ti­on, Erken­nung, Reak­ti­on und Wie­der­her­stel­lung, Ler­nen sowie Wei­ter­ent­wick­lung und Kom­mu­ni­ka­ti­on) ange­hen, soll­te es den Finanz­un­ter­neh­men folg­lich frei­ste­hen, IKT-Risi­ko­ma­nage­ment­mo­del­le zu ver­wen­den, die anders geglie­dert oder kate­go­ri­siert sind.

(48) Um mit einer sich rasch ändern­den Bedro­hungs­la­ge Schritt zu hal­ten, soll­ten Finanz­un­ter­neh­men auf dem neue­sten Stand befind­li­che IKT-Syste­me unter­hal­ten, die zuver­läs­sig sind und nicht nur die Ver­ar­bei­tung der für die Erbrin­gung ihrer Dien­ste erfor­der­li­chen Daten, son­dern auch aus­rei­chen­de tech­no­lo­gi­sche Resi­li­enz gewähr­lei­sten kön­nen, damit Finanz­un­ter­neh­men in ange­mes­se­ner Wei­se auf zusätz­li­che Ver­ar­bei­tungs­er­for­der­nis­se auf­grund ange­spann­ter Markt­be­din­gun­gen oder ande­rer ungün­sti­ger Umstän­de reagie­ren können.

(49) Effi­zi­en­te Plä­ne zur Fort­füh­rung der Geschäfts­tä­tig­keit und für die Wie­der­her­stel­lung sind erfor­der­lich, damit Finanz­un­ter­neh­men IKT-bezo­ge­nen Vor­fäl­len, ins­be­son­de­re Cyber­an­grif­fen, prompt und zügig ent­ge­gen­wir­ken kön­nen, indem Schä­den begrenzt wer­den und die Wie­der­auf­nah­me von Tätig­kei­ten und Maß­nah­men für die Wie­der­her­stel­lung im Ein­klang mit ihren Richt­li­ni­en für Daten­si­che­rung Vor­rang erhal­ten. Eine sol­che Wie­der­auf­nah­me soll­te jedoch die Inte­gri­tät und Sicher­heit der Netz­werk- und Infor­ma­ti­ons­sy­ste­me oder die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät oder Ver­trau­lich­keit von Daten in kei­ner Wei­se gefährden.

(50) Mit die­ser Ver­ord­nung wird Finanz­un­ter­neh­men zwar ermög­licht, ihre Vor­ga­ben für die Wie­der­her­stel­lungs­zeit (reco­very time objec­ti­ve) und die Wie­der­her­stel­lungs­punk­te (reco­very point objec­ti­ve) fle­xi­bel und daher so fest­zu­le­gen, dass Art und Kri­ti­k­ali­tät der jewei­li­gen Funk­ti­on sowie etwa­ige spe­zi­fi­sche geschäft­li­che Erfor­der­nis­se in vol­lem Umfang berück­sich­tigt wer­den, aller­dings soll­te bei der Fest­le­gung die­ser Vor­ga­ben auch die Durch­füh­rung einer Bewer­tung der poten­zi­el­len Gesamt­aus­wir­kun­gen auf die Markt­ef­fi­zi­enz vor­ge­schrie­ben sein.

(51) Die Urhe­ber von Cyber­an­grif­fen nei­gen dazu, finan­zi­el­le Gewin­ne direkt an der Quel­le zu erzie­len, sodass Finanz­un­ter­neh­men weit­rei­chen­den Fol­gen aus­ge­setzt sind. Um zu ver­hin­dern, dass IKT-Syste­me ihre Inte­gri­tät ein­bü­ßen oder nicht ver­füg­bar wer­den, und somit zu ver­mei­den, dass ver­trau­li­che Daten ein­ge­se­hen oder phy­si­sche IKT-Infra­struk­tu­ren beschä­digt wer­den, soll­te die Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le durch Finanz­un­ter­neh­men erheb­lich ver­bes­sert und gestrafft wer­den. Die Mel­dung IKT-bezo­ge­ner Vor­fäl­le soll­te für alle Finanz­un­ter­neh­men har­mo­ni­siert wer­den, indem sie ver­pflich­tet wer­den, ihren jeweils zustän­di­gen Behör­den direkt Bericht zu erstat­ten. Unter­liegt ein Finanz­un­ter­neh­men der Auf­sicht von mehr als einer zustän­di­gen natio­na­len Behör­de, so soll­ten die Mit­glied­staa­ten eine ein­zi­ge zustän­di­ge Behör­de als Adres­sat einer sol­chen Mel­dung benen­nen. Kre­dit­in­sti­tu­te, die gemäß Arti­kel 6 Absatz 4 der Ver­ord­nung (EU) Nr. 1024/2013 des Rates (19) als bedeu­tend ein­ge­stuft wer­den, soll­ten die Mel­dun­gen den zustän­di­gen natio­na­len Behör­den über­mit­teln, die sie anschlie­ßend an die Euro­päi­sche Zen­tral­bank (EZB) wei­ter­lei­ten sollten.

(52) Die direk­te Mel­dung soll­te Finanz­auf­sichts­be­hör­den den direk­ten Zugang zu Infor­ma­tio­nen über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le ermög­li­chen. Finanz­auf­sichts­be­hör­den soll­ten Ein­zel­hei­ten über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le wie­der­um an Nicht-Finanz­be­hör­den (z. B gemäß der Richt­li­nie (EU) 2022/2555 benann­te zustän­di­ge Behör­den und zen­tra­le Anlauf­stel­len, natio­na­le Daten­schutz­be­hör­den und Straf­ver­fol­gungs­be­hör­den bei schwer­wie­gen­den IKT-bezo­ge­nen Vor­fäl­len straf­recht­li­cher Art) wei­ter­lei­ten, um die­se Behör­den für die­se Vor­fäl­le zu sen­si­bi­li­sie­ren und bei CSIRT gege­be­nen­falls die unver­züg­li­che Unter­stüt­zung von Finanz­un­ter­neh­men zu erleich­tern. Dar­über hin­aus soll­ten die Mit­glied­staa­ten fest­le­gen kön­nen, dass Finanz­un­ter­neh­men selbst der­ar­ti­ge Infor­ma­tio­nen an Behör­den außer­halb des Finanz­dienst­lei­stungs­be­reichs wei­ter­ge­ben soll­ten. Die­se Infor­ma­ti­ons­flüs­se soll­ten es Finanz­un­ter­neh­men ermög­li­chen, rasch von allen ein­schlä­gi­gen tech­ni­schen Infor­ma­tio­nen, der Bera­tung über Abhil­fe­maß­nah­men und den anschlie­ßen­den Fol­ge­maß­nah­men die­ser Behör­den zu pro­fi­tie­ren. Die Infor­ma­tio­nen über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le soll­ten wech­sel­sei­tig gelenkt wer­den: Die Finanz­auf­sichts­be­hör­den soll­ten dem Finanz­un­ter­neh­men alle erfor­der­li­chen Rück­mel­dun­gen oder Ori­en­tie­rungs­hil­fen geben, wäh­rend die ESA anony­mi­sier­te Daten über Cyber­be­dro­hun­gen und Schwach­stel­len im Zusam­men­hang mit einem Vor­fall aus­tau­schen soll­ten, um eine umfas­sen­de kol­lek­ti­ve Ver­tei­di­gung zu unterstützen.

(53) Zwar soll­ten alle Finanz­un­ter­neh­men ver­pflich­tet sein, Sicher­heits­vor­fäl­le zu mel­den, es ist jedoch davon aus­zu­ge­hen, dass die­se Ver­pflich­tung sie nicht alle in glei­cher Wei­se betrifft. Die ein­schlä­gi­gen Wesent­lich­keits­schwel­len sowie die Fri­sten für die Mel­dung soll­ten im Rah­men dele­gier­ter Rechts­ak­te auf der Grund­la­ge der von den ESA zu ent­wickeln­den tech­ni­schen Regu­lie­rungs­stan­dards gebüh­rend ange­passt wer­den, um nur schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le abzu­decken. Dar­über hin­aus soll­ten die Beson­der­hei­ten von Finanz­un­ter­neh­men bei der Fest­le­gung der Fri­sten für die Mel­de­pflich­ten berück­sich­tigt werden.

(54) Die­se Ver­ord­nung soll­te Kre­dit­in­sti­tu­te, Zah­lungs­in­sti­tu­te, Kon­to­in­for­ma­ti­ons­dienst­lei­ster und E‑Geld-Insti­tu­te ver­pflich­ten, alle zuvor gemäß der Richt­li­nie (EU) 2015/2366 gemel­de­ten zah­lungs­be­zo­ge­nen Betriebs- oder Sicher­heits­vor­fäl­le zu mel­den, unab­hän­gig von der Art des IKT-Vorfalls.

(55) Die ESA soll­ten beauf­tragt wer­den, die Durch­führ­bar­keit und die Bedin­gun­gen für eine mög­li­che Zen­tra­li­sie­rung von Mel­dun­gen über IKT-bezo­ge­ne Vor­fäl­le auf Uni­ons­ebe­ne zu bewer­ten. Eine sol­che Zen­tra­li­sie­rung könn­te in einer ein­heit­li­chen EU-Platt­form für die Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le bestehen, die die ent­spre­chen­den Mel­dun­gen ent­we­der direkt ent­ge­gen­nimmt und die zustän­di­gen natio­na­len Behör­den auto­ma­tisch benach­rich­tigt oder ledig­lich die von den zustän­di­gen natio­na­len Behör­den über­mit­tel­ten ein­schlä­gi­gen Mel­dun­gen zen­tra­li­siert und somit eine Koor­di­nie­rungs­funk­ti­on wahr­nimmt. Die ESA soll­ten beauf­tragt wer­den, in Abspra­che mit der EZB und der ENISA einen gemein­sa­men Bericht über die Mach­bar­keit der Ein­rich­tung einer ein­heit­li­chen EU-Platt­form auszuarbeiten.

(56) Um ein hohes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz zu errei­chen und im Ein­klang sowohl mit den ein­schlä­gi­gen inter­na­tio­na­len Stan­dards (z. B. die „G7 Fun­da­men­tal Ele­ments for Thre­at-Led Pene­tra­ti­on Test­ing“ (Grund­zü­ge bedro­hungs­ori­en­tier­ter Pene­tra­ti­ons­tests der G7-Staa­ten)) als auch den in der Uni­on ange­wand­ten Rah­men (z. B. TIBER-EU), soll­ten Finanz­un­ter­neh­men ihre IKT-Syste­me und ihre Mit­ar­bei­ter mit IKT-bezo­ge­nen Ver­ant­wor­tun­gen regel­mä­ßig auf die Effi­zi­enz ihrer Fähig­kei­ten für Prä­ven­ti­on, Erken­nung, Reak­ti­on und Wie­der­her­stel­lung hin testen, um poten­zi­el­le IKT-Schwach­stel­len auf­zu­decken und zu besei­ti­gen. Um den Unter­schie­den Rech­nung zu tra­gen, die zwi­schen und in den ver­schie­de­nen Finanz­teil­sek­to­ren bei der Abwehr­be­reit­schaft von Finanz­un­ter­neh­men im Bereich der Cyber­si­cher­heit bestehen, soll­ten die Tests eine brei­te Palet­te von Instru­men­ten und Maß­nah­men umfas­sen, die von der Bewer­tung grund­le­gen­der Anfor­de­run­gen (z. B. Bewer­tun­gen und Über­prü­fun­gen der Schwach­stel­len, Ana­ly­sen von Open-Source-Soft­ware, Bewer­tun­gen der Netz­werk­si­cher­heit, Lücken­ana­ly­sen, Ana­ly­sen der phy­si­schen Sicher­heit, Fra­ge­bö­gen und Scan­soft­ware­lö­sun­gen, Quell­code­prü­fun­gen, soweit durch­führ­bar, sze­na­rio­ba­sier­te Tests, Kom­pa­ti­bi­li­täts­tests, Lei­stungs­tests oder End-to-End-Tests) bis hin zu erwei­ter­ten Tests anhand von TLPT rei­chen. Die­se erwei­ter­ten Tests soll­ten nur für Finanz­un­ter­neh­men vor­ge­schrie­ben wer­den, die aus IKT-Per­spek­ti­ve aus­ge­reift genug sind, um sie ange­mes­sen durch­füh­ren zu kön­nen. Folg­lich soll­ten die in die­ser Ver­ord­nung vor­ge­schrie­be­ne Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz für die Finanz­un­ter­neh­men, die die Kri­te­ri­en die­ser Ver­ord­nung erfül­len (zum Bei­spiel gro­ße system­re­le­van­te Kre­dit­in­sti­tu­te mit aus­ge­reif­ter IKT, Bör­sen, Zen­tral­ver­wah­rer und zen­tra­le Gegen­par­tei­en), aus­ge­dehn­ter sein als für ande­re Finanz­un­ter­neh­men. Gleich­zei­tig soll­ten die Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz anhand von TLPT für Finanz­un­ter­neh­men, die in zen­tra­len Finanz­dienst­lei­stungs­teil­sek­to­ren tätig sind und eine system­re­le­van­te Rol­le spie­len (zum Bei­spiel Zah­lun­gen, Ban­ken sowie Clea­ring und Abrech­nung), mehr Rele­vanz und für ande­re Teil­sek­to­ren (zum Bei­spiel Ver­mö­gens­ver­wal­ter, Rating­agen­tu­ren usw.) weni­ger Rele­vanz besitzen.

(57) Grenz­über­grei­fend täti­ge Finanz­un­ter­neh­men, die die Nie­der­las­sungs- oder Dienst­lei­stungs­frei­heit in der Uni­on aus­üben, soll­ten in ihrem Her­kunfts­mit­glied­staat eine ein­heit­li­che Rei­he von Anfor­de­run­gen für erwei­ter­te Tests (z. B. TLPT) erfül­len, die sich auf die IKT-Infra­struk­tu­ren in allen Rechts­ord­nun­gen erstrecken soll­ten, in denen die grenz­über­schrei­ten­de Finanz­grup­pe inner­halb der Uni­on tätig ist, sodass die­sen grenz­über­schrei­tend täti­gen Finanz­grup­pen nur in einer Rechts­ord­nung ent­spre­chen­de IKT-bezo­ge­ne Test­ko­sten entstehen.

(58) Um das Fach­wis­sen zu nut­zen, das bestimm­te zustän­di­ge Behör­den bereits erwor­ben haben, ins­be­son­de­re im Zusam­men­hang mit der Umset­zung von TIBER-EU, soll­te es den Mit­glied­staa­ten durch die­se Ver­ord­nung ermög­licht wer­den, auf natio­na­ler Ebe­ne eine ein­zi­ge staat­li­che Behör­de zu benen­nen, die im Finanz­sek­tor für alle TLPT-bezo­ge­nen Fra­gen zustän­dig ist, oder — falls kei­ne sol­che Behör­de benannt wur­de — die ent­spre­chen­den zustän­di­gen Behör­den zu benen­nen, die die Wahr­neh­mung von TLPT-bezo­ge­nen Auf­ga­ben einer ande­ren zustän­di­gen natio­na­len Finanz­be­hör­de übertragen.

(59) Da Finanz­un­ter­neh­men nach die­ser Ver­ord­nung nicht ver­pflich­tet sind, mit einem ein­zi­gen bedro­hungs­ori­en­tier­ten Pene­tra­ti­ons­test alle kri­ti­schen oder wich­ti­gen Funk­tio­nen abzu­decken, soll­te es den Finanz­un­ter­neh­men frei­ste­hen, jeweils fest­zu­le­gen, wel­che und wie vie­le kri­ti­sche oder wich­ti­ge Funk­tio­nen im Rah­men die­ser Tests geprüft wer­den sollten.

(60) Gebün­del­te Tests im Sin­ne die­ser Ver­ord­nung — bei denen ver­schie­de­ne Finanz­un­ter­neh­men an einem TLPT teil­neh­men und ein IKT-Dritt­dienst­lei­ster zu die­sem Zweck direkt ver­trag­li­che Ver­ein­ba­run­gen mit einem exter­nen Tester ein­ge­hen kann — soll­ten nur dann zuläs­sig sein, wenn gerecht­fer­tigt von nach­tei­li­gen Aus­wir­kun­gen auf die Qua­li­tät oder Sicher­heit der­je­ni­gen Dienst­lei­stun­gen aus­ge­gan­gen wer­den kann, die der IKT-Dritt­dienst­lei­ster für Kun­den erbringt, bei denen es sich um nicht in den Gel­tungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, oder auf die Ver­trau­lich­keit von mit die­sen Dienst­lei­stun­gen in Ver­bin­dung ste­hen­den Daten. Gebün­del­te Tests soll­ten auch Schutz­vor­keh­run­gen unter­lie­gen (Lei­tung durch ein benann­tes Finanz­un­ter­neh­men, Abgleich der Anzahl der teil­neh­men­den Finanz­un­ter­neh­men), damit ein stren­ges Test­ver­fah­ren für die­je­ni­gen betei­lig­ten Finanz­un­ter­neh­men gewähr­lei­stet ist, die den Zie­len des TLPT gemäß die­ser Ver­ord­nung gerecht werden.

(61) Um die auf Unter­neh­mens­ebe­ne ver­füg­ba­ren inter­nen Res­sour­cen zu nut­zen, soll­te der Ein­satz inter­ner Tester zur Durch­füh­rung von TLPT gemäß die­ser Ver­ord­nung gestat­tet sein, sofern eine auf­sicht­li­che Geneh­mi­gung vor­liegt, kei­ne Inter­es­sen­kon­flik­te bestehen und ein regel­mä­ßi­ger Wech­sel (jeweils nach drei Tests) im Ein­satz von inter­nen und exter­nen Testern statt­fin­det, wobei es sich zudem bei dem Anbie­ter der Bedro­hungs­ana­ly­se im Rah­men der TLPT stets um ein Unter­neh­men außer­halb des betref­fen­den Finanz­un­ter­neh­mens han­deln muss. Die Durch­füh­rung von TLPT soll­ten wei­ter­hin unein­ge­schränkt in der Ver­ant­wor­tung der Finanz­un­ter­neh­men lie­gen. Die von den Behör­den aus­ge­stell­ten Beschei­ni­gun­gen soll­ten aus­schließ­lich dem Zweck der gegen­sei­ti­gen Aner­ken­nung die­nen und soll­ten weder Fol­ge­maß­nah­men aus­schlie­ßen, die erfor­der­lich sind, um IKT-Risi­ken, denen das Finanz­un­ter­neh­men aus­ge­setzt ist, anzu­ge­hen, noch soll­ten sie als auf­sicht­li­che Bil­li­gung der IKT-Risi­ko­ma­nage­ment- und ‑min­de­rungs­fä­hig­kei­ten eines Finanz­un­ter­neh­mens betrach­tet werden.

(62) Um eine soli­de Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos im Finanz­sek­tor zu gewähr­lei­sten, sind eine Rei­he grund­satz­ba­sier­ter Regeln fest­zu­le­gen, um Finanz­un­ter­neh­men bei der Über­wa­chung der Risi­ken anzu­lei­ten, die im Zusam­men­hang mit an IKT-Dritt­dienst­lei­ster aus­ge­la­ger­ten Funk­tio­nen — ins­be­son­de­re mit IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen — sowie ganz all­ge­mein im Zusam­men­hang mit jeg­li­chen Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern entstehen.

(63) Um der Kom­ple­xi­tät der ver­schie­de­nen IKT-Risi­ko­quel­len und dabei zugleich der Viel­zahl und Viel­falt der Anbie­ter tech­no­lo­gi­scher Lösun­gen, die eine rei­bungs­lo­se Erbrin­gung von Finanz­dienst­lei­stun­gen ermög­li­chen, gerecht zu wer­den, soll­te die­se Ver­ord­nung für ein brei­tes Spek­trum von IKT-Dritt­dienst­lei­stern gel­ten, dar­un­ter Anbie­ter von Cloud-Com­pu­ting-Dien­sten, Soft­ware, Daten­ana­ly­se­dien­sten und Anbie­ter von Rechen­zen­trums­dienst­lei­stun­gen. Da Finanz­un­ter­neh­men alle Arten von Risi­ken — auch im Zusam­men­hang mit inner­halb einer Finanz­grup­pe beschaff­ten IKT-Dienst­lei­stun­gen — wirk­sam und kohä­rent ermit­teln und mana­gen soll­ten, soll­te zudem klar her­aus­ge­stellt wer­den, dass Unter­neh­men, die Teil einer Finanz­grup­pe sind und IKT-Dienst­lei­stun­gen vor­wie­gend für ihr Mut­ter­un­ter­neh­men oder für Toch­ter­un­ter­neh­men oder Zweig­nie­der­las­sun­gen ihres Mut­ter­un­ter­neh­mens erbrin­gen, sowie Finanz­un­ter­neh­men, die IKT-Dienst­lei­stun­gen für ande­re Finanz­un­ter­neh­men erbrin­gen, eben­falls als IKT-Dritt­dienst­lei­ster im Sin­ne die­ser Ver­ord­nung gel­ten soll­ten. Ange­sichts der zuneh­men­den Abhän­gig­keit des sich ent­wickeln­den Mark­tes für Zah­lungs­dien­ste von kom­ple­xen tech­ni­schen Lösun­gen sowie ange­sichts neu ent­ste­hen­der Arten von Zah­lungs­dien­sten und zah­lungs­be­zo­ge­nen Lösun­gen soll­ten die­je­ni­gen Teil­neh­mer des Öko­sy­stems für Zah­lungs­dien­ste, die Zah­lungs­ab­wick­lungs­tä­tig­kei­ten durch­füh­ren oder Zah­lungs­in­fra­struk­tu­ren betrei­ben, eben­falls als IKT-Dritt­dienst­lei­ster im Sin­ne die­ser Ver­ord­nung gel­ten, mit Aus­nah­me von Zen­tral­ban­ken, die Zah­lungs- oder Wert­pa­pier­lie­fer- und ‑abrech­nungs­sy­ste­me betrei­ben, und von staat­li­chen Behör­den, die IKT-bezo­ge­ne Dien­ste im Zusam­men­hang mit Funk­tio­nen des Staa­tes bereitstellen.

(64) Ein Finanz­un­ter­neh­men soll­te jeder­zeit die vol­le Ver­ant­wor­tung für die Ein­hal­tung sei­ner Ver­pflich­tun­gen aus die­ser Ver­ord­nung tra­gen. Die Finanz­un­ter­neh­men soll­ten bei der Über­wa­chung der Risi­ken, die auf Ebe­ne der IKT-Dritt­dienst­lei­ster ent­ste­hen, einen ver­hält­nis­mä­ßi­gen Ansatz ver­fol­gen, indem Art, Umfang, Kom­ple­xi­tät und Bedeu­tung ihrer IKT-bezo­ge­ner Abhän­gig­kei­ten und die Kri­ti­k­ali­tät oder Bedeu­tung der Dien­ste, Pro­zes­se oder Funk­tio­nen, die den ver­trag­li­chen Ver­ein­ba­run­gen unter­lie­gen, letzt­lich je nach Sach­la­ge anhand einer sorg­fäl­ti­gen Bewer­tung jeg­li­cher poten­zi­el­ler Aus­wir­kun­gen auf die Kon­ti­nui­tät und Qua­li­tät von Finanz­dienst­lei­stun­gen auf Ein­zel- und Grup­pen­e­be­ne gebüh­rend berück­sich­tigt werden.

(65) Die Durch­füh­rung einer sol­chen Über­wa­chung soll­te nach einem stra­te­gi­schen Ansatz für das IKT-Dritt­par­tei­en­ri­si­ko erfol­gen, der durch die Annah­me einer eige­nen Stra­te­gie für das von IKT-Dritt­dienst­lei­stern aus­ge­hen­de Risi­ko durch das Lei­tungs­or­gan des Finanz­un­ter­neh­mens for­ma­li­siert wird, und zwar auf der Grund­la­ge einer kon­ti­nu­ier­li­chen Über­prü­fung aller Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern. Um die Auf­sichts­be­hör­den für Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern zu sen­si­bi­li­sie­ren und die Arbei­ten im Zusam­men­hang mit dem durch die­se Ver­ord­nung geschaf­fe­nen Über­wa­chungs­rah­men wei­ter zu unter­stüt­zen, soll­ten sämt­li­che Finanz­un­ter­neh­men ver­pflich­tet wer­den, ein Infor­ma­ti­ons­re­gi­ster mit allen ver­trag­li­chen Ver­ein­ba­run­gen betref­fend die Nut­zung von IKT-Dienst­lei­stun­gen, die von IKT-Dritt­dienst­lei­stern bereit­ge­stellt wer­den, zu füh­ren. Die Finanz­auf­sichts­be­hör­den soll­ten in der Lage sein, das voll­stän­di­ge Regi­ster oder bestimm­te Abschnit­te des Regi­sters anzu­for­dern und somit wesent­li­che Infor­ma­tio­nen zu erhal­ten, die ein umfas­sen­de­res Ver­ständ­nis der IKT-bezo­ge­nen Abhän­gig­kei­ten von Finanz­un­ter­neh­men ermöglichen.

(66) Dem förm­li­chen Abschluss ver­trag­li­cher Ver­ein­ba­run­gen soll­te eine gründ­li­che Ana­ly­se vor Ver­trags­ab­schluss zugrun­de lie­gen und die­sem vor­aus­ge­hen, ins­be­son­de­re indem der Fokus auf Aspek­te wie die Kri­ti­k­ali­tät oder Bedeu­tung der durch den geplan­ten IKT-Ver­trag unter­stütz­ten Dien­ste, die erfor­der­li­chen auf­sicht­li­chen Geneh­mi­gun­gen oder son­sti­gen Bedin­gun­gen, das damit ver­bun­de­ne mög­li­che Kon­zen­tra­ti­ons­ri­si­ko sowie die Anwen­dung der Sorg­falts­pflicht bei der Aus­wahl und Bewer­tung von IKT-Dritt­dienst­lei­stern gelegt wird, und indem poten­zi­el­le Inter­es­sen­kon­flik­te bewer­tet wer­den. Betref­fen ver­trag­li­che Ver­ein­ba­run­gen kri­ti­sche oder wich­ti­ge Funk­tio­nen, so soll­ten Finanz­un­ter­neh­men dar­auf ach­ten, dass IKT-Dritt­dienst­lei­ster die aktu­ell­sten und höch­sten Stan­dards für die Infor­ma­ti­ons­si­cher­heit anwen­den. Die Kün­di­gung ver­trag­li­cher Ver­ein­ba­run­gen könn­te zumin­dest durch eine Rei­he von Umstän­den aus­ge­löst wer­den, die Unzu­läng­lich­kei­ten auf Ebe­ne des IKT-Dritt­dienst­lei­ster erken­nen las­sen, ins­be­son­de­re erheb­li­che Ver­stö­ße gegen Rechts­vor­schrif­ten oder Ver­trags­be­stim­mun­gen, Umstän­de, die auf eine poten­zi­el­le Ände­rung der Wahr­neh­mung der im Rah­men der ver­trag­li­chen Ver­ein­ba­rung vor­ge­se­he­nen Funk­tio­nen hin­deu­ten, Hin­wei­se auf Schwach­stel­len beim all­ge­mei­nen IKT-Risi­ko­ma­nage­ment des IKT-Dritt­dienst­lei­sters oder Umstän­de, die dar­auf hin­wei­sen, dass die jeweils zustän­di­ge Behör­de nicht zu einer wirk­sa­men Beauf­sich­ti­gung des Finanz­un­ter­neh­mens in der Lage sind.

(67) Um die syste­mi­schen Aus­wir­kun­gen des Kon­zen­tra­ti­ons­ri­si­kos von IKT-Dritt­dienst­lei­stern zu anzu­ge­hen, wird mit die­ser Ver­ord­nung eine aus­ge­wo­ge­ne Lösung ange­strebt, indem bei sol­chen Kon­zen­tra­ti­ons­ri­si­ken ein fle­xi­bler und schritt­wei­ser Ansatz ver­folgt wird, da jeg­li­che vor­ge­schrie­be­ne star­re Ober­gren­zen oder stren­ge Beschrän­kun­gen die Geschäfts­tä­tig­keit behin­dern und die Ver­trags­frei­heit beein­träch­ti­gen kön­nen. Finanz­un­ter­neh­men soll­ten ihre geplan­ten ver­trag­li­chen Ver­ein­ba­run­gen gründ­lich prü­fen, um die Wahr­schein­lich­keit des Auf­tre­tens eines sol­chen Risi­kos zu ermit­teln, unter ande­rem durch fun­dier­te Ana­ly­sen von Unter­auf­trags­ver­ein­ba­run­gen, ins­be­son­de­re wenn die­se mit IKT-Dritt­dienst­lei­stern geschlos­sen wer­den, die in einem Dritt­land nie­der­ge­las­sen sind. Um ein aus­ge­wo­ge­nes Ver­hält­nis zwi­schen dem Sach­zwang, zum einen die Ver­trags­frei­heit zu wah­ren und zum ande­ren die Finanz­sta­bi­li­tät zu gewähr­lei­sten, wird es zum gegen­wär­ti­gen Zeit­punkt nicht als zweck­mä­ßig erach­tet, stren­ge Ober­gren­zen und Beschrän­kun­gen für die Expo­si­ti­on gegen­über IKT-Dritt­dienst­lei­stern fest­zu­le­gen. Was kri­ti­sche IKT-Dritt­dienst­lei­ster anbe­langt, so soll­te eine nach die­ser Ver­ord­nung ernann­te feder­füh­ren­de Über­wa­chungs­be­hör­de bei der Wahr­neh­mung ihrer Auf­sichts­auf­ga­ben im Kon­text des Über­wa­chungs­rah­mens beson­ders dar­auf ach­ten, das Aus­maß der Inter­de­pen­den­zen voll zu erfas­sen, spe­zi­fi­sche Fäl­le zu ermit­teln, in deren Rah­men eine hohe Kon­zen­tra­ti­on kri­ti­scher IKT-Dritt­dienst­lei­ster in der Uni­on die Sta­bi­li­tät und Inte­gri­tät des Finanz­sy­stems der Uni­on bela­sten dürf­te, sowie einen Dia­log mit kri­ti­schen IKT-Dritt­dienst­lei­stern zu füh­ren, bei denen die­ses spe­zi­fi­sche Risi­ko ermit­telt wird.

(68) Um die Fähig­keit eines IKT-Dritt­dienst­lei­sters, siche­re Dienst­lei­stun­gen für ein Finanz­un­ter­neh­men ohne nach­tei­li­ge Aus­wir­kun­gen auf des­sen digi­ta­le ope­ra­tio­na­le Resi­li­enz zu erbrin­gen, regel­mä­ßig zu bewer­ten und zu über­wa­chen, soll­ten eini­ge wesent­li­che Ver­trags­be­stand­tei­le mit IKT-Dritt­dienst­lei­stern har­mo­ni­siert wer­den. Die­se Har­mo­ni­sie­rung soll­te Min­dest­be­rei­che abdecken, die — unter dem Gesichts­punkt, dass ein Finanz­un­ter­neh­men sei­ne digi­ta­le Resi­li­enz sicher­stel­len muss, da es in hohem Maße von der Sta­bi­li­tät, der Funk­tio­na­li­tät, der Ver­füg­bar­keit und der Sicher­heit der bean­spruch­ten IKT-Dienst­lei­stun­gen abhän­gig ist — für eine umfas­sen­de Über­wa­chung der von einem IKT-Dritt­dienst­lei­ster mög­li­cher­wei­se aus­ge­hen­den Risi­ken durch das Finanz­un­ter­neh­men von ent­schei­den­der Bedeu­tung sind.

(69) Bei der Neu­aus­hand­lung ver­trag­li­cher Ver­ein­ba­run­gen zwecks Anglei­chung an die Anfor­de­run­gen die­ser Ver­ord­nung soll­ten Finanz­un­ter­neh­men und IKT-Dritt­dienst­lei­ster sicher­stel­len, dass die in die­ser Ver­ord­nung vor­ge­se­he­nen wesent­li­chen Ver­trags­be­stim­mun­gen berück­sich­tigt werden.

(70) Die Begriffs­be­stim­mung der „kri­ti­schen oder wich­ti­gen Funk­ti­on“ im Sin­ne die­ser Ver­ord­nung schließt auch die Begriffs­be­stim­mung der „kri­ti­schen Funk­tio­nen“ im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 35 der Richt­li­nie 2014/59/EU des Euro­päi­schen Par­la­ments und des Rates (20) ein. Dem­entspre­chend sind die gemäß der Richt­li­nie 2014/59/EU als kri­tisch ein­ge­stuf­ten Funk­tio­nen in der Begriffs­be­stim­mung der kri­ti­schen Funk­tio­nen im Sin­ne die­ser Ver­ord­nung eben­falls erfasst.

(71) Unge­ach­tet der Kri­ti­k­ali­tät oder Bedeu­tung der von dem IKT-Dritt­dienst­lei­ster unter­stütz­ten Funk­ti­on soll­te in den ver­trag­li­chen Ver­ein­ba­run­gen ins­be­son­de­re eine Spe­zi­fi­ka­ti­on der voll­stän­di­gen Beschrei­bun­gen von Funk­tio­nen und Dienst­lei­stun­gen sowie von Orten, an denen sol­che Funk­tio­nen bereit­ge­stellt wer­den und Daten ver­ar­bei­tet wer­den sol­len, vor­ge­se­hen sein; fer­ner soll­ten Beschrei­bun­gen der Dienst­lei­stungs­gü­te ent­hal­ten sein. Ande­re wesent­li­che Ele­men­te um einem Finanz­un­ter­neh­men die Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos zu ermög­li­chen, sind die Fol­gen­den: ver­trag­li­che Bestim­mun­gen dazu, wie Zugäng­lich­keit, Ver­füg­bar­keit, Inte­gri­tät, Sicher­heit und Schutz per­so­nen­be­zo­ge­ner Daten durch den IKT-Dritt­dienst­lei­ster gewähr­lei­stet wer­den; Bestim­mun­gen über die ein­schlä­gi­gen Garan­tien für den Zugang zu sowie die Wie­der­her­stel­lung und Rück­ga­be von Daten im Fal­le einer Insol­venz, Abwick­lung oder Ein­stel­lung der Geschäfts­tä­tig­keit des IKT-Dritt­dienst­lei­sters; Bestim­mun­gen, die den IKT-Dritt­dienst­lei­ster dazu ver­pflich­ten, im Fal­le von IKT-Vor­fäl­len im Zusam­men­hang mit den erbrach­ten Dienst­lei­stun­gen ohne zusätz­li­che Kosten oder zu vor­ab fest­zu­set­zen­den Kosten Unter­stüt­zung zu lei­sten; Bestim­mun­gen über die Ver­pflich­tung des IKT-Dritt­dienst­lei­sters, unein­ge­schränkt mit den für das Finanz­un­ter­neh­men zustän­di­gen Behör­den und Abwick­lungs­be­hör­den zusam­men­zu­ar­bei­ten, sowie Bestim­mun­gen über Kün­di­gungs­rech­te und damit zusam­men­hän­gen­de Min­dest­kün­di­gungs­fri­sten für die Been­di­gung der ver­trag­li­chen Ver­ein­ba­run­gen ent­spre­chend den Erwar­tun­gen der zustän­di­gen Behör­den und Abwicklungsbehörden.

(72) In Ergän­zung zu der­ar­ti­gen ver­trag­li­chen Bestim­mun­gen sowie um sicher­zu­stel­len, dass Finanz­un­ter­neh­men die vol­le Kon­trol­le über alle von Drit­ten aus­ge­hen­den Ent­wick­lun­gen behal­ten, die ihre IKT-Sicher­heit beein­träch­ti­gen könn­ten, soll­ten die Ver­trä­ge über die Bereit­stel­lung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen zudem Fol­gen­des vor­schrei­ben: die Spe­zi­fi­ka­ti­on der voll­stän­di­gen Beschrei­bung der Dienst­lei­stungs­gü­te ein­schließ­lich prä­zi­ser quan­ti­ta­ti­ver und qua­li­ta­ti­ver Lei­stungs­zie­le, damit unver­züg­lich ange­mes­se­ne Kor­rek­tur­maß­nah­men ergrif­fen wer­den kön­nen, wenn die ver­ein­bar­te Dienst­lei­stungs­gü­te nicht erreicht wer­den; die ein­schlä­gi­gen Kün­di­gungs­fri­sten und Mel­de­pflich­ten des IKT-Dritt­dienst­lei­sters im Fal­le von Ent­wick­lun­gen, die sich wesent­lich auf die Fähig­keit des IKT-Dritt­dienst­lei­sters aus­wir­ken könn­ten, die ent­spre­chen­den IKT-Dienst­lei­stun­gen wirk­sam zur Ver­fü­gung stel­len; die Anfor­de­rung an den IKT-Dritt­dienst­lei­ster, Not­fall­plä­ne zu imple­men­tie­ren und zu erpro­ben und über Maß­nah­men, Instru­men­te und Leit- und Richt­li­ni­en für IKT-Sicher­heit zu ver­fü­gen, die eine siche­re Erbrin­gung von Dienst­lei­stun­gen ermög­li­chen, sowie sich an dem TLPT des Finanz­un­ter­neh­mens zu betei­li­gen und unein­ge­schränkt dar­an mitzuwirken.

(73) Ver­trä­ge über die Bereit­stel­lung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen soll­ten zudem Bestim­mun­gen ent­hal­ten, die Zugangs‑, Inspek­ti­ons- und Audit­rech­te des Finanz­un­ter­neh­mens oder eines beauf­trag­ten Drit­ten sowie das Recht auf Anfer­ti­gung von Kopien regeln, die als wesent­li­che Instru­men­te für die lau­fen­de Über­wa­chung der Lei­stung des IKT-Dritt­dienst­lei­sters durch die Finanz­un­ter­neh­men die­nen, gepaart mit der unein­ge­schränk­ten Zusam­men­ar­beit des Dritt­dienst­lei­sters wäh­rend der Inspek­tio­nen. In glei­cher Wei­se soll­te die für das Finanz­un­ter­neh­men zustän­di­ge Behör­de auf der Grund­la­ge von Mit­tei­lun­gen über das Recht ver­fü­gen, den IKT-Dritt­dienst­lei­ster vor­be­halt­lich des Schut­zes ver­trau­li­cher Infor­ma­tio­nen zu inspi­zie­ren und zu prüfen.

(74) Die­se ver­trag­li­chen Ver­ein­ba­run­gen soll­ten fer­ner spe­zi­el­le Aus­stiegs­stra­te­gien vor­se­hen, die ins­be­son­de­re ver­bind­li­che Über­gangs­zeit­räu­me ermög­li­chen, in denen die IKT-Dritt­dienst­lei­ster wei­ter­hin die ein­schlä­gi­gen Dien­ste bereit­stel­len soll­ten, um das Risi­ko von Stö­run­gen auf Ebe­ne des Finanz­un­ter­neh­mens zu ver­rin­gern oder es Letz­te­rem zu ermög­li­chen, effek­tiv zu ande­ren IKT-Dritt­dienst­lei­stern zu wech­seln oder alter­na­tiv zu inter­nen Lösun­gen zu wech­seln, die der Kom­ple­xi­tät der bereit­ge­stell­ten IKT-Dienst­lei­stun­gen ent­spre­chen. Dar­über hin­aus soll­ten Finanz­un­ter­neh­men, die in den Gel­tungs­be­reich der Richt­li­nie 2014/59/EU fal­len, sicher­stel­len, dass die ein­schlä­gi­gen Ver­trä­ge über IKT-Dienst­lei­stun­gen soli­de und im Fal­le der Abwick­lung die­ser Finanz­un­ter­neh­men unein­ge­schränkt durch­setz­bar sind. Daher soll­ten die­se Finanz­un­ter­neh­men im Ein­klang mit den Erwar­tun­gen der Abwick­lungs­be­hör­den sicher­stel­len, dass die ein­schlä­gi­gen Ver­trä­ge über IKT-Dienst­lei­stun­gen abwick­lungs­si­cher sind. Solan­ge die­se Finanz­un­ter­neh­men ihren Zah­lungs­ver­pflich­tun­gen wei­ter­hin nach­kom­men, soll­ten sie neben ande­ren Anfor­de­run­gen sicher­stel­len, dass die ein­schlä­gi­gen Ver­trä­ge über IKT-Dienst­lei­stun­gen Klau­seln dar­über ent­hal­ten, dass sie nicht auf­grund einer Umstruk­tu­rie­rung oder Abwick­lung gekün­digt, aus­ge­setzt oder geän­dert wer­den können.

(75) Dar­über hin­aus kann die frei­wil­li­ge Ver­wen­dung von Stan­dard­ver­trags­klau­seln, die von staat­li­chen Behör­den oder von Orga­nen der Uni­on ent­wickelt wur­den, ins­be­son­de­re die Ver­wen­dung von der Kom­mis­si­on für Cloud-Com­pu­ting Dien­ste ent­wickel­ten Ver­trags­klau­seln den Finanz­un­ter­neh­men und IKT-Dritt­dienst­lei­stern eine zusätz­li­che Rück­ver­si­che­rung bie­ten, indem sie die Rechts­si­cher­heit in Bezug auf die Nut­zung von Cloud-Com­pu­ting-Dien­sten im Finanz­sek­tor in vol­ler Über­ein­stim­mung mit den Anfor­de­run­gen und Erwar­tun­gen des Finanz­dienst­lei­stungs­rechts der Uni­on erhöht. Die Erar­bei­tung von Stan­dard­ver­trags­klau­seln baut auf Maß­nah­men auf, die bereits im Fin­Tech-Akti­ons­plan von 2018 vor­ge­se­hen waren, in dem die Absicht der Kom­mis­si­on ange­kün­digt wur­de, die Ent­wick­lung von Stan­dard­ver­trags­klau­seln für die Aus­la­ge­rung von Cloud-Com­pu­ting-Dienst­lei­stun­gen durch Finanz­un­ter­neh­men zu för­dern und zu erleich­tern, wobei auf den sek­tor­über­grei­fen­den Anstren­gun­gen der Cloud-Inter­es­sen­trä­ger auf­ge­baut wird, die die Kom­mis­si­on unter Betei­li­gung des Finanz­sek­tors unter­stützt hat.

(76) Um die Kon­ver­genz und Effi­zi­enz von Auf­sichts­kon­zep­ten in Bezug auf das IKT-Dritt­par­tei­en­ri­si­ko im Finanz­sek­tor zu för­dern und um die digi­ta­le ope­ra­tio­na­le Resi­li­enz von Finanz­un­ter­neh­men zu stär­ken, die bei den IKT-Dienst­lei­stun­gen, die die Erbrin­gung von Finanz­dienst­lei­stun­gen unter­stüt­zen, auf kri­ti­sche IKT-Dritt­dienst­lei­ster ange­wie­sen sind, und damit zugleich dazu bei­zu­tra­gen, die Sta­bi­li­tät des Finanz­sy­stems der Uni­on und die Inte­gri­tät des Bin­nen­markts für Finanz­dienst­lei­stun­gen zu bewah­ren, soll­ten kri­ti­sche IKT-Dritt­dienst­lei­ster einem Über­wa­chungs­rah­men der Uni­on unter­lie­gen. Auch wenn die Ein­rich­tung des Über­wa­chungs­rah­mens auf­grund des Mehr­werts von Maß­nah­men auf Uni­ons­ebe­ne und der inhä­ren­ten Rol­le und der Beson­der­hei­ten der Nut­zung von IKT-Dienst­lei­stun­gen bei der Erbrin­gung von Finanz­dienst­lei­stun­gen gerecht­fer­tigt ist, soll­te zugleich dar­an erin­nert wer­den, dass die­se Lösung nur im Kon­text die­ser Ver­ord­nung, die spe­zi­ell der digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor vor­be­hal­ten ist, ange­mes­sen erscheint. Ein sol­cher Über­wa­chungs­rah­men soll­te hin­ge­gen nicht als ein neu­es Modell für die Beauf­sich­ti­gung auf Ebe­ne der Uni­on in den Berei­chen Finanz­dienst­lei­stun­gen und ‑tätig­kei­ten betrach­tet werden.

(77) Der Über­wa­chungs­rah­men soll­te nur für kri­ti­sche IKT-Dritt­dienst­lei­ster gel­ten. Daher soll­te es einen Ein­stu­fungs­me­cha­nis­mus geben, um dem Aus­maß und der Art der Abhän­gig­keit des Finanz­sek­tors von sol­chen IKT-Dritt­dienst­lei­stern Rech­nung zu tra­gen. Die­ser Mecha­nis­mus soll­te eine Rei­he quan­ti­ta­ti­ver und qua­li­ta­ti­ver Kri­te­ri­en umfas­sen, mit denen die Kri­ti­k­ali­täts­pa­ra­me­ter als Grund­la­ge für die Ein­be­zie­hung in den Über­wa­chungs­rah­men fest­ge­legt wür­den. Um eine akku­ra­te Bewer­tung zu gewähr­lei­sten, soll­ten die­se Kri­te­ri­en unab­hän­gig von der Unter­neh­mens­struk­tur des IKT-Dritt­dienst­lei­sters im Fal­le eines IKT-Dritt­dienst­lei­sters, der Teil einer grö­ße­ren Grup­pe ist, die gesam­te Grup­pen­struk­tur des IKT-Dritt­dienst­lei­sters berück­sich­ti­gen. Einer­seits soll­ten kri­ti­sche IKT-Dritt­dienst­lei­ster, die auf­grund der Anwen­dung der oben genann­ten Kri­te­ri­en nicht auto­ma­tisch ein­ge­stuft wer­den, die Mög­lich­keit haben, sich auf frei­wil­li­ger Basis für den Über­wa­chungs­rah­men zu ent­schei­den, ande­rer­seits soll­ten IKT-Dritt­dienst­lei­ster, die bereits Über­wa­chungs­me­cha­nis­men unter­lie­gen, die die Erfül­lung der in Arti­kel 127 Absatz 2 AEUV genann­ten Auf­ga­ben des Euro­päi­schen Systems der Zen­tral­ban­ken unter­stüt­zen, aus­ge­nom­men werden.

(78) Eben­so soll­ten Finanz­un­ter­neh­men, die IKT-Dienst­lei­stun­gen für ande­re Finanz­un­ter­neh­men bereit­stel­len, zugleich aber der von die­ser Ver­ord­nung erfass­ten Kate­go­rie von IKT-Dritt­dienst­lei­stern ange­hö­ren, eben­falls von dem Über­wa­chungs­rah­men aus­ge­nom­men wer­den, da sie bereits den Auf­sichts­me­cha­nis­men unter­lie­gen, die durch das ein­schlä­gi­ge Finanz­dienst­lei­stungs­recht der Uni­on geschaf­fen wur­den. Wenn zweck­mä­ßig soll­ten die zustän­di­gen Behör­den im Rah­men ihrer Auf­sichts­tä­tig­kei­ten das IKT-Risi­ko berück­sich­ti­gen, das von den IKT-Dienst­lei­stun­gen bereit­stel­len­den Finanz­un­ter­neh­men für ande­re Finanz­un­ter­neh­men aus­geht. In glei­cher Wei­se soll­te auf­grund der auf Grup­pen­e­be­ne bestehen­den Risi­ko­über­wa­chungs­me­cha­nis­men die­sel­be Aus­nah­me für die­je­ni­gen IKT-Dritt­dienst­lei­ster vor­ge­se­hen wer­den, die Dienst­lei­stun­gen vor­wie­gend für die ihrer eige­nen Grup­pe ange­hö­ren­den Unter­neh­men erbrin­gen. IKT-Dritt­dienst­lei­ster, die ledig­lich in einem Mit­glied­staat IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men bereit­stel­len, die nur in die­sem Mit­glied­staat tätig sind, soll­ten auf­grund ihrer begrenz­ten Tätig­kei­ten und der feh­len­den grenz­über­schrei­ten­den Aus­wir­kun­gen eben­falls von dem Ein­stu­fungs­me­cha­nis­mus aus­ge­nom­men werden.

(79) Der digi­ta­le Wan­del im Bereich der Finanz­dienst­lei­stun­gen hat zu einem noch nie da gewe­se­nen Maß an Nut­zung und Abhän­gig­keit von IKT-Dienst­lei­stun­gen geführt. Da es unvor­stell­bar gewor­den ist, Finanz­dienst­lei­stun­gen ohne die Nut­zung von Cloud-Com­pu­ting-Dien­sten, Soft­ware­lö­sun­gen und daten­be­zo­ge­nen Dienst­lei­stun­gen zu erbrin­gen, ist das Finanz­öko­sy­stem der Uni­on zwangs­läu­fig immer abhän­gi­ger von bestimm­ten IKT-Dienst­lei­stun­gen gewor­den, die von IKT-Dienst­lei­stern bereit­ge­stellt wer­den. Eini­ge die­ser Dienst­lei­ster sind Inno­va­to­ren bei der Ent­wick­lung und Anwen­dung IKT-gestütz­ter Tech­no­lo­gien und spie­len daher eine wich­ti­ge Rol­le bei der Erbrin­gung von Finanz­dienst­lei­stun­gen oder sind nun­mehr fester Bestand­teil der Wert­schöp­fungs­ket­te für Finanz­dienst­lei­stun­gen gewor­den. Somit sind sie für die Sta­bi­li­tät und Inte­gri­tät des Finanz­sy­stems der Uni­on inzwi­schen von ent­schei­den­der Bedeu­tung. Die­se brei­te Abhän­gig­keit von Dienst­lei­stun­gen, die von kri­ti­schen IKT-Dritt­dienst­lei­stern erbracht wer­den, in Ver­bin­dung mit der Inter­de­pen­denz der Infor­ma­ti­ons­sy­ste­me ver­schie­de­ner Markt­teil­neh­mer schafft ein unmit­tel­ba­res und poten­zi­ell schwer­wie­gen­des Risi­ko für das Finanz­dienst­lei­stungs­sy­stem der Uni­on und für die Kon­ti­nui­tät bei der Erbrin­gung von Finanz­dienst­lei­stun­gen, falls kri­ti­sche IKT-Dritt­dienst­lei­ster von Betriebs­stö­run­gen oder schwer­wie­gen­den Cyber­vor­fäl­len betrof­fen sein soll­ten. Cyber­vor­fäl­le haben die Beson­der­heit, dass sie sich im gesam­ten Finanz­sy­stem poten­zie­ren und erheb­lich schnel­ler ver­brei­ten kön­nen als ande­re Arten von Risi­ken, die im Finanz­sek­tor über­wacht wer­den, und sich über Bran­chen und geo­gra­fi­sche Gren­zen hin­weg aus­brei­ten kön­nen. Sie haben das Poten­zi­al, sich zu einer System­kri­se aus­zu­wei­ten, bei der das Ver­trau­en in das Finanz­sy­stem auf­grund der Unter­bre­chung von Funk­tio­nen zur Stüt­zung der Real­wirt­schaft oder auf­grund erheb­li­cher finan­zi­el­ler Ver­lu­ste auf ein Niveau sinkt, dem das Finanz­sy­stem nicht stand­hal­ten kann oder das geziel­te Maß­nah­men zur Abfe­de­rung schwe­rer Schocks erfor­dert. Um zu ver­hin­dern, dass die­se Sze­na­ri­en ein­tre­ten und dabei die Sta­bi­li­tät und Inte­gri­tät des Finanz­sy­stems der Uni­on gefähr­den, ist es von ent­schei­den­der Bedeu­tung, die Auf­sichts­prak­ti­ken hin­sicht­lich des IKT-Dritt­par­tei­en­ri­si­kos im Finanz­sek­tor ein­an­der anzu­nä­hern, ins­be­son­de­re durch neue Vor­schrif­ten, die die Über­wa­chung kri­ti­scher IKT-Dritt­dienst­lei­ster in der Uni­on ermöglichen.

(80) Der Über­wa­chungs­rah­men hängt weit­ge­hend vom Aus­maß der Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Über­wa­chungs­be­hör­de und dem kri­ti­schen IKT-Dritt­dienst­lei­ster ab, der Dien­ste für Finanz­un­ter­neh­men bereit­stellt, die sich auf die Erbrin­gung von Finanz­dienst­lei­stun­gen aus­wir­ken. Eine erfolg­rei­che Über­wa­chung setzt unter ande­rem vor­aus, dass die feder­füh­ren­de Über­wa­chungs­be­hör­de in der Lage ist, Über­wa­chungs­mis­sio­nen und Inspek­tio­nen effek­tiv durch­zu­füh­ren, um die von kri­ti­schen IKT-Dritt­dienst­lei­stern ange­wand­ten Regeln, Kon­trol­len und Ver­fah­ren sowie die poten­zi­el­len kumu­la­ti­ven Aus­wir­kun­gen ihrer Tätig­kei­ten auf die Finanz­sta­bi­li­tät und die Inte­gri­tät des Finanz­sy­stems zu bewer­ten. Gleich­zei­tig ist es ent­schei­dend, dass kri­ti­sche IKT-Dritt­dienst­lei­ster die Emp­feh­lun­gen der feder­füh­ren­den Über­wa­chungs­be­hör­de befol­gen und deren Beden­ken aus­räu­men. Da ein kri­ti­scher IKT-Dritt­dienst­lei­ster, der Dien­ste bereit­stellt, die sich auf die Erbrin­gung von Finanz­dienst­lei­stun­gen aus­wir­ken, durch sei­ne man­geln­de Zusam­men­ar­beit — bei­spiels­wei­se indem er den Zugang zu sei­nen Räum­lich­kei­ten oder die Über­mitt­lung von Infor­ma­tio­nen ver­wei­gert — der feder­füh­ren­den Über­wa­chungs­be­hör­de letzt­lich ihre wich­tig­sten Instru­men­te zur Bewer­tung des IKT-Dritt­par­tei­en­ri­si­kos neh­men wür­de und die Finanz­sta­bi­li­tät und die Inte­gri­tät des Finanz­sy­stems dadurch beein­träch­tigt wer­den könn­ten, ist auch eine ange­mes­se­ne Sank­ti­ons­re­ge­lung vorzusehen.

(81) Vor die­sem Hin­ter­grund soll­te die Anfor­de­rung, dass eine feder­füh­ren­de Über­wa­chungs­be­hör­de Zwangs­gel­der ver­hän­gen kön­nen muss, um kri­ti­sche IKT-Dritt­dienst­lei­ster zur Ein­hal­tung der in die­ser Ver­ord­nung fest­ge­leg­ten Trans­pa­renz- und Zugangs­ver­pflich­tun­gen zu zwin­gen, nicht durch Schwie­rig­kei­ten gefähr­det wer­den, die bei der Durch­set­zung die­ser Zwangs­gel­der in Bezug auf kri­ti­sche IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land auf­tre­ten kön­nen. Um sol­che Sank­tio­nen durch­set­zen zu kön­nen und eine rasche Auf­nah­me von Ver­fah­ren zur Wah­rung der Ver­tei­di­gungs­rech­te kri­ti­scher IKT-Dritt­dienst­lei­ster im Zusam­men­hang mit dem Ein­stu­fungs­me­cha­nis­mus und der Her­aus­ga­be von Emp­feh­lun­gen zu ermög­li­chen, soll­ten die­se kri­ti­sche IKT-Dritt­dienst­lei­ster, die Dien­ste für Finanz­un­ter­neh­men bereit­stel­len, die sich auf die Erbrin­gung von Finanz­dienst­lei­stun­gen aus­wir­ken, dazu ver­pflich­tet wer­den, eine ange­mes­se­ne geschäft­li­che Prä­senz in der Uni­on auf­recht­zu­er­hal­ten. Auf­grund der Art der Über­wa­chung und feh­len­der ver­gleich­ba­rer Rege­lun­gen in ande­ren Rechts­ord­nun­gen gibt es kei­ne geeig­ne­ten alter­na­ti­ven Mecha­nis­men, die die­sem Ziel genü­gen, indem bei der Über­wa­chung der Aus­wir­kun­gen digi­ta­ler ope­ra­tio­nel­ler Risi­ken, die von system­re­le­van­ten, als kri­tisch ein­ge­stuf­ten IKT-Dritt­dienst­lei­stern mit Sitz in einem Dritt­land aus­ge­hen, effek­tiv mit den Finanz­auf­sichts­be­hör­den in Dritt­län­dern zusam­men­ge­ar­bei­tet wird. Um wei­ter­hin kon­ti­nu­ier­lich IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men in der Uni­on bereit­stel­len zu kön­nen, soll­te ein IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land, der als kri­tisch im Sin­ne die­ser Ver­ord­nung ein­ge­stuft wor­den ist, daher inner­halb von zwölf Mona­ten nach die­ser Ein­stu­fung alle erfor­der­li­chen Vor­keh­run­gen tref­fen, um sei­ne Ein­glie­de­rung in die Uni­on mit­tels Grün­dung eines Toch­ter­un­ter­neh­mens im Sin­ne des Besitz­stands der Uni­on, nament­lich der Richt­li­nie 2013/34/EU des Euro­päi­schen Par­la­ments und des Rates (21), sicherzustellen.

(82) Die Anfor­de­rung, in der Uni­on ein Toch­ter­un­ter­neh­men zu grün­den, soll­te den kri­ti­schen IKT-Dritt­dienst­lei­ster nicht dar­an hin­dern, IKT-Dienst­lei­stun­gen und damit ver­bun­de­ne tech­ni­sche Unter­stüt­zung von außer­halb der Uni­on gele­ge­nen Ein­rich­tun­gen und Infra­struk­tur aus bereit­zu­stel­len. Die­se Ver­ord­nung auf­er­legt kei­ne Ver­pflich­tung zur Loka­li­sie­rung von Daten, da sie kei­ne Spei­che­rung oder Ver­ar­bei­tung von Daten in der Uni­on vorschreibt.

(83) Kri­ti­sche IKT-Dritt­dienst­lei­ster soll­ten in der Lage sein, IKT-Dienst­lei­stun­gen von jedem belie­bi­gen Ort der Welt aus zu erbrin­gen, nicht unbe­dingt oder aus­schließ­lich von einem in der Uni­on gele­ge­nen Ort aus. Die Über­wa­chungs­tä­tig­kei­ten soll­ten zunächst an einem Ort in der Uni­on und im Wege der Inter­ak­ti­on mit in der Uni­on gele­ge­nen Unter­neh­men, ein­schließ­lich der von kri­ti­schen IKT-Dritt­dienst­lei­stern im Sin­ne die­ser Ver­ord­nung gegrün­de­ten Toch­ter­un­ter­neh­men, durch­ge­führt wer­den. Die­se Maß­nah­men inner­halb der Uni­on rei­chen jedoch mög­li­cher­wei­se nicht aus, um der feder­füh­ren­den Über­wa­chungs­be­hör­de die unein­ge­schränk­te und wirk­sa­me Wahr­neh­mung ihrer Auf­ga­ben im Rah­men die­ser Ver­ord­nung zu ermög­li­chen. Die feder­füh­ren­de Über­wa­chungs­be­hör­de soll­te daher ihre ein­schlä­gi­gen Über­wa­chungs­be­fug­nis­se auch in Dritt­län­dern aus­üben kön­nen. Durch die Aus­übung die­ser Befug­nis­se in Dritt­län­dern soll­te es der feder­füh­ren­den Über­wa­chungs­be­hör­de mög­lich sein, die Ein­rich­tun­gen zu prü­fen, von denen aus die IKT-Dienst­lei­stun­gen oder die tech­ni­schen Unter­stüt­zungs­dien­ste tat­säch­lich von dem kri­ti­schen IKT-Dritt­dienst­lei­ster bereit­ge­stellt oder betrie­ben wer­den, und ein umfas­sen­des und ope­ra­ti­ves Ver­ständ­nis des IKT-Risi­ko­ma­nage­ments des kri­ti­schen IKT-Dritt­dienst­lei­sters zu erhal­ten. Die Mög­lich­keit, dass die feder­füh­ren­de Über­wa­chungs­be­hör­de als Agen­tur der Uni­on Befug­nis­se außer­halb des Gebiets der Uni­on aus­übt, soll­te durch Fest­schrei­bung der ein­schlä­gi­gen Vor­aus­set­zun­gen, ins­be­son­de­re der Zustim­mung des betref­fen­den kri­ti­schen IKT-Dritt­dienst­lei­sters, klar gere­gelt wer­den. Eben­so soll­ten die ein­schlä­gi­gen Behör­den des Dritt­lan­des dar­über unter­rich­tet sein, wel­che Tätig­kei­ten die feder­füh­ren­de Über­wa­chungs­be­hör­de im Hoheits­ge­biet des betref­fen­den Dritt­lands aus­übt, und kei­ne Ein­wän­de dage­gen erho­ben haben. Um jedoch eine effi­zi­en­te Umset­zung zu gewähr­lei­sten, müs­sen die­se Befug­nis­se unbe­scha­det der jewei­li­gen Zustän­dig­kei­ten der Orga­ne der Uni­on bzw. der Mit­glied­staa­ten beim Abschluss von Ver­ein­ba­run­gen über die Ver­wal­tungs­zu­sam­men­ar­beit mit den ein­schlä­gi­gen Behör­den des betref­fen­den Dritt­lands dar­in voll­stän­dig ver­an­kert wer­den. Die­se Ver­ord­nung soll­te es den ESA daher ermög­li­chen, mit den ein­schlä­gi­gen Behör­den von Dritt­län­dern Ver­ein­ba­run­gen über die Ver­wal­tungs­zu­sam­men­ar­beit zu schlie­ßen, die kei­ne ander­wei­ti­gen recht­li­chen Ver­pflich­tun­gen gegen­über der Uni­on und ihren Mit­glied­staa­ten begrün­den sollten.

(84) Um die Kom­mu­ni­ka­ti­on mit der feder­füh­ren­den Über­wa­chungs­be­hör­de zu erleich­tern und eine ange­mes­se­ne Ver­tre­tung sicher­zu­stel­len, soll­ten kri­ti­sche IKT-Dritt­dienst­lei­ster, die Teil einer Grup­pe sind, eine juri­sti­sche Per­son als ihre Koor­di­nie­rungs­stel­le benennen.

(85) Der Über­wa­chungs­rah­men soll­te die Befug­nis der Mit­glied­staa­ten unbe­rührt las­sen, eige­ne Auf­sichts- oder Über­wa­chungs­mis­sio­nen in Bezug auf IKT-Dritt­dienst­lei­ster durch­zu­füh­ren, die im Rah­men die­ser Ver­ord­nung zwar nicht als kri­tisch ein­ge­stuft wer­den, aber auf natio­na­ler Ebe­ne als wich­tig ange­se­hen werden.

(86) Um die mehr­schich­ti­ge insti­tu­tio­nel­le Archi­tek­tur im Bereich der Finanz­dienst­lei­stun­gen zu nut­zen, soll­te der Gemein­sa­me Aus­schuss der ESA im Ein­klang mit sei­nen Auf­ga­ben im Bereich Cyber­si­cher­heit wei­ter­hin die sek­tor­über­grei­fen­de Gesamt­ko­or­di­nie­rung für alle Fra­gen im Zusam­men­hang mit IKT-Risi­ken gewähr­lei­sten. Er soll­te dabei durch einen neu­en Unter­aus­schuss (Über­wa­chungs­fo­rum) unter­stützt wer­den, der sowohl Ein­zel­ent­schei­dun­gen, die sich an kri­ti­sche IKT-Dritt­dienst­lei­ster rich­ten, als auch die Her­aus­ga­be gemein­sa­mer Emp­feh­lun­gen, ins­be­son­de­re in Bezug auf das Bench­mar­king der Über­wa­chungs­pro­gram­me kri­ti­scher IKT-Dritt­dienst­lei­ster und zur Ermitt­lung bewähr­ter Ver­fah­ren zur Bewäl­ti­gung von Pro­ble­men im Zusam­men­hang mit IKT-Kon­zen­tra­ti­ons­ri­si­ken, vorbereitet.

(87) Um sicher­zu­stel­len, dass kri­ti­sche IKT-Dritt­dienst­lei­ster auf Uni­ons­ebe­ne ange­mes­sen und wirk­sam über­wacht wer­den, könn­te nach die­ser Ver­ord­nung jede der drei ESA als feder­füh­ren­de Über­wa­chungs­be­hör­de benannt wer­den. Die Ent­schei­dung dar­über, wel­cher der drei ESA ein kri­ti­scher IKT-Dritt­dienst­lei­ster kon­kret zuge­wie­sen wird, soll­te anhand einer Bewer­tung des­sen getrof­fen wer­den, wel­che Finanz­un­ter­neh­men in den Finanz­bran­chen, für die die betref­fen­de ESA zustän­dig ist, über­wie­gend tätig sind. Die­ser Ansatz soll­te zu einer aus­ge­wo­ge­nen Auf­tei­lung der Auf­ga­ben und Zustän­dig­kei­ten zwi­schen den drei ESA bei der Wahr­neh­mung ihrer Über­wa­chungs­funk­tio­nen füh­ren und die Human­res­sour­cen und das tech­ni­sche Fach­wis­sen, über die jede der drei ESA ver­fü­gen, best­mög­lich nutzen.

(88) Feder­füh­ren­de Über­wa­chungs­be­hör­den soll­ten mit den erfor­der­li­chen Befug­nis­sen aus­ge­stat­tet wer­den, Unter­su­chun­gen sowie Inspek­tio­nen vor Ort und von außer­halb bei kri­ti­schen IKT-Dritt­dienst­lei­stern in deren Räum­lich­kei­ten und an deren Stand­or­ten durch­zu­füh­ren und voll­stän­di­ge und aktu­el­le Infor­ma­tio­nen zu erhal­ten. Die­se Befug­nis­se soll­ten es der feder­füh­ren­den Über­wa­chungs­be­hör­de ermög­li­chen, Art, Aus­maß und Aus­wir­kun­gen des IKT-Dritt­par­tei­en­ri­si­kos für die Finanz­un­ter­neh­men und letzt­lich für das Finanz­sy­stem der Uni­on, wahr­heits­ge­treu erfas­sen zu kön­nen. Die Über­tra­gung der feder­füh­ren­den Über­wa­chung auf die ESA ist eine Vor­aus­set­zung dafür, die syste­mi­sche Dimen­si­on des IKT-Risi­kos im Finanz­we­sen zu ver­ste­hen und zu berück­sich­ti­gen. Der Ein­fluss kri­ti­scher IKT-Dritt­dienst­lei­ster auf den Finanz­sek­tor der Uni­on und die poten­zi­el­len Pro­ble­me, die durch das damit ver­bun­de­ne IKT-Kon­zen­tra­ti­ons­ri­si­ko ver­ur­sacht wer­den, erfor­dern einen kol­lek­ti­ven Ansatz auf Uni­ons­ebe­ne. Die gleich­zei­ti­ge Durch­füh­rung mehr­fa­cher Audits und Wahr­neh­mung von Zugangs­rech­ten, die zahl­rei­che zustän­di­ge Behör­den geson­dert unter gerin­ger oder kei­ner­lei Abstim­mung vor­neh­men, wür­den die Finanz­auf­sichts­be­hör­den dar­an hin­dern, sich einen voll­stän­di­gen und umfas­sen­den Über­blick über das IKT-Dritt­par­tei­en­ri­si­ko in der Uni­on zu ver­schaf­fen und zudem gleich­zei­tig Red­un­danz, Bela­stun­gen und Kom­ple­xi­tät für kri­ti­sche IKT-Dritt­dienst­lei­ster mit sich brin­gen, wenn sie mit einer Viel­zahl von Über­wa­chungs- und Inspek­ti­ons­an­fra­gen kon­fron­tiert sind.

(89) Auf­grund der erheb­li­chen Aus­wir­kun­gen, die mit der Ein­stu­fung als kri­ti­scher IKT-Dritt­dienst­lei­ster ver­bun­den sind, soll­te mit die­ser Ver­ord­nung sicher­ge­stellt wer­den, dass die Rech­te kri­ti­scher IKT-Dritt­dienst­lei­ster wäh­rend der Umset­zung des Über­wa­chungs­rah­mens gewahrt wer­den. Bevor sie als kri­tisch ein­ge­stuft wer­den, soll­ten die­se Dienst­lei­ster bei­spiels­wei­se berech­tigt sein, der feder­füh­ren­den Über­wa­chungs­be­hör­de eine mit Grün­den ver­se­he­ne Erklä­rung vor­zu­le­gen, die alle für die Beur­tei­lung ihrer Ein­stu­fung rele­van­ten Infor­ma­tio­nen ent­hält. Da die feder­füh­ren­de Über­wa­chungs­be­hör­de befugt sein soll­te, Emp­feh­lun­gen zu IKT-Risi­ken und dies­be­züg­lich geeig­ne­ten Abhil­fe­maß­nah­men her­aus­zu­ge­ben, was auch die Befug­nis ein­schließt, bestimm­te ver­trag­li­che Ver­ein­ba­run­gen, die letzt­lich die Sta­bi­li­tät des Finanz­un­ter­neh­mens oder des Finanz­sy­stems beein­träch­ti­gen, abzu­leh­nen, soll­te kri­ti­schen IKT-Dritt­dienst­lei­stern eben­falls die Mög­lich­keit ein­ge­räumt wer­den, vor der Fer­tig­stel­lung die­ser Emp­feh­lun­gen dar­zu­le­gen, wie sich die dar­in auf­ge­zeig­ten Lösun­gen vor­aus­sicht­lich auf Kun­den aus­wir­ken wer­den, bei denen es sich um nicht in den Gel­tungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, sowie Lösun­gen zur Risi­ko­min­de­rung auf­zu­zei­gen. Kri­ti­sche IKT-Dritt­dienst­lei­ster, die den Emp­feh­lun­gen nicht zustim­men, soll­ten eine begrün­de­te Erklä­rung über ihre Absicht, die Emp­feh­lung nicht zu bil­li­gen, abge­ben. Wird eine sol­che begrün­de­te Erklä­rung nicht abge­ge­ben oder als unzu­rei­chend erach­tet, soll­te die feder­füh­ren­de Über­wa­chungs­be­hör­de eine Mit­tei­lung ver­öf­fent­li­chen, in der die strit­ti­ge Ange­le­gen­heit kurz dar­ge­legt wird.

(90) Die zustän­di­gen Behör­den soll­ten die Auf­ga­be, die inhalt­li­che Ein­hal­tung der von der feder­füh­ren­den Über­wa­chungs­be­hör­de her­aus­ge­ge­be­nen Emp­feh­lun­gen zu über­prü­fen, im Rah­men ihrer Tätig­kei­ten zur Beauf­sich­ti­gung von Finanz­un­ter­neh­men gebüh­rend wahr­neh­men. Die zustän­di­gen Behör­den soll­ten Finanz­un­ter­neh­men dazu ver­pflich­ten kön­nen, zusätz­li­che Maß­nah­men zu ergrei­fen, um den in den Emp­feh­lun­gen der feder­füh­ren­den Über­wa­chungs­be­hör­de ermit­tel­ten Risi­ken zu begeg­nen, und soll­ten zu gege­be­ner Zeit ent­spre­chen­de Mit­tei­lun­gen her­aus­ge­ben. Rich­tet die feder­füh­ren­de Über­wa­chungs­be­hör­de Emp­feh­lun­gen an kri­ti­sche IKT-Dritt­dienst­lei­ster, die gemäß der Richt­li­nie (EU) 2022/2555 beauf­sich­tigt wer­den, so soll­ten die zustän­di­gen Behör­den auf frei­wil­li­ger Basis und vor dem Erlass zusätz­li­cher Maß­nah­men die gemäß der genann­ten Richt­li­nie zustän­di­gen Behör­den kon­sul­tie­ren kön­nen, um einen koor­di­nier­ten Ansatz in Bezug auf die betref­fen­den kri­ti­schen IKT-Dritt­dienst­lei­ster zu erleichtern.

(91) Die Aus­übung der Über­wa­chung soll­te sich an drei Hand­lungs­grund­sät­zen ori­en­tie­ren, um Fol­gen­des sicher­zu­stel­len: a) eine enge Koor­di­nie­rung zwi­schen den ESA bei ihren Auf­ga­ben als feder­füh­ren­de Über­wa­chungs­be­hör­de mit­hil­fe eines gemein­sa­men Über­wa­chungs­net­zes (JON — Joint Over­sight Net­work), b) die Kohä­renz mit dem durch die Richt­li­nie (EU) 2022/2555 geschaf­fe­nen Rah­men (über eine frei­wil­li­ge Kon­sul­ta­ti­on der Ein­rich­tun­gen, die in den Gel­tungs­be­reich der genann­ten Richt­li­nie fal­len, um Dop­pel­ar­beit bei an kri­ti­sche IKT-Dritt­dienst­lei­ster gerich­te­ten Maß­nah­men zu ver­mei­den) und c) eine Sorg­falts­pflicht, wonach das poten­zi­el­le Risi­ko einer Stö­rung der von kri­ti­schen IKT-Dritt­dienst­lei­stern bereit­ge­stell­ten Dien­ste für Kun­den, bei denen es sich um nicht in den Gel­tungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, zu mini­mie­ren ist.

(92) Der Über­wa­chungs­rah­men soll­te nicht die Anfor­de­rung an Finanz­un­ter­neh­men erset­zen, die Risi­ken, die die Nut­zung von IKT-Dritt­dienst­lei­stern mit sich bringt, selbst zu mana­gen und soll­te weder in irgend­ei­ner Form noch für irgend­ei­nen Aspekt an deren Stel­le tre­ten; dies schließt auch die Ver­pflich­tung ein, die lau­fen­de Über­wa­chung der mit kri­ti­schen IKT-Dritt­dienst­lei­stern geschlos­se­nen ver­trag­li­chen Ver­ein­ba­run­gen auf­recht­zu­er­hal­ten. Eben­so soll­te der Über­wa­chungs­rah­men die vol­le Ver­ant­wor­tung der Finanz­un­ter­neh­men für die Ein­hal­tung und Erfül­lung aller Ver­pflich­tun­gen gemäß die­ser Ver­ord­nung und dem ein­schlä­gi­gen Finanz­dienst­lei­stungs­recht unbe­rührt lassen.

(93) Um Dop­pel­ar­beit und Über­schnei­dun­gen zu ver­mei­den, soll­ten die zustän­di­gen Behör­den davon abse­hen, im Allein­gang Maß­nah­men zur Über­wa­chung des von kri­ti­schen IKT-Dritt­dienst­lei­stern aus­ge­hen­den Risi­kos zu ergrei­fen, und soll­ten sich dies­be­züg­lich auf die ein­schlä­gi­ge Bewer­tung der feder­füh­ren­den Über­wa­chungs­be­hör­de stüt­zen. Sämt­li­che Maß­nah­men soll­ten in jedem Fall zuvor mit der feder­füh­ren­den Über­wa­chungs­be­hör­de im Rah­men der Aus­übung ihrer Auf­ga­ben inner­halb des Über­wa­chungs­rah­mens koor­di­niert und ver­ein­bart werden.

(94) Um auf inter­na­tio­na­ler Ebe­ne die Kon­ver­genz in Bezug auf bewähr­te Ver­fah­ren zu för­dern, die für die Über­prü­fung und Über­wa­chung des Manage­ments von IKT-Dritt­dienst­lei­stern aus­ge­hen­der digi­ta­ler Risi­ken zu nut­zen sind, soll­ten die ESA auf­ge­for­dert wer­den, Koope­ra­ti­ons­ver­ein­ba­run­gen mit den zustän­di­gen Auf­sichts- und Regu­lie­rungs­be­hör­den in Dritt­län­dern zu schließen.

(95) Um die spe­zi­el­len Qua­li­fi­ka­tio­nen, die tech­ni­schen Kom­pe­ten­zen und das Fach­wis­sen des auf ope­ra­tio­nel­le und IKT-Risi­ken spe­zia­li­sier­ten Per­so­nals inner­halb der zustän­di­gen Behör­den, der drei ESA und — auf frei­wil­li­ger Basis — der gemäß der Richt­li­nie (EU) 2022/2555 zustän­di­gen Behör­den zu nut­zen, soll­te die feder­füh­ren­de Über­wa­chungs­be­hör­de auf natio­na­le Auf­sichts­fä­hig­kei­ten und das ent­spre­chen­de Fach­wis­sen zurück­grei­fen und für jeden ein­zel­nen kri­ti­schen IKT-Dritt­dienst­lei­ster spe­zi­el­le Unter­su­chungs­teams ein­rich­ten und mul­ti­dis­zi­pli­nä­re Teams zusam­men­le­gen, um sowohl die Vor­be­rei­tung als auch die tat­säch­li­che Wahr­neh­mung von Über­wa­chungs­tä­tig­kei­ten zu unter­stüt­zen, ein­schließ­lich all­ge­mei­ner Unter­su­chun­gen und Inspek­tio­nen kri­ti­scher IKT-Dritt­dienst­lei­ster sowie jeg­li­cher erfor­der­li­chen Folgemaßnahmen.

(96) Wäh­rend die Kosten, die sich aus den Über­wa­chungs­auf­ga­ben erge­ben, voll­stän­dig aus Gebüh­ren finan­ziert wür­den, die von kri­ti­schen IKT-Dritt­dienst­lei­stern erho­ben wer­den, dürf­ten den ESA hin­ge­gen vor Beginn des Über­wa­chungs­rah­mens Kosten für die Ein­füh­rung spe­zi­el­ler IKT-Syste­me zur Unter­stüt­zung der anste­hen­den Über­wa­chung ent­ste­hen, da im Vor­feld spe­zi­el­le IKT-Syste­me ent­wickelt und ein­ge­führt wer­den müss­ten. Die­se Ver­ord­nung sieht daher ein hybri­des Finan­zie­rungs­mo­dell vor, bei dem der Über­wa­chungs­rah­men als sol­cher voll­stän­dig gebüh­ren­fi­nan­ziert wäre, wäh­rend die Ent­wick­lung der IKT-Syste­me der ESA aus Bei­trä­gen der Uni­on und der zustän­di­gen natio­na­len Behör­den finan­ziert würde.

(97) Zustän­di­ge Behör­den soll­ten über alle erfor­der­li­chen Aufsichts‑, Unter­su­chungs- und Sank­ti­ons­be­fug­nis­se ver­fü­gen, um die ange­mes­se­ne Wahr­neh­mung ihrer Auf­ga­ben im Rah­men die­ser Ver­ord­nung sicher­zu­stel­len. Sie soll­ten grund­sätz­lich die von ihnen ver­häng­ten Ver­wal­tungs­sank­tio­nen öffent­lich bekannt machen. Da Finanz­un­ter­neh­men und kri­ti­sche IKT-Dritt­dienst­lei­ster in unter­schied­li­chen Mit­glied­staa­ten ansäs­sig sein und der Auf­sicht unter­schied­li­cher zustän­di­ger Behör­den unter­lie­gen kön­nen, soll­te die Anwen­dung die­ser Ver­ord­nung zum einen durch die enge Zusam­men­ar­beit zwi­schen den jeweils zustän­di­gen Behör­den, ein­schließ­lich der EZB bei der Wahr­neh­mung der ihr durch die Ver­ord­nung (EU) Nr. 1024/2013 über­tra­ge­nen beson­de­ren Auf­ga­ben, erleich­tert wer­den sowie zum ande­ren durch die Abstim­mung mit den ESA im Wege des gegen­sei­ti­gen Infor­ma­ti­ons­aus­tauschs und der Erbrin­gung von Amts­hil­fe in den ein­schlä­gi­gen Aufsichtsbelangen.

(98) Um die Kri­te­ri­en für die Ein­stu­fung von IKT-Dritt­dienst­lei­stern als kri­tisch wei­ter zu quan­ti­fi­zie­ren und zu prä­zi­sie­ren und um Über­wa­chungs­ge­büh­ren zu har­mo­ni­sie­ren, soll­te der Kom­mis­si­on die Befug­nis über­tra­gen wer­den, gemäß Arti­kel 290 AEUV Rechts­ak­te zur Ergän­zung die­ser Ver­ord­nung in Bezug auf Fol­gen­des zu erlas­sen: die wei­te­re Prä­zi­sie­rung der syste­mi­schen Aus­wir­kun­gen, die ein Aus­fall eines Dien­stes oder ein ope­ra­ti­ver Aus­fall eines IKT-Dritt­dienst­lei­sters auf die Finanz­un­ter­neh­men haben könn­te, für die er IKT-Dienst­lei­stun­gen bereit­stellt; die Anzahl glo­bal system­re­le­van­ter Insti­tu­te (G‑SRI) oder ande­rer system­re­le­van­ter Insti­tu­te (A‑SRI), die auf den betref­fen­den IKT-Dritt­dienst­lei­ster ange­wie­sen sind; die Zahl der IKT-Dritt­dienst­lei­ster, die auf einem bestimm­ten Markt tätig sind; die Kosten für die Migra­ti­on von Daten und IKT-Arbeits­la­sten zu ande­ren IKT-Dritt­dienst­lei­stern; sowie den Betrag der Über­wa­chungs­ge­büh­ren und die damit ver­bun­de­ne Zah­lungs­wei­se. Es ist von beson­de­rer Bedeu­tung, dass die Kom­mis­si­on im Zuge ihrer Vor­be­rei­tungs­ar­beit ange­mes­se­ne Kon­sul­ta­tio­nen, auch auf der Ebe­ne von Sach­ver­stän­di­gen, durch­führt, die mit den Grund­sät­zen in Ein­klang ste­hen, die in der Inter­in­sti­tu­tio­nel­len Ver­ein­ba­rung vom 13. April 2016 über bes­se­re Recht­set­zung (22) nie­der­ge­legt wur­den. Um ins­be­son­de­re für eine gleich­be­rech­tig­te Betei­li­gung an der Vor­be­rei­tung dele­gier­ter Rechts­ak­te zu sor­gen, soll­ten das Euro­päi­sche Par­la­ment und der Rat alle Doku­men­te zur glei­chen Zeit wie die Sach­ver­stän­di­gen der Mit­glied­staa­ten erhal­ten, und ihre Sach­ver­stän­di­gen soll­ten syste­ma­tisch Zugang zu den Sit­zun­gen der Sach­ver­stän­di­gen­grup­pen der Kom­mis­si­on haben, die mit der Vor­be­rei­tung der dele­gier­ten Rechts­ak­te befasst sind.

(99) Die kohä­ren­te Har­mo­ni­sie­rung der in die­ser Ver­ord­nung fest­ge­leg­ten Anfor­de­run­gen soll­te durch tech­ni­sche Regu­lie­rungs­stan­dards gewähr­lei­stet wer­den. In ihrer Funk­ti­on als Stel­len, die über hoch­spe­zia­li­sier­te Fach­kräf­te ver­fü­gen, soll­ten die ESA Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards aus­ar­bei­ten, die kei­ne poli­ti­schen Ent­schei­dun­gen erfor­dern, und sie der Kom­mis­si­on vor­le­gen. In den Berei­chen IKT-Risi­ko­ma­nage­ment, Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le, Tests sowie in Bezug auf Schlüs­sel­an­for­de­run­gen für eine soli­de Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos soll­ten tech­ni­sche Regu­lie­rungs­stan­dards ent­wickelt wer­den. Die Kom­mis­si­on und die ESA soll­ten sicher­stel­len, dass die­se Stan­dards und Anfor­de­run­gen von allen Finanz­un­ter­neh­men auf eine Wei­se ange­wandt wer­den kön­nen, die ihrer Grö­ße und ihrem Gesamt­ri­si­ko­pro­fil sowie der Art, dem Umfang und der Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te ange­mes­sen ist. Der Kom­mis­si­on soll­te die Befug­nis über­tra­gen wer­den, die­se tech­ni­schen Regu­lie­rungs­stan­dards mit­tels dele­gier­ter Rechts­ak­ten gemäß Arti­kel 290 AEUV und im Ein­klang mit den Arti­keln 10 und 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen.

(100) Um die Ver­gleich­bar­keit der Mel­dun­gen über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le und schwer­wie­gen­de zah­lungs­be­zo­ge­ne Betriebs- oder Sicher­heits­vor­fäl­le zu erleich­tern sowie um für Trans­pa­renz in Bezug auf ver­trag­li­che Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen von Dritt­dienst­lei­stern zu sor­gen, soll­ten die ESA Ent­wür­fe tech­ni­scher Durch­füh­rungs­stan­dards erar­bei­ten, mit denen stan­dar­di­sier­te Vor­la­gen, For­mu­la­re und Ver­fah­ren für Finanz­un­ter­neh­men zur Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le und schwer­wie­gen­der zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fäl­le sowie stan­dar­di­sier­te Vor­la­gen für das Infor­ma­ti­ons­re­gi­ster fest­ge­legt wer­den. Bei der Aus­ar­bei­tung die­ser Stan­dards soll­ten die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te berück­sich­ti­gen. Der Kom­mis­si­on soll­te die Befug­nis über­tra­gen wer­den, die­se tech­ni­schen Durch­füh­rungs­stan­dards mit­tels Durch­füh­rungs­rechts­ak­ten gemäß Arti­kel 291 AEUV und im Ein­klang mit Arti­kel 15 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen.

(101) Da wei­te­re Anfor­de­run­gen bereits durch dele­gier­te Rechts­ak­te und Durch­füh­rungs­rechts­ak­te auf der Grund­la­ge tech­ni­scher Regu­lie­rungs- und Durch­füh­rungs­stan­dards in den Ver­ord­nun­gen (EG) Nr. 1060/2009 (23), (EU) Nr. 648/2012 (24), (EU) Nr. 600/2014 (25) bzw. (EU) Nr. 909/2014 (26) des Euro­päi­schen Par­la­ments und des Rates fest­ge­legt wur­den, ist es ange­zeigt, die ESA ent­we­der ein­zeln oder gemein­sam über den Gemein­sa­men Aus­schuss zu beauf­tra­gen, der Kom­mis­si­on tech­ni­sche Regu­lie­rungs- und Durch­füh­rungs­stan­dards für den Erlass von dele­gier­ten Rechts­ak­ten und Durch­füh­rungs­rechts­ak­ten zur Über­nah­me und Aktua­li­sie­rung bestehen­der IKT-Risi­ko­ma­nage­ment­vor­schrif­ten vorzulegen.

(102) Da die vor­lie­gen­de Ver­ord­nung in Ver­bin­dung mit der Richt­li­nie (EU) 2022/2556 des Euro­päi­schen Par­la­ments und des Rates (27) eine Kon­so­li­die­rung der Bestim­mun­gen über IKT-Risi­ko­ma­nage­ment mit sich bringt, die sich über meh­re­re Ver­ord­nun­gen und Richt­li­ni­en des Besitz­stands der Uni­on im Bereich der Finanz­dienst­lei­stun­gen erstrecken, ein­schließ­lich der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 und der Ver­ord­nung (EU) 2016/1011 (28) des Euro­päi­schen Par­la­ments und des Rates, soll­ten die­se Ver­ord­nun­gen zur Gewähr­lei­stung voll­stän­di­ger Über­ein­stim­mung geän­dert wer­den, damit klar­ge­stellt ist, dass die gel­ten­den Bestim­mun­gen über IKT-Risi­ken in der vor­lie­gen­den Ver­ord­nung ver­an­kert sind.

(103) Der Gel­tungs­be­reich der ein­schlä­gi­gen Arti­kel über ope­ra­tio­nel­le Risi­ken, auf deren Grund­la­ge durch Befug­nis­über­tra­gun­gen gemäß den Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 (EU) Nr. 909/2014 und (EU) 2016/1011 der Erlass von dele­gier­ten Rechts­ak­ten und Durch­füh­rungs­rechts­ak­ten ermög­licht wur­de, soll­te folg­lich ein­ge­schränkt wer­den, damit alle Bestim­mun­gen, die Aspek­te der digi­ta­len ope­ra­tio­na­len Resi­li­enz betref­fen und heu­te Teil der genann­ten Ver­ord­nun­gen sind, in die vor­lie­gen­de Ver­ord­nung über­nom­men wer­den können.

(104) Das poten­zi­el­le syste­mi­sche Cyber­ri­si­ko, das mit der Nut­zung von IKT-Infra­struk­tu­ren ver­bun­den ist, die den Betrieb von Zah­lungs­sy­ste­men und die Erbrin­gung von Zah­lungs­ab­wick­lungs­tä­tig­kei­ten ermög­li­chen, soll­te auf Uni­ons­ebe­ne durch har­mo­ni­sier­te Vor­schrif­ten für die digi­ta­le Resi­li­enz ange­mes­sen ange­gan­gen wer­den. Zu die­sem Zweck soll­te die Kom­mis­si­on rasch prü­fen, ob der Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung über­prüft wer­den muss, und die­se Über­prü­fung zugleich an die Ergeb­nis­se der in der Richt­li­nie (EU) 2015/2366 vor­ge­se­he­nen umfas­sen­den Über­prü­fung anpas­sen. Zahl­rei­che Groß­an­grif­fe in den letz­ten zehn Jah­ren haben gezeigt, inwie­fern Zah­lungs­sy­ste­me Cyber­be­dro­hun­gen aus­ge­setzt sind. Da sie im Mit­tel­punkt der Zah­lungs­dienst­lei­stungs­ket­te ste­hen und star­ke Ver­flech­tun­gen mit dem gesam­ten Finanz­sy­stem auf­wei­sen, sind Zah­lungs­sy­ste­me und Zah­lungs­ab­wick­lungs­tä­tig­kei­ten nun­mehr zu einem maß­geb­li­chen Fak­tor für das Funk­tio­nie­ren der Finanz­märk­te der Uni­on gewor­den. Cyber­an­grif­fe auf die­se Syste­me kön­nen zu schwer­wie­gen­den Betriebs­stö­run­gen füh­ren, die sich direkt auf wirt­schaft­li­che Schlüs­sel­funk­tio­nen wie die Erleich­te­rung von Zah­lun­gen aus­wir­ken und zugleich indi­rekt Kon­se­quen­zen für die damit ver­bun­de­nen wirt­schaft­li­chen Pro­zes­se haben. Bis zur Ein­füh­rung eines har­mo­ni­sier­ten Systems und der Beauf­sich­ti­gung der Betrei­ber von Zah­lungs­sy­ste­men und Zah­lungs­ab­wick­lungs­un­ter­neh­men auf Uni­ons­ebe­ne kön­nen sich die Mit­glied­staa­ten zur Anwen­dung ähn­li­cher Markt­prak­ti­ken an den mit die­ser Ver­ord­nung fest­ge­leg­ten Anfor­de­run­gen an die digi­ta­le ope­ra­tio­na­le Resi­li­enz ori­en­tie­ren, wenn sie für Betrei­ber von Zah­lungs­sy­ste­men und Zah­lungs­ab­wick­lungs­un­ter­neh­men, die in ihrem jewei­li­gen Hoheits­ge­biet der Auf­sicht unter­lie­gen, dies­be­züg­li­che Vor­schrif­ten anwenden.

(105) Da das Ziel die­ser Ver­ord­nung, näm­lich die Errei­chung eines hohen Niveaus an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz in beauf­sich­tig­ten Finanz­un­ter­neh­men, von den Mit­glied­staa­ten nicht aus­rei­chend ver­wirk­licht wer­den kann, weil es der Har­mo­ni­sie­rung eini­ger unter­schied­li­cher Vor­schrif­ten im Uni­ons­recht und im natio­na­len Recht bedarf, son­dern viel­mehr wegen sei­nes Umfangs und sei­ner Wir­kun­gen auf Uni­ons­ebe­ne bes­ser zu ver­wirk­li­chen ist, kann die Uni­on im Ein­klang mit dem in Arti­kel 5 des Ver­trags über die Euro­päi­sche Uni­on ver­an­ker­ten Sub­si­dia­ri­täts­prin­zip tätig wer­den. Ent­spre­chend dem in dem­sel­ben Arti­kel genann­ten Grund­satz der Ver­hält­nis­mä­ßig­keit geht die­se Ver­ord­nung nicht über das für die Ver­wirk­li­chung die­ses Ziels erfor­der­li­che Maß hinaus.

(106) Der Euro­päi­sche Daten­schutz­be­auf­trag­te wur­de gemäß Arti­kel 42 Absatz 1 der Ver­ord­nung (EU) 2018/1725 des Euro­päi­schen Par­la­ments und des Rates (29) kon­sul­tiert und hat am 10. Mai 2021 eine Stel­lung­nah­me abge­ge­ben (30) ––

I All­ge­mei­ne Bestimmungen

Arti­kel 1 Gegenstand


(1) Um ein hohes gemein­sa­mes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz zu errei­chen, wer­den in die­ser Ver­ord­nung ein­heit­li­che Anfor­de­run­gen für die Sicher­heit von Netz­werk- und Infor­ma­ti­ons­sy­ste­men, die die Geschäfts­pro­zes­se von Finanz­un­ter­neh­men unter­stüt­zen, wie folgt fest­ge­legt:

a) auf Finanz­un­ter­neh­men anwend­ba­re Anfor­de­run­gen in Bezug auf:

i) Risi­ko­ma­nage­ment im Bereich der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT);

ii) Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le und — auf frei­wil­li­ger Basis — erheb­li­cher Cyber­be­dro­hun­gen an die zustän­di­gen Behörden;

iii) Mel­dung schwer­wie­gen­der zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fäl­le durch in Arti­kel 2 Absatz 1 Buch­sta­ben a bis d auf­ge­führ­te Finanz­un­ter­neh­men an die zustän­di­gen Behörden;

iv) Tests der digi­ta­len ope­ra­tio­na­len Resilienz;

v) Aus­tausch von Infor­ma­tio­nen und Erkennt­nis­sen in Bezug auf Cyber­be­dro­hun­gen und Schwachstellen;

vi) Maß­nah­men für das soli­de Manage­ment des IKT-Drittparteienrisikos;

b) Anfor­de­run­gen in Bezug auf ver­trag­li­che Ver­ein­ba­run­gen zwi­schen IKT-Dritt­dienst­lei­stern und Finanzunternehmen;

c) Vor­schrif­ten über die Ein­rich­tung und Aus­füh­rung des Über­wa­chungs­rah­mens für kri­ti­sche IKT-Dritt­dienst­lei­ster bei der Erbrin­gung von Dienst­lei­stun­gen für Finanzunternehmen;

d) Vor­schrif­ten über die Zusam­men­ar­beit zwi­schen zustän­di­gen Behör­den und Vor­schrif­ten über die Beauf­sich­ti­gung und Durch­set­zung aller von die­ser Ver­ord­nung erfass­ten Sach­ver­hal­te durch zustän­di­ge Behörden.

(2) In Bezug auf Finanz­un­ter­neh­men, die gemäß den natio­na­len Vor­schrif­ten zur Umset­zung von Arti­kel 3 der Richt­li­nie (EU) 2022/2555 als wesent­li­che oder wich­ti­ge Unter­neh­men ermit­telt wur­den, gilt die­se Ver­ord­nung für die Zwecke von Arti­kel 4 der genann­ten Richt­li­nie als sek­tor­spe­zi­fi­scher Rechts­akt der Union.

(3) Die­se Ver­ord­nung lässt die Zustän­dig­kei­ten der Mit­glied­staa­ten für grund­le­gen­de Funk­tio­nen des Staa­tes in Bezug auf die öffent­li­che Sicher­heit, die Lan­des­ver­tei­di­gung und die natio­na­le Sicher­heit im Ein­klang mit dem Uni­ons­recht unberührt.


Arti­kel 2 Geltungsbereich


(1) Unbe­scha­det der Absät­ze 3 und 4 gilt die­se Ver­ord­nung für fol­gen­de Unter­neh­men:

a) Kre­dit­in­sti­tu­te,

b) Zah­lungs­in­sti­tu­te, ein­schließ­lich gemäß der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­ne Zahlungsinstitute,

c) Kon­to­in­for­ma­ti­ons­dienst­lei­ster,

d) E‑Geld-Insti­tu­te, ein­schließ­lich gemäß der Richt­li­nie 2009/110/EG aus­ge­nom­me­ne E‑Geld-Insti­tu­te,

e) Wert­pa­pier­fir­men,

f) Anbie­ter von Kryp­to-Dienst­lei­stun­gen, die gemäß einer Ver­ord­nung des Euro­päi­schen Par­la­ments und des Rates über Märk­te von Kryp­to-Wer­ten und zur Ände­rung der Ver­ord­nun­gen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richt­li­ni­en 2013/36/EU und (EU) 2019/1937 (im Fol­gen­den „Ver­ord­nung über Märk­te von Kryp­to-Wer­ten“) zuge­las­sen sind, und Emit­ten­ten wert­re­fe­ren­zier­ter Token,

g) Zen­tral­ver­wah­rer,

h) zen­tra­le Gegenparteien,

i) Han­dels­plät­ze,

j) Trans­ak­ti­ons­re­gi­ster,

k) Ver­wal­ter alter­na­ti­ver Investmentfonds,

l) Ver­wal­tungs­ge­sell­schaf­ten,

m) Daten­be­reit­stel­lungs­dien­ste,

n) Ver­si­che­rungs- und Rückversicherungsunternehmen,

o) Ver­si­che­rungs­ver­mitt­ler, Rück­ver­si­che­rungs­ver­mitt­ler und Ver­si­che­rungs­ver­mitt­ler in Nebentätigkeit,

p) Ein­rich­tun­gen der betrieb­li­chen Altersversorgung,

q) Rating­agen­tu­ren,

r) Admi­ni­stra­to­ren kri­ti­scher Referenzwerte,

s) Schwarm­fi­nan­zie­rungs­dienst­lei­ster,

t) Ver­brie­fungs­re­gi­ster,

u) IKT-Dritt­dienst­lei­ster.

(2) Für die Zwecke die­ser Ver­ord­nung wer­den die in Absatz 1 Buch­sta­ben a bis t genann­ten Unter­neh­men zusam­men als „Finanz­un­ter­neh­men“ bezeichnet.

(3) Die­se Ver­ord­nung gilt nicht für:

a) Ver­wal­ter alter­na­ti­ver Invest­ment­fonds im Sin­ne von Arti­kel 3 Absatz 2 der Richt­li­nie 2011/61/EU;

b) Ver­si­che­rungs- und Rück­ver­si­che­rungs­un­ter­neh­men im Sin­ne von Arti­kel 4 der Richt­li­nie 2009/138/EG;

c) Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung, die Alters­ver­sor­gungs­sy­ste­me mit ins­ge­samt weni­ger als 15 Ver­sor­gungs­an­wär­tern betreiben;

d) gemäß den Arti­keln 2 und 3 der Richt­li­nie 2014/65/EU aus­ge­nom­me­ne natür­li­che oder juri­sti­sche Personen;

e) Ver­si­che­rungs­ver­mitt­ler, Rück­ver­si­che­rungs­ver­mitt­ler und Ver­si­che­rungs­ver­mitt­ler in Neben­tä­tig­keit, bei denen es sich um Kleinst­un­ter­neh­men oder klei­ne oder mitt­le­re Unter­neh­men handelt;

f) Post­gi­ro­äm­ter im Sin­ne von Arti­kel 2 Absatz 5 Num­mer 3 der Richt­li­nie 2013/36/EU.

(4) Die Mit­glied­staa­ten kön­nen die in Arti­kel 2 Absatz 5 Num­mern 4 bis 23 der Richt­li­nie 2013/36/EU auf­ge­führ­ten Stel­len, die sich in ihrem jewei­li­gen Hoheits­ge­biet befin­den, vom Gel­tungs­be­reich die­ser Ver­ord­nung aus­neh­men. Macht ein Mit­glied­staat von die­ser Mög­lich­keit Gebrauch, so setzt er die Kom­mis­si­on hier­von sowie von allen nach­fol­gen­den Ände­run­gen in Kennt­nis. Die Kom­mis­si­on macht die­se Infor­ma­tio­nen auf ihrer Web­site oder auf ande­re leicht zugäng­li­che Wei­se öffent­lich zugänglich.


Arti­kel 3 Begriffsbestimmungen


Für die Zwecke die­ser Ver­ord­nung bezeich­net der Aus­druck:

1. „digi­ta­le ope­ra­tio­na­le Resi­li­enz“ die Fähig­keit eines Finanz­un­ter­neh­mens, sei­ne ope­ra­ti­ve Inte­gri­tät und Betriebs­zu­ver­läs­sig­keit auf­zu­bau­en, zu gewähr­lei­sten und zu über­prü­fen, indem es ent­we­der direkt oder indi­rekt durch Nut­zung der von IKT-Dritt­dienst­lei­stern bereit­ge­stell­ten Dien­ste das gesam­te Spek­trum an IKT-bezo­ge­nen Fähig­kei­ten sicher­stellt, die erfor­der­lich sind, um die Sicher­heit der Netz­werk- und Infor­ma­ti­ons­sy­ste­me zu gewähr­lei­sten, die von einem Finanz­un­ter­neh­men genutzt wer­den und die kon­ti­nu­ier­li­che Erbrin­gung von Finanz­dienst­lei­stun­gen und deren Qua­li­tät, ein­schließ­lich bei Stö­run­gen, unterstützen;

2. „Netz­werk- und Infor­ma­ti­ons­sy­stem“ ein Netz- und Infor­ma­ti­ons­sy­stem im Sin­ne von Arti­kel 6 Num­mer 1 der Richt­li­nie (EU) 2022/2555;

3. „IKT-Alt­sy­stem“ ein IKT-System, das das Ende sei­nes Lebens­zy­klus (Ende sei­ner Lebens­dau­er) erreicht hat, aus tech­no­lo­gi­schen oder wirt­schaft­li­chen Grün­den nicht für Upgrades oder Feh­ler­be­he­bun­gen in Fra­ge kommt oder nicht mehr von sei­nem Anbie­ter oder einem IKT-Dritt­dienst­lei­ster unter­stützt wird, das aller­dings wei­ter­hin genutzt wird und die Funk­tio­nen des Finanz­un­ter­neh­mens unterstützt;

4. „Sicher­heit von Netz­werk- und Infor­ma­ti­ons­sy­ste­men“ die Sicher­heit von Netz- und Infor­ma­ti­ons­sy­ste­men im Sin­ne von Arti­kel 6 Num­mer 2 der Richt­li­nie (EU) 2022/2555;

5. „IKT-Risi­ko“ jeden ver­nünf­ti­ger­wei­se iden­ti­fi­zier­ba­ren Umstand im Zusam­men­hang mit der Nut­zung von Netz­werk- und Infor­ma­ti­ons­sy­ste­men, der bei Ein­tritt durch die damit ein­her­ge­hen­den nach­tei­li­gen Aus­wir­kun­gen im digi­ta­len oder phy­si­schen Umfeld die Sicher­heit der Netz­werk- und Infor­ma­ti­ons­sy­ste­me, jeg­li­cher tech­no­lo­gie­ab­hän­gi­ger Instru­men­te oder Pro­zes­se, von Geschäf­ten und Pro­zes­sen oder der Bereit­stel­lung von Dien­sten beein­träch­ti­gen kann.

6. „Infor­ma­ti­ons­a­sset“ eine Samm­lung mate­ri­el­ler oder imma­te­ri­el­ler Infor­ma­tio­nen, die geschützt wer­den sollten;

7. „IKT-Asset“ eine Soft­ware oder Hard­ware in den Netz­werk- und Infor­ma­ti­ons­sy­ste­men, die das Finanz­un­ter­neh­men nutzt;

8. „IKT-bezo­ge­ner Vor­fall“ ein von dem Finanz­un­ter­neh­men nicht geplan­tes Ereig­nis bzw. eine ent­spre­chen­de Rei­he ver­bun­de­ner Ereig­nis­se, das bzw. die die Sicher­heit der Netz­werk- und Infor­ma­ti­ons­sy­ste­me beein­träch­tigt und nach­tei­li­ge Aus­wir­kun­gen auf die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät oder Ver­trau­lich­keit von Daten oder auf die vom Finanz­un­ter­neh­men erbrach­ten Dienst­lei­stun­gen hat;

9. „zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fall“ ein von den in Arti­kel 2 Absatz 1 Buch­sta­ben a bis d auf­ge­führ­ten Finanz­un­ter­neh­men nicht geplan­tes Ereig­nis bzw. eine ent­spre­chen­de Rei­he ver­bun­de­ner Ereig­nis­se, unab­hän­gig davon, ob es sich um IKT-bezo­ge­ne Vor­fäl­le han­delt oder nicht, das bzw. die nach­tei­li­ge Aus­wir­kun­gen auf die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät oder Ver­trau­lich­keit zah­lungs­be­zo­ge­ner Daten oder auf die vom Finanz­un­ter­neh­men bereit­ge­stell­ten zah­lungs­be­zo­ge­nen Dien­ste hat;

10. „schwer­wie­gen­der IKT-bezo­ge­ner Vor­fall“ einen IKT-Vor­fall, der umfas­sen­de nach­tei­li­ge Aus­wir­kun­gen auf die Netz­werk- und Infor­ma­ti­ons­sy­ste­me hat, die kri­ti­sche oder wich­ti­ge Funk­tio­nen des Finanz­un­ter­neh­mens unterstützen;

11. „schwer­wie­gen­der zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fall“ einen zah­lungs­be­zo­ge­nen Betriebs- oder Sicher­heits­vor­fall, der umfas­sen­de nach­tei­li­ge Aus­wir­kun­gen auf die bereit­ge­stell­ten zah­lungs­be­zo­ge­nen Dien­ste hat;

12. „Cyber­be­dro­hung“ eine Cyber­be­dro­hung im Sin­ne von Arti­kel 2 Num­mer 8 der Ver­ord­nung (EU) 2019/881;

13. „erheb­li­che Cyber­be­dro­hung“ eine Cyber­be­dro­hung, deren tech­ni­sche Merk­ma­le dar­auf hin­deu­ten, dass sie das Poten­zi­al haben könn­te, einen schwer­wie­gen­den IKT-bezo­ge­nen Vor­fall oder einen schwer­wie­gen­den zah­lungs­be­zo­ge­nen Betriebs- oder Sicher­heits­vor­fall zu verursachen;

14. „Cyber­an­griff“ einen bös­wil­li­gen IKT-bezo­ge­nen Vor­fall, der auf den Ver­such eines Angrei­fers zurück­geht, einen Ver­mö­gens­wert zu zer­stö­ren, frei­zu­le­gen, zu ver­än­dern, zu deak­ti­vie­ren, zu ent­wen­den oder auf unbe­rech­tig­te Wei­se auf die­sen Ver­mö­gens­wert zuzu­grei­fen oder ihn auf unbe­rech­tig­te Wei­se zu nutzen;

15. „Bedro­hungs­ana­ly­se“ Infor­ma­tio­nen, die agg­re­giert, umge­wan­delt, ana­ly­siert, aus­ge­wer­tet oder erwei­tert wur­den, um den not­wen­di­gen Kon­text für die Ent­schei­dungs­fin­dung zu schaf­fen und ein rele­van­tes und aus­rei­chen­des Ver­ständ­nis für die Abmil­de­rung der Aus­wir­kun­gen eines IKT-bezo­ge­nen Vor­falls oder einer Cyber­be­dro­hung zu ermög­li­chen, ein­schließ­lich der tech­ni­schen Ein­zel­hei­ten eines Cyber­an­griffs, der für den Angriff ver­ant­wort­li­chen Per­so­nen und ihres Modus Ope­ran­di und ihrer Beweggründe;

16. „Schwach­stel­le“ eine Schwach­stel­le, Emp­find­lich­keit oder Fehl­funk­ti­on eines Ver­mö­gens­werts, eines Systems, eines Pro­zes­ses oder einer Kon­trol­le, die aus­ge­nutzt wer­den kann;

17. „bedro­hungs­ori­en­tier­te Pene­tra­ti­ons­tests (TLPT — Thre­at-Led Pene­tra­ti­on Test­ing)“ einen Rah­men, der Tak­tik, Tech­ni­ken und Ver­fah­ren rea­ler Angrei­fer, die als ech­te Cyber­be­dro­hung emp­fun­den wer­den, nach­bil­det und einen kon­trol­lier­ten, maß­ge­schnei­der­ten, erkennt­nis­ge­stütz­ten (Red-Team-) Test der kri­ti­schen Live-Pro­duk­ti­ons­sy­ste­me des Finanz­un­ter­neh­mens ermöglicht;

18. „IKT-Dritt­par­tei­en­ri­si­ko“ ein IKT-bezo­ge­nes Risi­ko, das für ein Finanz­un­ter­neh­men im Zusam­men­hang mit des­sen Nut­zung von IKT-Dienst­lei­stun­gen ent­ste­hen kann, die von IKT-Dritt­dienst­lei­stern oder deren Unter­auf­trag­neh­mern, ein­schließ­lich über Ver­ein­ba­run­gen zur Aus­la­ge­rung, bereit­ge­stellt werden;

19. „IKT-Dritt­dienst­lei­ster“ ein Unter­neh­men, das IKT-Dienst­lei­stun­gen bereitstellt;

20. „grup­pen­in­ter­ner IKT-Dienst­lei­ster“ ein Unter­neh­men, das Teil einer Finanz­grup­pe ist und über­wie­gend IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men der­sel­ben Grup­pe oder für Finanz­un­ter­neh­men, die dem­sel­ben insti­tuts­be­zo­ge­nen Siche­rungs­sy­stem ange­hö­ren, bereit­stellt, ein­schließ­lich deren Mut­ter­un­ter­neh­men, Toch­ter­un­ter­neh­men und Zweig­nie­der­las­sun­gen oder ande­rer Unter­neh­men, die in gemein­sa­mem Eigen­tum oder unter gemein­sa­mer Kon­trol­le stehen;

21. „IKT-Dienst­lei­stun­gen“ digi­ta­le Dien­ste und Daten­dien­ste, die über IKT-Syste­me einem oder meh­re­ren inter­nen oder exter­nen Nut­zern dau­er­haft bereit­ge­stellt wer­den, ein­schließ­lich Hard­ware als Dienst­lei­stung und Hard­ware­dienst­lei­stun­gen, wozu auch tech­ni­sche Unter­stüt­zung durch den Hard­ware­an­bie­ter mit­tels Soft­ware- oder Firm­ware-Aktua­li­sie­run­gen gehört, mit Aus­nah­me her­kömm­li­cher ana­lo­ger Telefondienste;

22. „kri­ti­sche oder wich­ti­ge Funk­ti­on“ eine Funk­ti­on, deren Aus­fall die finan­zi­el­le Lei­stungs­fä­hig­keit eines Finanz­un­ter­neh­mens oder die Soli­di­tät oder Fort­füh­rung sei­ner Geschäfts­tä­tig­kei­ten und Dienst­lei­stun­gen erheb­lich beein­träch­ti­gen wür­de oder deren unter­bro­che­ne, feh­ler­haf­te oder unter­blie­be­ne Lei­stung die fort­dau­ern­de Ein­hal­tung der Zulas­sungs­be­din­gun­gen und ‑ver­pflich­tun­gen eines Finanz­un­ter­neh­mens oder sei­ner son­sti­gen Ver­pflich­tun­gen nach dem anwend­ba­ren Finanz­dienst­lei­stungs­recht erheb­lich beein­träch­ti­gen würde;

23. „kri­ti­scher IKT-Dritt­dienst­lei­ster“ einen IKT-Dritt­dienst­lei­ster, der gemäß Arti­kel 31 als kri­tisch ein­ge­stuft wurde;

24. „IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land“ einen IKT-Dritt­dienst­lei­ster, bei dem es sich um eine in einem Dritt­land nie­der­ge­las­se­ne juri­sti­sche Per­son han­delt, die mit einem Finanz­un­ter­neh­men eine ver­trag­li­che Ver­ein­ba­rung über die Bereit­stel­lung von IKT-Dienst­lei­stun­gen geschlos­sen hat; #Anwen­dungs­be­reich

25. „Toch­ter­un­ter­neh­men“ ein Toch­ter­un­ter­neh­men im Sin­ne von Arti­kel 2 Num­mer 10 und Arti­kel 22 der Richt­li­nie 2013/34/EU;

26. „Grup­pe“ eine Grup­pe im Sin­ne von Arti­kel 2 Num­mer 11 der Richt­li­nie 2013/34/EU;

27. „Mut­ter­un­ter­neh­men“ ein Mut­ter­un­ter­neh­men im Sin­ne von Arti­kel 2 Num­mer 9 und Arti­kel 22 der Richt­li­nie 2013/34/EU;

28. „IKT-Unter­auf­trag­neh­mer mit Sitz in einem Dritt­land“ einen IKT-Unter­auf­trag­neh­mer, bei dem es sich um eine in einem Dritt­land nie­der­ge­las­se­ne juri­sti­sche Per­son han­delt, die mit einem IKT-Dritt­dienst­lei­ster oder einem IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land eine ver­trag­li­che Ver­ein­ba­rung geschlos­sen hat; #Anwen­dungs­be­reich

29. „IKT-Kon­zen­tra­ti­ons­ri­si­ko“ die Expo­si­ti­on gegen­über ein­zel­nen oder meh­re­ren ver­bun­de­nen kri­ti­schen IKT-Dritt­dienst­lei­stern, die zu einer gewis­sen Abhän­gig­keit von die­sen Dienst­lei­stern führt, sodass die Nicht­ver­füg­bar­keit, der Aus­fall oder son­sti­ge Defi­zi­te die­ser Dienst­lei­ster die Fähig­keit eines Finanz­un­ter­neh­mens gefähr­den könn­ten, kri­ti­sche oder wich­ti­ge Funk­tio­nen zu erfül­len, oder bei dem Finanz­un­ter­neh­men ande­re For­men nach­tei­li­ger Aus­wir­kun­gen, ein­schließ­lich gro­ßer Ver­lu­ste, her­bei­füh­ren oder die finan­zi­el­le Sta­bi­li­tät der Uni­on ins­ge­samt gefähr­den könnten;

30. „Lei­tungs­or­gan“ ein Lei­tungs­or­gan im Sin­ne von Arti­kel 4 Absatz 1 Num­mer 36 der Richt­li­nie 2014/65/EU, von Arti­kel 3 Absatz 1 Num­mer 7 der Richt­li­nie 2013/36/EU, von Arti­kel 2 Absatz 1 Buch­sta­be s der Richt­li­nie 2009/65/EG des Euro­päi­schen Par­la­ments und des Rates (31), von Arti­kel 2 Absatz 1 Num­mer 45 der Ver­ord­nung (EU) Nr. 909/2014, von Arti­kel 3 Absatz 1 Num­mer 20 der Ver­ord­nung (EU) 2016/1011 sowie im Sin­ne der ein­schlä­gi­gen Vor­schrift der Ver­ord­nung über Märk­te von Kryp­to-Wer­ten oder die ent­spre­chen­den Per­so­nen, die das Unter­neh­men tat­säch­lich lei­ten oder im Ein­klang mit dem ein­schlä­gi­gen Uni­ons­recht oder natio­na­len Recht Schlüs­sel­funk­tio­nen wahrnehmen;

31. „Kre­dit­in­sti­tut“ ein Kre­dit­in­sti­tut im Sin­ne von Arti­kel 4 Absatz 1 Num­mer 1 der Ver­ord­nung (EU) Nr. 575/2013 des Euro­päi­schen Par­la­ments und des Rates (32);

32. „nach der Richt­li­nie 2013/36/EU aus­ge­nom­me­nes Insti­tut“ eine in Arti­kel 2 Absatz 5 Num­mern 4 bis 23 der Richt­li­nie 2013/36/EU auf­ge­führ­te Einrichtung;

33. „Wert­pa­pier­fir­ma“ eine Wert­pa­pier­fir­ma im Sin­ne von Arti­kel 4 Absatz 1 Num­mer 1 der Richt­li­nie 2014/65/EU;

34. „klei­ne und nicht ver­floch­te­ne Wert­pa­pier­fir­ma“ eine Wert­pa­pier­fir­ma, die die in Arti­kel 12 Absatz 1 der Ver­ord­nung (EU) 2019/2033 des Euro­päi­schen Par­la­ments und des Rates (33) genann­ten Bedin­gun­gen erfüllt;

35. „Zah­lungs­in­sti­tut“ ein Zah­lungs­in­sti­tut im Sin­ne von Arti­kel 4 Num­mer 4 der Richt­li­nie (EU) 2015/2366;

36. „nach der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­nes Zah­lungs­in­sti­tut“ ein Zah­lungs­in­sti­tut, für das eine Aus­nah­me nach Arti­kel 32 Absatz 1 der Richt­li­nie (EU) 2015/2366 gilt;

37. „Kon­to­in­for­ma­ti­ons­dienst­lei­ster“ einen Kon­to­in­for­ma­ti­ons­dienst­lei­ster im Sin­ne von Arti­kel 33 Absatz 1 der Richt­li­nie (EU) 2015/2366;

38. „E‑Geld-Insti­tut“ ein E‑Geld-Insti­tut im Sin­ne von Arti­kel 2 Num­mer 1 der Richt­li­nie 2009/110/EG;

39. „nach der Richt­li­nie 2009/110/EG aus­ge­nom­me­nes E‑Geld-Insti­tut“ ein E‑Geld-Insti­tut, für das eine Aus­nah­me nach Arti­kel 9 Absatz 1 der Richt­li­nie 2009/110/EG gilt;

40. „zen­tra­le Gegen­par­tei“ eine zen­tra­le Gegen­par­tei im Sin­ne von Arti­kel 2 Num­mer 1 der Ver­ord­nung (EU) Nr. 648/2012;

41. „Trans­ak­ti­ons­re­gi­ster“ ein Trans­ak­ti­ons­re­gi­ster im Sin­ne von Arti­kel 2 Num­mer 2 der Ver­ord­nung (EU) Nr. 648/2012;

42. „Zen­tral­ver­wah­rer“ ein Zen­tral­ver­wah­rer im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 1 der Ver­ord­nung (EU) Nr. 909/2014;

43. „Han­dels­platz“ einen Han­dels­platz im Sin­ne von Arti­kel 4 Absatz 1 Num­mer 24 der Richt­li­nie 2014/65/EU.

44. „Ver­wal­ter alter­na­ti­ver Invest­ment­fonds“ einen Ver­wal­ter alter­na­ti­ver Invest­ment­fonds im Sin­ne von Arti­kel 4 Absatz 1 Buch­sta­be b der Richt­li­nie 2011/61/EU;

45. „Ver­wal­tungs­ge­sell­schaft“ eine Ver­wal­tungs­ge­sell­schaft im Sin­ne von Arti­kel 2 Absatz 1 Buch­sta­be b der Richt­li­nie 2009/65/EG.

46. „Daten­be­reit­stel­lungs­dienst“ einen in Arti­kel 2 Absatz 1 Num­mern 34 bis 36 der Ver­ord­nung (EU) Nr. 600/2014 genann­ten Daten­be­reit­stel­lungs­dienst im Sin­ne der genann­ten Verordnung;

47. „Ver­si­che­rungs­un­ter­neh­men“ ein Ver­si­che­rungs­un­ter­neh­men im Sin­ne von Arti­kel 13 Num­mer 1 der Richt­li­nie 2009/138/EG;

48. „Rück­ver­si­che­rungs­un­ter­neh­men“ ein Rück­ver­si­che­rungs­un­ter­neh­men im Sin­ne von Arti­kel 13 Num­mer 4 der Richt­li­nie 2009/138/EG;

49. „Ver­si­che­rungs­ver­mitt­ler“ einen Ver­si­che­rungs­ver­mitt­ler im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 3 der Richt­li­nie (EU) 2016/97 des Euro­päi­schen Par­la­ments und des Rates (34);

50. „Ver­si­che­rungs­ver­mitt­ler in Neben­tä­tig­keit“ einen Ver­si­che­rungs­ver­mitt­ler in Neben­tä­tig­keit im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 4 der Richt­li­nie (EU) 2016/97;

51. „Rück­ver­si­che­rungs­ver­mitt­ler“ einen Rück­ver­si­che­rungs­ver­mitt­ler im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 5 der Richt­li­nie (EU) 2016/97;

52. „Ein­rich­tung der betrieb­li­chen Alters­ver­sor­gung“ eine Ein­rich­tung der betrieb­li­chen Alters­ver­sor­gung im Sin­ne von Arti­kel 6 Num­mer 1 der Richt­li­nie (EU) 2016/2341;

53. „klei­ne Ein­rich­tung der betrieb­li­chen Alters­ver­sor­gung“ eine Ein­rich­tung der betrieb­li­chen Alters­ver­sor­gung, die Alters­ver­sor­gungs­sy­ste­me mit ins­ge­samt weni­ger als 100 Ver­sor­gungs­an­wär­tern betreibt;

54. „Rating­agen­tur“ eine Rating­agen­tur im Sin­ne von Arti­kel 3 Absatz 1 Buch­sta­be b der Ver­ord­nung (EG) Nr. 1060/2009;

55. „Anbie­ter von Kryp­to-Dienst­lei­stun­gen“ einen Anbie­ter von Kryp­to-Dienst­lei­stun­gen im Sin­ne der ein­schlä­gi­gen Vor­schrift der Ver­ord­nung über Märk­te von Krypto-Werten;

56. „Emit­tent wert­re­fe­ren­zier­ter Token“ einen Emit­ten­ten „wert­re­fe­ren­zier­ter Token“ im Sin­ne der ein­schlä­gi­gen Vor­schrift der Ver­ord­nung über Märk­te von Krypto-Werten;

57. „Admi­ni­stra­tor kri­ti­scher Refe­renz­wer­te“ einen Admi­ni­stra­tor „kri­ti­scher Refe­renz­wer­te“ im Sin­ne von Arti­kel 3 Absatz 1 Num­mer 25 der Ver­ord­nung (EU) 2016/1011;

58. „Schwarm­fi­nan­zie­rungs­dienst­lei­ster“ einen Schwarm­fi­nan­zie­rungs­dienst­lei­ster im Sin­ne von Arti­kel 2 Absatz 1 Buch­sta­be e der Ver­ord­nung (EU) 2020/1503 des Euro­päi­schen Par­la­ments und des Rates (35);

59. „Ver­brie­fungs­re­gi­ster“ ein Ver­brie­fungs­re­gi­ster im Sin­ne von Arti­kel 2 Num­mer 23 der Ver­ord­nung (EU) 2017/2402 des Euro­päi­schen Par­la­ments und des Rates (36);

60. „Kleinst­un­ter­neh­men“ ein Finanz­un­ter­neh­men, bei dem es sich nicht um einen Han­dels­platz, eine zen­tra­le Gegen­par­tei, ein Trans­ak­ti­ons­re­gi­ster oder einen Zen­tral­ver­wah­rer han­delt, das weni­ger als zehn Per­so­nen beschäf­tigt und des­sen Jah­res­um­satz bzw. ‑bilanz­sum­me 2 Mio. EUR nicht überschreitet;

61. „feder­füh­ren­de Über­wa­chungs­be­hör­de“ die gemäß Arti­kel 31 Absatz 1 Buch­sta­be b die­ser Ver­ord­nung benann­te Euro­päi­sche Aufsichtsbehörde;

62. „Gemein­sa­mer Aus­schuss“ den jeweils in Arti­kel 54 der Ver­ord­nung (EU) Nr. 1093/2010, der Ver­ord­nung (EU) Nr. 1094/2010 und der Ver­ord­nung (EU) Nr. 1095/2010 genann­ten Ausschuss;

63. „Klein­un­ter­neh­men“ ein Finanz­un­ter­neh­men, das 10 oder mehr, aber weni­ger als 50 Per­so­nen beschäf­tigt und des­sen Jah­res­um­satz bzw. ‑bilanz­sum­me 2 Mio. EUR über­schrei­tet, nicht jedoch 10 Mio. EUR;

64. „mitt­le­res Unter­neh­men“ ein Finanz­un­ter­neh­men, das kein Klein­un­ter­neh­men ist, das weni­ger als 250 Per­so­nen beschäf­tigt und des­sen Jah­res­um­satz 50 Mio. EUR und/oder des­sen Jah­res­bi­lanz­sum­me 43 Mio. EUR nicht überschreitet;

65. „staat­li­che Behör­de“ jede staat­li­che Stel­le oder son­sti­ge Stel­le der öffent­li­chen Ver­wal­tung, ein­schließ­lich der natio­na­len Zentralbanken.


Arti­kel 4 Grund­satz der Verhältnismäßigkeit


(1) Die Finanz­un­ter­neh­men wen­den die in II fest­ge­leg­ten Vor­schrif­ten im Ein­klang mit dem Grund­satz der Ver­hält­nis­mä­ßig­keit an, wobei ihrer Grö­ße und ihrem Gesamt­ri­si­ko­pro­fil sowie der Art, dem Umfang und der Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te Rech­nung zu tra­gen ist.

(2) Dar­über hin­aus muss die Anwen­dung der III und IV sowie des Kapi­tels V Abschnitt I durch die Finanz­un­ter­neh­men in einem ange­mes­se­nen Ver­hält­nis zu ihrer Grö­ße und ihrem Gesamt­ri­si­ko­pro­fil sowie zu der Art, dem Umfang und der Kom­ple­xi­tät ihrer Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te ste­hen, wie dies in den ein­schlä­gi­gen Vor­schrif­ten jener # KAPITEL aus­drück­lich vor­ge­se­hen ist.

(3) Bei der Über­prü­fung der Kohä­renz des IKT-Risi­ko­ma­nage­m­ent­rah­mens auf der Grund­la­ge der Berich­te, die den zustän­di­gen Behör­den gemäß Arti­kel 6 Absatz 5 und Arti­kel 16 Absatz 2 auf Anfra­ge vor­ge­legt wer­den, prü­fen die zustän­di­gen Behör­den die Anwen­dung des Grund­sat­zes der Ver­hält­nis­mä­ßig­keit durch die Finanzunternehmen.

II IKT-Risi­ko­ma­nage­ment

Abschnitt I

Arti­kel 5 Gover­nan­ce und Organisation


(1) Finanz­un­ter­neh­men ver­fü­gen über einen inter­nen Gover­nan­ce- und Kon­troll­rah­men, der im Ein­klang mit Arti­kel 6 Absatz 4 ein wirk­sa­mes und umsich­ti­ges Manage­ment von IKT-Risi­ken gewähr­lei­stet, um ein hohes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz zu errei­chen.

(2) Das Lei­tungs­or­gan des Finanz­un­ter­neh­mens defi­niert, geneh­migt, über­wacht und ver­ant­wor­tet die Umset­zung aller Vor­keh­run­gen im Zusam­men­hang mit dem IKT-Risi­ko­ma­nage­m­ent­rah­men nach Arti­kel 6 Absatz 1.

Für die Zwecke von Unter­ab­satz 1 gilt Folgendes:

a) Das Lei­tungs­or­gan trägt die letzt­end­li­che Ver­ant­wor­tung für das Manage­ment der IKT-Risi­ken des Finanzunternehmens;

b) das Lei­tungs­or­gan führt Leit­li­ni­en ein, die dar­auf abzie­len, hohe Stan­dards in Bezug auf die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit von Daten aufrechtzuerhalten;

c) das Lei­tungs­or­gan legt kla­re Auf­ga­ben und Ver­ant­wort­lich­kei­ten für alle IKT-bezo­ge­nen Funk­tio­nen sowie ange­mes­se­ne Gover­nan­ce-Rege­lun­gen fest, um eine wirk­sa­me und recht­zei­ti­ge Kom­mu­ni­ka­ti­on, Zusam­men­ar­beit und Koor­di­nie­rung zwi­schen die­sen Funk­tio­nen zu gewährleisten;

d) das Lei­tungs­or­gan trägt die Gesamt­ver­ant­wor­tung für die Fest­le­gung und Geneh­mi­gung der Stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz gemäß Arti­kel 6 Absatz 8, ein­schließ­lich der Fest­le­gung der ange­mes­se­nen Tole­ranz­schwel­le für das IKT-Risi­ko des Finanz­un­ter­neh­mens gemäß Arti­kel 6 Absatz 8 Buch­sta­be b;

e) das Lei­tungs­or­gan geneh­migt, über­wacht und über­prüft regel­mä­ßig die Umset­zung der in Arti­kel 11 Absatz 1 genann­ten IKT-Geschäfts­fort­füh­rungs­leit­li­nie und der in Arti­kel 11 Absatz 3 genann­ten IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne, die als eigen­stän­di­ge spe­zi­el­le Leit­li­nie, die inte­gra­ler Bestand­teil der all­ge­mei­nen Geschäfts­fort­füh­rungs­leit­li­nie des Finanz­un­ter­neh­mens und sei­nes Reak­ti­ons- und Wie­der­her­stel­lungs­plans ist, ver­ab­schie­det wer­den können;

f) das Lei­tungs­or­gan geneh­migt und über­prüft regel­mä­ßig die inter­nen IKT-Revi­si­ons­plä­ne des Finanz­un­ter­neh­mens, die IKT-Revi­si­on und die dar­an vor­ge­nom­me­nen wesent­li­chen Änderungen;

g) das Lei­tungs­or­gan weist ange­mes­se­ne Bud­get­mit­tel zu und über­prüft die­se regel­mä­ßig, um den Anfor­de­run­gen des Finanz­un­ter­neh­mens an die digi­ta­le ope­ra­tio­na­le Resi­li­enz in Bezug auf alle Arten von Res­sour­cen gerecht zu wer­den, ein­schließ­lich ein­schlä­gi­ger Pro­gram­me zur Sen­si­bi­li­sie­rung für IKT-Sicher­heit und Schu­lun­gen zur digi­ta­len ope­ra­tio­na­len Resi­li­enz nach Arti­kel 13 Absatz 6 sowie IKT-Kom­pe­ten­zen für alle Mitarbeiter;

h) das Lei­tungs­or­gan geneh­migt und über­prüft regel­mä­ßig die Leit­li­nie des Finanz­un­ter­neh­mens in Bezug auf Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen, die von IKT-Dritt­dienst­lei­stern bereit­ge­stellt werden;

i) das Lei­tungs­or­gan rich­tet auf Unter­neh­mens­ebe­ne Mel­de­ka­nä­le ein, die es ihm ermög­li­chen, ord­nungs­ge­mäß über Fol­gen­des infor­miert zu werden:

i) mit IKT-Dritt­dienst­lei­stern geschlos­se­ne Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienstleistungen,

ii) alle rele­van­ten geplan­ten wesent­li­chen Ände­run­gen in Bezug auf die IKT-Drittdienstleister,

iii) die poten­zi­el­len Aus­wir­kun­gen der­ar­ti­ger Ände­run­gen auf die kri­ti­schen oder wich­ti­gen Funk­tio­nen, die Gegen­stand die­ser Ver­ein­ba­run­gen sind, ein­schließ­lich einer Zusam­men­fas­sung der Risi­ko­ana­ly­se, um die Aus­wir­kun­gen die­ser Ände­run­gen zu bewer­ten, und zumin­dest über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le und deren Aus­wir­kun­gen sowie über Gegen‑, Wie­der­her­stel­lungs- und Korrekturmaßnahmen.

(3) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, rich­ten eine Funk­ti­on ein, um die mit IKT-Dritt­dienst­lei­stern über die Nut­zung von IKT-Dienst­lei­stun­gen geschlos­se­nen Ver­ein­ba­run­gen zu über­wa­chen, oder benen­nen ein Mit­glied der Geschäfts­lei­tung, das für die Über­wa­chung der damit ver­bun­de­nen Risi­ko­ex­po­si­ti­on und die ein­schlä­gi­ge Doku­men­ta­ti­on ver­ant­wort­lich ist.

(4) Die Mit­glie­der des Lei­tungs­or­gans des Finanz­un­ter­neh­mens hal­ten aus­rei­chen­de Kennt­nis­se und Fähig­kei­ten aktiv auf dem neue­sten Stand — unter ande­rem indem sie regel­mä­ßig spe­zi­el­le Schu­lun­gen absol­vie­ren — ent­spre­chend den zu mana­gen­den IKT-Risi­ken, um die IKT-Risi­ken und deren Aus­wir­kun­gen auf die Geschäfts­tä­tig­keit des Finanz­un­ter­neh­mens ver­ste­hen und bewer­ten können.

Abschnitt II

Arti­kel 6 IKT-Risikomanagementrahmen


(1) Finanz­un­ter­neh­men ver­fü­gen über einen soli­den, umfas­sen­den und gut doku­men­tier­ten IKT-Risi­ko­ma­nage­m­ent­rah­men, der Teil ihres Gesamt­ri­si­ko­ma­nage­ment­sy­stems ist und es ihnen ermög­licht, IKT-Risi­ken schnell, effi­zi­ent und umfas­send anzu­ge­hen und ein hohes Niveau an digi­ta­ler ope­ra­tio­na­ler Resi­li­enz zu gewähr­lei­sten.

(2) Der IKT-Risi­ko­ma­nage­m­ent­rah­men umfasst min­de­stens Stra­te­gien, Leit- und Richt­li­ni­en, Ver­fah­ren sowie IKT-Pro­to­kol­le und ‑Tools, die erfor­der­lich sind, um alle Infor­ma­ti­ons- und IKT-Assets, ein­schließ­lich Com­pu­ter-Soft­ware, Hard­ware und Ser­ver, ord­nungs­ge­mäß und ange­mes­sen zu schüt­zen sowie um alle rele­van­ten phy­si­schen Kom­po­nen­ten und Infra­struk­tu­ren, wie etwa Räum­lich­kei­ten, Rechen­zen­tren und aus­ge­wie­se­ne sen­si­ble Berei­che zu schüt­zen, damit der ange­mes­se­ne Schutz aller Infor­ma­ti­ons- und IKT-Assets vor Risi­ken, ein­schließ­lich der Beschä­di­gung und des unbe­fug­ten Zugriffs oder der unbe­fug­ten Nut­zung, gewähr­lei­stet ist.

(3) Im Ein­klang mit ihrem IKT-Risi­ko­ma­nage­m­ent­rah­men mini­mie­ren Finanz­un­ter­neh­men die Aus­wir­kun­gen von IKT-Risi­ken, indem sie geeig­ne­te Stra­te­gien, Leit- und Richt­li­ni­en, Ver­fah­ren, IKT-Pro­to­kol­le und Tools ein­set­zen. Sie legen den zustän­di­gen Behör­den auf Anfra­ge voll­stän­di­ge und aktu­el­le Infor­ma­tio­nen über IKT-Risi­ken und ihren IKT-Risi­ko­ma­nage­m­ent­rah­men vor.

(4) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, über­tra­gen die Zustän­dig­keit für das Manage­ment und die Über­wa­chung des IKT-Risi­kos an eine Kon­troll­funk­ti­on und stel­len ein ange­mes­se­nes Maß an Unab­hän­gig­keit die­ser Kon­troll­funk­ti­on sicher, um Inter­es­sen­kon­flik­te zu ver­mei­den. Die Finanz­un­ter­neh­men sor­gen für eine ange­mes­se­ne Tren­nung und Unab­hän­gig­keit von IKT-Risi­ko­ma­nage­ment­funk­tio­nen, Kon­troll­funk­tio­nen und inter­nen Revi­si­ons­funk­tio­nen gemäß dem Modell der drei Ver­tei­di­gungs­li­ni­en oder einem inter­nen Modell für Risi­ko­ma­nage­ment und Kontrolle.

(5) Der IKT-Risi­ko­ma­nage­m­ent­rah­men wird min­de­stens ein­mal jähr­lich — bzw. im Fal­le von Kleinst­un­ter­neh­men regel­mä­ßig — sowie bei Auf­tre­ten schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le und nach auf­sichts­recht­li­chen Anwei­sun­gen oder Fest­stel­lun­gen, die sich aus ein­schlä­gi­gen Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz oder Audit­ver­fah­ren erge­ben, doku­men­tiert und über­prüft. Der Rah­men wird auf Grund­la­ge der bei Umset­zung und Über­wa­chung gewon­ne­nen Erkennt­nis­se kon­ti­nu­ier­lich ver­bes­sert. Der zustän­di­gen Behör­de wird auf deren Anfra­ge ein Bericht über die Über­prü­fung des IKT-Risi­ko­ma­nage­m­ent­rah­mens vorgelegt.

(6) Im Ein­klang mit dem Revi­si­ons­plan des betref­fen­den Finanz­un­ter­neh­mens ist der IKT-Risi­ko­ma­nage­m­ent­rah­men von Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, regel­mä­ßig einer inter­nen Revi­si­on durch Revi­so­ren zu unter­zie­hen. Die­se Revi­so­ren ver­fü­gen über aus­rei­chen­des Wis­sen und aus­rei­chen­de Fähig­kei­ten und Fach­kennt­nis­se im Bereich IKT-Risi­ken sowie über eine ange­mes­se­ne Unab­hän­gig­keit. Häu­fig­keit und Schwer­punkt von IKT-Revi­sio­nen sind den IKT-Risi­ken des Finanz­un­ter­neh­mens ent­spre­chend angemessen.

(7) Auf der Grund­la­ge der Fest­stel­lun­gen aus der Über­prü­fung der inter­nen Revi­si­on legen Finanz­un­ter­neh­men ein förm­li­ches Fol­low-up-Ver­fah­ren ein­schließ­lich Regeln für die recht­zei­ti­ge Über­prü­fung und Aus­wer­tung kri­ti­scher Erkennt­nis­se der IKT-Revi­si­on fest.

(8) Der IKT-Risi­ko­ma­nage­m­ent­rah­men umfasst eine Stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz, in der dar­ge­legt wird, wie der Rah­men umge­setzt wird. Zu die­sem Zweck schließt die Stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz Metho­den, um IKT-Risi­ken anzu­ge­hen und spe­zi­fi­sche IKT-Zie­le zu errei­chen, ein, indem

a) erläu­tert wird, wie der IKT-Risi­ko­ma­nage­m­ent­rah­men die Geschäfts­stra­te­gie und die Zie­le des Finanz­un­ter­neh­mens unterstützt;

b) die Risi­ko­to­le­ranz­schwel­le für IKT-Risi­ken im Ein­klang mit der Risi­ko­be­reit­schaft des Finanz­un­ter­neh­mens fest­ge­legt und die Aus­wir­kungs­s­to­le­ranz mit Blick auf IKT-Stö­run­gen unter­sucht wird;

c) kla­re Zie­le für die Infor­ma­ti­ons­si­cher­heit fest­ge­legt wer­den, ein­schließ­lich der wesent­li­chen Lei­stungs­in­di­ka­to­ren und der wesent­li­chen Risikokennzahlen;

d) die IKT-Refe­renz­ar­chi­tek­tur und etwa­ige Ände­run­gen erläu­tert wer­den, die für die Errei­chung spe­zi­fi­scher Geschäfts­zie­le erfor­der­lich sind;

e) die ver­schie­de­nen Mecha­nis­men dar­ge­legt wer­den, die ein­ge­setzt wur­den, um IKT-bezo­ge­ne Vor­fäl­le zu erken­nen, sich davor zu schüt­zen und dar­aus ent­ste­hen­de Fol­gen zu verhindern;

f) der aktu­el­le Stand bezüg­lich der digi­ta­len ope­ra­tio­na­len Resi­li­enz anhand der Anzahl gemel­de­ter schwer­wie­gen­der IKT-Vor­fäl­le und bezüg­lich der Wirk­sam­keit von Prä­ven­tiv­maß­nah­men dar­ge­legt wird;

g) Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz gemäß

IV die­ser Ver­ord­nung durch­ge­führt werden;

h) für IKT-bezo­ge­ne Vor­fäl­le eine Kom­mu­ni­ka­ti­ons­stra­te­gie dar­ge­legt wird, die gemäß Arti­kel 14 offen­ge­legt wer­den muss.

(9) Finanz­un­ter­neh­men kön­nen im Zusam­men­hang mit der Stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz nach Absatz 8 eine ganz­heit­li­che Stra­te­gie zur Nut­zung meh­re­rer IKT-Anbie­ter auf Grup­pen- oder Unter­neh­mens­ebe­ne fest­le­gen, in der wesent­li­che Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern auf­ge­zeigt und die Grün­de für die Nut­zung ver­schie­de­ner IKT-Dritt­dienst­lei­ster erläu­tert werden.

(10) Finanz­un­ter­neh­men kön­nen die Über­prü­fung der Ein­hal­tung der Anfor­de­run­gen für das IKT-Risi­ko­ma­nage­ment im Ein­klang mit den sek­tor­spe­zi­fi­schen Rechts­vor­schrif­ten der Uni­on und der Mit­glied­staa­ten an grup­pen­in­ter­ne oder exter­ne Unter­neh­men aus­la­gern. Im Fal­le einer sol­chen Aus­la­ge­rung bleibt das Finanz­un­ter­neh­men wei­ter­hin unein­ge­schränkt für die Über­prü­fung der Ein­hal­tung der IKT-Risi­ko­ma­nage­ment­an­for­de­run­gen verantwortlich.


Arti­kel 7 IKT-Syste­me, ‑Pro­to­kol­le und ‑Tools


Um IKT-Risi­ken zu bewäl­ti­gen und zu mana­gen, ver­wen­den und unter­hal­ten Finanz­un­ter­neh­men stets auf dem neue­sten Stand zu hal­ten­de IKT-Syste­me, ‑Pro­to­kol­le und ‑Tools, die

a) dem Umfang von Vor­gän­gen, die die Aus­übung ihrer Geschäfts­tä­tig­kei­ten unter­stüt­zen, im Ein­klang mit dem Grund­satz der Ver­hält­nis­mä­ßig­keit nach Arti­kel 4 ange­mes­sen sind;

b) zuver­läs­sig sind;

c) mit aus­rei­chen­den Kapa­zi­tä­ten aus­ge­stat­tet sind, um die Daten, die für die Aus­füh­rung von Tätig­kei­ten und die recht­zei­ti­ge Erbrin­gung von Dienst­lei­stun­gen erfor­der­lich sind, genau zu ver­ar­bei­ten und Auf­trags­spit­zen, Mit­tei­lun­gen oder Trans­ak­tio­nen auch bei Ein­füh­rung neu­er Tech­no­lo­gien bewäl­ti­gen zu können;

d) tech­no­lo­gisch resi­li­ent sind, um dem unter ange­spann­ten Markt­be­din­gun­gen oder ande­ren wid­ri­gen Umstän­den erfor­der­li­chen zusätz­li­chen Bedarf an Infor­ma­ti­ons­ver­ar­bei­tung ange­mes­sen zu begegnen.


Arti­kel 8 Identifizierung


(1) Als Teil des IKT-Risi­ko­ma­nage­m­ent­rah­mens gemäß Arti­kel 6 Absatz 1 ermit­teln und klas­si­fi­zie­ren Finanz­un­ter­neh­men alle IKT-gestütz­ten Unter­neh­mens­funk­tio­nen, Rol­len und Ver­ant­wort­lich­kei­ten, die Infor­ma­ti­ons- und IKT-Assets, die die­se Funk­tio­nen unter­stüt­zen, sowie deren Rol­len und Abhän­gig­kei­ten hin­sicht­lich der IKT-Risi­ken und doku­men­tie­ren sie ange­mes­sen. Finanz­un­ter­neh­men über­prü­fen erfor­der­li­chen­falls, min­de­stens jedoch ein­mal jähr­lich, ob die­se Klas­si­fi­zie­rung und jeg­li­che ein­schlä­gi­ge Doku­men­ta­ti­on ange­mes­sen sind.

(2) Finanz­un­ter­neh­men ermit­teln kon­ti­nu­ier­lich alle Quel­len für IKT-Risi­ken, ins­be­son­de­re das Risi­ko gegen­über und von ande­ren Finanz­un­ter­neh­men, und bewer­ten Cyber­be­dro­hun­gen und IKT-Schwach­stel­len, die für ihre IKT-gestütz­ten Geschäfts­funk­tio­nen, Infor­ma­ti­ons- und IKT-Assets rele­vant sind. Finanz­un­ter­neh­men über­prü­fen regel­mä­ßig, min­de­stens jedoch ein­mal jähr­lich die sie betref­fen­den Risikoszenarien.

(3) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, füh­ren bei jeder wesent­li­chen Ände­rung der Netz­werk- und Infor­ma­ti­ons­sy­stem­in­fra­struk­tur, der Pro­zes­se oder Ver­fah­ren, die sich auf ihre IKT-gestütz­ten Unter­neh­mens­funk­tio­nen, Infor­ma­ti­ons- oder IKT-Assets aus­wir­ken, eine Risi­ko­be­wer­tung durch.

(4) Finanz­un­ter­neh­men ermit­teln alle Infor­ma­ti­ons- und IKT-Assets, ein­schließ­lich derer an exter­nen Stand­or­ten, Netz­werk­res­sour­cen und Hard­ware, und erfas­sen die­je­ni­gen, die als kri­tisch gel­ten. Sie erfas­sen die Kon­fi­gu­ra­ti­on von Infor­ma­ti­ons- und IKT-Assets sowie die Ver­bin­dun­gen und Inter­de­pen­den­zen zwi­schen den ver­schie­de­nen Infor­ma­ti­ons- und IKT-Assets.

(5) Finanz­un­ter­neh­men ermit­teln und doku­men­tie­ren alle Pro­zes­se, die von IKT-Dritt­dienst­lei­stern abhän­gen, und ermit­teln Ver­net­zun­gen mit IKT-Dritt­dienst­lei­stern, die Dien­ste zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen bereitstellen.

(6) Für die Zwecke der Absät­ze 1, 4 und 5 füh­ren Finanz­un­ter­neh­men ent­spre­chen­de Inven­ta­re, die sie regel­mä­ßig sowie bei jeder wesent­li­chen Ände­rung im Sin­ne von Absatz 3 aktualisieren.

(7) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, füh­ren für alle IKT-Alt­sy­ste­me regel­mä­ßig, min­de­stens jedoch ein­mal jähr­lich und in jedem Fall vor und nach Anschluss von Tech­no­lo­gien, Anwen­dun­gen oder Syste­men eine spe­zi­fi­sche Bewer­tung des IKT-Risi­kos durch.


Arti­kel 9 Schutz und Prävention


(1) Um einen ange­mes­se­nen Schutz von IKT-Syste­men zu gewähr­lei­sten und Gegen­maß­nah­men zu orga­ni­sie­ren, über­wa­chen und kon­trol­lie­ren Finanz­un­ter­neh­men kon­ti­nu­ier­lich die Sicher­heit und das Funk­tio­nie­ren der IKT-Syste­me und ‑Tools und mini­mie­ren durch den Ein­satz ange­mes­se­ner IKT-Sicher­heits­tools, ‑Richt­li­ni­en und ‑Ver­fah­ren die Aus­wir­kun­gen von IKT-Risi­ken auf IKT-Syste­me.

(2) Finanz­un­ter­neh­men kon­zi­pie­ren, beschaf­fen und imple­men­tie­ren IKT-Sicher­heits­richt­li­ni­en, ‑ver­fah­ren, ‑pro­to­kol­le und ‑Tools, die dar­auf abzie­len, die Resi­li­enz, Kon­ti­nui­tät und Ver­füg­bar­keit von IKT-Syste­men, ins­be­son­de­re jener zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen, zu gewähr­lei­sten und hohe Stan­dards in Bezug auf die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit, von Daten auf­recht­zu­er­hal­ten, unab­hän­gig davon, ob die­se Daten gespei­chert sind oder gera­de ver­wen­det oder über­mit­telt werden.

(3) Um die in Absatz 2 genann­ten Zie­le zu errei­chen, grei­fen Finanz­un­ter­neh­men auf IKT-Lösun­gen und ‑Pro­zes­se zurück, die gemäß Arti­kel 4 ange­mes­sen sind. Die­se IKT-Lösun­gen und ‑Pro­zes­se müssen

a) die Sicher­heit der Daten­über­mitt­lungs­mit­tel gewährleisten;

b) das Risi­ko von Daten­kor­rup­ti­on oder ‑ver­lust, unbe­fug­tem Zugriff und tech­ni­schen Män­geln, die die Geschäfts­tä­tig­keit beein­träch­ti­gen kön­nen, minimieren;

c) dem Man­gel an Ver­füg­bar­keit, der Beein­träch­ti­gung der Authen­ti­zi­tät und Inte­gri­tät, den Ver­let­zun­gen der Ver­trau­lich­keit und dem Ver­lust von Daten vorbeugen;

d) gewähr­lei­sten, dass Daten vor Risi­ken, die beim Daten­ma­nage­ment ent­ste­hen, ein­schließ­lich schlech­ter Ver­wal­tung, ver­ar­bei­tungs­be­ding­ter Risi­ken und mensch­li­chem Ver­sa­gen, geschützt werden.

(4) Als Teil des IKT-Risi­ko­ma­nage­m­ent­rah­mens nach Arti­kel 6 Absatz 1 gilt für Finanz­un­ter­neh­men Folgendes:

a) Sie erar­bei­ten und doku­men­tie­ren eine Infor­ma­ti­ons­si­cher­heits­leit­li­nie, in der Regeln zum Schutz der Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit von Daten und der Infor­ma­ti­ons- und IKT-Assets, gege­be­nen­falls ein­schließ­lich der­je­ni­gen ihrer Kun­den, fest­ge­legt sind;

b) sie rich­ten ent­spre­chend einem risi­ko­ba­sier­ten Ansatz eine soli­de Struk­tur für Netz­werk- und Infra­struk­tur­ma­nage­ment unter Ver­wen­dung ange­mes­se­ner Tech­ni­ken, Metho­den und Pro­to­kol­le ein, wozu auch die Umset­zung auto­ma­ti­sier­ter Mecha­nis­men zur Iso­lie­rung betrof­fe­ner Infor­ma­ti­ons­a­ssets im Fal­le von Cyber­an­grif­fen gehö­ren kann;

c) sie imple­men­tie­ren Richt­li­ni­en, die den phy­si­schen oder logi­schen Zugang zu Infor­ma­ti­ons- und IKT-Assets aus­schließ­lich auf den Umfang beschrän­ken, der für recht­mä­ßi­ge und zuläs­si­ge Funk­tio­nen und Tätig­kei­ten erfor­der­lich ist, und legen zu die­sem Zweck eine Rei­he von Kon­zep­ten, Ver­fah­ren und Kon­trol­len fest, die auf Zugangs- und Zugriffs­rech­te gerich­tet sind, und gewähr­lei­sten deren gründ­li­che Verwaltung;

d) sie imple­men­tie­ren Kon­zep­te und Pro­to­kol­le für star­ke Authen­ti­fi­zie­rungs­me­cha­nis­men, die auf ein­schlä­gi­gen Nor­men und spe­zi­el­len Kon­troll­sy­ste­men basie­ren, sowie Schutz­maß­nah­men für kryp­to­gra­fi­sche Schlüs­sel, wobei Daten auf der Grund­la­ge der Ergeb­nis­se aus geneh­mig­ten Daten­klas­si­fi­zie­rungs- und IKT-Risi­ko­be­wer­tungs­pro­zes­sen ver­schlüs­selt werden;

e) sie imple­men­tie­ren und doku­men­tie­ren Richt­li­ni­en, Ver­fah­ren und Kon­trol­len für das IKT-Ände­rungs­ma­nage­ment, ein­schließ­lich Ände­run­gen an Soft­ware, Hard­ware, Firm­ware-Kom­po­nen­ten, den Syste­men oder von Sicher­heits­pa­ra­me­tern, die auf einem Risi­ko­be­wer­tungs­an­satz basie­ren und fester Bestand­teil des gesam­ten Ände­rungs­ma­nage­ment­pro­zes­ses des Finanz­un­ter­neh­mens sind, um sicher­zu­stel­len, dass alle Ände­run­gen an IKT-Syste­men auf kon­trol­lier­te Wei­se erfasst, gete­stet, bewer­tet, geneh­migt, imple­men­tiert und über­prüft werden;

f) sie besit­zen ange­mes­se­ne und umfas­sen­de doku­men­tier­te Richt­li­ni­en für Patches und Updates.

Für die Zwecke von Unter­ab­satz 1 Buch­sta­be b kon­zi­pie­ren Finanz­un­ter­neh­men die Infra­struk­tur für die Netz­an­bin­dung und Netz­werk­ver­bin­dung so, dass sie sofort getrennt oder seg­men­tiert wer­den kann, damit eine Ansteckung, ins­be­son­de­re bei mit­ein­an­der ver­bun­de­nen Finanz­pro­zes­sen, mini­miert und ver­hin­dert wird.

Für die Zwecke von Unter­ab­satz 1 Buch­sta­be e wird das Ver­fah­ren für das IKT-Ände­rungs­ma­nage­ment von zustän­di­gen Lei­tungs­ebe­nen geneh­migt und hat spe­zi­fi­sche Protokolle.


Arti­kel 10 Erkennung


(1) Finanz­un­ter­neh­men ver­fü­gen über Mecha­nis­men, um anoma­le Akti­vi­tä­ten im Ein­klang mit Arti­kel 17, dar­un­ter auch Pro­ble­me bei der Lei­stung von IKT-Netz­wer­ken und IKT-bezo­ge­ne Vor­fäl­le, umge­hend zu erken­nen und poten­zi­el­le ein­zel­ne wesent­li­che Schwach­stel­len zu ermit­teln.

Alle in Unter­ab­satz 1 auf­ge­führ­ten Erken­nungs­me­cha­nis­men wer­den gemäß Arti­kel 25 regel­mä­ßig getestet.

(2) Die in Absatz 1 genann­ten Erken­nungs­me­cha­nis­men ermög­li­chen meh­re­re Kon­trol­l­ebe­nen und legen Alarm­schwel­len und ‑kri­te­ri­en fest, um Reak­ti­ons­pro­zes­se bei IKT-bezo­ge­nen Vor­fäl­len aus­zu­lö­sen und ein­zu­lei­ten, ein­schließ­lich auto­ma­ti­scher Warn­me­cha­nis­men für Mit­ar­bei­ter, die für Reak­ti­ons­maß­nah­men bei IKT-bezo­ge­nen Vor­fäl­len zustän­dig sind.

(3) Finanz­un­ter­neh­men stel­len aus­rei­chen­de Res­sour­cen und Kapa­zi­tä­ten bereit, um Nut­zer­ak­ti­vi­tä­ten, das Auf­tre­ten von IKT-Anoma­lien und IKT-bezo­ge­nen Vor­fäl­len, dar­un­ter ins­be­son­de­re Cyber­an­grif­fe, zu überwachen.

(4) Daten­be­reit­stel­lungs­dien­ste ver­fü­gen dar­über hin­aus über Syste­me, mit denen wirk­sam Han­dels­aus­künf­te auf Voll­stän­dig­keit geprüft, Lücken und offen­sicht­li­che Feh­ler erkannt und eine Neu­über­mitt­lung ange­for­dert wer­den können.


Arti­kel 11 Reak­ti­on und Wiederherstellung


(1) Als Teil des in Arti­kel 6 Absatz 1 genann­ten IKT-Risi­ko­ma­nage­m­ent­rah­mens und auf der Grund­la­ge der Iden­ti­fi­zie­rungs­an­for­de­run­gen nach Arti­kel 8 legen Finanz­un­ter­neh­men eine umfas­sen­de IKT-Geschäfts­fort­füh­rungs­leit­li­nie fest, die als eigen­stän­di­ge spe­zi­el­le Leit­li­nie, die fester Bestand­teil der all­ge­mei­nen Geschäfts­fort­füh­rungs­leit­li­nie des Finanz­un­ter­neh­mens ist, ver­ab­schie­det wer­den kann.

(2) Finanz­un­ter­neh­men imple­men­tie­ren die IKT-Geschäfts­fort­füh­rungs­leit­li­nie mit­tels spe­zi­el­ler, ange­mes­se­ner und doku­men­tier­ter Rege­lun­gen, Plä­ne, Ver­fah­ren und Mecha­nis­men, die dar­auf abzielen,

a) die Fort­füh­rung der kri­ti­schen oder wich­ti­gen Funk­tio­nen des Finanz­un­ter­neh­mens sicherzustellen;

b) auf alle IKT-bezo­ge­nen Vor­fäl­le rasch, ange­mes­sen und wirk­sam zu reagie­ren und die­sen so ent­ge­gen­zu­wir­ken, dass Schä­den begrenzt wer­den und die Wie­der­auf­nah­me von Tätig­kei­ten und Wie­der­her­stel­lungs­maß­nah­men Vor­rang erhalten;

c) unver­züg­lich spe­zi­el­le Plä­ne zu akti­vie­ren, die Ein­däm­mungs­maß­nah­men, Pro­zes­se und Tech­no­lo­gien für alle Arten IKT-bezo­ge­ner Vor­fäl­le ermög­li­chen und wei­te­re Schä­den ver­mei­den, sowie maß­ge­schnei­der­te Ver­fah­ren zur Reak­ti­on und Wie­der­her­stel­lung gemäß Arti­kel 12 zu aktivieren;

d) vor­läu­fi­ge Aus­wir­kun­gen, Schä­den und Ver­lu­ste einzuschätzen;

e) Kom­mu­ni­ka­ti­ons- und Kri­sen­ma­nage­ment­maß­nah­men fest­zu­le­gen, die gewähr­lei­sten, dass allen rele­van­ten inter­nen Mit­ar­bei­tern und exter­nen Inter­es­sen­trä­gern im Sin­ne von Arti­kel 14 aktua­li­sier­te Infor­ma­tio­nen über­mit­telt wer­den, und die Mel­dung an die zustän­di­gen Behör­den gemäß Arti­kel 19 sicherstellen.

(3) Finanz­un­ter­neh­men imple­men­tie­ren als Teil des in Arti­kel 6 Absatz 1 genann­ten IKT-Risi­ko­ma­nage­m­ent­rah­mens damit ver­bun­de­ne IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne, die einer unab­hän­gi­gen inter­nen Revi­si­on zu unter­zie­hen sind, sofern es sich bei dem Finanz­un­ter­neh­men nicht um ein Kleinst­un­ter­neh­men handelt.

(4) Finanz­un­ter­neh­men erstel­len, pfle­gen und testen regel­mä­ßig ange­mes­se­ne IKT-Geschäfts­fort­füh­rungs­plä­ne, ins­be­son­de­re in Bezug auf kri­ti­sche oder wich­ti­ge Funk­tio­nen, die aus­ge­la­gert oder durch ver­trag­li­che Ver­ein­ba­run­gen an IKT-Dritt­dienst­lei­ster ver­ge­ben werden.

(5) Als Teil der all­ge­mei­nen Geschäfts­fort­füh­rungs­leit­li­nie füh­ren Finanz­un­ter­neh­men eine Busi­ness-Impact-Ana­ly­se (BIA) der bestehen­den Risi­ken für schwer­wie­gen­de Betriebs­stö­run­gen durch. Im Rah­men der BIA bewer­ten Finanz­un­ter­neh­men die poten­zi­el­len Aus­wir­kun­gen schwer­wie­gen­der Betriebs­stö­run­gen anhand quan­ti­ta­ti­ver und qua­li­ta­ti­ver Kri­te­ri­en, wobei sie gege­be­nen­falls inter­ne und exter­ne Daten und Sze­na­rio­ana­ly­sen her­an­zie­hen. Dabei wer­den die Kri­ti­k­ali­tät der iden­ti­fi­zier­ten und erfass­ten Unter­neh­mens­funk­tio­nen, Unter­stüt­zungs­pro­zes­se, Abhän­gig­kei­ten von Drit­ten und Infor­ma­ti­ons­a­ssets sowie deren Inter­de­pen­den­zen berück­sich­tigt. Die Finanz­un­ter­neh­men stel­len sicher, dass IKT-Assets und ‑Dien­ste in vol­ler Über­ein­stim­mung mit der BIA kon­zi­piert und genutzt wer­den, ins­be­son­de­re wenn es dar­um geht, die Red­un­danz aller kri­ti­schen Kom­po­nen­ten in ange­mes­se­ner Wei­se zu gewährleisten.

(6) Im Rah­men ihres umfas­sen­den IKT-Risi­ko­ma­nage­ments gilt für Finanz­un­ter­neh­men Folgendes:

a) sie testen bei IKT-Syste­men, die alle Funk­tio­nen unter­stüt­zen, min­de­stens jähr­lich sowie im Fal­le jeg­li­cher wesent­li­cher Ände­run­gen an IKT-Syste­men, die kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, die IKT-Geschäfts­fort­füh­rungs­plä­ne sowie die IKT-Reak­ti­ons- und Wiederherstellungspläne;

b) sie testen die gemäß Arti­kel 14 erstell­ten Krisenkommunikationspläne.

Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, neh­men für die Zwecke von Unter­ab­satz 1 Buch­sta­be a Sze­na­ri­en für Cyber­an­grif­fe und Umstel­lun­gen von der pri­mä­ren IKT-Infra­struk­tur auf die red­un­dan­ten Kapa­zi­tä­ten, Back­ups und Syste­me, die für die Erfül­lung der Ver­pflich­tun­gen nach Arti­kel 12 erfor­der­lich sind, in ihre Test­plä­ne auf.

Finanz­un­ter­neh­men über­prü­fen ihre IKT-Geschäfts­fort­füh­rungs­leit­li­nie und ihre IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne regel­mä­ßig und berück­sich­ti­gen dabei die Ergeb­nis­se von Tests, die gemäß Unter­ab­satz 1 durch­ge­führt wur­den, sowie die Emp­feh­lun­gen, die sich aus Audits oder auf­sicht­li­chen Über­prü­fun­gen ergeben.

(7) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, ver­fü­gen über eine Kri­sen­ma­nage­ment­funk­ti­on, die bei Akti­vie­rung ihrer IKT- Geschäfts­fort­füh­rungs­plä­ne oder ihrer IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne unter ande­rem kla­re Ver­fah­ren für die Abwick­lung inter­ner und exter­ner Kri­sen­kom­mu­ni­ka­ti­on gemäß Arti­kel 14 festlegt.

(8) Finanz­un­ter­neh­men sor­gen dafür, dass Auf­zeich­nun­gen über die Tätig­kei­ten vor und wäh­rend Stö­run­gen, wenn ihre IKT-Geschäfts­fort­füh­rungs­plä­ne oder ihre IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne akti­viert wer­den, jeder­zeit ein­ge­se­hen wer­den können.

(9) Zen­tral­ver­wah­rer über­mit­teln den zustän­di­gen Behör­den Kopien der Ergeb­nis­se der Tests der IKT-Geschäfts­fort­füh­rung oder ähn­li­cher Vorgänge.

(10) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, mel­den den zustän­di­gen Behör­den auf Anfra­ge die geschätz­ten agg­re­gier­ten jähr­li­chen Kosten und Ver­lu­ste, die durch schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le ver­ur­sacht wurden.

(11) Gemäß jeweils Arti­kel 16 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 arbei­ten die Euro­päi­schen Auf­sichts­be­hör­den (im Fol­gen­den „ESA“) über den Gemein­sa­men Aus­schuss bis zum 17. Juli 2024 gemein­sa­me Leit­li­ni­en für die Schät­zung der agg­re­gier­ten jähr­li­chen Kosten und Ver­lu­ste nach Absatz 10 aus.


Arti­kel 12 Richt­li­nie und Ver­fah­ren zum Back­up sowie Ver­fah­ren und Metho­den zur Wie­der­ge­win­nung und Wiederherstellung


(1) Um die Wie­der­her­stel­lung von IKT-Syste­men und Daten mit mini­ma­ler Aus­fall­zeit sowie begrenz­ten Stö­run­gen und Ver­lu­sten als Teil ihres IKT-Risi­ko­ma­nage­m­ent­rah­mens sicher­zu­stel­len, ent­wickeln und doku­men­tie­ren Finanz­un­ter­neh­men:

a) Richt­li­ni­en und Ver­fah­ren für die Daten­si­che­rung, in denen der Umfang der Daten, die der Siche­rung unter­lie­gen, und die Min­dest­häu­fig­keit der Siche­rung auf der Grund­la­ge der Kri­ti­k­ali­tät der Infor­ma­tio­nen oder des Ver­trau­lich­keits­grads der Daten fest­ge­legt werden;

b) Wie­der­ge­win­nungs- und Wie­der­her­stel­lungs­ver­fah­ren und ‑metho­den.

(2) Finanz­un­ter­neh­men rich­ten Daten­si­che­rungs­sy­ste­me ein, die in Über­ein­stim­mung mit den Richt­li­ni­en und Ver­fah­ren zur Daten­si­che­rung sowie den Ver­fah­ren und Metho­den zur Wie­der­ge­win­nung und Wie­der­her­stel­lung akti­viert wer­den kön­nen. Die Akti­vie­rung von Daten­si­che­rungs­sy­ste­men darf die Sicher­heit der Netz­werk- und Infor­ma­ti­ons­sy­ste­me oder die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät oder Ver­trau­lich­keit von Daten nicht gefähr­den. Die Daten­si­che­rungs­ver­fah­ren sowie die Wie­der­ge­win­nungs- und Wie­der­her­stel­lungs­ver­fah­ren und ‑metho­den sind regel­mä­ßig zu testen.

(3) Bei der Wie­der­ge­win­nung gesi­cher­ter Daten mit­hil­fe eige­ner Syste­me ver­wen­den Finanz­un­ter­neh­men IKT-Syste­me, die von ihrem Quell­sy­stem phy­sisch und logisch getrennt sind. Die IKT-Syste­me müs­sen sicher vor unbe­fug­tem Zugriff oder IKT-Mani­pu­la­tio­nen geschützt sein und die recht­zei­ti­ge Wie­der­her­stel­lung von Dien­sten ermög­li­chen, wobei erfor­der­li­chen­falls Daten- und System­si­che­run­gen (Back­ups) zu nut­zen sind.

Bei zen­tra­len Gegen­par­tei­en ermög­li­chen die Wie­der­her­stel­lungs­plä­ne die Wie­der­her­stel­lung aller zum Zeit­punkt der Stö­rung lau­fen­den Trans­ak­tio­nen, damit die zen­tra­le Gegen­par­tei wei­ter­hin sicher arbei­ten und die Abwick­lung zum vor­ge­se­he­nen Zeit­punkt abschlie­ßen kann.

Daten­be­reit­stel­lungs­dien­ste unter­hal­ten zusätz­lich ange­mes­se­ne Res­sour­cen und ver­fü­gen über die ent­spre­chen­den Siche­rungs- und Wie­der­ge­win­nungs­ein­rich­tun­gen, damit ihre Dien­ste jeder­zeit ange­bo­ten und auf­recht­erhal­ten wer­den können.

(4) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, unter­hal­ten red­un­dan­te IKT-Kapa­zi­tä­ten mit Res­sour­cen, Fähig­kei­ten und Funk­tio­nen, die für die Deckung des Geschäfts­be­darfs aus­rei­chen und ange­mes­sen sind. Kleinst­un­ter­neh­men bewer­ten auf der Grund­la­ge ihres Risi­ko­pro­fils, ob die­se red­un­dan­ten IKT-Kapa­zi­tä­ten unter­hal­ten wer­den müssen.

(5) Zen­tral­ver­wah­rer unter­hal­ten min­de­stens einen sekun­dä­ren Ver­ar­bei­tungs­stand­ort, des­sen Res­sour­cen, Kapa­zi­tä­ten, Funk­tio­nen und Per­so­nal­res­sour­cen ange­mes­sen sind, um den Geschäfts­be­darf zu decken.

Der sekun­dä­re Verarbeitungsstandort

a) befin­det sich in geo­gra­fi­scher Ent­fer­nung vom pri­mä­ren Ver­ar­bei­tungs­stand­ort, damit er ein eige­nes Risi­ko­pro­fil auf­weist und nicht von dem Ereig­nis, das sich am pri­mä­ren Stand­ort ereig­net hat, betrof­fen ist;

b) kann die Kon­ti­nui­tät kri­ti­scher oder wich­ti­ger, mit dem pri­mä­ren Stand­ort iden­ti­scher Funk­tio­nen gewähr­lei­sten oder ein Lei­stungs­ni­veau bereit­stel­len, mit dem sicher­ge­stellt wird, dass das Finanz­un­ter­neh­men sei­ne kri­ti­schen Vor­gän­ge im Rah­men der Wie­der­her­stel­lungs­zie­le durchführt;

c) ist für das Per­so­nal des Finanz­un­ter­neh­mens unmit­tel­bar zugäng­lich, damit die Kon­ti­nui­tät kri­ti­scher oder wich­ti­ger Funk­tio­nen gewähr­lei­stet wer­den kann, falls der pri­mä­re Ver­ar­bei­tungs­stand­ort nicht mehr zur Ver­fü­gung steht.

(6) Bei der Fest­le­gung der Vor­ga­ben für die Wie­der­her­stel­lungs­zeit und die Wie­der­her­stel­lungs­punk­te jeder Funk­ti­on berück­sich­ti­gen die Finanz­un­ter­neh­men, ob es sich um eine kri­ti­sche oder wich­ti­ge Funk­ti­on han­delt, sowie die poten­zi­el­len Gesamt­aus­wir­kun­gen auf die Markt­ef­fi­zi­enz. Mit die­sen Zeit­vor­ga­ben ist sicher­ge­stellt, dass die ver­ein­bar­te Dienst­lei­stungs­gü­te in Extrem­sze­na­ri­en erreicht werden.

(7) Bei der Wie­der­her­stel­lung nach IKT-bezo­ge­nen Vor­fäl­len füh­ren Finanz­un­ter­neh­men die erfor­der­li­chen Prü­fun­gen durch, ein­schließ­lich jeg­li­cher Mehr­fach­prü­fun­gen und Abglei­che, um die größt­mög­li­che Daten­in­te­gri­tät sicher­zu­stel­len. Die­se Prü­fun­gen wer­den auch bei der Rekon­struk­ti­on von Daten exter­ner Inter­es­sen­trä­ger durch­ge­führt, um sicher­zu­stel­len, dass alle Daten system­über­grei­fend ein­heit­lich sind.


Arti­kel 13 Lern­pro­zes­se und Weiterentwicklung


(1) Finanz­un­ter­neh­men ver­fü­gen über Kapa­zi­tä­ten und Per­so­nal, um Infor­ma­tio­nen über Schwach­stel­len und Cyber­be­dro­hun­gen, IKT-bezo­ge­ne Vor­fäl­le, ins­be­son­de­re Cyber­an­grif­fe, zu sam­meln und ihre wahr­schein­li­chen Aus­wir­kun­gen auf ihre digi­ta­le ope­ra­tio­na­le Resi­li­enz zu unter­su­chen.

(2) Nach Stö­run­gen ihrer Haupt­tä­tig­kei­ten infol­ge schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le sehen Finanz­un­ter­neh­men nach­träg­li­che Prü­fun­gen IKT-bezo­ge­ner Vor­fäl­le vor, die die Ursa­chen für Stö­run­gen unter­su­chen und die erfor­der­li­chen Ver­bes­se­run­gen an IKT-Vor­gän­gen oder im Rah­men der in Arti­kel 11 genann­ten IKT-Geschäfts­fort­füh­rungs­leit­li­nie identifizieren.

Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, tei­len den zustän­di­gen Behör­den auf Ver­lan­gen die Ände­run­gen mit, die nach der Prü­fung IKT-bezo­ge­ner Vor­fäl­le gemäß Unter­ab­satz 1 vor­ge­nom­men wurden.

Bei den in Unter­ab­satz 1 genann­ten nach­träg­li­chen Prü­fun­gen IKT-bezo­ge­ner Vor­fäl­le wird ermit­telt, ob die fest­ge­leg­ten Ver­fah­ren befolgt und die ergrif­fe­nen Maß­nah­men wirk­sam waren, unter ande­rem in Bezug auf:

a) die Schnel­lig­keit bei der Reak­ti­on auf Sicher­heits­war­nun­gen und bei der Bestim­mung der Aus­wir­kun­gen von IKT-bezo­ge­nen Vor­fäl­len und ihrer Schwere;

b) die Qua­li­tät und Schnel­lig­keit bei der Durch­füh­rung foren­si­scher Ana­ly­sen, sofern dies als zweck­mä­ßig erach­tet wird;

c) die Wirk­sam­keit der Eska­la­ti­on von Vor­fäl­len inner­halb des Finanzunternehmens;

d) die Wirk­sam­keit inter­ner und exter­ner Kommunikation.

(3) Erkennt­nis­se aus gemäß den Arti­keln 26 und 27 durch­ge­führ­ten Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz und aus rea­len IKT-bezo­ge­nen Vor­fäl­len, ins­be­son­de­re Cyber­an­grif­fen, wer­den neben Her­aus­for­de­run­gen, die sich bei der Akti­vie­rung von IKT- Geschäfts­fort­füh­rungs­plä­nen und IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­nen erge­ben, zusam­men mit ein­schlä­gi­gen Infor­ma­tio­nen, die mit Gegen­par­tei­en aus­ge­tauscht und im Rah­men auf­sicht­li­cher Über­prü­fun­gen bewer­tet wer­den, kon­ti­nu­ier­lich ord­nungs­ge­mäß in den IKT-Risi­ko­be­wer­tungs­pro­zess ein­be­zo­gen. Die­se Erkennt­nis­se bil­den die Grund­la­ge für ange­mes­se­ne Über­prü­fun­gen rele­van­ter Kom­po­nen­ten des IKT-Risi­ko­ma­nage­m­ent­rah­mens gemäß Arti­kel 6 Absatz 1.

(4) Finanz­un­ter­neh­men über­wa­chen die Wirk­sam­keit der Umset­zung ihrer Stra­te­gie für die digi­ta­le ope­ra­tio­na­le Resi­li­enz gemäß Arti­kel 6 Absatz 8. Dabei erfas­sen sie die Ent­wick­lung der IKT-Risi­ken im Zeit­ver­lauf, unter­su­chen Häu­fig­keit, Art, Aus­maß und Ent­wick­lung IKT-bezo­ge­ner Vor­fäl­le, ins­be­son­de­re Cyber­an­grif­fe und deren Muster, um das Aus­maß der IKT-Risi­ken — ins­be­son­de­re in Bezug auf kri­ti­sche oder wich­ti­ge Funk­tio­nen — zu ver­ste­hen und die Cyber­rei­fe und die Abwehr­be­reit­schaft des Finanz­un­ter­neh­mens zu verbessern.

(5) Lei­ten­de IKT-Mit­ar­bei­ter erstat­ten dem Lei­tungs­or­gan min­de­stens ein­mal jähr­lich über die in Absatz 3 genann­ten Fest­stel­lun­gen Bericht und geben Emp­feh­lun­gen ab.

(6) Finanz­un­ter­neh­men ent­wickeln Pro­gram­me zur Sen­si­bi­li­sie­rung für IKT-Sicher­heit und Schu­lun­gen zur digi­ta­len ope­ra­tio­na­len Resi­li­enz, die im Rah­men ihrer Pro­gram­me für die Mit­ar­bei­ter­schu­lung obli­ga­to­risch sind. Die­se Pro­gram­me und Schu­lun­gen gel­ten für alle Beschäf­tig­ten und die Geschäfts­lei­tung und sind so kom­plex, dass sie deren jewei­li­gem Auf­ga­ben­be­reich ange­mes­sen sind. Gege­be­nen­falls neh­men die Finanz­un­ter­neh­men ent­spre­chend Arti­kel 30 Absatz 2 Buch­sta­be i auch IKT-Dritt­dienst­lei­ster in ihre ein­schlä­gi­gen Schu­lungs­pro­gram­me auf.

(7) Finanz­un­ter­neh­men, bei denen es sich nicht um Kleinst­un­ter­neh­men han­delt, über­wa­chen ein­schlä­gi­ge tech­no­lo­gi­sche Ent­wick­lun­gen fort­lau­fend — auch um die mög­li­chen Aus­wir­kun­gen des Ein­sat­zes sol­cher neu­en Tech­no­lo­gien auf die Anfor­de­run­gen an die IKT-Sicher­heit und die digi­ta­le ope­ra­tio­na­le Resi­li­enz zu ver­ste­hen. Sie hal­ten sich über die neue­sten Pro­zes­se für das IKT-Risi­ko­ma­nage­ment auf dem Lau­fen­den, um gegen­wär­ti­ge oder neue For­men von Cyber­an­grif­fen wirk­sam abzuwehren.


Arti­kel 14 Kommunikation


(1) Als Teil des IKT-Risi­ko­ma­nage­m­ent­rah­mens gemäß Arti­kel 6 Absatz 1 ver­fü­gen Finanz­un­ter­neh­men über Kom­mu­ni­ka­ti­ons­plä­ne, die je nach Sach­la­ge eine ver­ant­wor­tungs­be­wuss­te Offen­le­gung zumin­dest von schwer­wie­gen­den IKT-bezo­ge­nen Vor­fäl­len oder Schwach­stel­len gegen­über Kun­den und ande­ren Finanz­un­ter­neh­men sowie der Öffent­lich­keit ermög­li­chen.

(2) Als Teil des IKT-Risi­ko­ma­nage­m­ent­rah­mens set­zen Finanz­un­ter­neh­men Kom­mu­ni­ka­ti­ons­stra­te­gien für inter­ne Mit­ar­bei­ter und exter­ne Inter­es­sen­trä­ger um. Bei Kom­mu­ni­ka­ti­ons­leit­li­ni­en für Mit­ar­bei­ter wird berück­sich­tigt, dass zwi­schen dem Per­so­nal, das am IKT-Risi­ko­ma­nage­ment, ins­be­son­de­re im Bereich Reak­ti­on und Wie­der­her­stel­lung, betei­ligt ist, und dem zu infor­mie­ren­dem Per­so­nal unter­schie­den wer­den muss.

(3) Min­de­stens eine Per­son im Finanz­un­ter­neh­men ist mit der Umset­zung der Kom­mu­ni­ka­ti­ons­stra­te­gie für IKT-bezo­ge­ne Vor­fäl­le beauf­tragt und nimmt zu die­sem Zweck die ent­spre­chen­de Auf­ga­be gegen­über der Öffent­lich­keit und den Medi­en wahr.


Arti­kel 15 Wei­te­re Har­mo­ni­sie­rung von Tools, Metho­den, Pro­zes­sen und Richt­li­ni­en für IKT-Risikomanagement


Die ESA ent­wickeln über den Gemein­sa­men Aus­schuss in Abstim­mung mit der Agen­tur der Euro­päi­schen Uni­on für Cyber­si­cher­heit (ENISA) gemein­sa­me Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards für fol­gen­de Zwecke:

a) die Fest­le­gung wei­te­rer Ele­men­te, die in die in Arti­kel 9 Absatz 2 genann­ten Richt­li­ni­en, Ver­fah­ren, Pro­to­kol­le und Tools für IKT-Sicher­heit auf­zu­neh­men sind, um die Sicher­heit von Netz­wer­ken zu gewähr­lei­sten, ange­mes­se­ne Schutz­vor­rich­tun­gen gegen Ein­drin­gen und Miss­brauch von Daten zu ermög­li­chen, die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit der Daten, ein­schließ­lich kryp­to­gra­fi­scher Tech­ni­ken, zu wah­ren und eine prä­zi­se und rasche Daten­über­mitt­lung ohne wesent­li­che Stö­run­gen und unan­ge­mes­se­ne Ver­zö­ge­run­gen zu gewährleisten;

b) die Ent­wick­lung wei­te­rer Kom­po­nen­ten der Kon­trol­len von Zugangs- und Zugriffs­rech­ten gemäß Arti­kel 9 Absatz 4 Buch­sta­be c und der damit ver­bun­de­nen Per­so­nal­po­li­tik, mit denen Zugangs­rech­te, Ver­fah­ren für Ertei­lung und Wider­ruf von Rech­ten, die Über­wa­chung anoma­len Ver­hal­tens in Bezug auf IKT-Risi­ken durch ange­mes­se­ne Indi­ka­to­ren — auch für Netz­werk­nut­zungs­mu­ster, Zei­ten, IT-Akti­vi­tät und unbe­kann­te Gerä­te — spe­zi­fi­ziert werden;

c) die Wei­ter­ent­wick­lung der in Arti­kel 10 Absatz 1 genann­ten Mecha­nis­men, die eine umge­hen­de Erken­nung anoma­ler Akti­vi­tä­ten ermög­li­chen, sowie der in Arti­kel 10 Absatz 2 genann­ten Kri­te­ri­en, die Ver­fah­ren für die Erken­nung IKT-bezo­ge­ner Vor­fäl­le und die damit ver­bun­de­nen Reak­ti­ons­pro­zes­se auslösen;

d) die Spe­zi­fi­zie­rung der in Arti­kel 11 Absatz 1 genann­ten Kom­po­nen­ten der IKT-Geschäftsfortführungsleitlinie;

e) die Spe­zi­fi­zie­rung der Tests von IKT-Geschäfts­fort­füh­rungs­plä­nen gemäß Arti­kel 11 Absatz 6, damit bei die­sen Tests Sze­na­ri­en, in denen die Qua­li­tät der Bereit­stel­lung einer kri­ti­schen oder wich­ti­gen Funk­ti­on auf ein inak­zep­ta­bles Niveau absinkt oder die­se Funk­ti­on ganz aus­fällt, und die poten­zi­el­len Aus­wir­kun­gen der Insol­venz oder son­sti­ger Aus­fäl­le ein­schlä­gi­ger IKT-Dritt­dienst­lei­ster sowie gege­be­nen­falls die etwa­igen poli­ti­schen Risi­ken in den Rechts­ord­nun­gen in den Län­dern und Gebie­ten der jewei­li­gen Anbie­ter gebüh­rend berück­sich­tigt werden;

f) die Spe­zi­fi­zie­rung der Kom­po­nen­ten der in Arti­kel 11 Absatz 3 genann­ten IKT-Reak­ti­ons- und Wiederherstellungspläne;

g) die Spe­zi­fi­zie­rung von Inhalt und Form des in Arti­kel 6 Absatz 5 genann­ten Berichts über die Über­prü­fung des IKT-Risikomanagementrahmens.

Bei der Ent­wick­lung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te, wobei sie etwa­igen Beson­der­hei­ten, die sich aus der unter­schied­li­chen Art der Tätig­kei­ten in ver­schie­de­nen Finanz­dienst­lei­stungs­sek­to­ren erge­ben, gebüh­rend Rech­nung tragen.

Die ESA über­mit­teln der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Janu­ar 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me der in Absatz 1 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.


Arti­kel 16 Ver­ein­fach­ter IKT-Risikomanagementrahmen


(1) Arti­kel 5 bis 15 gel­ten nicht für klei­ne und nicht ver­floch­te­ne Wert­pa­pier­fir­men, ent­spre­chend der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­ne Zah­lungs­in­sti­tu­te, ent­spre­chend der Richt­li­nie 2013/36/EU aus­ge­nom­me­ne Insti­tu­te, für die die Mit­glied­staa­ten beschlos­sen haben, nicht von der in Arti­kel 2 Absatz 4 der vor­lie­gen­den Ver­ord­nung genann­ten Mög­lich­keit Gebrauch zu machen, nach der Richt­li­nie 2009/110/EG aus­ge­nom­me­ne E‑Geld-Insti­tu­te und klei­ne Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung.

Unbe­scha­det des Unter­ab­sat­zes 1 müs­sen die in Unter­ab­satz 1 genann­ten Stellen

a) einen soli­den und doku­men­tier­ten IKT-Risi­ko­ma­nage­m­ent­rah­men errich­ten und auf­recht­erhal­ten, in dem die Mecha­nis­men und Maß­nah­men für ein rasches, effi­zi­en­tes und umfas­sen­des Manage­ment des IKT-Risi­kos, ein­schließ­lich des Schut­zes der ein­schlä­gi­gen phy­si­schen Kom­po­nen­ten und Infra­struk­tu­ren, detail­liert sind;

b) die Sicher­heit und das Funk­tio­nie­ren aller IKT-Syste­me fort­lau­fend überwachen;

c) die Aus­wir­kun­gen von IKT-Risi­ken mini­mie­ren, indem soli­de, resi­li­en­te und aktua­li­sier­te IKT-Syste­me, ‑Pro­to­kol­le und ‑Tools, die zur Unter­stüt­zung der Durch­füh­rung ihrer Tätig­kei­ten und zur Bereit­stel­lung von Dien­sten ange­mes­sen sind, ver­wen­det wer­den, und in ange­mes­se­ner Wei­se die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit von Daten in den Netz­werk- und Infor­ma­ti­ons­sy­ste­men schützen;

d) eine rasche Ermitt­lung und Auf­deckung der Ursa­chen von IKT-Risi­ken und ‑Anoma­lien in den Netz­werk- und Infor­ma­ti­ons­sy­ste­men sowie eine rasche Hand­ha­bung von IKT-Vor­fäl­len ermöglichen;

e) die wesent­li­chen Abhän­gig­kei­ten von IKT-Dritt­dienst­lei­stern ermitteln;

f) die Kon­ti­nui­tät kri­ti­scher oder wich­ti­ger Funk­tio­nen durch Geschäfts­fort­füh­rungs­plä­ne sowie Gegen- und Wie­der­her­stel­lungs­maß­nah­men, die zumin­dest Siche­rungs- und Wie­der­ge­win­nungs­maß­nah­men umfas­sen, gewährleisten;

g) die unter Buch­sta­be f genann­ten Plä­ne und Maß­nah­men sowie die Wirk­sam­keit der gemäß den Buch­sta­ben a und c durch­ge­führ­ten Kon­trol­len regel­mä­ßig testen;

h) gege­be­nen­falls die rele­van­ten ope­ra­ti­ven Schluss­fol­ge­run­gen, die sich aus den Tests gemäß Buch­sta­be g und der Ana­ly­se nach einem Vor­fall erge­ben, in den IKT-Risi­ko­be­wer­tungs­pro­zess ein­be­zie­hen und ent­spre­chend dem Bedarf und dem IKT-Risi­ko­pro­fil Pro­gram­me zur Sen­si­bi­li­sie­rung für IKT-Sicher­heit sowie Schu­lun­gen zur digi­ta­len ope­ra­tio­na­len Resi­li­enz für Per­so­nal und Manage­ment entwickeln.

(2) Der in Absatz 1 Unter­ab­satz 2 Buch­sta­be a genann­te IKT-Risi­ko­ma­nage­m­ent­rah­men wird regel­mä­ßig und bei Auf­tre­ten schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le ent­spre­chend den auf­sichts­recht­li­chen Anwei­sun­gen doku­men­tiert und über­prüft. Der Rah­men wird auf der Grund­la­ge der bei Umset­zung und Über­wa­chung gewon­ne­nen Erkennt­nis­se kon­ti­nu­ier­lich ver­bes­sert. Der zustän­di­gen Behör­de wird auf Anfra­ge ein Bericht über die Über­prü­fung des IKT-Risi­ko­ma­nage­m­ent­rah­mens vorgelegt.

(3) Die ESA ent­wickeln über den Gemein­sa­men Aus­schuss in Abstim­mung mit der ENISA gemein­sa­me Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards für die fol­gen­den Zwecke:

a) Spe­zi­fi­zie­rung der Ele­men­te, die in den in Absatz 1 Unter­ab­satz 1 Buch­sta­be a genann­ten IKT-Risi­ko­ma­nage­m­ent­rah­men auf­zu­neh­men sind;

b) Spe­zi­fi­zie­rung der Ele­men­te in Bezug auf Syste­me, Pro­to­kol­le und Tools zur Mini­mie­rung der in Absatz 1 Unter­ab­satz 2 Buch­sta­be c genann­ten Aus­wir­kun­gen von IKT-Risi­ken, um die Sicher­heit der Netz­wer­ke zu gewähr­lei­sten, ange­mes­se­ne Schutz­vor­keh­run­gen gegen Ein­drin­gen und Daten­miss­brauch zu ermög­li­chen und die Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit von Daten zu wahren;

c) Spe­zi­fi­zie­rung der Kom­po­nen­ten der in Absatz 1 Unter­ab­satz 2 Buch­sta­be f genann­ten IKT-Geschäftsfortführungspläne;

d) Spe­zi­fi­zie­rung der Vor­schrif­ten über die Tests der Geschäfts­fort­füh­rungs­plä­ne und Gewähr­lei­stung der Wirk­sam­keit der Kon­trol­len gemäß Absatz 1 Unter­ab­satz 2 Buch­sta­be g und Gewähr­lei­stung, dass bei die­sen Tests Sze­na­ri­en, in denen die Qua­li­tät der Bereit­stel­lung einer kri­ti­schen oder wich­ti­gen Funk­ti­on auf ein inak­zep­ta­bles Niveau absinkt oder die­se Funk­ti­on ganz aus­fällt, gebüh­rend berück­sich­tigt werden;

e) nähe­re Spe­zi­fi­zie­rung von Inhalt und Form des in Absatz 2 genann­ten Berichts über die Über­prü­fung des IKT-Risikomanagementrahmens.

Bei der Ent­wick­lung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäfte.

Die ESA über­mit­teln der Kom­mis­si­on die Ent­wür­fe die­ser tech­ni­schen Regu­lie­rungs­stan­dards bis zum 17. Janu­ar 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me der in Unter­ab­satz 1 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

III Behand­lung, Klas­si­fi­zie­rung und Bericht­erstat­tung IKT-bezo­ge­ner Vorfälle

Arti­kel 17 Pro­zess für die Behand­lung IKT-bezo­ge­ner Vorfälle


(1) Finanz­un­ter­neh­men bestim­men einen Pro­zess für die Behand­lung IKT-bezo­ge­ner Vor­fäl­le, rich­ten die­se ein und wen­den sie an, um IKT-bezo­ge­ne Vor­fäl­le zu erken­nen, zu behan­deln und zu mel­den.

(2) Finanz­un­ter­neh­men erfas­sen alle IKT-bezo­ge­nen Vor­fäl­le und erheb­li­chen Cyber­be­dro­hun­gen. Finanz­un­ter­neh­men rich­ten ange­mes­se­ne Ver­fah­ren und Pro­zes­se ein, um die kohä­ren­te und inte­grier­te Über­wa­chung, Hand­ha­bung und Wei­ter­ver­fol­gung IKT-bezo­ge­ner Vor­fäl­le zu gewähr­lei­sten, um sicher­zu­stel­len, dass Ursa­chen ermit­telt, doku­men­tiert und ange­gan­gen wer­den, um das Auf­tre­ten sol­cher Vor­fäl­le zu verhindern.

(3) Durch den in Absatz 1 genann­ten Pro­zess für die Behand­lung IKT-bezo­ge­ner Vorfälle

a) wer­den Früh­warn­in­di­ka­to­ren eingesetzt;

b) wer­den Ver­fah­ren zur Ermitt­lung, Nach­ver­fol­gung, Pro­to­kol­lie­rung, Kate­go­ri­sie­rung und Klas­si­fi­zie­rung IKT-bezo­ge­ner Vor­fäl­le ent­spre­chend ihrer Prio­ri­tät und Schwe­re und ent­spre­chend der Kri­ti­k­ali­tät der betrof­fe­nen Dien­ste ent­spre­chend den in Arti­kel 18 Absatz 1 genann­ten Kri­te­ri­en eingerichtet;

c) wer­den Funk­tio­nen und Zustän­dig­kei­ten zuge­wie­sen, die bei ver­schie­de­nen Arten von IKT-bezo­ge­nen Vor­fäl­len und ‑Sze­na­ri­en akti­viert wer­den müssen;

d) wer­den gemäß Arti­kel 14 Plä­ne für die Kom­mu­ni­ka­ti­on mit Per­so­nal, exter­nen Inter­es­sen­trä­gern und Medi­en sowie für die Benach­rich­ti­gung von Kun­den, für inter­ne Eska­la­ti­ons­ver­fah­ren, ein­schließ­lich IKT-bezo­ge­ner Kun­den­be­schwer­den, und für die Bereit­stel­lung von Infor­ma­tio­nen an ande­re Finanz­un­ter­neh­men, die als Gegen­par­tei­en fun­gie­ren, aus­ge­ar­bei­tet, je nach Sachlage;

e) wird sicher­ge­stellt, dass zumin­dest schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le der zustän­di­gen höhe­ren Füh­rungs­ebe­ne gemel­det wer­den und die Geschäfts­lei­tung infor­miert wird, wobei die Aus­wir­kun­gen und Gegen­maß­nah­men und zusätz­li­che Kon­trol­len erläu­tert wer­den, die infol­ge die­ser IKT-bezo­ge­nen Vor­fäl­le ein­zu­rich­ten sind;

f) wer­den Ver­fah­ren für Reak­ti­ons­maß­nah­men bei IKT-bezo­ge­nen Vor­fäl­len ein­ge­rich­tet, um Aus­wir­kun­gen zu min­dern und sicher­zu­stel­len, dass die Dien­ste zeit­nah ver­füg­bar und sicher werden.


Arti­kel 18 Klas­si­fi­zie­rung von IKT-bezo­ge­nen Vor­fäl­len und Cyberbedrohungen


(1) Finanz­un­ter­neh­men klas­si­fi­zie­ren IKT-bezo­ge­ne Vor­fäl­le und bestim­men deren Aus­wir­kun­gen anhand fol­gen­der Kri­te­ri­en:

a) Anzahl und/oder Rele­vanz der Kun­den oder ande­rer Gegen­par­tei­en im Finanz­be­reich, die von dem IKT-bezo­ge­nen Vor­fall betrof­fen sind, und gege­be­nen­falls des Werts oder der Anzahl der davon betrof­fe­nen Trans­ak­tio­nen und ob der IKT-bezo­ge­ne Vor­fall einen Repu­ta­ti­ons­scha­den ver­ur­sacht hat;

b) Dau­er des IKT-bezo­ge­nen Vor­falls, ein­schließ­lich der Aus­fall­zei­ten des Dienstes;

c) geo­gra­fi­sche Aus­brei­tung der von dem IKT-bezo­ge­nen Vor­fall betrof­fe­nen Gebie­te, ins­be­son­de­re wenn mehr als zwei Mit­glied­staa­ten betrof­fen sind;

d) die mit dem IKT-bezo­ge­nen Vor­fall ver­bun­de­nen Verfügbarkeits‑, Authentizitäts‑, Inte­gri­täts- oder Ver­trau­lich­keits­ver­lu­ste von Daten;

e) Kri­ti­k­ali­tät der betrof­fe­nen Dien­ste, ein­schließ­lich der Trans­ak­tio­nen und Geschäf­te des Finanzunternehmens;

f) wirt­schaft­li­che Aus­wir­kun­gen — ins­be­son­de­re direk­te und indi­rek­te Kosten und Ver­lu­ste — des IKT-bezo­ge­nen Vor­falls auf abso­lu­ter und rela­ti­ver Basis.

(2) Finanz­un­ter­neh­men stu­fen Cyber­be­dro­hun­gen auf der Grund­la­ge der Kri­ti­k­ali­tät der risi­ko­be­haf­te­ten Dien­ste, ein­schließ­lich der Trans­ak­tio­nen und Geschäf­te des Finanz­un­ter­neh­mens, der Anzahl und/oder Rele­vanz der betrof­fe­nen Kun­den oder Gegen­par­tei­en im Finanz­be­reich und der geo­gra­fi­schen Aus­brei­tung der Risi­ko­ge­bie­te als erheb­lich ein.

(3) Die ESA erar­bei­ten über den Gemein­sa­men Aus­schuss in Abstim­mung mit der EZB und der ENISA gemein­sa­me Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards, in denen Fol­gen­des prä­zi­siert wird:

a) die in Absatz 1 genann­ten Kri­te­ri­en, ein­schließ­lich der Wesent­lich­keits­schwel­len für die Bestim­mung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le oder gege­be­nen­falls schwer­wie­gen­der zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fäl­le, die der Mel­de­pflicht nach Arti­kel 19 Absatz 1 unterliegen;

b) die Kri­te­ri­en, die von den zustän­di­gen Behör­den anzu­wen­den sind, um die Rele­vanz schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le oder gege­be­nen­falls schwer­wie­gen­der zah­lungs­be­zo­ge­ner Betriebs- oder Sicher­heits­vor­fäl­le für die jeweils zustän­di­gen Behör­den in ande­ren Mit­glied­staa­ten zu bewer­ten, sowie die Ein­zel­hei­ten in den Mel­dun­gen über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le oder gege­be­nen­falls schwer­wie­gen­de zah­lungs­be­zo­ge­ne Betriebs- oder Sicher­heits­vor­fäl­le, die ande­ren zustän­di­gen Behör­den gemäß Arti­kel 19 Absät­ze 6 und 7 über­mit­telt wer­den müssen;

c) die in Absatz 2 genann­ten Kri­te­ri­en, ein­schließ­lich hoher Wesent­lich­keits­schwel­len für die Bestim­mung erheb­li­cher Cyberbedrohungen.

(4) Bei der Aus­ar­bei­tung der in Absatz 3 genann­ten gemein­sa­men Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die in Arti­kel 4 Absatz 2 genann­ten Kri­te­ri­en sowie von der ENISA ent­wickel­te und ver­öf­fent­lich­te inter­na­tio­na­le Stan­dards, Leit­li­ni­en und Spe­zi­fi­ka­tio­nen, gege­be­nen­falls ein­schließ­lich Spe­zi­fi­ka­tio­nen für ande­re Wirt­schafts­zwei­ge. Für die Zwecke der Anwen­dung der in Arti­kel 4 Absatz 2 fest­ge­leg­ten Kri­te­ri­en berück­sich­ti­gen die ESA gebüh­rend, dass Kleinst­un­ter­neh­men sowie klei­ne und mitt­le­re Unter­neh­men aus­rei­chen­de Res­sour­cen und Kapa­zi­tä­ten mobi­li­sie­ren kön­nen müs­sen, um sicher­zu­stel­len, dass IKT-bezo­ge­ne Vor­fäl­le rasch bewäl­tigt werden.

Die ESA über­mit­teln der Kom­mis­si­on die­se all­ge­mei­nen Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Janu­ar 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die­se Ver­ord­nung durch Annah­me der in Absatz 3 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.


Arti­kel 19 Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le und frei­wil­li­ge Mel­dung erheb­li­cher Cyberbedrohungen


(1) Finanz­un­ter­neh­men mel­den der nach Arti­kel 46 jeweils zustän­di­gen Behör­de gemäß Absatz 4 schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le.

Unter­liegt ein Finanz­un­ter­neh­men der Auf­sicht mehr als einer nach Arti­kel 46 zustän­di­gen natio­na­len Behör­de, so benen­nen die Mit­glied­staa­ten eine ein­zi­ge zustän­di­ge Behör­de als ein­schlä­gi­ge zustän­di­ge Behör­de, die für die Wahr­neh­mung der im vor­lie­gen­den Arti­kel auf­ge­führ­ten Funk­tio­nen und Auf­ga­ben ver­ant­wort­lich ist.

Kre­dit­in­sti­tu­te, die gemäß Arti­kel 6 Absatz 4 der Ver­ord­nung (EU) Nr. 1024/2013 als bedeu­tend ein­ge­stuft wur­den, mel­den schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le der gemäß Arti­kel 4 der Richt­li­nie 2013/36/EU benann­ten jeweils zustän­di­gen natio­na­len Behör­de, die die­se Mel­dung unver­züg­lich an die EZB weiterleitet.

Für die Zwecke von Unter­ab­satz 1 erstel­len Finanz­un­ter­neh­men nach Erfas­sung und Ana­ly­se aller rele­van­ten Infor­ma­tio­nen unter Ver­wen­dung der in Arti­kel 20 genann­ten Vor­la­ge die Erst­mel­dung und die Mel­dun­gen nach Absatz 4 und über­mit­teln die­se der zustän­di­gen Behör­de. Falls es aus tech­ni­schen Grün­den nicht mög­lich ist, die Erst­mel­dung unter Ver­wen­dung der Vor­la­ge zu über­mit­teln, tei­len die Finanz­un­ter­neh­men dies der zustän­di­gen Behör­de auf ande­rem Wege mit.

Die Erst­mel­dung und die Mel­dun­gen nach Absatz 4 ent­hal­ten alle Infor­ma­tio­nen, die die zustän­di­ge Behör­de benö­tigt, um die Signi­fi­kanz des schwer­wie­gen­den IKT-bezo­ge­nen Vor­falls zu ermit­teln und mög­li­che grenz­über­schrei­ten­de Aus­wir­kun­gen zu bewerten.

Unbe­scha­det der Mel­dung gemäß Unter­ab­satz 1 durch das Finanz­un­ter­neh­men an die jeweils zustän­di­ge Behör­de kön­nen die Mit­glied­staa­ten zusätz­lich fest­le­gen, dass eini­ge oder alle Finanz­un­ter­neh­men die Erst­mel­dung und jede Mel­dung nach Absatz 4 auch den gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den oder Com­pu­ter-Not­fall­teams (com­pu­ter secu­ri­ty inci­dent respon­se teams — CSIRT) unter Ver­wen­dung der in Arti­kel 20 genann­ten Vor­la­ge zur Ver­fü­gung stel­len müssen.

(2) Finanz­un­ter­neh­men kön­nen der jeweils zustän­di­gen Behör­de auf frei­wil­li­ger Basis erheb­li­che Cyber­be­dro­hun­gen mel­den, wenn sie der Auf­fas­sung sind, dass die Bedro­hung für das Finanz­sy­stem, die Dienst­nut­zer oder die Kun­den rele­vant ist. Die jeweils zustän­di­ge Behör­de kann der­ar­ti­ge Infor­ma­tio­nen ande­ren in Absatz 6 genann­ten ein­schlä­gi­gen Behör­den zur Ver­fü­gung stellen.

Kre­dit­in­sti­tu­te, die gemäß Arti­kel 6 Absatz 4 der Ver­ord­nung (EU) Nr. 1024/2013 als bedeu­tend ein­ge­stuft wur­den, kön­nen erheb­li­che Cyber­be­dro­hun­gen auf frei­wil­li­ger Basis der gemäß Arti­kel 4 der Richt­li­nie 2013/36/EU benann­ten jeweils zustän­di­gen natio­na­len Behör­de mel­den, die die­se Mel­dung unver­züg­lich an die EZB weiterleitet.

Die Mit­glied­staa­ten kön­nen fest­le­gen, dass die Finanz­un­ter­neh­men, die auf frei­wil­li­ger Basis eine Mel­dung gemäß Unter­ab­satz 1 vor­neh­men, die­se Mel­dung auch an die gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten CSIRT erstat­ten können.

(3) Wenn ein schwer­wie­gen­der IKT-bezo­ge­ner Vor­fall auf­tritt und Aus­wir­kun­gen auf die finan­zi­el­len Inter­es­sen von Kun­den hat, unter­rich­ten die Finanz­un­ter­neh­men, sobald sie hier­von Kennt­nis erlangt haben, ihre Kun­den unver­züg­lich über den schwer­wie­gen­den IKT-bezo­ge­nen Vor­fall und die Maß­nah­men, die ergrif­fen wur­den, um die nach­tei­li­gen Aus­wir­kun­gen eines sol­chen Vor­falls zu mindern.

Im Fal­le einer erheb­li­chen Cyber­be­dro­hung unter­rich­ten die Finanz­un­ter­neh­men gege­be­nen­falls ihre poten­zi­ell betrof­fe­nen Kun­den über ange­mes­se­ne Schutz­maß­nah­men, die die­se ergrei­fen könnten.

(4) Finanz­un­ter­neh­men legen inner­halb der in Arti­kel 20 Absatz 1 Buch­sta­be a Zif­fer ii fest­zu­le­gen­den Fri­sten der jeweils zustän­di­gen Behör­de Fol­gen­des vor:

a) eine Erstmeldung;

b) nach der Erst­mel­dung gemäß Buch­sta­be a eine Zwi­schen­mel­dung, sobald sich der Sta­tus des ursprüng­li­chen Vor­falls erheb­lich geän­dert hat oder sich die Hand­ha­bung des schwer­wie­gen­den IKT-bezo­ge­nen Vor­falls auf der Grund­la­ge neu­er ver­füg­ba­rer Infor­ma­tio­nen geän­dert hat, gege­be­nen­falls gefolgt von aktua­li­sier­ten Mel­dun­gen, wann immer eine ent­spre­chen­de Sta­tus­ak­tua­li­sie­rung vor­liegt, sowie auf aus­drück­li­chen Antrag der zustän­di­gen Behörde;

c) eine Abschluss­mel­dung, wenn die Ursa­chen­ana­ly­se abge­schlos­sen ist — unab­hän­gig davon, ob bereits Min­de­rungs­maß­nah­men getrof­fen wur­den oder nicht — und sich die tat­säch­li­chen Aus­wir­kun­gen bezif­fern las­sen und Schät­zun­gen ersetzen.

(5) Finanz­un­ter­neh­men dür­fen im Ein­klang mit den sek­tor­spe­zi­fi­schen Rechts­vor­schrif­ten der Uni­on und der Mit­glied­staa­ten die Mel­de­pflich­ten nach die­sem Arti­kel an einen Dritt­dienst­lei­ster aus­la­gern. Bei einer sol­chen Aus­la­ge­rung bleibt das Finanz­un­ter­neh­men in vol­lem Umfang für die Erfül­lung der Anfor­de­run­gen für die Mel­dung von Vor­fäl­len verantwortlich.

(6) Nach Ein­gang der Erst­mel­dung und jeder Mel­dung nach Absatz 4 über­mit­telt die zustän­di­ge Behör­de auf der Grund­la­ge der je nach Sach­la­ge bestehen­den jewei­li­gen Zustän­dig­kei­ten zeit­nah Ein­zel­hei­ten zu dem schwer­wie­gen­den IKT-bezo­ge­nen Vor­fall an die fol­gen­den Empfänger:

a) die EBA, die ESMA oder die EIOPA;

b) die EZB, sofern es sich um Finanz­un­ter­neh­men im Sin­ne von Arti­kel 2 Absatz 1 Buch­sta­ben a, b und d handelt;

c) die zustän­di­gen Behör­den, die zen­tra­le Anlauf­stel­le oder die CSIRT, die jeweils gemäß der Richt­li­nie (EU) 2022/2555 benannt oder ein­ge­rich­tet werden;

d) die in Arti­kel 3 der Richt­li­nie 2014/59/EU genann­ten Abwick­lungs­be­hör­den und den Ein­heit­li­chen Abwick­lungs­aus­schuss (Sin­gle Reso­lu­ti­on Board — SRB) in Bezug auf die in Arti­kel 7 Absatz 2 der Ver­ord­nung (EU) Nr. 806/2014 des Euro­päi­schen Par­la­ments und des Rates (37) genann­ten Unter­neh­men sowie in Bezug auf die in Arti­kel 7 Absatz 4 Buch­sta­be b und Absatz 5 der Ver­ord­nung (EU) Nr. 806/2014 genann­ten Unter­neh­men und Grup­pen, wenn die­se Ein­zel­hei­ten Vor­fäl­le betref­fen, die ein Risi­ko für die Sicher­stel­lung kri­ti­scher Funk­tio­nen im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 35 der Richt­li­nie 2014/59/EU dar­stel­len; und

e) ande­re ein­schlä­gi­ge Behör­den nach natio­na­lem Recht.

(7) Nach Erhalt der Infor­ma­tio­nen gemäß Absatz 6 bewer­ten die EBA, die ESMA oder die EIOPA und die EZB in Abstim­mung mit der ENISA und in Zusam­men­ar­beit mit der jeweils zustän­di­gen Behör­de, ob der schwer­wie­gen­de IKT-bezo­ge­ne Vor­fall für die zustän­di­gen Behör­den in ande­ren Mit­glied­staa­ten von Belang ist. Im Anschluss an die­se Bewer­tung benach­rich­ti­gen die EBA, die ESMA oder die EIOPA die jeweils zustän­di­gen Behör­den in ande­ren Mit­glied­staa­ten ent­spre­chend. Die EZB unter­rich­tet die Mit­glie­der des Euro­päi­schen Systems der Zen­tral­ban­ken über die für das Zah­lungs­sy­stem rele­van­ten Aspek­te. Auf der Grund­la­ge die­ser Unter­rich­tung tref­fen die zustän­di­gen Behör­den gege­be­nen­falls alle für die unmit­tel­ba­re Sta­bi­li­tät des Finanz­sy­stems not­wen­di­gen Schutzvorkehrungen.

(8) Die von der ESMA gemäß Absatz 7 vor­zu­neh­men­de Mel­dung berührt nicht die Ver­ant­wor­tung der zustän­di­gen Behör­de, die Ein­zel­hei­ten des schwer­wie­gen­den IKT-bezo­ge­nen Vor­falls umge­hend an die ein­schlä­gi­ge Behör­de des Auf­nah­me­mit­glied­staats wei­ter­zu­lei­ten, wenn ein Zen­tral­ver­wah­rer eine umfas­sen­de grenz­über­schrei­ten­de Tätig­keit in dem Auf­nah­me­mit­glied­staat aus­übt, der schwer­wie­gen­de IKT-bezo­ge­ne Vor­fall wahr­schein­lich schwer­wie­gen­de Fol­gen für die Finanz­märk­te des Auf­nah­me­mit­glied­staats hat und zwi­schen den zustän­di­gen Behör­den Koope­ra­ti­ons­ver­ein­ba­run­gen in Bezug auf die Beauf­sich­ti­gung von Finanz­un­ter­neh­men bestehen.


Arti­kel 20 Har­mo­ni­sie­rung von Inhalt und Vor­la­gen von Meldungen


Die ESA erar­bei­ten über den Gemein­sa­men Aus­schuss und in Abstim­mung mit der ENISA und der EZB

a) gemein­sa­me Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards, um

i) den Inhalt von Mel­dun­gen über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le fest­zu­le­gen, damit den in Arti­kel 18 Absatz 1 auf­ge­führ­ten Kri­te­ri­en Rech­nung getra­gen wird und wei­te­re Ele­men­te ein­be­zo­gen wer­den, wie z. B. Ein­zel­hei­ten zur Fest­stel­lung der Rele­vanz der Mel­dun­gen für ande­re Mit­glied­staa­ten und die Fra­ge, ob es sich dabei um einen schwer­wie­gen­den zah­lungs­be­zo­ge­nen Betriebs- oder Sicher­heits­vor­fall handelt;

ii) die Fri­sten für die Erst­mel­dung und jede Mel­dung nach Arti­kel 19 Absatz 4 festzulegen;

iii) den Inhalt der Mel­dung erheb­li­cher Cyber­be­dro­hun­gen festzulegen.

Bei der Aus­ar­bei­tung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te, um ins­be­son­de­re sicher­zu­stel­len, dass den Beson­der­hei­ten der Finanz­sek­to­ren für die Zwecke des vor­lie­gen­den Absat­zes Buch­sta­be a Zif­fer ii gege­be­nen­falls durch unter­schied­li­che Fri­sten Rech­nung getra­gen wird, unbe­scha­det der Bei­be­hal­tung eines kohä­ren­ten Ansat­zes für die Mel­dung IKT-bezo­ge­ner Vor­fäl­le gemäß die­ser Ver­ord­nung und gemäß der Richt­li­nie (EU) 2022/2555. Die ESA legen — sofern zutref­fend — eine Begrün­dung vor, wenn sie von den im Rah­men jener Richt­li­nie ver­folg­ten Ansät­zen abweichen;

b) gemein­sa­me Ent­wür­fe tech­ni­scher Durch­füh­rungs­stan­dards zur Fest­le­gung von Stan­dard­for­mu­la­ren, Vor­la­gen und Ver­fah­ren für Finanz­un­ter­neh­men zur Mel­dung eines schwer­wie­gen­den IKT-bezo­ge­nen Vor­falls oder einer erheb­li­chen Cyberbedrohung.

Die ESA über­mit­teln der Kom­mis­si­on die in Absatz 1 Buch­sta­be a genann­ten gemein­sa­men Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards und die in Absatz 1 Buch­sta­be b genann­ten gemein­sa­men Ent­wür­fe tech­ni­scher Durch­füh­rungs­stan­dards bis zum 17. Juli 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die­se Ver­ord­nung durch Annah­me der in Absatz 1 Buch­sta­be a genann­ten gemein­sa­men tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die in Absatz 1 Buch­sta­be b genann­ten gemein­sa­men tech­ni­schen Durch­füh­rungs­stan­dards gemäß Arti­kel 15 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 (EU) Nr. 1095/2010 zu erlassen.


Arti­kel 21 Zen­tra­li­sie­rung der Bericht­erstat­tung über schwer­wie­gen­de IKT-bezo­ge­ne Vorfälle


(1) Die ESA erstel­len über den Gemein­sa­men Aus­schuss und in Abstim­mung mit der EZB und der ENISA einen gemein­sa­men Bericht, in dem sie die Durch­führ­bar­keit einer wei­te­ren Zen­tra­li­sie­rung der Mel­dung von Vor­fäl­len durch die Ein­rich­tung einer ein­heit­li­chen EU-Platt­form für die Mel­dung schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le durch Finanz­un­ter­neh­men bewer­ten. In dem gemein­sa­men Bericht wer­den Mög­lich­kei­ten son­diert, um den Mel­de­fluss zu IKT-bezo­ge­nen Vor­fäl­len zu erleich­tern, damit ver­bun­de­ne Kosten zu sen­ken und the­ma­ti­sche Ana­ly­sen zur Erhö­hung auf­sicht­li­cher Kon­ver­genz zu unter­stüt­zen.

(2) Der in Absatz 1 genann­te gemein­sa­me Bericht umfasst min­de­stens die fol­gen­den Aspekte:

a) Vor­aus­set­zun­gen für die Ein­rich­tung einer ein­heit­li­chen EU-Plattform;

b) Vor­tei­le, Gren­zen und Risi­ken, ein­schließ­lich Risi­ken im Zusam­men­hang mit einer hohen Kon­zen­tra­ti­on sen­si­bler Informationen;

c) die erfor­der­li­che Fähig­keit zur Gewähr­lei­stung der Inter­ope­ra­bi­li­tät im Hin­blick auf ande­re ein­schlä­gi­ge Meldesysteme;

d) Ele­men­te des Betriebsmanagements;

e) Vor­aus­set­zun­gen für die Mitgliedschaft;

f) tech­ni­sche Rege­lun­gen für den Zugang von Finanz­un­ter­neh­men und zustän­di­gen natio­na­len Behör­den zur ein­heit­li­chen EU-Plattform;

g) eine vor­läu­fi­ge Bewer­tung der finan­zi­el­len Kosten, die durch die Ein­rich­tung der ope­ra­ti­ven Platt­form zur Unter­stüt­zung der ein­heit­li­chen EU-Platt­form ent­ste­hen, ein­schließ­lich des erfor­der­li­chen Fachwissens.

(3) Die ESA über­mit­teln dem Euro­päi­schen Par­la­ment, dem Rat und der Kom­mis­si­on den in Absatz 1 genann­ten Bericht bis zum 17. Janu­ar 2025.


Arti­kel 22 Rück­mel­dun­gen von Aufsichtsbehörden


(1) Unbe­scha­det der tech­ni­schen Infor­ma­tio­nen, Emp­feh­lun­gen oder Abhil­fe- und Fol­ge­maß­nah­men, die im Ein­klang mit dem natio­na­len Recht gege­be­nen­falls vom CSIRT gemäß Richt­li­nie (EU) 2022/2555 bereit­ge­stellt wer­den kön­nen, bestä­tigt die zustän­di­ge Behör­de nach Ein­gang der Erst­mel­dung und jeder Mel­dung nach Arti­kel 19 Absatz 4 den Ein­gang und kann, wenn mög­lich, dem Finanz­un­ter­neh­men zeit­nah sach­dien­li­che und ange­mes­se­ne Rück­mel­dun­gen oder all­ge­mein gehal­te­ne Ori­en­tie­rungs­hil­fen über­mit­teln, ins­be­son­de­re durch Zur­ver­fü­gung­stel­lung rele­van­ter anony­mi­sier­ter Infor­ma­tio­nen und Erkennt­nis­se zu ähn­li­chen Bedro­hun­gen, sowie auf Ebe­ne des Unter­neh­mens ange­wand­te Abhil­fe­maß­nah­men und Mög­lich­kei­ten zur Mini­mie­rung und Min­de­rung nach­tei­li­ger Aus­wir­kun­gen auf den gesam­ten Finanz­sek­tor erör­tern. Unbe­scha­det der auf­sicht­li­chen Rück­mel­dung blei­ben Finanz­un­ter­neh­men in vol­lem Umfang für die Hand­ha­bung und die Fol­gen der gemäß Arti­kel 19 Absatz 1 gemel­de­ten IKT-bezo­ge­nen Vor­fäl­le ver­ant­wort­lich.

(2) Die ESA berich­ten jähr­lich über den Gemein­sa­men Aus­schuss in anony­mi­sier­ter und agg­re­gier­ter Form über schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le, deren Ein­zel­hei­ten von den zustän­di­gen Behör­den gemäß Arti­kel 19 Absatz 6 über­mit­telt wer­den, und geben dabei min­de­stens die Zahl schwer­wie­gen­der IKT-bezo­ge­ner Vor­fäl­le, ihre Art und ihre Aus­wir­kun­gen auf die Geschäfts­tä­tig­keit von Finanz­un­ter­neh­men oder Kun­den sowie die ergrif­fe­nen Abhil­fe­maß­nah­men und die Kosten an.

Die ESA geben War­nun­gen her­aus und erstel­len all­ge­mein gehal­te­ne Sta­ti­sti­ken, um die Bewer­tun­gen von Bedro­hun­gen und Schwach­stel­len im IKT-Bereich zu unterstützen.


Arti­kel 23 Zah­lungs­be­zo­ge­ne Betriebs- oder Sicher­heits­vor­fäl­le, die Kre­dit­in­sti­tu­te, Zah­lungs­in­sti­tu­te, Kon­to­in­for­ma­ti­ons­dienst­lei­ster und E‑Geld-Insti­tu­te betreffen


Die Anfor­de­run­gen in die­sem gel­ten auch für zah­lungs­be­zo­ge­ne Betriebs- oder Sicher­heits­vor­fäl­le, auch schwer­wie­gen­der Art, wenn sie Kre­dit­in­sti­tu­te, Zah­lungs­in­sti­tu­te, Kon­to­in­for­ma­ti­ons­dienst­lei­ster und E‑Geld-Insti­tu­te betreffen.

IV Testen der digi­ta­len ope­ra­tio­na­len Resilienz

Arti­kel 24 All­ge­mei­ne Anfor­de­run­gen für das Testen der digi­ta­len ope­ra­tio­na­len Resilienz


(1) Um die Vor­be­rei­tung auf die Hand­ha­bung IKT-bezo­ge­ner Vor­fäl­le zu bewer­ten, Schwä­chen, Män­gel und Lücken in Bezug auf die digi­ta­le ope­ra­tio­na­le Resi­li­enz zu erken­nen und Kor­rek­tur­maß­nah­men umge­hend umzu­set­zen, erstel­len, pfle­gen und über­prü­fen Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, unter Berück­sich­ti­gung der in Arti­kel 4 Absatz 2 auf­ge­führ­ten Kri­te­ri­en ein soli­des und umfas­sen­des Pro­gramm für das Testen der digi­ta­len ope­ra­tio­na­len Resi­li­enz als inte­gra­ler Bestand­teil des in Arti­kel 6 genann­ten IKT-Risi­ko­ma­nage­m­ent­rah­mens.

(2) Das Pro­gramm für Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz umfasst eine Rei­he von Bewer­tun­gen, Tests, Metho­den, Ver­fah­ren und Tools, die gemäß den Arti­keln 25 und 26 anzu­wen­den sind.

(3) Bei der Aus­füh­rung des in Absatz 1 genann­ten Pro­gramms für das Testen der digi­ta­len ope­ra­tio­na­len Resi­li­enz wen­den Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, unter Berück­sich­ti­gung der in Arti­kel 4 Absatz 2 auf­ge­führ­ten Kri­te­ri­en einen risi­ko­ba­sier­ten Ansatz an, wobei sie die sich ent­wickeln­den IKT-Risi­ko­land­schaf­ten, etwa­ige spe­zi­fi­sche Risi­ken, denen das betref­fen­de Finanz­un­ter­neh­men aus­ge­setzt ist oder aus­ge­setzt sein könn­te, die Kri­ti­k­ali­tät von Infor­ma­ti­ons­a­ssets und erbrach­ten Dienst­lei­stun­gen sowie alle son­sti­gen Fak­to­ren, die das Finanz­un­ter­neh­men für ange­mes­sen hält, gebüh­rend berücksichtigen.

(4) Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, stel­len sicher, dass Tests von unab­hän­gi­gen, inter­nen oder exter­nen Par­tei­en durch­ge­führt wer­den. Wer­den die Tests von einem inter­nen Tester durch­ge­führt, stel­len die Finanz­un­ter­neh­men aus­rei­chen­de Res­sour­cen bereit und tra­gen dafür Sor­ge, dass wäh­rend der Kon­zep­ti­ons- und Durch­füh­rungs­pha­se der Prü­fung kei­ne Inter­es­sen­kon­flik­te entstehen.

(5) Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, legen Ver­fah­ren und Leit­li­ni­en zur Prio­ri­sie­rung, Klas­si­fi­zie­rung und Behe­bung aller wäh­rend der Durch­füh­rung der Tests zuta­ge getre­te­nen Pro­ble­me fest und legen inter­ne Vali­die­rungs­me­tho­den fest, um sicher­zu­stel­len, dass alle ermit­tel­ten Schwä­chen, Män­gel oder Lücken voll­stän­dig ange­gan­gen werden.

(6) Finanz­un­ter­neh­men, die kei­ne Kleinst­un­ter­neh­men sind, stel­len sicher, dass bei allen IKT-Syste­men und ‑Anwen­dun­gen, die kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, min­de­stens ein­mal jähr­lich ange­mes­se­ne Tests durch­ge­führt werden.


Arti­kel 25 Testen von IKT-Tools und ‑Syste­men


(1) Das in Arti­kel 24 genann­te Pro­gramm für die Tests der digi­ta­len ope­ra­tio­na­len Resi­li­enz beinhal­tet im Ein­klang mit den in Arti­kel 4 Absatz 2 auf­ge­führ­ten Kri­te­ri­en die Durch­füh­rung ange­mes­se­ner Tests, wie etwa Schwach­stel­len­be­wer­tung und ‑scans, Open-Source-Ana­ly­sen, Netz­werk­si­cher­heits­be­wer­tun­gen, Lücken­ana­ly­sen, Über­prü­fun­gen der phy­si­schen Sicher­heit, Fra­ge­bö­gen und Scans von Soft­ware­lö­sun­gen, Quell­code­prü­fun­gen soweit durch­führ­bar, sze­na­rio­ba­sier­te Tests, Kom­pa­ti­bi­li­täts­tests, Lei­stungs­tests, End-to-End-Tests und Pene­tra­ti­ons­tests.

(2) Zen­tral­ver­wah­rer und zen­tra­le Gegen­par­tei­en füh­ren Schwach­stel­len­be­wer­tun­gen durch, bevor Anwen­dun­gen und Infra­struk­tur­kom­po­nen­ten sowie IKT-Dienst­lei­stun­gen, die kri­ti­sche oder wich­ti­ge Funk­tio­nen des Finanz­un­ter­neh­mens unter­stüt­zen, ein­ge­setzt oder wie­der ein­ge­setzt werden.

(3) Kleinst­un­ter­neh­men füh­ren die in Absatz 1 genann­ten Tests durch, indem sie einen risi­ko­ba­sier­ten Ansatz mit einer stra­te­gi­schen Pla­nung für IKT-Tests kom­bi­nie­ren, wobei sie gebüh­rend berück­sich­ti­gen, dass zwi­schen dem Umfang von Res­sour­cen und der Zeit, die für die IKT-Tests gemäß die­sem Arti­kel auf­zu­wen­den sind, einer­seits, und der Dring­lich­keit, der Art des Risi­kos, der Kri­ti­k­ali­tät von Infor­ma­ti­ons­a­ssets und erbrach­ten Dienst­lei­stun­gen sowie allen son­sti­gen rele­van­ten Fak­to­ren, ein­schließ­lich der Fähig­keit des Finanz­un­ter­neh­mens, kal­ku­lier­te Risi­ken ein­zu­ge­hen, ande­rer­seits, ein aus­ge­wo­ge­nes Ver­hält­nis gewahrt wer­den muss.


Arti­kel 26 Erwei­ter­te Tests von IKT-Tools, ‑Syste­men und ‑Pro­zes­sen auf Basis von TLPT


(1) Gemäß Absatz 8 Unter­ab­satz 3 des vor­lie­gen­den Arti­kels ermit­tel­te Finanz­un­ter­neh­men, bei denen es sich weder um die in Arti­kel 16 Absatz 1 Unter­ab­satz 1 genann­ten Unter­neh­men noch um Kleinst­un­ter­neh­men han­delt, füh­ren min­de­stens alle drei Jah­re anhand von TLPT erwei­ter­te Tests durch. Auf der Grund­la­ge des Risi­ko­pro­fils des Finanz­un­ter­neh­mens und unter Berück­sich­ti­gung der betrieb­li­chen Gege­ben­hei­ten kann die zustän­di­ge Behör­de das Finanz­un­ter­neh­men erfor­der­li­chen­falls auf­for­dern, die Häu­fig­keit die­ser Tests zu ver­rin­gern oder zu erhö­hen.

(2) Jeder bedro­hungs­ori­en­tier­te Pene­tra­ti­ons­test schließt meh­re­re oder alle kri­ti­schen oder wich­ti­gen Funk­tio­nen eines Finanz­un­ter­neh­mens ein und wird an Live-Pro­duk­ti­ons­sy­ste­men durch­ge­führt, die der­ar­ti­ge Funk­tio­nen unterstützen.

Finanz­un­ter­neh­men ermit­teln alle rele­van­ten zugrun­de lie­gen­den IKT-Syste­me, ‑Pro­zes­se und ‑Tech­no­lo­gien, die kri­ti­sche oder wich­ti­ge Funk­tio­nen und IKT-Dienst­lei­stun­gen unter­stüt­zen, ein­schließ­lich derer, die die­je­ni­gen kri­ti­schen oder wich­ti­gen Funk­tio­nen unter­stüt­zen, die an IKT-Dritt­dienst­lei­ster aus­ge­la­gert oder per Ver­trag ver­ge­ben wurden.

Finanz­un­ter­neh­men bewer­ten, wel­che kri­ti­schen oder wich­ti­gen Funk­tio­nen ein TLPT ein­schlie­ßen muss. Der genaue Umfang von TLPT ist vom Ergeb­nis die­ser Bewer­tung abhän­gig und wird von den zustän­di­gen Behör­den validiert.

(3) Sind IKT-Dritt­dienst­lei­ster in das Spek­trum der TLPT ein­be­zo­gen, ergreift das Finanz­un­ter­neh­men alle erfor­der­li­chen Maß­nah­men und Vor­keh­run­gen, um die Ein­bin­dung die­ser IKT-Dritt­dienst­lei­ster in die TLPT sicher­zu­stel­len, und trägt jeder­zeit die vol­le Ver­ant­wor­tung für die Gewähr­lei­stung der Ein­hal­tung die­ser Verordnung.

(4) Wenn ver­nünf­ti­ger­wei­se davon aus­zu­ge­hen ist, dass sich die Ein­bin­dung eines IKT-Dritt­dienst­lei­sters in einen TLPT gemäß Absatz 3 nach­tei­lig auf die Qua­li­tät oder die Sicher­heit von Dienst­lei­stun­gen des IKT-Dritt­dienst­lei­sters an Kun­den, bei denen es sich um nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, oder auf die Ver­trau­lich­keit in Bezug auf die mit die­sen Dienst­lei­stun­gen ver­bun­de­nen Daten aus­wirkt, kön­nen das Finanz­un­ter­neh­men und der IKT-Dritt­dienst­lei­ster unbe­scha­det Absatz 2 Unter­ab­sät­ze 1 und 2 schrift­lich ver­ein­ba­ren, dass der IKT-Dritt­dienst­lei­ster unmit­tel­bar ver­trag­li­che Ver­ein­ba­run­gen mit einem exter­nen Tester schließt, um unter der Lei­tung eines benann­ten Finanz­un­ter­neh­mens einen gebün­del­ten TLPT durch­zu­füh­ren, an dem meh­re­re Finanz­un­ter­neh­men betei­ligt sind (gebün­del­ter Test), für die der IKT-Dritt­dienst­lei­ster IKT-Dienst­lei­stun­gen erbringt.

Die­se gebün­del­ten Tests erstrecken sich auf das rele­van­te Spek­trum von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen, die von den Finanz­un­ter­neh­men per Ver­trag an die jewei­li­gen IKT-Dritt­dienst­lei­ster ver­ge­ben wur­den. Die gebün­del­ten Tests gel­ten als TLPT, die von den an den gebün­del­ten Tests betei­lig­ten Finanz­un­ter­neh­men durch­ge­führt werden.

Die Zahl der Finanz­un­ter­neh­men, die sich an den gebün­del­ten Tests betei­li­gen, wird unter Berück­sich­ti­gung der Kom­ple­xi­tät und der Art der betref­fen­den Dienst­lei­stun­gen ange­mes­sen austariert.

(5) Finanz­un­ter­neh­men wen­den in Zusam­men­ar­beit mit IKT-Dritt­dienst­lei­stern und ande­ren betei­lig­ten Par­tei­en, ein­schließ­lich der Tester, jedoch ohne die zustän­di­gen Behör­den, wirk­sa­me Risi­ko­ma­nage­ment­kon­trol­len an, um die Gefahr von poten­zi­el­len Aus­wir­kun­gen auf Daten, Schä­den an Ver­mö­gens­wer­ten und Unter­bre­chun­gen kri­ti­scher oder wich­ti­ger Funk­tio­nen, Dien­ste oder Vor­gän­ge im Finanz­un­ter­neh­men selbst, sei­nen Gegen­par­tei­en oder im Finanz­sek­tor zu mindern.

(6) Nach Abschluss der Tests und der Aus­ar­bei­tung von Berich­ten und Plä­nen mit Abhil­fe­maß­nah­men legen das Finanz­un­ter­neh­men und gege­be­nen­falls die exter­nen Tester der gemäß Absatz 9 oder 10 benann­ten Behör­de eine Zusam­men­fas­sung der maß­geb­li­chen Ergeb­nis­se, die Plä­ne mit Abhil­fe­maß­nah­men und die Unter­la­gen vor, mit denen belegt wird, dass der TLPT anfor­de­rungs­ge­mäß durch­ge­führt wurden.

(7) Die Behör­den stel­len Finanz­un­ter­neh­men eine Beschei­ni­gung aus, aus der her­vor­geht, dass der Test — wie in den Unter­la­gen nach­ge­wie­sen — im Ein­klang mit den Anfor­de­run­gen durch­ge­führt wur­de, um die gegen­sei­ti­ge Aner­ken­nung bedro­hungs­ori­en­tier­ter Pene­tra­ti­ons­tests zwi­schen den zustän­di­gen Behör­den zu ermög­li­chen. Das Finanz­un­ter­neh­men über­mit­telt der jeweils zustän­di­gen Behör­de die Beschei­ni­gung, die Zusam­men­fas­sung der maß­geb­li­chen Ergeb­nis­se und die Abhilfemaßnahmen.

Unbe­scha­det einer sol­chen Beschei­ni­gung blei­ben Finanz­un­ter­neh­men jeder­zeit in vol­lem Umfang für die Aus­wir­kun­gen der in Absatz 4 genann­ten Tests verantwortlich.

(8) Finanz­un­ter­neh­men beauf­tra­gen Tester für die Zwecke der Durch­füh­rung von TLPT gemäß Arti­kel 27. Zie­hen Finanz­un­ter­neh­men für die Zwecke der Durch­füh­rung von TLPT inter­ne Tester her­an, so beauf­tra­gen sie für jeden drit­ten Test einen exter­nen Tester.

Kre­dit­in­sti­tu­te, die gemäß Arti­kel 6 Absatz 4 der Ver­ord­nung (EU) Nr. 1024/2013 als bedeu­tend ein­ge­stuft wur­den, zie­hen nur exter­ne Tester gemäß Arti­kel 27 Absatz 1 Buch­sta­ben a bis e heran.

Die zustän­di­gen Behör­den ermit­teln Finanz­un­ter­neh­men, die TLPT durch­zu­füh­ren haben, unter Berück­sich­ti­gung der in Arti­kel 4 Absatz 2 auf­ge­führ­ten Kri­te­ri­en und stüt­zen sich dabei auf die Bewer­tung von:

a) wir­kungs­be­zo­ge­nen Fak­to­ren, dar­un­ter ins­be­son­de­re inwie­weit sich die vom Finanz­un­ter­neh­men erbrach­ten Dienst­lei­stun­gen und aus­ge­führ­ten Tätig­kei­ten auf den Finanz­sek­tor auswirken;

b) etwa­igen Beden­ken hin­sicht­lich der Finanz­sta­bi­li­tät, ein­schließ­lich des syste­mi­schen Cha­rak­ters des Finanz­un­ter­neh­mens auf Uni­ons­ebe­ne oder auf natio­na­ler Ebe­ne, je nach Sachlage;

c) dem spe­zi­fi­schen IKT-Risi­ko­pro­fil, dem IKT-Rei­fe­grad des Finanz­un­ter­neh­mens oder ein­schlä­gi­gen tech­no­lo­gi­schen Merkmalen.

(9) Die Mit­glied­staa­ten kön­nen eine ein­zi­ge staat­li­che Behör­de für den Finanz­sek­tor benen­nen, die auf natio­na­ler Ebe­ne für mit TLPT ver­bun­de­nen Ange­le­gen­hei­ten im Finanz­sek­tor zustän­dig ist, und betrau­en sie mit allen dies­be­züg­li­chen Zustän­dig­kei­ten und Aufgaben.

(10) In Erman­ge­lung einer Benen­nung gemäß Absatz 9 und unbe­scha­det der Befug­nis zur Ermitt­lung der Finanz­un­ter­neh­men, die ver­pflich­tet sind, TLPT durch­zu­füh­ren, kann eine zustän­di­ge Behör­de die Wahr­neh­mung eini­ger oder aller in die­sem Arti­kel oder in Arti­kel 27 genann­ten Auf­ga­ben auf eine ande­re für den Finanz­sek­tor zustän­di­ge natio­na­le Behör­de übertragen.

(11) Die ESA arbei­ten im Ein­ver­neh­men mit der EZB im Ein­klang mit dem TIBER-EU-Rah­men gemein­sa­me Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards aus, in denen Fol­gen­des prä­zi­siert wird:

a) die für die Zwecke der Anwen­dung von Absatz 8 Unter­ab­satz 2 her­an­ge­zo­ge­nen Kriterien;

b) die Anfor­de­run­gen und Stan­dards für den Ein­satz inter­ner Tester;

c) die Anfor­de­run­gen hinsichtlich:

i) des Umfangs der in Absatz 2 genann­ten TLPT;

ii) der Test­me­tho­dik und des Test­kon­zepts für jede ein­zel­ne Pha­se des Testverfahrens;

iii) der Ergeb­nis­se, des Abschlus­ses und der Behe­bungs­pha­sen der Tests;

d) der Art der auf­sicht­li­chen und son­sti­gen rele­van­ten Zusam­men­ar­beit, die für die Umset­zung von TLPT und die Erleich­te­rung der gegen­sei­ti­gen Aner­ken­nung die­ser Tests im Kon­text von Finanz­un­ter­neh­men, die in mehr als einem Mit­glied­staat tätig sind, erfor­der­lich ist, um eine ange­mes­se­ne Betei­li­gung der Auf­sichts­be­hör­den und eine fle­xi­ble Umset­zung zu ermög­li­chen, damit den Beson­der­hei­ten finan­zi­el­ler Teil­sek­to­ren oder loka­ler Finanz­märk­te Rech­nung getra­gen wird.

Bei der Aus­ar­bei­tung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA gebüh­rend etwa­ige Beson­der­hei­ten, die sich aus der unter­schied­li­chen Art der Tätig­kei­ten in ver­schie­de­nen Finanz­dienst­lei­stungs­sek­to­ren ergeben.

Die ESA über­mit­teln der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Juli 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me der in Unter­ab­satz 1 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.


Arti­kel 27 Anfor­de­run­gen an Tester bezüg­lich der Durch­füh­rung von TLPT


(1) Finanz­un­ter­neh­men zie­hen für TLPT nur Tester her­an, die

a) von höch­ster Eig­nung und Anse­hen sind;

b) über tech­ni­sche und orga­ni­sa­to­ri­sche Fähig­kei­ten ver­fü­gen und spe­zi­fi­sches Fach­wis­sen in den Berei­chen Bedro­hungs­ana­ly­se, Pene­tra­ti­ons­tests und Red-Team-Tests nachweisen;

c) von einer Akkre­di­tie­rungs­stel­le in einem Mit­glied­staat zer­ti­fi­ziert wur­den oder for­ma­le Ver­hal­tens­ko­di­zes oder ethi­sche Rah­men­re­ge­lun­gen einhalten;

d) eine unab­hän­gi­ge Gewähr oder einen Audit­be­richt in Bezug auf das zuver­läs­si­ge Manage­ment von Risi­ken vor­le­gen, die mit der Durch­füh­rung von TLPT ver­bun­den sind, dar­un­ter auch der ange­mes­se­ne Schutz ver­trau­li­cher Infor­ma­tio­nen des Finanz­un­ter­neh­mens und ein Aus­gleich der geschäft­li­chen Risi­ken des Finanzunternehmens;

e) ord­nungs­ge­mäß und voll­stän­dig durch ein­schlä­gi­ge Berufs­haft­pflicht­ver­si­che­run­gen abge­si­chert sind, ein­schließ­lich einer Ver­si­che­rung gegen das Risi­ko von Fehl­ver­hal­ten und Fahrlässigkeit.

(2) Beim Ein­satz inter­ner Tester gewähr­lei­sten Finanz­un­ter­neh­men, dass neben den Anfor­de­run­gen in Absatz 1 auch fol­gen­de Bedin­gun­gen erfüllt sind:

a) der Ein­satz wur­de von der jeweils zustän­di­gen Behör­de oder von der gemäß Arti­kel 26 Absät­ze 9 und 10 benann­ten ein­zi­gen staat­li­chen Behör­de genehmigt;

b) die jeweils zustän­di­ge Behör­de hat über­prüft, dass das Finanz­un­ter­neh­men über aus­rei­chen­de Res­sour­cen ver­fügt und sicher­ge­stellt hat, dass wäh­rend der Kon­zep­ti­ons- und Durch­füh­rungs­pha­se der Tests kei­ne Inter­es­sen­kon­flik­te ent­ste­hen; und

c) der Anbie­ter von Bedro­hungs­ana­ly­sen gehört nicht dem Finanz­un­ter­neh­men an.

(3) Finanz­un­ter­neh­men stel­len sicher, dass in Ver­trä­gen, die mit exter­nen Testern geschlos­sen wer­den, eine ordent­li­che Hand­ha­bung der Ergeb­nis­se von TLPT vor­ge­se­hen ist und die dies­be­züg­li­che Daten­ver­ar­bei­tung, ein­schließ­lich Gene­rie­rung, Spei­che­rung, Aggre­ga­ti­on, Ent­wurf, Bericht­erstat­tung, Wei­ter­ga­be oder Ver­nich­tung, kei­ne Risi­ken für das Finanz­un­ter­neh­men mit sich bringt.

V Manage­ment des IKT-Drittparteienrisikos

Abschnitt I Schlüs­sel­prin­zi­pi­en für ein soli­des Manage­ment des IKT-Drittparteienrisikos

Arti­kel 28 All­ge­mei­ne Prinzipien


(1) Finanz­un­ter­neh­men mana­gen das IKT-Dritt­par­tei­en­ri­si­ko als inte­gra­len Bestand­teil des IKT-Risi­kos inner­halb ihres IKT-Risi­ko­ma­nage­m­ent­rah­mens nach Arti­kel 6 Absatz 1 und im Ein­klang mit den fol­gen­den Prin­zi­pi­en:

a) Finanz­un­ter­neh­men, die ver­trag­li­che Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen für die Aus­übung ihrer Geschäfts­tä­tig­keit getrof­fen haben, blei­ben jeder­zeit in vol­lem Umfang für die Ein­hal­tung und Erfül­lung aller Ver­pflich­tun­gen nach die­ser Ver­ord­nung und nach dem anwend­ba­ren Finanz­dienst­lei­stungs­recht verantwortlich.

b) Beim Manage­ment des IKT-Dritt­par­tei­en­ri­si­kos tra­gen Finanz­un­ter­neh­men dem Grund­satz der Ver­hält­nis­mä­ßig­keit Rech­nung, wobei Fol­gen­des zu berück­sich­ti­gen ist:

i) die Art, das Aus­maß, die Kom­ple­xi­tät und die Rele­vanz IKT-bezo­ge­ner Abhängigkeiten,

ii) die Risi­ken infol­ge ver­trag­li­cher Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen, die mit IKT-Dritt­dienst­lei­stern geschlos­sen wur­den, wobei die Kri­ti­k­ali­tät oder Rele­vanz der jewei­li­gen Dienst­lei­stun­gen, Pro­zes­se oder Funk­tio­nen sowie die poten­zi­el­len Aus­wir­kun­gen auf die Kon­ti­nui­tät und Ver­füg­bar­keit von Finanz­dienst­lei­stun­gen und ‑tätig­kei­ten auf Ein­zel- und Grup­pen­e­be­ne zu berück­sich­ti­gen sind.

(2) Finanz­in­sti­tu­te, bei denen es sich weder um die in Arti­kel 16 Absatz 1 Unter­ab­satz 1 genann­ten Unter­neh­men noch um Kleinst­un­ter­neh­men han­delt, beschlie­ßen im Rah­men ihres IKT-Risi­ko­ma­nage­m­ent­rah­mens eine Stra­te­gie für das IKT-Dritt­par­tei­en­ri­si­ko und über­prü­fen die­se regel­mä­ßig, wobei gege­be­nen­falls die in Arti­kel 6 Absatz 9 genann­te Stra­te­gie zur Nut­zung meh­re­rer Anbie­ter Berück­sich­ti­gung fin­det. Die Stra­te­gie zum IKT-Dritt­par­tei­en­ri­si­ko umfasst eine Leit­li­nie für die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen, die von IKT-Dritt­dienst­lei­stern bereit­ge­stellt wer­den, und gilt auf indi­vi­du­el­ler und gege­be­nen­falls teil­kon­so­li­dier­ter und kon­so­li­dier­ter Basis. Das Lei­tungs­or­gan über­prüft auf der Grund­la­ge einer Bewer­tung des Gesamt­ri­si­ko­pro­fils des Finanz­un­ter­neh­mens und des Umfangs und der Kom­ple­xi­tät der Unter­neh­mens­dienst­lei­stun­gen regel­mä­ßig Risi­ken, die im Zusam­men­hang mit den ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen ermit­telt werden.

(3) Finanz­un­ter­neh­men füh­ren und aktua­li­sie­ren im Rah­men ihres IKT-Risi­ko­ma­nage­m­ent­rah­mens auf Unter­neh­mens­ebe­ne sowie auf teil­kon­so­li­dier­ter und kon­so­li­dier­ter Ebe­ne ein Infor­ma­ti­ons­re­gi­ster, das sich auf alle ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von durch IKT-Dritt­dienst­lei­ster bereit­ge­stell­ten IKT-Dienst­lei­stun­gen bezieht.

Die ver­trag­li­chen Ver­ein­ba­run­gen gemäß Unter­ab­satz 1 wer­den ange­mes­sen doku­men­tiert, wobei zwi­schen Ver­ein­ba­run­gen, die IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen abdecken, und sol­chen unter­schie­den wird, bei denen dies nicht der Fall ist.

Finanz­un­ter­neh­men erstat­ten den zustän­di­gen Behör­den min­de­stens ein­mal jähr­lich Bericht zur Anzahl neu­er Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen, den Kate­go­rien von IKT-Dritt­dienst­lei­stern, der Art der ver­trag­li­chen Ver­ein­ba­run­gen sowie den bereit­ge­stell­ten IKT-Dienst­lei­stun­gen und ‑Funk­tio­nen.

Finanz­un­ter­neh­men stel­len der zustän­di­gen Behör­de auf Ver­lan­gen das voll­stän­di­ge Infor­ma­ti­ons­re­gi­ster oder auf Anfra­ge bestimm­te Tei­le die­ses Regi­sters zusam­men mit allen Infor­ma­tio­nen zur Ver­fü­gung, die für eine wirk­sa­me Beauf­sich­ti­gung des Finanz­un­ter­neh­mens als not­wen­dig erach­tet werden.

Finanz­un­ter­neh­men unter­rich­ten die zustän­di­ge Behör­de zeit­nah über jede geplan­te ver­trag­li­che Ver­ein­ba­rung über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen sowie in dem Fall, dass eine Funk­ti­on kri­tisch oder wich­tig gewor­den ist.

(4) Vor Abschluss einer ver­trag­li­chen Ver­ein­ba­rung über die Nut­zung von IKT-Dienst­lei­stun­gen müs­sen Finanzunternehmen:

a) beur­tei­len, ob sich die ver­trag­li­che Ver­ein­ba­rung auf die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung einer kri­ti­schen oder wich­ti­gen Funk­ti­on bezieht;

b) beur­tei­len, ob die auf­sichts­recht­li­chen Bedin­gun­gen für die Auf­trags­ver­ga­be erfüllt sind;

c) alle rele­van­ten Risi­ken im Zusam­men­hang mit der ver­trag­li­chen Ver­ein­ba­rung ermit­teln und bewer­ten, ein­schließ­lich der Mög­lich­keit, dass die­se ver­trag­li­che Ver­ein­ba­rung dazu bei­tra­gen kann, das in Arti­kel 29 genann­te IKT-Kon­zen­tra­ti­ons­ri­si­ko zu erhöhen;

d) bei poten­zi­el­len IKT-Dritt­dienst­lei­stern der gebo­te­nen Sorg­falts­pflicht nach­kom­men und wäh­rend des gesam­ten Aus­wahl- und Bewer­tungs­pro­zes­ses sicher­stel­len, dass der IKT-Dritt­dienst­lei­ster geeig­net ist;

e) Inter­es­sen­kon­flik­te, die durch die ver­trag­li­che Ver­ein­ba­rung ent­ste­hen kön­nen, ermit­teln und bewerten.

(5) Finanz­un­ter­neh­men dür­fen ver­trag­li­che Ver­ein­ba­run­gen nur mit IKT-Dritt­dienst­lei­stern schlie­ßen, die ange­mes­se­ne Stan­dards für Infor­ma­ti­ons­si­cher­heit ein­hal­ten. Betref­fen die­se ver­trag­li­chen Ver­ein­ba­run­gen kri­ti­sche oder wich­ti­ge Funk­tio­nen, so berück­sich­ti­gen die Finanz­un­ter­neh­men vor Abschluss der Ver­ein­ba­run­gen ange­mes­sen, ob die IKT-Dritt­dienst­lei­ster die aktu­ell­sten und höch­sten Qua­li­täts­stan­dards für die Infor­ma­ti­ons­si­cher­heit anwenden.

(6) Bei der Aus­übung der Zugangs‑, Inspek­ti­ons- und Audit­rech­te in Bezug auf den IKT-Dritt­dienst­lei­ster bestim­men Finanz­un­ter­neh­men auf der Grund­la­ge eines risi­ko­ba­sier­ten Ansat­zes vor­ab die Häu­fig­keit von Audits und Inspek­tio­nen sowie die zu prü­fen­den Berei­che, indem all­ge­mein aner­kann­te Audit­stan­dards im Ein­klang mit etwa­igen Auf­sichts­an­wei­sun­gen für die Anwen­dung und Ein­be­zie­hung sol­cher Audit­stan­dards ein­ge­hal­ten werden.

Wenn ver­trag­li­che Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen, die mit IKT-Dritt­dienst­lei­stern geschlos­sen wer­den, ein hohes Maß an tech­ni­scher Kom­ple­xi­tät mit sich brin­gen, über­prüft das Finanz­un­ter­neh­men, dass die inter­nen oder exter­nen Revi­so­ren oder ein Revi­so­ren­pool über die Fähig­kei­ten und Kennt­nis­se ver­fü­gen bzw. ver­fügt, die für die wirk­sa­me Durch­füh­rung der ein­schlä­gi­gen Audits und Bewer­tun­gen erfor­der­lich sind.

(7) Finanz­un­ter­neh­men stel­len sicher, dass ver­trag­li­che Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen gekün­digt wer­den kön­nen, wenn einer der fol­gen­den Umstän­de vorliegt:

a) ein erheb­li­cher Ver­stoß des IKT-Dritt­dienst­lei­sters gegen gel­ten­de Geset­ze, son­sti­ge Vor­schrif­ten oder Vertragsbedingungen;

b) Umstän­de, die im Lau­fe der Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos fest­ge­stellt wur­den und die als geeig­net ein­ge­schätzt wer­den, die Wahr­neh­mung der im Rah­men der ver­trag­li­chen Ver­ein­ba­rung vor­ge­se­he­nen Funk­tio­nen zu beein­träch­ti­gen, ein­schließ­lich wesent­li­cher Ände­run­gen, die sich auf die Ver­ein­ba­rung oder die Ver­hält­nis­se des IKT-Dritt­dienst­lei­sters auswirken;

c) nach­weis­li­che Schwä­chen des IKT-Dritt­dienst­lei­sters in Bezug auf sein all­ge­mei­nes IKT-Risi­ko­ma­nage­ment und ins­be­son­de­re bei der Art und Wei­se, in der er die Ver­füg­bar­keit, Authen­ti­zi­tät, Sicher­heit und Ver­trau­lich­keit von Daten gewähr­lei­stet, unab­hän­gig davon, ob es sich um per­so­nen­be­zo­ge­ne oder ander­wei­tig sen­si­ble Daten oder nicht per­so­nen­be­zo­ge­ne Daten handelt;

d) die zustän­di­ge Behör­de kann das Finanz­un­ter­neh­men infol­ge der Bedin­gun­gen der jewei­li­gen ver­trag­li­chen Ver­ein­ba­rung oder der mit die­ser Ver­ein­ba­rung ver­bun­de­nen Umstän­de nicht mehr wirk­sam beaufsichtigen.

(8) Für IKT-Dienst­lei­stun­gen, die kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, rich­ten Finanz­un­ter­neh­men Aus­stiegs­stra­te­gien ein. In den Aus­stiegs­stra­te­gien wird den Risi­ken Rech­nung getra­gen, die auf der Ebe­ne der IKT-Dritt­dienst­lei­ster ent­ste­hen kön­nen, dar­un­ter ins­be­son­de­re ein mög­li­cher Feh­ler des IKT-Dritt­dienst­lei­sters, eine Ver­schlech­te­rung der Qua­li­tät der bereit­ge­stell­ten IKT-Dienst­lei­stun­gen, jede Unter­bre­chung der Geschäfts­tä­tig­keit auf­grund unan­ge­mes­se­ner oder unter­las­se­ner Bereit­stel­lung von IKT-Dienst­lei­stun­gen oder jedes erheb­li­che Risi­ko im Zusam­men­hang mit der ange­mes­se­nen und kon­ti­nu­ier­li­chen Bereit­stel­lung der jewei­li­gen IKT-Dienst­lei­stun­gen oder der Been­di­gung ver­trag­li­cher Ver­ein­ba­run­gen mit IKT-Dritt­dienst­lei­stern unter einem der in Absatz 7 genann­ten Umstände.

Finanz­un­ter­neh­men stel­len sicher, dass sie aus ver­trag­li­chen Ver­ein­ba­run­gen aus­schei­den kön­nen, ohne:

a) Unter­bre­chung ihrer Geschäftstätigkeit,

b) Ein­schrän­kung der Ein­hal­tung regu­la­to­ri­scher Anforderungen,

c) Beein­träch­ti­gung der Kon­ti­nui­tät und Qua­li­tät ihrer für Kun­den erbrach­ten Dienstleistungen.

Aus­stiegs­plä­ne müs­sen umfas­send, doku­men­tiert und im Ein­klang mit den in Arti­kel 4 Absatz 2 auf­ge­führ­ten Kri­te­ri­en aus­rei­chend gete­stet sein sowie regel­mä­ßig über­prüft werden.

Finanz­un­ter­neh­men ermit­teln alter­na­ti­ve Lösun­gen und ent­wickeln Über­gangs­plä­ne, die es ihnen ermög­li­chen, dem IKT-Dritt­dienst­lei­ster die ver­trag­lich ver­ein­bar­ten IKT-Dienst­lei­stun­gen und die rele­van­ten Daten zu ent­zie­hen und sie sicher und voll­stän­dig alter­na­ti­ven Anbie­tern zu über­tra­gen oder wie­der in die eige­nen Syste­me zu überführen.

Finanz­un­ter­neh­men ver­fü­gen über ange­mes­se­ne Not­fall­maß­nah­men, um die Fort­füh­rung der Geschäfts­tä­tig­keit zu gewähr­lei­sten, falls die in Unter­ab­satz 1 genann­ten Umstän­de auftreten.

(9) Die ESA erar­bei­ten über den Gemein­sa­men Aus­schuss Ent­wür­fe tech­ni­scher Durch­füh­rungs­stan­dards, um die Stan­dard­vor­la­gen für die Zwecke des in Absatz 3 genann­ten Infor­ma­ti­ons­re­gi­sters fest­zu­le­gen, ein­schließ­lich Infor­ma­tio­nen, die allen ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen gemein sind. Die ESA über­mit­teln der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Janu­ar 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die in Unter­ab­satz 1 genann­ten tech­ni­schen Durch­füh­rungs­stan­dards gemäß Arti­kel 15 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen.

(10) Die ESA erar­bei­ten über den Gemein­sa­men Aus­schuss Ent­wür­fe für tech­ni­sche Regu­lie­rungs­stan­dards, um den detail­lier­ten Inhalt der Leit­li­nie, die in Absatz 2 in Bezug auf die ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher und wich­ti­ger Funk­tio­nen, die von IKT-Dritt­dienst­lei­stern bereit­ge­stellt wer­den, genannt wird, wei­ter zu spezifizieren.

Bei der Aus­ar­bei­tung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäf­te. Die ESA über­mit­teln der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Janu­ar 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me der in Unter­ab­satz 1 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.


Arti­kel 29 Vor­läu­fi­ge Bewer­tung des IKT-Kon­zen­tra­ti­ons­ri­si­kos auf Unternehmensebene


(1) Bei der Ermitt­lung und Bewer­tung der in Arti­kel 28 Absatz 4 Buch­sta­be c genann­ten Risi­ken berück­sich­ti­gen Finanz­un­ter­neh­men zudem, ob der geplan­te Abschluss einer ver­trag­li­chen Ver­ein­ba­rung in Bezug auf IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen, Fol­gen­des her­bei­füh­ren wür­de:

a) Ver­trä­ge mit einem IKT-Dritt­dienst­lei­ster, der nicht ohne Wei­te­res ersetz­bar ist; oder

b) mehr­fa­che ver­trag­li­che Ver­ein­ba­run­gen über die Bereit­stel­lung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen mit dem­sel­ben IKT-Dritt­dienst­lei­ster oder mit eng ver­bun­de­nen IKT-Drittdienstleistern.

Finanz­un­ter­neh­men wägen Nut­zen und Kosten alter­na­ti­ver Lösun­gen ab, z. B. die Nut­zung ver­schie­de­ner IKT-Dritt­dienst­lei­ster, und berück­sich­ti­gen, ob und wie geplan­te Lösun­gen den geschäft­li­chen Erfor­der­nis­sen und Zie­len ent­spre­chen, die in ihrer Stra­te­gie für digi­ta­le Resi­li­enz fest­ge­legt sind.

(2) Ist in der ver­trag­li­chen Ver­ein­ba­rung über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen die Mög­lich­keit vor­ge­se­hen, dass ein IKT-Dritt­dienst­lei­ster IKT-Dienst­lei­stun­gen zur Unter­stüt­zung einer kri­ti­schen oder wich­ti­gen Funk­ti­on per Unter­auf­trag an ande­re IKT-Dritt­dienst­lei­ster ver­gibt, wägen Finanz­un­ter­neh­men die Vor­tei­le und Risi­ken ab, die im Zusam­men­hang mit einer sol­chen Unter­auf­trags­ver­ga­be ent­ste­hen kön­nen, ins­be­son­de­re sofern der IKT-Unter­auf­trag­neh­mer in einem Dritt­land nie­der­ge­las­sen ist.

Betref­fen ver­trag­li­che Ver­ein­ba­run­gen IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen, berück­sich­ti­gen die Finanz­un­ter­neh­men gebüh­rend die Bestim­mun­gen des Insol­venz­rechts, die im Fal­le der Insol­venz des IKT-Dritt­dienst­lei­sters anwend­bar wären, sowie jede Ein­schrän­kung, die sich im Zusam­men­hang mit der drin­gen­den Wie­der­her­stel­lung der Daten des Finanz­un­ter­neh­mens erge­ben könnte.

Wer­den mit einem IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land ver­trag­li­che Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen geschlos­sen, so beach­ten Finanz­un­ter­neh­men neben den in Unter­ab­satz 2 genann­ten Umstän­den auch, dass die Daten­schutz­vor­schrif­ten der Uni­on ein­ge­hal­ten und die Rechts­vor­schrif­ten in die­sem Dritt­land wirk­sam durch­ge­setzt werden.

Ist in den ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen die Unter­auf­trags­ver­ga­be vor­ge­se­hen, so bewer­ten die Finanz­un­ter­neh­men, ob und wie sich poten­zi­ell lan­ge oder kom­ple­xe Ket­ten der Unter­auf­trags­ver­ga­be auf ihre Fähig­keit aus­wir­ken kön­nen, die ver­trag­lich ver­ein­bar­ten Funk­tio­nen voll­stän­dig zu über­wa­chen, und ob die zustän­di­ge Behör­de in die­ser Hin­sicht in der Lage ist, das Finanz­un­ter­neh­men wirk­sam zu beaufsichtigen.


Arti­kel 30 Wesent­li­che Vertragsbestimmungen


(1) Die Rech­te und Pflich­ten des Finanz­un­ter­neh­mens und des IKT-Dritt­dienst­lei­sters wer­den ein­deu­tig zuge­wie­sen und schrift­lich dar­ge­legt. Der voll­stän­di­ge Ver­trag umfasst die Ver­ein­ba­rung über die Dienst­lei­stungs­gü­te und wird in einem schrift­li­chen Doku­ment, das den Par­tei­en in Papier­form zur Ver­fü­gung steht, oder in einem Doku­ment in einem ande­ren her­un­ter­lad­ba­ren, dau­er­haf­ten und zugäng­li­chen For­mat doku­men­tiert.

(2) Die ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen umfas­sen min­de­stens fol­gen­de Elemente:

a) eine kla­re und voll­stän­di­ge Beschrei­bung aller Funk­tio­nen und IKT-Dienst­lei­stun­gen, die der IKT-Dritt­dienst­lei­ster bereit­zu­stel­len hat, wobei anzu­ge­ben ist, ob die Ver­ga­be von Unter­auf­trä­gen für IKT-Dienst­lei­stun­gen, die kri­ti­sche oder wich­ti­ge Funk­tio­nen oder wesent­li­che Tei­le davon unter­stüt­zen, zuläs­sig ist, und — wenn dies der Fall ist — wel­che Bedin­gun­gen für die­se Unter­auf­trags­ver­ga­be gelten;

b) die Stand­or­te — das heißt die Regio­nen oder Län­der —, an denen die ver­trag­lich ver­ein­bar­ten oder an Unter­auf­trag­neh­mer ver­ge­be­nen Funk­tio­nen und IKT-Dienst­lei­stun­gen bereit­zu­stel­len sind und an denen Daten ver­ar­bei­tet wer­den sol­len, ein­schließ­lich des Spei­cher­orts, sowie die Auf­la­ge für den IKT-Dritt­dienst­lei­ster, das Finanz­un­ter­neh­men vor­ab zu benach­rich­ti­gen, wenn er eine Ände­rung die­ser Stand­or­te beabsichtigt;

c) Bestim­mun­gen über Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät und Ver­trau­lich­keit in Bezug auf den Daten­schutz, ein­schließ­lich des Schut­zes per­so­nen­be­zo­ge­ner Daten;

d) Bestim­mun­gen über die Sicher­stel­lung des Zugangs zu per­so­nen­be­zo­ge­nen und nicht per­so­nen­be­zo­ge­nen Daten, die von dem Finanz­un­ter­neh­men im Fall einer Insol­venz, Abwick­lung, Ein­stel­lung der Geschäfts­tä­tig­keit des IKT-Dritt­dienst­lei­sters oder einer Been­di­gung der ver­trag­li­chen Ver­ein­ba­run­gen ver­ar­bei­tet wer­den, sowie über die Wie­der­her­stel­lung und Rück­ga­be die­ser Daten in einem leicht zugäng­li­chen Format;

e) Beschrei­bun­gen der Dienst­lei­stungs­gü­te, ein­schließ­lich Aktua­li­sie­run­gen und Überarbeitungen;

f) die Ver­pflich­tung des IKT-Dritt­dienst­lei­sters, dem Finanz­un­ter­neh­men bei einem IKT-Vor­fall, der mit dem für das Finanz­un­ter­neh­men bereit­ge­stell­ten IKT-Dienst in Ver­bin­dung steht, ohne zusätz­li­che Kosten oder zu vor­ab fest­zu­set­zen­den Kosten Unter­stüt­zung zu leisten;

g) die Ver­pflich­tung des IKT-Dritt­dienst­lei­sters, voll­um­fäng­lich mit den für das Finanz­un­ter­neh­men zustän­di­gen Behör­den und Abwick­lungs­be­hör­den zusam­men­zu­ar­bei­ten, ein­schließ­lich der von die­sen benann­ten Personen;

h) Kün­di­gungs­rech­te und damit zusam­men­hän­gen­de Min­dest­kün­di­gungs­fri­sten für die Been­di­gung der ver­trag­li­chen Ver­ein­ba­run­gen ent­spre­chend den Erwar­tun­gen der zustän­di­gen Behör­den und der Abwicklungsbehörden;

i) Bedin­gun­gen für die Teil­nah­me von IKT-Dritt­dienst­lei­stern an den von den Finanz­un­ter­neh­men ange­bo­te­nen Pro­gram­men zur Sen­si­bi­li­sie­rung für IKT-Sicher­heit und Schu­lun­gen zur digi­ta­len ope­ra­tio­na­len Resi­li­enz gemäß Arti­kel 13 Absatz 6.

(3) Die ver­trag­li­chen Ver­ein­ba­run­gen über die Nut­zung von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen umfas­sen zusätz­lich zu den in Absatz 2 genann­ten Ele­men­ten min­de­stens Folgendes:

a) voll­stän­di­ge Beschrei­bun­gen der Dienst­lei­stungs­gü­te, ein­schließ­lich Aktua­li­sie­run­gen und Über­ar­bei­tun­gen, mit prä­zi­sen quan­ti­ta­ti­ven und qua­li­ta­ti­ven Lei­stungs­zie­len inner­halb der ver­ein­bar­ten Dienst­lei­stungs­gü­te, um dem Finanz­un­ter­neh­men eine wirk­sa­me Über­wa­chung von IKT-Dienst­lei­stun­gen und das unver­züg­li­che Ergrei­fen ange­mes­se­ner Kor­rek­tur­maß­nah­men zu ermög­li­chen, wenn eine ver­ein­bar­te Dienst­lei­stungs­gü­te nicht erreicht wird;

b) Kün­di­gungs­fri­sten und Berichts­pflich­ten des IKT-Dritt­dienst­lei­sters gegen­über dem Finanz­un­ter­neh­men, ein­schließ­lich der Mel­dung aller Ent­wick­lun­gen, die sich wesent­lich auf die Fähig­keit des IKT-Dritt­dienst­lei­sters, IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen gemäß den ver­ein­bar­ten Lei­stungs­ni­veaus wirk­sam bereit­zu­stel­len, aus­wir­ken könnten;

c) Anfor­de­run­gen an den IKT-Dritt­dienst­lei­ster, Not­fall­plä­ne zu imple­men­tie­ren und zu testen und über Maß­nah­men, Tools und Leit- und Richt­li­ni­en für IKT-Sicher­heit zu ver­fü­gen, die ein ange­mes­se­nes Maß an Sicher­heit für die Erbrin­gung von Dienst­lei­stun­gen durch das Finanz­un­ter­neh­men im Ein­klang mit sei­nem Rechts­rah­men bieten;

d) die Ver­pflich­tung des IKT-Dritt­dienst­lei­sters, sich an den in den Arti­keln 26 und 27 genann­ten TLPT des Finanz­un­ter­neh­mens zu betei­li­gen und unein­ge­schränkt dar­an mitzuwirken;

e) das Recht, die Lei­stung des IKT-Dritt­dienst­lei­sters fort­lau­fend zu über­wa­chen, wozu Fol­gen­des gehört:

i) unein­ge­schränk­te Zugangs‑, Inspek­ti­ons- und Audit­rech­te des Finanz­un­ter­neh­mens oder eines beauf­trag­ten Drit­ten und der zustän­di­gen Behör­de sowie das Recht auf Anfer­ti­gung von Kopien ein­schlä­gi­ger Unter­la­gen vor Ort, wenn ihnen für die Geschäfts­tä­tig­keit des IKT-Dritt­dienst­lei­sters ent­schei­den­de Bedeu­tung zukommt, wobei die tat­säch­li­che Aus­übung die­ser Rech­te nicht durch ande­re ver­trag­li­che Ver­ein­ba­run­gen oder Umset­zungs­richt­li­ni­en behin­dert oder ein­ge­schränkt wird;

ii) das Recht, alter­na­ti­ve Bestä­ti­gungs­ni­veaus zu ver­ein­ba­ren, wenn die Rech­te ande­rer Kun­den betrof­fen sind;

iii) die Ver­pflich­tung des IKT-Dritt­dienst­lei­sters zur unein­ge­schränk­ten Zusam­men­ar­beit bei Vor-Ort-Inspek­tio­nen und Audits, die von den zustän­di­gen Behör­den, der feder­füh­ren­den Über­wa­chungs­be­hör­de, dem Finanz­un­ter­neh­men oder einem beauf­trag­ten Drit­ten durch­ge­führt wer­den; und

iv) die Ver­pflich­tung, Ein­zel­hei­ten zu Umfang und Häu­fig­keit die­ser Inspek­tio­nen sowie dem dabei zu befol­gen­den Ver­fah­ren mitzuteilen;

f) Aus­stiegs­stra­te­gien, ins­be­son­de­re die Fest­le­gung eines ver­bind­li­chen ange­mes­se­nen Übergangszeitraums,

i) in dem der IKT-Dritt­dienst­lei­ster wei­ter­hin die ent­spre­chen­den Funk­tio­nen oder IKT-Dienst­lei­stun­gen bereit­stellt, um das Risi­ko von Stö­run­gen im Finanz­un­ter­neh­men zu ver­rin­gern oder um des­sen geord­ne­te Abwick­lung und Umstruk­tu­rie­rung sicherzustellen;

ii) der dem Finanz­un­ter­neh­men ermög­licht, zu einem ande­ren IKT-Dritt­dienst­lei­ster zu wech­seln oder auf inter­ne Lösun­gen umzu­stel­len, die der Kom­ple­xi­tät der erbrach­ten Dienst­lei­stung entsprechen.

Abwei­chend von Buch­sta­be e kön­nen der IKT-Dritt­dienst­lei­ster und das Finanz­un­ter­neh­men, das ein Kleinst­un­ter­neh­men ist, ver­ein­ba­ren, dass die Zugangs‑, Inspek­ti­ons- und Audit­rech­te des Finanz­un­ter­neh­mens auf einen unab­hän­gi­gen Drit­ten über­tra­gen wer­den kön­nen, der vom IKT-Dritt­dienst­lei­ster benannt wird, sowie dass das Finanz­un­ter­neh­men von die­sem Drit­ten jeder­zeit Infor­ma­tio­nen und Gewähr in Bezug auf die Lei­stung des IKT-Dritt­dienst­lei­sters ver­lan­gen kann.

(4) Bei der Aus­hand­lung ver­trag­li­cher Ver­ein­ba­run­gen erwä­gen Finanz­un­ter­neh­men und IKT-Dritt­dienst­lei­ster die Ver­wen­dung von Stan­dard­ver­trags­klau­seln, die von Behör­den für bestimm­te Dienst­lei­stun­gen ent­wickelt wurden.

(5) Die ESA erar­bei­ten über den Gemein­sa­men Aus­schuss Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards, um die in Absatz 2 Buch­sta­be a genann­ten Aspek­te zu prä­zi­sie­ren, die ein Finanz­un­ter­neh­men bei der Unter­ver­ga­be von IKT-Dienst­lei­stun­gen zur Unter­stüt­zung kri­ti­scher oder wich­ti­ger Funk­tio­nen bestim­men und bewer­ten muss.

Bei der Aus­ar­bei­tung die­ser Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards berück­sich­ti­gen die ESA die Grö­ße und das Gesamt­ri­si­ko­pro­fil des Finanz­un­ter­neh­mens sowie die Art, den Umfang und die Kom­ple­xi­tät sei­ner Dienst­lei­stun­gen, Tätig­kei­ten und Geschäfte.

Die ESA über­mit­teln der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Juli 2024.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me der in Unter­ab­satz 1 genann­ten tech­ni­schen Regu­lie­rungs­stan­dards gemäß den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Abschnitt II Über­wa­chungs­rah­men für kri­ti­sche IKT-Drittdienstleister

Arti­kel 31 Ein­stu­fung kri­ti­scher IKT-Drittdienstleister


(1) Die ESA neh­men über den Gemein­sa­men Aus­schuss und auf Emp­feh­lung des gemäß Arti­kel 32 Absatz 1 ein­ge­rich­te­ten Über­wa­chungs­fo­rums fol­gen­de Auf­ga­ben wahr:

a) Ein­stu­fung der IKT-Dritt­dienst­lei­ster, die für Finanz­un­ter­neh­men kri­tisch sind, nach­dem eine ent­spre­chen­de Bewer­tung unter Berück­sich­ti­gung der in Absatz 2 genann­ten Kri­te­ri­en durch­ge­führt wurde;

b) Ernen­nung der­je­ni­gen Euro­päi­schen Auf­sichts­be­hör­de zur feder­füh­ren­den Über­wa­chungs­be­hör­de für jeden kri­ti­schen IKT-Dritt­dienst­lei­ster, die gemäß den Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 bzw. (EU) Nr. 1095/2010 für die­je­ni­gen Finanz­un­ter­neh­men zustän­dig ist, die nach­weis­lich der Sum­me der ein­zel­nen Bilan­zen die­ser Finanz­un­ter­neh­men zusam­men den größ­ten Anteil des Gesamt­ver­mö­gens am Gesamt­wert der Akti­va aller Finanz­un­ter­neh­men hal­ten, die die Dien­ste des betref­fen­den kri­ti­schen IKT-Dritt­dienst­lei­sters nutzen.

(2) Die Ein­stu­fung nach Absatz 1 Buch­sta­be a basiert in Bezug auf IKT-Dienst­lei­stun­gen, die vom IKT-Dritt­dienst­lei­ster bereit­ge­stellt wer­den, auf den fol­gen­den Kriterien:

a) den syste­mi­schen Aus­wir­kun­gen auf die Sta­bi­li­tät, Kon­ti­nui­tät oder Qua­li­tät der Erbrin­gung von Finanz­dienst­lei­stun­gen, falls der betref­fen­de IKT-Dritt­dienst­lei­ster bei der Erbrin­gung sei­ner Dien­ste einer umfas­sen­den Betriebs­stö­rung aus­ge­setzt wäre, wobei die Zahl von Finanz­un­ter­neh­men und der Gesamt­wert der Akti­va der­je­ni­gen Finanz­un­ter­neh­men zu berück­sich­ti­gen ist, für die der betref­fen­de IKT-Dritt­dienst­lei­ster Dienst­lei­stun­gen erbringt;

b) dem syste­mi­schen Cha­rak­ter oder der Bedeu­tung der Finanz­un­ter­neh­men, die auf den jewei­li­gen IKT-Dritt­dienst­lei­ster zurück­grei­fen, bewer­tet anhand der fol­gen­den Parameter:

i) der Anzahl glo­bal system­re­le­van­ter Insti­tu­te (G‑SRI) oder ande­rer system­re­le­van­ter Insti­tu­te (A‑SRI), die auf den jewei­li­gen IKT-Dritt­dienst­lei­ster zurückgreifen;

ii) der Inter­de­pen­denz zwi­schen den unter Zif­fer i genann­ten G‑SRI oder A‑SRI und ande­ren Finanz­un­ter­neh­men, ein­schließ­lich der Fäl­le, in denen die G‑SRI oder A‑SRI Finanz­in­fra­struk­tur­dienst­lei­stun­gen für ande­re Finanz­un­ter­neh­men erbringen;

c) der Abhän­gig­keit von Finanz­un­ter­neh­men von den Dienst­lei­stun­gen des betref­fen­den IKT-Dritt­dienst­lei­sters mit Blick auf kri­ti­sche oder wich­ti­ge Funk­tio­nen von Finanz­un­ter­neh­men, in die letzt­lich der­sel­be IKT-Dritt­dienst­lei­ster invol­viert ist — unab­hän­gig davon, ob Finanz­un­ter­neh­men die­se Dien­ste direkt oder indi­rekt durch Ver­ein­ba­run­gen über die Unter­auf­trags­ver­ga­be in Anspruch nehmen;

d) dem Grad der Sub­sti­tu­ier­bar­keit des IKT-Dritt­dienst­lei­sters unter Berück­sich­ti­gung der fol­gen­den Parameter:

i) des Man­gels an ech­ten, auch teil­wei­sen Alter­na­ti­ven auf­grund der begrenz­ten Zahl von IKT-Dritt­dienst­lei­stern, die auf einem bestimm­ten Markt tätig sind, oder des Markt­an­teils des betref­fen­den IKT-Dritt­dienst­lei­sters oder der damit ver­bun­de­nen tech­ni­schen Kom­ple­xi­tät oder Dif­fe­ren­ziert­heit, auch in Bezug auf pro­prie­tä­re Tech­no­lo­gien, oder der beson­de­ren Merk­ma­le der Orga­ni­sa­ti­on oder Tätig­keit des IKT-Drittdienstleisters;

ii) der Schwie­rig­kei­ten bei der teil­wei­sen oder voll­stän­di­gen Migra­ti­on der ein­schlä­gi­gen Daten und Arbeits­la­sten vom jewei­li­gen IKT-Dritt­dienst­lei­ster zu einem ande­ren IKT-Dritt­dienst­lei­ster, die ent­we­der auf erheb­li­che finan­zi­el­le Kosten, zeit­li­che oder son­sti­ge Res­sour­cen, die der Migra­ti­ons­pro­zess mit sich brin­gen kann, oder auf erhöh­te IKT-Risi­ken oder son­sti­ge ope­ra­tio­nel­le Risi­ken zurück­zu­füh­ren sind, denen das Finanz­un­ter­neh­men durch eine sol­che Migra­ti­on aus­ge­setzt sein könnte.

(3) Gehört der IKT-Dritt­dienst­lei­ster zu einer Grup­pe, so wer­den die in Absatz 2 genann­ten Kri­te­ri­en in Bezug auf die von der Grup­pe als Gan­zes bereit­ge­stell­ten IKT-Dienst­lei­stun­gen berücksichtigt.

(4) Kri­ti­sche IKT-Dritt­dienst­lei­ster, die Teil einer Grup­pe sind, benen­nen eine juri­sti­sche Per­son als Koor­di­nie­rungs­stel­le, um eine ange­mes­se­ne Ver­tre­tung und Kom­mu­ni­ka­ti­on mit der feder­füh­ren­den Über­wa­chungs­be­hör­de sicherzustellen.

(5) Die feder­füh­ren­de Über­wa­chungs­be­hör­de unter­rich­tet den IKT-Dritt­dienst­lei­ster über das Ergeb­nis der Bewer­tung, die zu der in Absatz 1 Buch­sta­be a genann­ten Ein­stu­fung geführt hat. Inner­halb von sechs Wochen ab dem Datum der Unter­rich­tung kann der IKT-Dritt­dienst­lei­ster der feder­füh­ren­den Über­wa­chungs­be­hör­de eine begrün­de­te Erklä­rung mit allen für die Zwecke der Bewer­tung rele­van­ten Infor­ma­tio­nen über­mit­teln. Die feder­füh­ren­de Über­wa­chungs­be­hör­de prüft die begrün­de­te Erklä­rung und kann ver­lan­gen, dass inner­halb von 30 Kalen­der­ta­gen nach Ein­gang der Erklä­rung zusätz­li­che Infor­ma­tio­nen über­mit­telt werden.

Nach der Ein­stu­fung eines IKT-Dritt­dienst­lei­sters als kri­tisch, unter­rich­ten die ESA den IKT-Dritt­dienst­lei­ster über den Gemein­sa­men Aus­schuss über die­se Ein­stu­fung und das Anfangs­da­tum, ab dem er tat­säch­lich Über­wa­chungs­tä­tig­kei­ten unter­lie­gen wird. Die­ses Anfangs­da­tum darf nicht mehr als einen Monat nach der Unter­rich­tung lie­gen. Der IKT-Dritt­dienst­lei­ster teilt den Finanz­un­ter­neh­men, für die er Dienst­lei­stun­gen erbringt, sei­ne Ein­stu­fung als kri­tisch mit.

(6) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 57 einen dele­gier­ten Rechts­akt zu erlas­sen, um die­se Ver­ord­nung durch die wei­te­re Prä­zi­sie­rung der in Absatz 2 genann­ten Kri­te­ri­en bis 17. Juli 2024 zu ergänzen.

(7) Die Ein­stu­fung nach Absatz 1 Buch­sta­be a darf erst ange­wen­det wer­den, wenn die Kom­mis­si­on einen dele­gier­ten Rechts­akt gemäß Absatz 6 erlas­sen hat.

(8) Die Ein­stu­fung nach Absatz 1 Buch­sta­be a gilt nicht für:

i) Finanz­un­ter­neh­men, die IKT-Dienst­lei­stun­gen für ande­re Finanz­un­ter­neh­men bereitstellen;

ii) IKT-Dritt­dienst­lei­ster, die Über­wa­chungs­rah­men unter­lie­gen, die zur Unter­stüt­zung der in Arti­kel 127 Absatz 2 des Ver­trags über die Arbeits­wei­se der Euro­päi­schen Uni­on genann­ten Auf­ga­ben ein­ge­rich­tet wurden;

iii) grup­pen­in­ter­ne IKT-Dienstleister;

iv) IKT-Dritt­dienst­lei­ster, die IKT-Dienst­lei­stun­gen aus­schließ­lich in einem Mit­glied­staat für Finanz­un­ter­neh­men bereit­stel­len, die nur in die­sem Mit­glied­staat tätig sind.

(9) Die ESA erstel­len, ver­öf­fent­li­chen und aktua­li­sie­ren die Liste kri­ti­scher IKT-Dritt­dienst­lei­ster auf Uni­ons­ebe­ne jähr­lich über den Gemein­sa­men Ausschuss.

(10) Die zustän­di­gen Behör­den über­mit­teln dem gemäß Arti­kel 32 ein­ge­rich­te­ten Über­wa­chungs­fo­rum für die Zwecke von Absatz 1 Buch­sta­be a die in Arti­kel 28 Absatz 3 Unter­ab­satz 3 genann­ten Berich­te auf jähr­li­cher und agg­re­gier­ter Basis. Das Über­wa­chungs­fo­rum bewer­tet die Abhän­gig­kei­ten von Finanz­un­ter­neh­men gegen­über IKT-Dritt­dienst­lei­stern auf der Grund­la­ge der von den zustän­di­gen Behör­den über­mit­tel­ten Informationen.

(11) Die­je­ni­gen IKT-Dritt­dienst­lei­ster, die nicht in der in Absatz 9 genann­ten Liste auf­ge­führt sind, kön­nen bean­tra­gen, gemäß Absatz 1 Buch­sta­be a als kri­tisch ein­ge­stuft zu werden.

Für die Zwecke von Unter­ab­satz 1 reicht der IKT-Dritt­dienst­lei­ster bei der EBA, der ESMA oder der EIOPA einen begrün­de­ten Antrag ein, die über den Gemein­sa­men Aus­schuss ent­schei­den, ob die­ser IKT-Dritt­dienst­lei­ster gemäß Absatz 1 Buch­sta­be a als kri­tisch ein­ge­stuft wer­den soll.

Die in Unter­ab­satz 2 genann­te Ent­schei­dung wird inner­halb von 6 Mona­ten nach Ein­gang des Antrags getrof­fen und dem IKT-Dritt­dienst­lei­ster mitgeteilt.

(12) Finanz­un­ter­neh­men dür­fen nur dann die Dienst­lei­stun­gen eines IKT-Dritt­dienst­lei­sters mit Sitz in einem Dritt­land in Anspruch neh­men, der gemäß Absatz 1 Buch­sta­be a als kri­tisch ein­ge­stuft wor­den ist, wenn er inner­halb von zwölf Mona­ten nach der Ein­stu­fung ein Toch­ter­un­ter­neh­men in der Uni­on gegrün­det hat.

(13) Der in Absatz 12 genann­te kri­ti­sche IKT-Dritt­dienst­lei­ster teilt der feder­füh­ren­den Über­wa­chungs­be­hör­de jede Ände­rung der Lei­tungs­struk­tur des in der Uni­on nie­der­ge­las­se­nen Toch­ter­un­ter­neh­mens mit.


Arti­kel 32 Struk­tur des Überwachungsrahmens


(1) Der Gemein­sa­me Aus­schuss rich­tet gemäß Arti­kel 57 Absatz 1 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 das Über­wa­chungs­fo­rum als Unter­aus­schuss ein, der die Arbeit des Gemein­sa­men Aus­schus­ses und der in Arti­kel 31 Absatz 1 Buch­sta­be b genann­ten feder­füh­ren­den Über­wa­chungs­be­hör­de im Bereich des IKT-Dritt­par­tei­en­ri­si­kos in allen Finanz­sek­to­ren unter­stützt. Das Über­wa­chungs­fo­rum erar­bei­tet die Ent­wür­fe gemein­sa­mer Posi­tio­nen und gemein­sa­mer Maß­nah­men des Gemein­sa­men Aus­schus­ses in die­sem Bereich.

Das Über­wa­chungs­fo­rum erör­tert regel­mä­ßig ein­schlä­gi­ge Ent­wick­lun­gen in Bezug auf IKT-Risi­ken und ‑Schwach­stel­len und för­dert einen kohä­ren­ten Ansatz bei der Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos auf Unionsebene.

(2) Das Über­wa­chungs­fo­rum führt jähr­lich eine gemein­sa­me Bewer­tung der Ergeb­nis­se und Erkennt­nis­se der Über­wa­chungs­tä­tig­kei­ten durch, die für alle kri­ti­schen IKT-Dritt­dienst­lei­ster durch­ge­führt wur­den, und för­dert Koor­di­nie­rungs­maß­nah­men, um die digi­ta­le ope­ra­tio­na­le Resi­li­enz von Finanz­un­ter­neh­men zu erhö­hen, bewähr­te Ver­fah­ren zum Ange­hen des IKT-Kon­zen­tra­ti­ons­ri­si­kos zu för­dern und Mög­lich­kei­ten zur Abschwä­chung sek­tor­über­grei­fen­der Risi­ko­trans­fers zu untersuchen.

(3) Das Über­wa­chungs­fo­rum legt umfas­sen­de Refe­renz­wer­te für kri­ti­sche IKT-Dritt­dienst­lei­ster vor, die vom Gemein­sa­men Aus­schuss als gemein­sa­me Posi­tio­nen der ESA gemäß Arti­kel 56 Absatz 1 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 anzu­neh­men sind.

(4) Das Über­wa­chungs­fo­rum setzt sich zusam­men aus

a) den Vor­sit­zen­den der ESA;

b) einem hoch­ran­gi­gen Ver­tre­ter des aktu­el­len Per­so­nals der in Arti­kel 46 genann­ten betref­fen­den zustän­di­gen Behör­de eines jeden Mitgliedstaats;

c) den Exe­ku­tiv­di­rek­to­ren jeder Euro­päi­schen Auf­sichts­be­hör­de und einem Ver­tre­ter der Kom­mis­si­on, des ESRB, der EZB und der ENISA als Beobachter;

d) gege­be­nen­falls einem zusätz­li­chen Ver­tre­ter einer in Arti­kel 46 genann­ten zustän­di­gen Behör­de eines jeden Mit­glied­staats als Beobachter;

e) gege­be­nen­falls einem Ver­tre­ter der gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den, der für die Beauf­sich­ti­gung eines wesent­li­chen oder wich­ti­gen, von der genann­ten Richt­li­nie erfass­ten Unter­neh­mens, das als kri­ti­scher IKT-Dritt­dienst­lei­ster ein­ge­stuft wur­de, zustän­dig ist, als Beobachter.

Das Über­wa­chungs­fo­rum kann gege­be­nen­falls den Rat unab­hän­gi­ger Sach­ver­stän­di­ger ein­ho­len, die gemäß Absatz 6 ernannt wurden.

(5) Jeder Mit­glied­staat benennt die jeweils zustän­di­ge Behör­de, deren Mit­ar­bei­ter der in Absatz 4 Unter­ab­satz 1 Buch­sta­be b genann­te hoch­ran­gi­ge Ver­tre­ter ist, und setzt die feder­füh­ren­de Über­wa­chungs­be­hör­de davon in Kenntnis.

Die ESA ver­öf­fent­li­chen auf ihrer Web­site die Liste der von den Mit­glied­staa­ten benann­ten hoch­ran­gi­gen Ver­tre­ter aus dem aktu­el­len Per­so­nal der jeweils zustän­di­gen Behörde.

(6) Die in Absatz 4 Unter­ab­satz 2 genann­ten unab­hän­gi­gen Sach­ver­stän­di­gen wer­den vom Über­wa­chungs­fo­rum aus einem Pool von Sach­ver­stän­di­gen ernannt, die im Anschluss an ein öffent­li­ches und trans­pa­ren­tes Bewer­bungs­ver­fah­ren aus­ge­wählt wurden.

Die unab­hän­gi­gen Sach­ver­stän­di­gen wer­den auf der Grund­la­ge ihres Fach­wis­sens in den Berei­chen Finanz­sta­bi­li­tät, digi­ta­le ope­ra­tio­na­le Resi­li­enz und Fra­gen der IKT-Sicher­heit ernannt. Sie han­deln unab­hän­gig und objek­tiv im allei­ni­gen Inter­es­se der Uni­on als Gan­zes und dür­fen von Orga­nen oder Ein­rich­tun­gen der Uni­on, von der Regie­rung eines Mit­glied­staats oder von öffent­li­chen oder pri­va­ten Stel­len Wei­sun­gen weder ein­ho­len noch entgegennehmen.

(7) Gemäß Arti­kel 16 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 geben die ESA für die Zwecke die­ses Abschnitts bis zum 17. Juli 2024 Leit­li­ni­en für die Zusam­men­ar­beit zwi­schen den ESA und den zustän­di­gen Behör­den her­aus, die die detail­lier­ten Ver­fah­ren und Bedin­gun­gen für die Zuwei­sung und Aus­füh­rung von Auf­ga­ben zwi­schen zustän­di­gen Behör­den und den ESA sowie die Ein­zel­hei­ten zum Aus­tausch von Infor­ma­tio­nen regeln, die zustän­di­ge Behör­den benö­ti­gen, um die Wei­ter­be­hand­lung der in Arti­kel 35 Absatz 1 Buch­sta­be d genann­ten Emp­feh­lun­gen zu gewähr­lei­sten, die an kri­ti­sche IKT-Dritt­dienst­lei­ster gerich­tet werden.

(8) Die in die­sem Abschnitt dar­ge­leg­ten Anfor­de­run­gen gel­ten unbe­scha­det der Anwen­dung der Richt­li­nie (EU) 2022/2555 und ande­rer Über­wa­chungs­vor­schrif­ten der Uni­on, die für Anbie­ter von Cloud-Com­pu­ting-Dien­sten gelten.

(9) Die ESA legen dem Euro­päi­schen Par­la­ment, dem Rat und der Kom­mis­si­on über den Gemein­sa­men Aus­schuss und auf der Grund­la­ge von Vor­ar­bei­ten des Über­wa­chungs­fo­rums jähr­lich einen Bericht über die Anwen­dung die­ses Abschnitts vor.


Arti­kel 33 Auf­ga­ben der feder­füh­ren­den Überwachungsbehörde


(1) Die gemäß Arti­kel 31 Absatz 1 Buch­sta­be b ernann­te feder­füh­ren­de Über­wa­chungs­be­hör­de führt die Über­wa­chung über die zuge­wie­se­nen kri­ti­schen IKT-Dritt­dienst­lei­ster durch und ist für die­se kri­ti­schen IKT-Dritt­dienst­lei­ster für die Zwecke aller mit der Über­wa­chung ver­bun­de­nen Ange­le­gen­hei­ten die vor­ran­gi­ge Anlauf­stel­le.

(2) Für die Zwecke des Absat­zes 1 bewer­tet die feder­füh­ren­de Über­wa­chungs­be­hör­de, ob jeder kri­ti­sche IKT-Dritt­dienst­lei­ster über umfas­sen­de, fun­dier­te und wirk­sa­me Vor­schrif­ten, Ver­fah­ren, Mecha­nis­men und Vor­keh­run­gen für das Manage­ment der IKT-Risi­ken ver­fügt, die er für Finanz­un­ter­neh­men mit sich brin­gen kann.

Bei der in Unter­ab­satz 1 genann­ten Bewer­tung ste­hen vor allem IKT-Dienst­lei­stun­gen im Mit­tel­punkt, die von dem kri­ti­schen IKT-Dritt­dienst­lei­ster bereit­ge­stellt wer­den und kri­ti­sche oder wich­ti­ge Funk­tio­nen von Finanz­un­ter­neh­men unter­stüt­zen. Die­se Bewer­tung wird auf IKT-Dienst­lei­stun­gen, die ande­re als kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, aus­ge­wei­tet, wenn dies zur Bewäl­ti­gung aller rele­van­ten Risi­ken erfor­der­lich ist.

(3) Die in Absatz 2 genann­te Bewer­tung erstreckt sich auf

a) IKT-Anfor­de­run­gen, um ins­be­son­de­re die Sicher­heit, Ver­füg­bar­keit, Kon­ti­nui­tät, Ska­lier­bar­keit und Qua­li­tät der Dien­ste zu gewähr­lei­sten, die der kri­ti­sche IKT-Dritt­dienst­lei­ster für Finanz­un­ter­neh­men erbringt, sowie die Fähig­keit, jeder­zeit hohe Stan­dards in Bezug auf Ver­füg­bar­keit, Authen­ti­zi­tät, Inte­gri­tät oder Ver­trau­lich­keit der Daten aufrechtzuerhalten;

b) die phy­si­sche Sicher­heit, die zur Gewähr­lei­stung der IKT-Sicher­heit bei­trägt, dar­un­ter auch die Sicher­heit von Räum­lich­kei­ten, Ein­rich­tun­gen und Datenzentren;

c) Risi­ko­ma­nage­ment­pro­zes­se, ein­schließ­lich Stra­te­gien für IKT-Risi­ko­ma­nage­ment, IKT-Geschäfts­fort­füh­rungs­leit­li­nie und IKT-Reak­ti­ons- und Wiederherstellungsplänen;

d) Gover­nan­ce-Rege­lun­gen, ein­schließ­lich einer Orga­ni­sa­ti­ons­struk­tur mit kla­ren, trans­pa­ren­ten und kohä­ren­ten Zustän­dig­keits- und Rechen­schafts­pflich­ten, die ein wirk­sa­mes IKT-Risi­ko­ma­nage­ment ermöglichen;

e) die Ermitt­lung, Über­wa­chung und unver­züg­li­che Mel­dung wesent­li­cher IKT-bezo­ge­ner Vor­fäl­le an die Finanz­un­ter­neh­men sowie den Umgang mit und die Lösung die­ser Vor­fäl­le, ins­be­son­de­re Cyberangriffe;

f) Mecha­nis­men für Daten­über­trag­bar­keit, Über­trag­bar­keit von Anwen­dun­gen und Inter­ope­ra­bi­li­tät, die eine wirk­sa­me Wahr­neh­mung von Kün­di­gungs­rech­ten durch die Finanz­un­ter­neh­men gewährleisten;

g) Tests von IKT-Syste­men, Infra­struk­tu­ren und Kontrollen;

h) IKT-Audits;

i) die Über­nah­me ein­schlä­gi­ger natio­na­ler und inter­na­tio­na­ler Nor­men, die auf die Erbrin­gung der IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men anwend­bar sind.

(4) Die feder­füh­ren­de Über­wa­chungs­be­hör­de nimmt auf der Grund­la­ge der in Absatz 2 genann­ten Bewer­tung und in Abstim­mung mit dem in Arti­kel 34 Absatz 1 genann­ten gemein­sa­men Über­wa­chungs­netz (Joint Over­sight Net­work — JON) einen kla­ren, detail­lier­ten und durch­dach­ten indi­vi­du­el­len Über­wa­chungs­plan an, in dem die für jeden kri­ti­schen IKT-Dritt­dienst­lei­ster vor­ge­se­he­nen jähr­li­chen Über­wa­chungs­zie­le und wich­tig­sten Über­wa­chungs­maß­nah­men beschrie­ben wer­den. Die­ser Plan wird dem kri­ti­schen IKT-Dritt­dienst­lei­ster jedes Jahr übermittelt.

Vor der Annah­me des Über­wa­chungs­plans über­mit­telt die feder­füh­ren­de Über­wa­chungs­be­hör­de dem kri­ti­schen IKT-Dritt­dienst­lei­ster den Ent­wurf des Überwachungsplans.

Nach Ein­gang des Ent­wurfs des Über­wa­chungs­plans kann der kri­ti­sche IKT-Dritt­dienst­lei­ster inner­halb von 15 Kalen­der­ta­gen eine begrün­de­te Erklä­rung vor­le­gen, in der die erwar­te­ten Aus­wir­kun­gen auf Kun­den, bei denen es sich um nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, auf­ge­zeigt wer­den und gege­be­nen­falls Lösun­gen zur Risi­ko­min­de­rung ent­hal­ten sind.

(5) Sobald die in Absatz 4 genann­ten jähr­li­chen Über­wa­chungs­plä­ne ange­nom­men und den kri­ti­schen IKT-Dritt­dienst­lei­stern über­mit­telt wur­den, dür­fen die zustän­di­gen Behör­den Maß­nah­men in Bezug auf die­se kri­ti­schen IKT-Dritt­dienst­lei­ster nur im Ein­ver­neh­men mit der feder­füh­ren­den Über­wa­chungs­be­hör­de ergreifen.


Arti­kel 34 Ope­ra­ti­ve Zusam­men­ar­beit zwi­schen den feder­füh­ren­den Überwachungsbehörden


(1) Um einen kohä­ren­ten Ansatz bei den Über­wa­chungs­tä­tig­kei­ten sicher­zu­stel­len und um koor­di­nier­te all­ge­mei­ne Über­wa­chungs­stra­te­gien und kohä­ren­te ope­ra­ti­ve Ansät­ze und Arbeits­me­tho­den sicher­zu­stel­len, rich­ten die drei gemäß Arti­kel 31 Absatz 1 Buch­sta­be b benann­ten feder­füh­ren­den Über­wa­chungs­be­hör­den ein JON ein, um sich in den Vor­be­rei­tungs­pha­sen unter­ein­an­der abzu­stim­men und die Über­wa­chung über die von ihnen jeweils über­wach­ten kri­ti­schen IKT-Dritt­dienst­lei­ster sowie über das etwa­ige Vor­ge­hen, das gemäß Arti­kel 42 erfor­der­lich sein könn­te, zu koor­di­nie­ren.

(2) Für die Zwecke von Absatz 1 erstel­len die feder­füh­ren­den Über­wa­chungs­be­hör­den ein gemein­sa­mes Über­wa­chungs­pro­to­koll, in dem die genau­en Ver­fah­ren für die täg­li­che Koor­di­nie­rung und die Gewähr­lei­stung eines raschen Aus­tauschs und rascher Reak­tio­nen fest­ge­legt sind. Das Pro­to­koll wird regel­mä­ßig über­ar­bei­tet, um den ope­ra­ti­ven Erfor­der­nis­sen, ins­be­son­de­re der Ent­wick­lung prak­ti­scher Über­wa­chungs­re­ge­lun­gen, Rech­nung zu tragen.

(3) Die feder­füh­ren­den Über­wa­chungs­be­hör­den kön­nen die EZB und die ENISA auf Ad-hoc-Basis ersu­chen, fach­li­che Bera­tung zu lei­sten, prak­ti­sche Erfah­run­gen aus­zu­tau­schen oder an spe­zi­fi­schen Koor­di­nie­rungs­sit­zun­gen des JON teilzunehmen.


Arti­kel 35 Befug­nis­se der feder­füh­ren­den Überwachungsbehörde


(1) Die feder­füh­ren­de Über­wa­chungs­be­hör­de hat zur Wahr­neh­mung der in die­sem Abschnitt dar­ge­leg­ten Auf­ga­ben in Bezug auf die kri­ti­schen IKT-Dritt­dienst­lei­ster die Befug­nis,

a) alle ein­schlä­gi­gen Infor­ma­tio­nen und Unter­la­gen gemäß Arti­kel 37 anzufordern;

b) all­ge­mei­ne Unter­su­chun­gen und Inspek­tio­nen gemäß den Arti­keln 38 bzw. 39 durchzuführen;

c) nach Abschluss der Über­wa­chungs­tä­tig­kei­ten Berich­te anzu­for­dern, in denen die ergrif­fe­nen Maß­nah­men oder die Abhil­fe­maß­nah­men auf­ge­führt sind, die von den kri­ti­schen IKT-Dritt­dienst­lei­stern in Bezug auf die in Buch­sta­be d die­ses Absat­zes genann­ten Emp­feh­lun­gen ergrif­fen wurden;

d) Emp­feh­lun­gen zu den in Arti­kel 33 Absatz 3 genann­ten Berei­chen abzu­ge­ben, ins­be­son­de­re in Bezug auf Folgendes:

i) die Anwen­dung spe­zi­fi­scher IKT-Sicher­heits- und Qua­li­täts­an­for­de­run­gen oder ‑ver­fah­ren, ins­be­son­de­re in Bezug auf die Her­aus­ga­be von Patches, Aktua­li­sie­run­gen, Ver­schlüs­se­lung und ande­re Sicher­heits­maß­nah­men, die die feder­füh­ren­de Über­wa­chungs­be­hör­de für die Gewähr­lei­stung der IKT-Sicher­heit von Dien­sten, die Finanz­un­ter­neh­men bereit­ge­stellt wer­den, für rele­vant hält;

ii) die Ver­wen­dung von Bedin­gun­gen — ein­schließ­lich ihrer tech­ni­schen Umset­zung — zu denen die kri­ti­schen IKT-Dritt­dienst­lei­ster IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men bereit­stel­len, die die feder­füh­ren­de Über­wa­chungs­be­hör­de für rele­vant hält, um die Ent­ste­hung punk­tu­el­ler Aus­fäl­le oder deren Ver­stär­kung zu ver­hin­dern oder um mög­li­che syste­mi­sche Aus­wir­kun­gen im Finanz­sek­tor der Uni­on im Fal­le eines IKT-Kon­zen­tra­ti­ons­ri­si­kos zu minimieren;

iii) jede geplan­te Unter­auf­trags­ver­ga­be, in deren Fall die feder­füh­ren­de Über­wa­chungs­be­hör­de auf­grund der Prü­fung der gemäß den Arti­keln 37 und 38 erlang­ten Infor­ma­tio­nen der Auf­fas­sung ist, dass eine wei­te­re Unter­auf­trags­ver­ga­be, ein­schließ­lich Ver­ein­ba­run­gen über die Unter­auf­trags­ver­ga­be, die die kri­ti­schen IKT-Dritt­dienst­lei­ster mit ande­ren IKT-Dritt­dienst­lei­stern oder mit IKT-Unter­auf­trag­neh­mern mit Sitz in einem Dritt­land zu schlie­ßen beab­sich­ti­gen, Risi­ken für die Erbrin­gung von Dienst­lei­stun­gen durch das Finanz­un­ter­neh­men oder Risi­ken für die Finanz­sta­bi­li­tät mit sich brin­gen kann;

iv) von der Ver­ein­ba­rung über wei­te­re Unter­auf­trags­ver­ga­be abzu­se­hen, wenn die fol­gen­den kumu­la­ti­ven Bedin­gun­gen erfüllt sind:

- Bei dem aus­ge­wähl­ten Unter­auf­trag­neh­mer han­delt es sich um einen IKT-Dritt­dienst­lei­ster oder einen IKT-Unter­auf­trag­neh­mer mit Sitz in einem Drittland;

- die Unter­auf­trags­ver­ga­be betrifft eine kri­ti­sche oder wich­ti­ge Funk­ti­on des Finanz­un­ter­neh­mens; und

- die feder­füh­ren­de Über­wa­chungs­be­hör­de ist der Ansicht, dass die­se Unter­auf­trags­ver­ga­be ein ein­deu­ti­ges und ern­stes Risi­ko für die Finanz­sta­bi­li­tät der Uni­on oder für Finanz­un­ter­neh­men dar­stellt, ein­schließ­lich der Fähig­keit von Finanz­un­ter­neh­men, Auf­sichts­an­for­de­run­gen zu erfüllen.

Für die Zwecke der Zif­fer iv des vor­lie­gen­den Buch­sta­bens über­mit­teln IKT-Dritt­dienst­lei­ster der feder­füh­ren­den Über­wa­chungs­be­hör­de unter Ver­wen­dung der in Arti­kel 41 Absatz 1 Buch­sta­be b genann­ten Vor­la­ge Infor­ma­tio­nen über die Unterauftragsvergabe.

(2) Bei der Aus­übung der in die­sem Arti­kel genann­ten Befug­nis­se geht die feder­füh­ren­de Über­wa­chungs­be­hör­de wie folgt vor:

a) Sie sorgt für eine regel­mä­ßi­ge Abstim­mung inner­halb des JON und bemüht sich gege­be­nen­falls ins­be­son­de­re um kohä­ren­te Her­an­ge­hens­wei­sen für die Über­wa­chung kri­ti­scher IKT-Drittdienstleister;

b) sie trägt dem durch die Richt­li­nie (EU) 2022/2555 geschaf­fe­nen Rah­men gebüh­rend Rech­nung und kon­sul­tiert erfor­der­li­chen­falls die gemäß der genann­ten Richt­li­nie benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den, um eine Über­schnei­dung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu ver­mei­den, die gemäß der genann­ten Richt­li­nie auf kri­ti­sche IKT-Dritt­dienst­lei­ster ange­wandt wer­den könnten;

c) sie ist bestrebt, das Risi­ko einer Stö­rung der Dien­ste, die von kri­ti­schen IKT-Dritt­dienst­lei­stern für Kun­den bereit­ge­stellt wer­den, bei denen es sich um nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, so weit wie mög­lich zu minimieren.

(3) Die feder­füh­ren­de Über­wa­chungs­be­hör­de kon­sul­tiert das Über­wa­chungs­fo­rum, bevor sie die in Absatz 1 genann­ten Befug­nis­se ausübt.

Bevor die feder­füh­ren­de Über­wa­chungs­be­hör­de Emp­feh­lun­gen gemäß Absatz 1 Buch­sta­be d abgibt, bie­tet die sie dem IKT-Dritt­dienst­lei­ster Gele­gen­heit, inner­halb von 30 Kalen­der­ta­gen ein­schlä­gi­ge Infor­ma­tio­nen bereit­zu­stel­len, mit denen die erwar­te­ten Aus­wir­kun­gen auf Kun­den, bei denen es sich um nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Unter­neh­men han­delt, auf­ge­zeigt wer­den und die gege­be­nen­falls Lösun­gen zur Risi­ko­min­de­rung enthalten.

(4) Die feder­füh­ren­de Über­wa­chungs­be­hör­de unter­rich­tet das JON über das Ergeb­nis der Aus­übung der in Absatz 1 Buch­sta­ben a und b genann­ten Befug­nis­se. Sie über­mit­telt die in Absatz 1 Buch­sta­be c genann­ten Berich­te unver­züg­lich dem JON und den Behör­den, die für die­je­ni­gen Finanz­un­ter­neh­men, die die IKT-Dienst­lei­stun­gen des betref­fen­den kri­ti­schen IKT-Dritt­dienst­lei­sters in Anspruch neh­men, zustän­dig sind.

(5) Kri­ti­sche IKT-Dritt­dienst­lei­ster arbei­ten nach Treu und Glau­ben mit der feder­füh­ren­den Über­wa­chungs­be­hör­de zusam­men und unter­stüt­zen sie bei der Erfül­lung ihrer Aufgaben.

(6) Bei voll­stän­di­ger oder teil­wei­ser Nicht­ein­hal­tung der Maß­nah­men, die infol­ge der Aus­übung der Befug­nis­se gemäß Absatz 1 Buch­sta­ben a, b oder c zu ergrei­fen sind, und nach Ablauf einer Frist von min­de­stens 30 Kalen­der­ta­gen ab dem Tag, an dem der kri­ti­sche IKT-Dritt­dienst­lei­ster eine Mit­tei­lung über die betref­fen­den Maß­nah­men erhal­ten hat, erlässt die feder­füh­ren­de Über­wa­chungs­be­hör­de eine Ent­schei­dung über die Ver­hän­gung eines Zwangs­gelds, um den kri­ti­schen IKT-Dritt­dienst­lei­ster zur Ein­hal­tung die­ser Maß­nah­men zu zwingen.

(7) Das in Absatz 6 genann­te Zwangs­geld wird täg­lich bis zur Ein­hal­tung der Vor­schrif­ten und für höch­stens sechs Mona­te nach Mit­tei­lung der Ent­schei­dung über die Ver­hän­gung eines Zwangs­gelds an den kri­ti­schen IKT-Dritt­dienst­lei­ster verhängt.

(8) Die Höhe des Zwangs­gelds, berech­net ab dem in der Ent­schei­dung über die Ver­hän­gung des Zwangs­gelds genann­ten Zeit­punkt, beträgt bis zu 1 % des durch­schnitt­li­chen welt­wei­ten Tages­um­sat­zes, den der kri­ti­sche IKT-Dritt­dienst­lei­ster im vor­an­ge­gan­ge­nen Geschäfts­jahr erzielt hat. Bei der Fest­set­zung der Höhe des Zwangs­gelds berück­sich­tigt die feder­füh­ren­de Über­wa­chungs­be­hör­de in Bezug auf die Nicht­ein­hal­tung der in Absatz 6 genann­ten Maß­nah­men fol­gen­de Kriterien:

a) Schwe­re und Dau­er der Nichteinhaltung;

b) ob die Nicht­ein­hal­tung vor­sätz­lich oder fahr­läs­sig began­gen wurde;

c) das Aus­maß der Zusam­men­ar­beit des IKT-Dritt­dienst­lei­sters mit der feder­füh­ren­den Überwachungsbehörde.

Für die Zwecke des Unter­ab­sat­zes 1 führt die feder­füh­ren­de Über­wa­chungs­be­hör­de Kon­sul­ta­tio­nen im Rah­men des JON durch, um einen kon­si­sten­ten Ansatz sicherzustellen.

(9) Zwangs­gel­der sind admi­ni­stra­ti­ver Art und voll­streck­bar. Die Zwangs­voll­streckung erfolgt nach den gel­ten­den Vor­schrif­ten des Zivil­pro­zess­rechts des Mit­glied­staats, in des­sen Hoheits­ge­biet Inspek­tio­nen und Zugang erfol­gen. Die Gerich­te des betref­fen­den Mit­glied­staats sind für Beschwer­den im Zusam­men­hang mit vor­schrifts­wid­ri­gem Voll­zug zustän­dig. Die Beträ­ge der Zwangs­gel­der wer­den dem Gesamt­haus­halts­plan der Euro­päi­schen Uni­on zugewiesen.

(10) Die feder­füh­ren­de Über­wa­chungs­be­hör­de ver­öf­fent­licht sämt­li­che ver­häng­ten Zwangs­gel­der, sofern dies die Sta­bi­li­tät der Finanz­märk­te nicht ernst­haft gefähr­det und den Betei­lig­ten dar­aus kein unver­hält­nis­mä­ßi­ger Scha­den erwächst.

(11) Die feder­füh­ren­de Über­wa­chungs­be­hör­de gibt den Ver­tre­tern des dem Ver­fah­ren unter­lie­gen­den kri­ti­schen IKT-Dritt­dienst­lei­sters vor Ver­hän­gung eines Zwangs­gel­des nach Absatz 6 Gele­gen­heit, zu den Fest­stel­lun­gen ange­hört zu wer­den, und stützt ihre Ent­schei­dun­gen aus­schließ­lich auf Fest­stel­lun­gen, zu denen sich der vom Ver­fah­ren betrof­fe­ne kri­ti­sche IKT-Dritt­dienst­lei­ster äußern konnte.

Die Ver­tei­di­gungs­rech­te der vom Ver­fah­ren betrof­fe­nen Per­so­nen wer­den wäh­rend des Ver­fah­rens in vol­lem Umfang gewahrt. Der dem Ver­fah­ren unter­wor­fe­ne IKT-Dritt­dienst­lei­ster hat, vor­be­halt­lich des berech­tig­ten Inter­es­ses ande­rer Per­so­nen an der Wah­rung ihrer Geschäfts­ge­heim­nis­se, ein Recht auf Akten­ein­sicht. Vom Recht auf Akten­ein­sicht aus­ge­nom­men sind ver­trau­li­che Infor­ma­tio­nen sowie inter­ne vor­be­rei­ten­de Unter­la­gen der feder­füh­ren­den Überwachungsbehörde.


Arti­kel 36 Aus­übung der Befug­nis­se der feder­füh­ren­den Über­wa­chungs­be­hör­de außer­halb der Union


(1) Wenn sich die Über­wa­chungs­zie­le im Wege der Inter­ak­ti­on mit dem für die Zwecke des Arti­kels 31 Absatz 12 gegrün­de­ten Toch­ter­un­ter­neh­men oder durch Über­wa­chungs­tä­tig­kei­ten an Stand­or­ten in der Uni­on nicht errei­chen las­sen, kann die feder­füh­ren­de Über­wa­chungs­be­hör­de an allen Stand­or­ten in einem Dritt­land, die sich im Eigen­tum eines kri­ti­schen IKT-Dritt­dienst­lei­sters befin­den oder von ihm zur Erbrin­gung von Dienst­lei­stun­gen für Finanz­un­ter­neh­men der Uni­on in irgend­ei­ner Wei­se im Zusam­men­hang mit sei­ner Geschäfts­tä­tig­keit, sei­nen Funk­tio­nen oder sei­nen Dienst­lei­stun­gen genutzt wer­den, wozu alle Verwaltungs‑, Geschäfts- oder Betriebs­stel­len, Räum­lich­kei­ten, Grund­stücke, Gebäu­de oder ande­re Immo­bi­li­en gehö­ren, die Befug­nis­se aus­üben, die in fol­gen­den Bestim­mun­gen genannt wer­den:

a) in Arti­kel 35 Absatz 1 Buch­sta­be a und

b) in Arti­kel 35 Absatz 1 Buch­sta­be b im Ein­klang mit Arti­kel 38 Absatz 2 Buch­sta­ben a, b und d sowie in Arti­kel 39 Absatz 1 und Absatz 2 Buch­sta­be a.

Die in Unter­ab­satz 1 genann­ten Befug­nis­se kön­nen unter den fol­gen­den Bedin­gun­gen aus­ge­übt werden:

i) Die feder­füh­ren­de Über­wa­chungs­be­hör­de erach­tet die Durch­füh­rung einer Inspek­ti­on in einem Dritt­land als not­wen­dig, damit sie ihre Auf­ga­ben ent­spre­chend die­ser Ver­ord­nung voll­stän­dig und wirk­sam wahr­neh­men kann;

ii) die Inspek­ti­on in einem Dritt­land steht in direk­tem Zusam­men­hang mit der Bereit­stel­lung von IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men in der Union;

iii) der betref­fen­de kri­ti­sche IKT-Dritt­dienst­lei­ster stimmt der Durch­füh­rung einer Inspek­ti­on in einem Dritt­land zu; und

iv) die ein­schlä­gi­ge Behör­de des betref­fen­den Dritt­lands wur­de von der feder­füh­ren­den Über­wa­chungs­be­hör­de offi­zi­ell unter­rich­tet und hat kei­ne Ein­wän­de dage­gen erhoben.

(2) Unbe­scha­det der jewei­li­gen Zustän­dig­kei­ten der Orga­ne der Uni­on und der Mit­glied­staa­ten schlie­ßen die EBA, die ESMA oder die EIOPA für die Zwecke des Absat­zes 1 Ver­ein­ba­run­gen über die Ver­wal­tungs­zu­sam­men­ar­beit mit der ein­schlä­gi­gen Behör­de des Dritt­lands, um die rei­bungs­lo­se Durch­füh­rung von Inspek­tio­nen in dem betref­fen­den Dritt­land durch die feder­füh­ren­de Über­wa­chungs­be­hör­de und ihr für ihren Auf­trag in die­sem Dritt­land benann­tes Team zu ermög­li­chen. Die­se Koope­ra­ti­ons­ver­ein­ba­run­gen begrün­den kei­ne recht­li­chen Ver­pflich­tun­gen gegen­über der Uni­on und ihren Mit­glied­staa­ten und hin­dern die Mit­glied­staa­ten und ihre zustän­di­gen Behör­den nicht dar­an, bila­te­ra­le oder mul­ti­la­te­ra­le Ver­ein­ba­run­gen mit die­sen Dritt­län­dern und deren ein­schlä­gi­gen Behör­den zu schließen.

In den Koope­ra­ti­ons­ver­ein­ba­run­gen sind min­de­stens die fol­gen­den Ele­men­te festgelegt:

a) die Ver­fah­ren für die Koor­di­nie­rung der im Rah­men die­ser Ver­ord­nung durch­ge­führ­ten Über­wa­chungs­tä­tig­kei­ten und jede ent­spre­chen­de Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos im Finanz­sek­tor durch die ein­schlä­gi­ge Behör­de des betref­fen­den Dritt­lands, ein­schließ­lich der Ein­zel­hei­ten für die Über­mitt­lung der Zustim­mung die­ser Behör­de, damit die feder­füh­ren­de Über­wa­chungs­be­hör­de und ihr benann­tes Team in des­sen Hoheits­ge­biet all­ge­mei­ne Unter­su­chun­gen und Vor-Ort-Inspek­tio­nen gemäß Absatz 1 Unter­ab­satz 1 durch­füh­ren können;

b) der Mecha­nis­mus für die Über­mitt­lung aller rele­van­ten Infor­ma­tio­nen zwi­schen der EBA, der ESMA oder der EIOPA und der ein­schlä­gi­gen Behör­de des betref­fen­den Dritt­lands, ins­be­son­de­re im Zusam­men­hang mit Infor­ma­tio­nen, die von der feder­füh­ren­den Über­wa­chungs­be­hör­de gemäß Arti­kel 37 ange­for­dert wer­den können;

c) die Mecha­nis­men für die unver­züg­li­che Unter­rich­tung der EBA, der ESMA oder der EIOPA durch die ein­schlä­gi­ge Behör­de des betref­fen­den Dritt­lands über Fäl­le, in denen einem IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land, der gemäß Arti­kel 31 Absatz 1 Buch­sta­be a als kri­tisch ein­ge­stuft wur­de, ein Ver­stoß gegen die Anfor­de­run­gen zur Last gelegt wird, die er nach dem gel­ten­den Recht des betref­fen­den Dritt­lands bei der Erbrin­gung von Dienst­lei­stun­gen für Finanz­in­sti­tu­te in die­sem Dritt­land ein­hal­ten muss, sowie die ange­wand­ten Rechts­be­hel­fe und ver­häng­ten Sanktionen;

d) die regel­mä­ßi­ge Über­mitt­lung von Neue­run­gen im Bereich der regu­la­to­ri­schen und auf­sicht­li­chen Ent­wick­lun­gen bei der Über­wa­chung des IKT-Dritt­par­tei­en­ri­si­kos für Finanz­in­sti­tu­te in dem betref­fen­den Drittland;

e) die Ein­zel­hei­ten, die erfor­der­li­chen­falls die Teil­nah­me eines Ver­tre­ters der zustän­di­gen Dritt­lands­be­hör­de an den Inspek­tio­nen der feder­füh­ren­den Über­wa­chungs­be­hör­de und des benann­ten Teams ermöglichen.

(3) Ist die feder­füh­ren­de Über­wa­chungs­be­hör­de nicht in der Lage, die in den Absät­zen 1 und 2 genann­ten Über­wa­chungs­tä­tig­kei­ten außer­halb der Uni­on durch­zu­füh­ren, so

a) übt sie ihre Befug­nis­se nach Arti­kel 35 auf der Grund­la­ge aller ihr bekann­ten Tat­sa­chen und zur Ver­fü­gung ste­hen­den Unter­la­gen aus;

b) doku­men­tiert und erläu­tert sie alle Fol­gen, die sich dar­aus erge­ben, dass sie nicht in der Lage ist, die geplan­ten Über­wa­chungs­tä­tig­kei­ten gemäß die­sem Arti­kel durchzuführen.

Die in Buch­sta­be b genann­ten poten­zi­el­len Fol­gen wer­den in den Emp­feh­lun­gen der feder­füh­ren­den Über­wa­chungs­be­hör­de gemäß Arti­kel 35 Absatz 1 Buch­sta­be d berücksichtigt.


Arti­kel 37 Auskunftsersuchen


(1) Die feder­füh­ren­de Über­wa­chungs­be­hör­de kann von kri­ti­schen IKT-Dritt­dienst­lei­stern durch ein­fa­ches Ersu­chen oder durch Beschluss ver­lan­gen, alle Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, die die feder­füh­ren­de Über­wa­chungs­be­hör­de benö­tigt, um ihre Auf­ga­ben im Rah­men die­ser Ver­ord­nung wahr­zu­neh­men, ein­schließ­lich aller rele­van­ten Geschäfts- oder Betriebs­un­ter­la­gen, Ver­trä­ge, Leit- und Richt­li­ni­en, Doku­men­ta­tio­nen, Mel­dun­gen über IKT-Sicher­heits­prü­fun­gen, Berich­te über IKT-bezo­ge­ne Vor­fäl­le sowie aller Infor­ma­tio­nen über Par­tei­en, an die der kri­ti­sche IKT-Dritt­dienst­lei­ster betrieb­li­che Funk­tio­nen oder Tätig­kei­ten aus­ge­la­gert hat.

(2) Bei der Über­mitt­lung eines ein­fa­chen Aus­kunfts­er­su­chens nach Absatz 1 ver­fährt die feder­füh­ren­de Über­wa­chungs­be­hör­de wie folgt:

a) Sie nimmt auf die­sen Arti­kel als Rechts­grund­la­ge des Ersu­chens Bezug;

b) sie gibt den Zweck des Ersu­chens bekannt;

c) sie erläu­tert, wel­che Infor­ma­tio­nen gefor­dert werden;

d) sie legt die Frist für die Vor­la­ge der Infor­ma­tio­nen fest;

e) sie unter­rich­tet den Ver­tre­ter des kri­ti­schen IKT-Dritt­dienst­lei­sters, von dem die Infor­ma­tio­nen ange­for­dert wer­den, dar­über, dass er zu deren Über­mitt­lung zwar nicht ver­pflich­tet ist, die vor­ge­leg­ten Infor­ma­tio­nen bei frei­wil­li­ger Beant­wor­tung des Ersu­chens jedoch nicht falsch oder irre­füh­rend sein dürfen.

(3) For­dert die feder­füh­ren­de Über­wa­chungs­be­hör­de durch ent­spre­chen­den Beschluss gemäß Absatz 1 Infor­ma­tio­nen an, ver­fährt sie wie folgt:

a) Sie nimmt auf die­sen Arti­kel als Rechts­grund­la­ge des Ersu­chens Bezug;

b) sie gibt den Zweck des Ersu­chens bekannt;

c) sie erläu­tert, wel­che Infor­ma­tio­nen gefor­dert werden;

d) sie legt die Frist für die Vor­la­ge der Infor­ma­tio­nen fest;

e) sie nennt die Zwangs­gel­der, die nach Arti­kel 35 Absatz 6 ver­hängt wer­den, wenn die gefor­der­ten Infor­ma­tio­nen unvoll­stän­dig sind oder nicht inner­halb der unter Buch­sta­be d genann­ten Frist vor­ge­legt werden;

f) sie weist auf das Recht nach den Arti­keln 60 und 61 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 hin, vor dem Beschwer­de­aus­schuss der ESA Beschwer­de gegen den Beschluss ein­zu­le­gen und den Beschluss durch den Gerichts­hof der Euro­päi­schen Uni­on (im Fol­gen­den „Gerichts­hof“) über­prü­fen zu lassen.

(4) Die Ver­tre­ter der kri­ti­schen IKT-Dritt­dienst­lei­ster stel­len die ange­for­der­ten Infor­ma­tio­nen zur Ver­fü­gung. Ord­nungs­ge­mäß bevoll­mäch­tig­te Rechts­an­wäl­te kön­nen die Aus­künf­te im Namen ihrer Man­dan­ten ertei­len. Die kri­ti­schen IKT-Dritt­dienst­lei­ster blei­ben in vol­lem Umfang ver­ant­wort­lich, wenn die erteil­ten Aus­künf­te unvoll­stän­dig, sach­lich unrich­tig oder irre­füh­rend sind.

(5) Die feder­füh­ren­de Über­wa­chungs­be­hör­de über­mit­telt den für die­je­ni­gen Finanz­un­ter­neh­men, die die Dien­ste der betref­fen­den kri­ti­schen IKT-Dritt­dienst­lei­ster nut­zen, zustän­di­gen Behör­den sowie dem JON unver­züg­lich eine Kopie der Ent­schei­dung, Infor­ma­tio­nen bereitzustellen.


Arti­kel 38 All­ge­mei­ne Untersuchungen


(1) Die feder­füh­ren­de Über­wa­chungs­be­hör­de kann zur Wahr­neh­mung ihrer Auf­ga­ben gemäß die­ser Ver­ord­nung mit Unter­stüt­zung des in Arti­kel 40 Absatz 1 genann­ten gemein­sa­men Unter­su­chungs­teams erfor­der­li­chen­falls Unter­su­chun­gen von kri­ti­schen IKT-Dritt­dienst­lei­stern durch­füh­ren.

(2) Die feder­füh­ren­de Über­wa­chungs­be­hör­de ist befugt,

a) Auf­zeich­nun­gen, Daten, Ver­fah­ren und son­sti­ges für die Erfül­lung ihrer Auf­ga­ben rele­van­tes Mate­ri­al unab­hän­gig von der Spei­cher­form zu prüfen;

b) beglau­big­te Kopien oder Aus­zü­ge die­ser Auf­zeich­nun­gen, Daten und doku­men­tier­ten Ver­fah­ren und von sämt­li­chen son­sti­gen Mate­ria­li­en anzu­fer­ti­gen oder zu verlangen;

c) Ver­tre­ter des kri­ti­schen IKT-Dritt­dienst­lei­sters vor­zu­la­den und zur Abga­be münd­li­cher oder schrift­li­cher Erklä­run­gen zu Sach­ver­hal­ten oder Unter­la­gen auf­zu­for­dern, die mit Gegen­stand und Zweck der Unter­su­chung in Zusam­men­hang ste­hen, und die Ant­wor­ten aufzuzeichnen;

d) jede ande­re natür­li­che oder juri­sti­sche Per­son zu befra­gen, die die­ser Befra­gung zum Zweck der Ein­ho­lung von Infor­ma­tio­nen über den Gegen­stand einer Unter­su­chung zustimmt;

e) Auf­zeich­nun­gen von Tele­fon­ge­sprä­chen und Daten­über­mitt­lun­gen anzufordern.

(3) Die Bedien­ste­ten und son­sti­ge von der feder­füh­ren­den Über­wa­chungs­be­hör­de zu Unter­su­chun­gen gemäß Absatz 1 ermäch­tig­te Per­so­nen üben ihre Befug­nis­se unter Vor­la­ge einer schrift­li­chen Ermäch­ti­gung aus, in der Gegen­stand und Zweck der Unter­su­chung ange­ge­ben werden.

In der Ermäch­ti­gung sind auch die in Arti­kel 35 Absatz 6 vor­ge­se­he­nen Zwangs­gel­der für den Fall anzu­ge­ben, dass die ange­for­der­ten Auf­zeich­nun­gen, Daten, doku­men­tier­ten Ver­fah­ren oder son­sti­gen Mate­ria­li­en oder die Ant­wor­ten auf Fra­gen, die den Ver­tre­tern des IKT-Dritt­dienst­lei­sters gestellt wer­den, nicht gelie­fert wer­den oder unvoll­stän­dig sind.

(4) Die Ver­tre­ter der kri­ti­schen IKT-Dritt­dienst­lei­ster sind ver­pflich­tet, sich den Unter­su­chun­gen auf der Grund­la­ge einer Ent­schei­dung der feder­füh­ren­den Über­wa­chungs­be­hör­de zu unter­zie­hen. In dem Beschluss sind Gegen­stand und Zweck der Unter­su­chung, die nach Arti­kel 35 Absatz 6 vor­ge­se­he­nen Zwangs­gel­der, die nach den Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 mög­li­chen Rechts­be­hel­fe sowie das Recht, den Beschluss durch den Gerichts­hof über­prü­fen zu las­sen, anzugeben.

(5) Recht­zei­tig vor Beginn der Unter­su­chung unter­rich­tet die feder­füh­ren­de Über­wa­chungs­be­hör­de die für die­je­ni­gen Finanz­un­ter­neh­men, die die IKT-Dienst­lei­stun­gen die­ses kri­ti­schen IKT-Dritt­dienst­lei­sters nut­zen, zustän­di­gen Behör­den über die geplan­te Unter­su­chung sowie die Iden­ti­tät der bevoll­mäch­tig­ten Personen.

Die feder­füh­ren­de Über­wa­chungs­be­hör­de über­mit­telt dem JON alle gemäß Unter­ab­satz 1 mit­ge­teil­ten Informationen.


Arti­kel 39 Inspektionen


(1) Die feder­füh­ren­de Über­wa­chungs­be­hör­de kann zur Wahr­neh­mung ihrer Auf­ga­ben nach die­ser Ver­ord­nung mit Unter­stüt­zung der in Arti­kel 40 Absatz 1 genann­ten gemein­sa­men Unter­su­chungs­teams sämt­li­che Geschäfts­räu­me, Grund­stücke oder Gebäu­de des IKT-Dritt­dienst­lei­sters, wie Haupt­ver­wal­tun­gen, Betriebs­zen­tren und sekun­dä­re Räum­lich­kei­ten, betre­ten und dort alle erfor­der­li­chen Vor-Ort-Inspek­tio­nen durch­füh­ren sowie außer­halb die­ser Räum­lich­kei­ten Inspek­tio­nen durch­füh­ren.

Für die Aus­übung der in Unter­ab­satz 1 genann­ten Befug­nis­se kon­sul­tiert die feder­füh­ren­de Über­wa­chungs­be­hör­de das JON.

(2) Die Bedien­ste­ten und son­sti­ge Per­so­nen, die von der feder­füh­ren­den Über­wa­chungs­be­hör­de zur Durch­füh­rung einer Vor-Ort-Inspek­ti­on ermäch­tigt wur­den, sind befugt,

a) die­se Geschäfts­räu­me, Grund­stücke oder Gebäu­de zu betre­ten; und

b) die­se Geschäfts­räu­me, Bücher oder Auf­zeich­nun­gen für die Dau­er der Inspek­ti­on und in dem für die Inspek­ti­on erfor­der­li­chen Umfang zu versiegeln.

Die Bedien­ste­ten und son­sti­ge von der feder­füh­ren­den Über­wa­chungs­be­hör­de ermäch­tig­ten Per­so­nen üben ihre Befug­nis­se unter Vor­la­ge einer schrift­li­chen Ermäch­ti­gung aus, in der Gegen­stand und Zweck der Inspek­ti­on sowie die in Arti­kel 35 Absatz 6 vor­ge­se­he­nen Zwangs­gel­der ange­ge­ben sind, die ver­hängt wer­den, wenn sich die Ver­tre­ter der betref­fen­den IKT-Dritt­dienst­lei­ster der Inspek­ti­on nicht unterziehen.

(3) Die feder­füh­ren­de Über­wa­chungs­be­hör­de unter­rich­tet die für die­je­ni­gen Finanz­un­ter­neh­men, die die­sen IKT-Dritt­dienst­lei­ster in Anspruch neh­men, zustän­di­gen Behör­den recht­zei­tig vor der Inspektion.

(4) Die Inspek­tio­nen erstrecken sich auf das gesam­te Spek­trum ein­schlä­gi­ger IKT-Syste­me, ‑Netz­wer­ke, ‑Gerä­te, ‑Infor­ma­tio­nen und ‑Daten, die für die Erbrin­gung von IKT-Dienst­lei­stun­gen für Finanz­un­ter­neh­men ver­wen­det wer­den oder dazu beitragen.

(5) Die feder­füh­ren­de Über­wa­chungs­be­hör­de unter­rich­tet die kri­ti­schen IKT-Dritt­dienst­lei­ster vor jeder geplan­ten Vor-Ort-Inspek­ti­on mit ange­mes­se­nem Vor­lauf, es sei denn, eine sol­che Unter­rich­tung ist auf­grund einer Not- oder Kri­sen­si­tua­ti­on nicht mög­lich oder wür­de Umstän­de her­bei­füh­ren, unter denen die Inspek­ti­on oder das Audit nicht mehr wirk­sam wären.

(6) Der kri­ti­sche IKT-Dritt­dienst­lei­ster unter­zieht sich den durch Beschluss der feder­füh­ren­den Über­wa­chungs­be­hör­de ange­ord­ne­ten Vor-Ort-Inspek­tio­nen. In dem Beschluss sind Gegen­stand, Zweck und Datum des Beginns der Inspek­ti­on, die nach Arti­kel 35 Absatz 6 vor­ge­se­he­nen Zwangs­gel­der, die nach den Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 mög­li­chen Rechts­be­hel­fe sowie das Recht, den Beschluss durch den Gerichts­hof über­prü­fen zu las­sen, anzugeben.

(7) Gelan­gen die Bedien­ste­ten und son­sti­ge von der feder­füh­ren­den Über­wa­chungs­be­hör­de bevoll­mäch­tig­te Per­so­nen zu dem Schluss, dass ein kri­ti­scher IKT-Dritt­dienst­lei­ster sich einer gemäß die­sem Arti­kel ange­ord­ne­ten Inspek­ti­on wider­setzt, unter­rich­tet die feder­füh­ren­de Über­wa­chungs­be­hör­de den kri­ti­schen IKT-Dritt­dienst­lei­ster über die Fol­gen einer sol­chen Wider­set­zung, ein­schließ­lich der Mög­lich­keit der für die betref­fen­den Finanz­un­ter­neh­men zustän­di­gen Behör­den, Finanz­un­ter­neh­men zu ver­pflich­ten, die mit die­sem kri­ti­schen IKT-Dritt­dienst­lei­ster geschlos­se­nen ver­trag­li­chen Ver­ein­ba­run­gen zu kündigen.


Arti­kel 40 Lau­fen­de Überwachung


(1) Bei der Durch­füh­rung von Über­wa­chungs­tä­tig­kei­ten, ins­be­son­de­re all­ge­mei­nen Unter­su­chun­gen oder Inspek­tio­nen, wird die feder­füh­ren­de Über­wa­chungs­be­hör­de von einem gemein­sa­men Unter­su­chungs­team unter­stützt, das für jeden kri­ti­schen IKT-Dritt­dienst­lei­ster ein­ge­rich­tet wird.

(2) Das in Absatz 1 genann­te gemein­sa­me Unter­su­chungs­team setzt sich aus Mit­ar­bei­tern der fol­gen­den Behör­den zusammen:

a) der ESA;

b) der jeweils zustän­di­gen Behör­den, die die Finanz­un­ter­neh­men beauf­sich­ti­gen, denen der kri­ti­sche IKT-Dritt­dienst­lei­ster IKT-Dienst­lei­stun­gen erbringt;

c) der in Arti­kel 32 Absatz 4 Buch­sta­be e genann­ten zustän­di­gen natio­na­le Behör­de, auf frei­wil­li­ger Basis;

d) einer zustän­di­gen natio­na­len Behör­de des Mit­glied­staats, in dem der kri­ti­sche IKT-Dritt­dienst­lei­ster sei­nen Sitz hat, auf frei­wil­li­ger Basis.

Die Mit­glie­der des gemein­sa­men Unter­su­chungs­teams müs­sen über Fach­wis­sen in den Berei­chen IKT und ope­ra­tio­nel­le Risi­ken ver­fü­gen. Das gemein­sa­me Unter­su­chungs­team arbei­tet unter der Koor­di­nie­rung eines benann­ten Mit­ar­bei­ters der feder­füh­ren­den Über­wa­chungs­be­hör­de („Koor­di­na­tor der feder­füh­ren­den Überwachungsbehörde“).

(3) Inner­halb von 3 Mona­ten nach Abschluss einer Unter­su­chung oder Inspek­ti­on nimmt die feder­füh­ren­de Über­wa­chungs­be­hör­de nach Kon­sul­ta­ti­on des Über­wa­chungs­fo­rums ent­spre­chend den in Arti­kel 35 genann­ten Befug­nis­sen an den kri­ti­schen IKT-Dritt­dienst­lei­ster zu rich­ten­de Emp­feh­lun­gen an.

(4) Die in Absatz 3 genann­ten Emp­feh­lun­gen wer­den dem kri­ti­schen IKT-Dritt­dienst­lei­ster und den für die­je­ni­gen Finanz­un­ter­neh­men, denen er IKT-Dienst­lei­stun­gen erbringt, zustän­di­gen Behör­den unver­züg­lich übermittelt.

Die feder­füh­ren­de Über­wa­chungs­be­hör­de kann zur Erfül­lung der Über­wa­chungs­tä­tig­kei­ten alle ein­schlä­gi­gen Zer­ti­fi­zie­run­gen Drit­ter und inter­ne oder exter­ne IKT-Prü­fungs­be­rich­te Drit­ter berück­sich­ti­gen, die von dem kri­ti­schen IKT-Dritt­dienst­lei­ster zur Ver­fü­gung gestellt werden.


Arti­kel 41 Har­mo­ni­sie­rung der Vor­aus­set­zun­gen für die Durch­füh­rung der Überwachungstätigkeiten


(1) Die ESA arbei­ten über den Gemein­sa­men Aus­schuss Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards aus, um Fol­gen­des fest­zu­le­gen:

a) die Infor­ma­tio­nen, die von einem IKT-Dritt­dienst­lei­ster in dem Antrag bereit­zu­stel­len sind, in dem gemäß Arti­kel 31 Absatz 11 frei­wil­lig um Ein­stu­fung als kri­tisch ersucht wird;

b) Inhalt, Struk­tur und For­mat der Infor­ma­tio­nen, die IKT-Dritt­dienst­lei­ster gemäß Arti­kel 35 Absatz 1 über­mit­teln, offen­le­gen und mel­den müs­sen, ein­schließ­lich der Vor­la­ge für die Bereit­stel­lung von Infor­ma­tio­nen über die Ver­ein­ba­run­gen über die Unterauftragsvergabe;

c) die Kri­te­ri­en für die Fest­le­gung der Zusam­men­set­zung des gemein­sa­men Unter­su­chungs­teams, bei der eine aus­ge­wo­ge­ne Betei­li­gung der Mit­ar­bei­ter der ESA und der jeweils zustän­di­gen Behör­den sicher­zu­stel­len ist, sowie ihrer Benen­nung, Auf­ga­ben und Arbeitsvereinbarungen;

d) die Ein­zel­hei­ten der von den zustän­di­gen Behör­den vor­ge­nom­me­nen Bewer­tung der Maß­nah­men, die von kri­ti­schen IKT-Dritt­dienst­lei­stern auf der Grund­la­ge der Emp­feh­lun­gen der feder­füh­ren­den Über­wa­chungs­be­hör­de gemäß Arti­kel 42 Absatz 3 ergrif­fen wurden.

(2) Die ESA legen der Kom­mis­si­on die­se Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards bis zum 17. Juli 2024 vor.

Der Kom­mis­si­on wird die Befug­nis über­tra­gen, die vor­lie­gen­de Ver­ord­nung durch Annah­me tech­ni­scher Regu­lie­rungs­stan­dards nach Absatz 1 ent­spre­chend dem Ver­fah­ren nach den Arti­keln 10 bis 14 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.


Arti­kel 42 Fol­ge­maß­nah­men zustän­di­ger Behörden


(1) Kri­ti­sche IKT-Dritt­dienst­lei­ster tei­len ent­we­der der feder­füh­ren­den Über­wa­chungs­be­hör­de inner­halb von 60 Kalen­der­ta­gen nach Ein­gang der Emp­feh­lun­gen, die von der feder­füh­ren­den Über­wa­chungs­be­hör­de gemäß Arti­kel 35 Absatz 1 Buch­sta­be d abge­ge­ben wer­den, ihre Absicht mit, die­sen Emp­feh­lun­gen Fol­ge zu lei­sten, oder legen eine begrün­de­te Erklä­rung für die Nicht­be­fol­gung der Emp­feh­lun­gen vor. Die feder­füh­ren­de Über­wa­chungs­be­hör­de über­mit­telt die­se Infor­ma­tio­nen unver­züg­lich den für das betref­fen­de Finanz­un­ter­neh­men zustän­di­gen Behör­den.

(2) Die feder­füh­ren­de Über­wa­chungs­be­hör­de infor­miert öffent­lich dar­über, wenn ein kri­ti­scher IKT-Dritt­dienst­lei­ster es ver­säumt, die feder­füh­ren­de Über­wa­chungs­be­hör­de gemäß Absatz 1 zu unter­rich­ten, oder wenn die Erklä­rung des kri­ti­schen IKT-Dritt­dienst­lei­sters als nicht aus­rei­chend erach­tet wird. Die ver­öf­fent­lich­ten Infor­ma­tio­nen ent­hal­ten die Iden­ti­tät des kri­ti­schen IKT-Dritt­dienst­lei­sters sowie Anga­ben über Art und Wesen der Nicht­kon­for­mi­tät. Die­se Infor­ma­tio­nen wer­den auf den zum Zweck der Gewähr­lei­stung der Sen­si­bi­li­sie­rung der Öffent­lich­keit rele­van­ten und ange­mes­se­nen Umfang beschränkt, es sei denn eine sol­che Ver­öf­fent­li­chung wür­de den Betei­lig­ten einen unver­hält­nis­mä­ßi­gen Scha­den zufü­gen oder das ord­nungs­ge­mä­ße Funk­tio­nie­ren und die Inte­gri­tät von Finanz­märk­ten oder die Sta­bi­li­tät des Finanz­sy­stems der Uni­on als Gan­zes oder in Tei­len gefährden.

Die feder­füh­ren­de Über­wa­chungs­be­hör­de unter­rich­tet den IKT-Dritt­dienst­lei­ster über die­se Veröffentlichung.

(3) Die zustän­di­gen Behör­den unter­rich­ten die betref­fen­den Finanz­un­ter­neh­men über die Risi­ken, die in den Emp­feh­lun­gen an kri­ti­sche IKT-Dritt­dienst­lei­ster gemäß Arti­kel 35 Absatz 1 Buch­sta­be d fest­ge­stellt wurden.

Beim Manage­ment des IKT-Dritt­par­tei­en­ri­si­kos berück­sich­ti­gen die Finanz­un­ter­neh­men die in Unter­ab­satz 1 genann­ten Risiken.

(4) Ist eine zustän­di­ge Behör­de der Ansicht, dass ein Finanz­un­ter­neh­men die in den Emp­feh­lun­gen fest­ge­stell­ten spe­zi­fi­schen Risi­ken bei sei­nem Manage­ment der IKT-Dritt­par­tei­en­ri­si­ken nicht oder nicht aus­rei­chend berück­sich­tigt, teilt sie dem Finanz­un­ter­neh­men mit, dass inner­halb von 60 Kalen­der­ta­gen nach Ein­gang einer sol­chen Mit­tei­lung eine Ent­schei­dung gemäß Absatz 6 getrof­fen wer­den kann, falls kei­ne geeig­ne­ten ver­trag­li­chen Ver­ein­ba­run­gen zur Besei­ti­gung die­ser Risi­ken bestehen.

(5) Nach Ein­gang der in Arti­kel 35 Absatz 1 Buch­sta­be c genann­ten Berich­te und vor einer Ent­schei­dung gemäß Absatz 6 kön­nen die zustän­di­gen Behör­den auf frei­wil­li­ger Basis die gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den kon­sul­tie­ren, die für die Beauf­sich­ti­gung eines wesent­li­chen oder wich­ti­gen, von der genann­ten Richt­li­nie erfass­ten Unter­neh­mens, das als kri­ti­scher IKT-Dritt­dienst­lei­ster ein­ge­stuft wur­de, zustän­dig sind.

(6) Im Ein­klang mit Arti­kel 50 kön­nen zustän­di­ge Behör­den als letz­tes Mit­tel nach der Mit­tei­lung und gege­be­nen­falls der Abstim­mung gemäß den Absät­zen 4 und 5 eine Ent­schei­dung tref­fen, mit der sie von Finanz­un­ter­neh­men ver­lan­gen, die Nut­zung oder den Ein­satz einer Dienst­lei­stung, die von einem kri­ti­schen IKT-Dritt­dienst­lei­ster bereit­ge­stellt wird, vor­über­ge­hend teil­wei­se oder voll­stän­dig aus­zu­set­zen, bis die Risi­ken besei­tigt sind, die in den an den kri­ti­schen IKT-Dritt­dienst­lei­ster gerich­te­ten Emp­feh­lun­gen fest­ge­stellt wur­den. Die Behör­den kön­nen von Finanz­un­ter­neh­men erfor­der­li­chen­falls ver­lan­gen, die ein­schlä­gi­gen ver­trag­li­chen Ver­ein­ba­run­gen, die mit kri­ti­schen IKT-Dritt­dienst­lei­stern geschlos­sen wur­den, ganz oder teil­wei­se zu kündigen.

(7) Ver­wei­gert ein kri­ti­scher IKT-Dritt­dienst­lei­ster die Befol­gung der Emp­feh­lun­gen, indem er einen ande­ren als den von der feder­füh­ren­den Über­wa­chungs­be­hör­de emp­foh­le­nen Ansatz wählt, und wirkt sich ein sol­cher abwei­chen­der Ansatz mög­li­cher­wei­se auf eine gro­ße Zahl von Finanz­un­ter­neh­men oder einen erheb­li­chen Teil des Finanz­sek­tors nega­tiv aus und haben ein­zel­ne War­nun­gen der zustän­di­gen Behör­den nicht zu kohä­ren­ten Ansät­zen geführt, die das poten­zi­el­le Risi­ko für die Finanz­sta­bi­li­tät min­dern, kann die feder­füh­ren­de Über­wa­chungs­be­hör­de nach Kon­sul­ta­ti­on des Über­wa­chungs­fo­rums den zustän­di­gen Behör­den gege­be­nen­falls unver­bind­li­che und nicht für die Öffent­lich­keit bestimm­te Stel­lung­nah­men über­mit­teln, um kohä­ren­te und kon­ver­gen­te auf­sicht­li­che Fol­ge­maß­nah­men zu fördern.

(8) Nach Ein­gang der in Arti­kel 35 Absatz 1 Buch­sta­be c genann­ten Berich­te berück­sich­ti­gen die zustän­di­gen Behör­den bei der in Absatz 6 genann­ten Ent­schei­dung die Art und das Aus­maß des Risi­kos, das vom kri­ti­schen IKT-Dritt­dienst­lei­ster nicht ange­gan­gen wird, sowie die Schwe­re des Ver­sto­ßes unter Berück­sich­ti­gung der fol­gen­den Kriterien:

a) der Schwe­re und Dau­er des Verstoßes;

b) ob durch den Ver­stoß schwer­wie­gen­de Män­gel in Bezug auf Ver­fah­ren, Manage­ment­sy­ste­me, Risi­ko­ma­nage­ment und inter­ne Kon­trol­len des kri­ti­schen IKT-Dritt­dienst­lei­sters offen­ge­legt wurden;

c) ob Wirt­schafts­kri­mi­na­li­tät erleich­tert oder her­bei­ge­führt wur­de oder auf ande­re Wei­se mit dem Ver­stoß in Ver­bin­dung steht;

d) ob der Ver­stoß vor­sätz­lich oder fahr­läs­sig began­gen wurde;

e) ob die Aus­set­zung oder Kün­di­gung der ver­trag­li­chen Ver­ein­ba­run­gen unge­ach­tet der Bemü­hun­gen des Finanz­un­ter­neh­mens um Ver­mei­dung von Stö­run­gen bei der Erbrin­gung sei­ner Dienst­lei­stun­gen ein Risi­ko für die Fort­füh­rung der Geschäfts­tä­tig­keit des Finanz­un­ter­neh­mens mit sich bringt;

f) gege­be­nen­falls der gemäß Absatz 5 auf frei­wil­li­ger Basis ersuch­ten Stel­lung­nah­me der gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den, die für die Beauf­sich­ti­gung eines wesent­li­chen oder wich­ti­gen, von der genann­ten Richt­li­nie erfass­ten Unter­neh­mens, das als kri­ti­scher IKT-Dritt­dienst­lei­ster ein­ge­stuft wur­de, zustän­dig sind.

Die zustän­di­gen Behör­den gewäh­ren Finanz­un­ter­neh­men den erfor­der­li­chen Zeit­raum, damit sie die ver­trag­li­chen Ver­ein­ba­run­gen mit kri­ti­schen IKT-Dritt­dienst­lei­stern anpas­sen kön­nen, um nach­tei­li­ge Aus­wir­kun­gen auf ihre digi­ta­le ope­ra­tio­na­le Resi­li­enz zu ver­mei­den und ihnen die Anwen­dung der in Arti­kel 28 genann­ten Aus­stiegs­stra­te­gien und Über­gangs­plä­ne zu ermöglichen.

(9) Die Ent­schei­dung gemäß Absatz 6 wird den in Arti­kel 32 Absatz 4 Buch­sta­ben a, b und c genann­ten Mit­glie­dern des Über­wa­chungs­fo­rums und dem JON mitgeteilt.

Die von den Ent­schei­dun­gen gemäß Absatz 6 betrof­fe­nen kri­ti­schen IKT-Dritt­dienst­lei­ster arbei­ten unein­ge­schränkt mit den betrof­fe­nen Finanz­un­ter­neh­men zusam­men, ins­be­son­de­re im Zusam­men­hang mit dem Ver­fah­ren zur Aus­set­zung oder Kün­di­gung ihrer ver­trag­li­chen Vereinbarungen.

(10) Die zustän­di­gen Behör­den unter­rich­ten die feder­füh­ren­de Über­wa­chungs­be­hör­de regel­mä­ßig über die Her­an­ge­hens­wei­sen und Maß­nah­men, die sie bei ihren Auf­sichts­auf­ga­ben in Bezug auf Finanz­un­ter­neh­men gewählt haben, sowie über die von den Finanz­un­ter­neh­men geschlos­se­nen ver­trag­li­chen Ver­ein­ba­run­gen, wenn kri­ti­sche IKT-Dritt­dienst­lei­ster Emp­feh­lun­gen, die von der feder­füh­ren­den Über­wa­chungs­be­hör­de an sie gerich­tet wur­den, teil­wei­se oder voll­stän­dig nicht befolgt haben.

(11) Die feder­füh­ren­de Über­wa­chungs­be­hör­de kann auf Ver­lan­gen die zur Anlei­tung der zustän­di­gen Behör­den abge­ge­be­nen Emp­feh­lun­gen näher erläutern.


Arti­kel 43 Überwachungsgebühren


(1) Die feder­füh­ren­de Über­wa­chungs­be­hör­de erhebt gemäß dem in Absatz 2 genann­ten dele­gier­ten Rechts­akt von kri­ti­schen IKT-Dritt­dienst­lei­stern Gebüh­ren, die die not­wen­di­gen Aus­ga­ben der feder­füh­ren­den Über­wa­chungs­be­hör­de für die Durch­füh­rung von Über­wa­chungs­auf­ga­ben gemäß die­ser Ver­ord­nung voll­stän­dig decken, ein­schließ­lich der Erstat­tung aller Kosten, die durch die Arbeit des in Arti­kel 40 genann­ten gemein­sa­men Unter­su­chungs­teams ent­ste­hen kön­nen, sowie der Kosten für die Bera­tung durch die in Arti­kel 32 Absatz 4 Unter­ab­satz 2 genann­ten unab­hän­gi­gen Sach­ver­stän­di­gen in Ange­le­gen­hei­ten, die in den Auf­ga­ben­be­reich der direk­ten Über­wa­chungs­tä­tig­kei­ten fal­len.

Die Höhe einer Gebühr, die einem kri­ti­schen IKT-Dritt­dienst­lei­ster in Rech­nung gestellt wird, deckt alle Kosten ab, die auf­grund der Erfül­lung der in die­sem Abschnitt fest­ge­leg­ten Auf­ga­ben anfal­len, und steht in einem ange­mes­se­nen Ver­hält­nis zu des­sen Umsatz.

(2) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 57 einen dele­gier­ten Rechts­akt zur Ergän­zung die­ser Ver­ord­nung durch Fest­le­gung der Höhe der Gebüh­ren und der Art und Wei­se ihrer Ent­rich­tung bis zum 17. Juli 2024 zu erlassen.


Arti­kel 44 Inter­na­tio­na­le Zusammenarbeit


(1) Unbe­scha­det des Arti­kels 36 kön­nen die EBA, die ESMA und die EIOPA im Ein­klang mit Arti­kel 33 der Ver­ord­nun­gen (EU) Nr. 1093/2010, (EU) Nr. 1095/2010 bzw. (EU) Nr. 1094/2010 Ver­wal­tungs­ver­ein­ba­run­gen mit Regu­lie­rungs- und Über­wa­chungs­be­hör­den von Dritt­län­dern schlie­ßen, um die inter­na­tio­na­le Zusam­men­ar­beit in Bezug auf das IKT-Dritt­par­tei­en­ri­si­ko in ver­schie­de­nen Finanz­sek­to­ren zu för­dern, ins­be­son­de­re durch die Ent­wick­lung bewähr­ter Ver­fah­ren für die Über­prü­fung von IKT-Risi­ko­ma­nage­ment­ver­fah­ren und ‑kon­trol­len, Abmil­de­rungs­maß­nah­men und Reak­ti­ons­maß­nah­men bei Vor­fäl­len.

(2) Die ESA legen dem Euro­päi­schen Par­la­ment, dem Rat und der Kom­mis­si­on über den Gemein­sa­men Aus­schuss alle fünf Jah­re einen gemein­sa­men ver­trau­li­chen Bericht vor, in dem die Ergeb­nis­se ein­schlä­gi­ger Gesprä­che mit den in Absatz 1 genann­ten Behör­den von Dritt­län­dern zusam­men­ge­fasst wer­den, wobei der Schwer­punkt auf der Ent­wick­lung des IKT-Dritt­par­tei­en­ri­si­kos und den Aus­wir­kun­gen auf die Finanz­sta­bi­li­tät, die Markt­in­te­gri­tät, den Anle­ger­schutz und das Funk­tio­nie­ren des Bin­nen­markts liegt.

VI Ver­ein­ba­run­gen über den Aus­tausch von Informationen

Arti­kel 45 Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen und Erkennt­nis­sen zu Cyberbedrohungen


(1) Finanz­un­ter­neh­men kön­nen Infor­ma­tio­nen und Erkennt­nis­se über Cyber­be­dro­hun­gen unter­ein­an­der aus­tau­schen, ein­schließ­lich Indi­ka­to­ren für Beein­träch­ti­gun­gen, Tak­ti­ken, Tech­ni­ken und Ver­fah­ren, Cyber­si­cher­heits­war­nun­gen und Kon­fi­gu­ra­ti­ons­tools, soweit die­ser Aus­tausch von Infor­ma­tio­nen und Erkennt­nis­sen

a) dar­auf abzielt, die digi­ta­le ope­ra­tio­na­le Resi­li­enz von Finanz­un­ter­neh­men zu stär­ken, ins­be­son­de­re indem für Cyber­be­dro­hun­gen sen­si­bi­li­siert, die Ver­brei­tung von Cyber­be­dro­hun­gen ein­ge­schränkt oder ver­hin­dert wird und die Ver­tei­di­gungs­fä­hig­kei­ten, Tech­ni­ken zur Erken­nung von Bedro­hun­gen, Abmil­de­rungs­stra­te­gien oder Pha­sen der Reak­ti­on und Wie­der­her­stel­lung unter­stützt werden;

b) inner­halb ver­trau­ens­wür­di­ger Gemein­schaf­ten von Finanz­un­ter­neh­men erfolgt;

c) durch Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen umge­setzt wird, die den poten­zi­ell sen­si­blen Cha­rak­ter der aus­ge­tausch­ten Infor­ma­tio­nen schüt­zen und Ver­hal­tens­re­geln unter­lie­gen, in deren Rah­men die Wah­rung des Geschäfts­ge­heim­nis­ses, der Schutz per­so­nen­be­zo­ge­ner Daten im Ein­klang mit der Ver­ord­nung (EU) 2016/679 und Leit­li­ni­en für die Wett­be­werbs­po­li­tik voll­um­fäng­lich befolgt werden.

(2) Für die Zwecke von Absatz 1 Buch­sta­be c wer­den in den Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen die Vor­aus­set­zun­gen für die Teil­nah­me und gege­be­nen­falls die Ein­zel­hei­ten zur Ein­bin­dung staat­li­cher Behör­den und der Eigen­schaft, in der die­se in die Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen ein­ge­bun­den wer­den kön­nen, zur Ein­bin­dung von IKT-Dritt­dienst­lei­stern sowie zu ope­ra­ti­ven Aspek­ten, ein­schließ­lich der Nut­zung spe­zi­el­ler IT-Platt­for­men, festgelegt.

(3) Finanz­un­ter­neh­men tei­len zustän­di­gen Behör­den ihre Ein­bin­dung in die in Absatz 1 genann­ten Ver­ein­ba­run­gen über den Aus­tausch von Infor­ma­tio­nen mit, sobald ihre Mit­wir­kung bestä­tigt wur­de bzw. endet und die­se Been­di­gung in Kraft ist.

VII Zustän­di­ge Behörden

Arti­kel 46 Zustän­di­ge Behörden


Unbe­scha­det der Bestim­mun­gen über den Über­wa­chungs­rah­men für kri­ti­sche IKT-Dritt­dienst­lei­ster gemäß V Abschnitt II die­ser Ver­ord­nung wird die Ein­hal­tung die­ser Ver­ord­nung durch die fol­gen­den zustän­di­gen Behör­den im Ein­klang mit den durch die jewei­li­gen Rechts­ak­te über­tra­ge­nen Befug­nis­sen sicher­ge­stellt:

a) bei Kre­dit­in­sti­tu­ten sowie bei nach der Richt­li­nie 2013/36/EU aus­ge­nom­me­nen Insti­tu­ten durch die gemäß Arti­kel 4 der genann­ten Richt­li­nie benann­te zustän­di­ge Behör­de und bei gemäß Arti­kel 6 Absatz 4 der Ver­ord­nung (EU) Nr. 1024/2013 als bedeu­tend ein­ge­stuf­ten Kre­dit­in­sti­tu­ten durch die EZB im Ein­klang mit den mit­tels der genann­ten Ver­ord­nung über­tra­ge­nen Befug­nis­sen und Aufgaben;

b) bei Zah­lungs­in­sti­tu­ten, ein­schließ­lich der nach der Richt­li­nie (EU) 2015/2366 aus­ge­nom­me­nen Zah­lungs­in­sti­tu­te, bei E‑Geld-Insti­tu­ten, ein­schließ­lich der nach der Richt­li­nie 2009/110/EG aus­ge­nom­me­nen Insti­tu­te, und bei den in Arti­kel 33 Absatz 1 der Richt­li­nie (EU) 2015/2366 genann­ten Kon­to­in­for­ma­ti­ons­dienst­lei­stern durch die gemäß Arti­kel 22 der Richt­li­nie (EU) 2015/2366 benann­te zustän­di­ge Behörde;

c) bei Wert­pa­pier­fir­men durch die gemäß Arti­kel 4 der Richt­li­nie (EU) 2019/2034 des Euro­päi­schen Par­la­ments und des Rates (38) benann­te zustän­di­ge Behörde;

d) bei gemäß der Ver­ord­nung über Märk­te von Kryp­to-Wer­ten zuge­las­se­nen Anbie­tern von Kryp­to-Dienst­lei­stun­gen und Emit­ten­ten von an Ver­mö­gens­wer­te geknüpf­ten Tokens durch die gemäß der ent­spre­chen­den Bestim­mung der genann­ten Ver­ord­nung benann­te zustän­di­ge Behörde;

e) bei Zen­tral­ver­wah­rern durch die gemäß Arti­kel 11 der Ver­ord­nung (EU) Nr. 909/2014 benann­te zustän­di­ge Behörde;

f) bei zen­tra­len Gegen­par­tei­en durch die gemäß Arti­kel 22 der Ver­ord­nung (EU) Nr. 648/2012 benann­te zustän­di­ge Behörde;

g) bei Han­dels­plät­zen und Daten­be­reit­stel­lungs­dien­sten durch die gemäß Arti­kel 67 der Richt­li­nie 2014/65/EU benann­te zustän­di­ge Behör­de und die zustän­di­ge Behör­de im Sin­ne von Arti­kel 2 Absatz 1 Num­mer 18 der Ver­ord­nung (EU) Nr. 600/2014;

h) bei Trans­ak­ti­ons­re­gi­stern durch die gemäß Arti­kel 22 der Ver­ord­nung (EU) Nr. 648/2012 benann­te zustän­di­ge Behörde;

i) bei Ver­wal­tern alter­na­ti­ver Invest­ment­fonds durch die gemäß Arti­kel 44 der Richt­li­nie 2011/61/EU benann­te zustän­di­ge Behörde;

j) bei Ver­wal­tungs­ge­sell­schaf­ten durch die gemäß Arti­kel 97 der Richt­li­nie 2009/65/EG benann­te zustän­di­ge Behörde;

k) bei Ver­si­che­rungs- und Rück­ver­si­che­rungs­un­ter­neh­men durch die gemäß Arti­kel 30 der Richt­li­nie 2009/138/EG benann­te zustän­di­ge Behörde;

l) bei Ver­si­che­rungs­ver­mitt­lern, Rück­ver­si­che­rungs­ver­mitt­lern und Ver­si­che­rungs­ver­mitt­lern in Neben­tä­tig­keit durch die gemäß Arti­kel 12 der Richt­li­nie (EU) 2016/97 benann­te zustän­di­ge Behörde;

m) bei Ein­rich­tun­gen der betrieb­li­chen Alters­ver­sor­gung durch die gemäß Arti­kel 47 der Richt­li­nie (EU) 2016/2341 benann­te zustän­di­ge Behörde;

n) bei Rating­agen­tu­ren durch die gemäß Arti­kel 21 der Ver­ord­nung (EG) Nr. 1060/2009 benann­te zustän­di­ge Behörde;

o) bei Admi­ni­stra­to­ren kri­ti­scher Refe­renz­wer­te durch die gemäß den Arti­keln 40 und 41 der Ver­ord­nung (EU) 2016/1011 benann­te zustän­di­ge Behörde;

p) bei Schwarm­fi­nan­zie­rungs­dienst­lei­stern durch die gemäß Arti­kel 29 der Ver­ord­nung (EU) 2020/1503 benann­te zustän­di­ge Behörde;

q) bei Ver­brie­fungs­re­gi­stern durch die gemäß Arti­kel 10 und Arti­kel 14 Absatz 1 der Ver­ord­nung (EU) 2017/2402 benann­te zustän­di­ge Behörde.


Arti­kel 47 Zusam­men­ar­beit mit den durch die Richt­li­nie (EU) 2022/2555 geschaf­fe­nen Struk­tu­ren und Behörden


(1) Um die Zusam­men­ar­beit zu för­dern und den auf­sicht­li­chen Aus­tausch zwi­schen den gemäß die­ser Ver­ord­nung benann­ten zustän­di­gen Behör­den und der durch Arti­kel 14 der Richt­li­nie (EU) 2022/2555 ein­ge­setz­ten Koope­ra­ti­ons­grup­pe zu ermög­li­chen, kön­nen sich die ESA und die zustän­di­gen Behör­den bei Ange­le­gen­hei­ten, die ihre Auf­sichts­tä­tig­kei­ten in Bezug auf Finanz­un­ter­neh­men betref­fen, an den Tätig­kei­ten der Koope­ra­ti­ons­grup­pe betei­li­gen. Die ESA und die zustän­di­gen Behör­den kön­nen ver­lan­gen, zur Teil­nah­me an den Tätig­kei­ten der Koope­ra­ti­ons­grup­pe in Ange­le­gen­hei­ten im Zusam­men­hang mit den wesent­li­chen oder wich­ti­gen, von der Richt­li­nie (EU) 2022/2555 erfass­ten Unter­neh­men, die eben­falls gemäß Arti­kel 31 der vor­lie­gen­den Ver­ord­nung als kri­ti­sche IKT-Dritt­dienst­lei­ster ein­ge­stuft wur­den, ein­ge­la­den zu wer­den.

(2) Die zustän­di­gen Behör­den kön­nen sich gege­be­nen­falls an die zen­tra­len Anlauf­stel­len und die gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten CSIRT wen­den und mit ihnen Infor­ma­tio­nen austauschen.

(3) Die zustän­di­gen Behör­den kön­nen gege­be­nen­falls die gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den um ein­schlä­gi­ge fach­li­che Bera­tung und Unter­stüt­zung ersu­chen und Koope­ra­ti­ons­ver­ein­ba­run­gen schlie­ßen, um die Ein­rich­tung wirk­sa­mer und schnel­ler Koor­di­nie­rungs­me­cha­nis­men zu ermöglichen.

(4) In den in Absatz 3 genann­ten Ver­ein­ba­run­gen kön­nen unter ande­rem Ver­fah­ren für die Koor­di­nie­rung der Auf­sichts- bzw. Über­wa­chungs­tä­tig­kei­ten in Bezug auf wesent­li­che oder wich­ti­ge, von der Richt­li­nie (EU) 2022/2555 erfass­te Unter­neh­men, die gemäß Arti­kel 31 der vor­lie­gen­den Ver­ord­nung als kri­ti­sche IKT-Dritt­dienst­lei­ster ein­ge­stuft wur­den, fest­ge­legt wer­den, wozu die Durch­füh­rung von Unter­su­chun­gen und Vor-Ort-Inspek­tio­nen im Ein­klang mit dem natio­na­len Recht sowie Mecha­nis­men für den Infor­ma­ti­ons­aus­tausch zwi­schen den gemäß der vor­lie­gen­den Ver­ord­nung zustän­di­gen Behör­den und den gemäß der genann­ten Richt­li­nie benann­ten oder ein­ge­rich­te­ten Behör­den, ein­schließ­lich des Zugangs zu den von den letzt­ge­nann­ten Behör­den ange­for­der­ten Infor­ma­tio­nen, gehören.


Arti­kel 48 Zusam­men­ar­beit der Behörden


(1) Die zustän­di­gen Behör­den arbei­ten unter­ein­an­der und gege­be­nen­falls mit der feder­füh­ren­den Über­wa­chungs­be­hör­de eng zusam­men.

(2) Die zustän­di­gen Behör­den und die feder­füh­ren­de Über­wa­chungs­be­hör­de tau­schen zeit­nah alle rele­van­ten Infor­ma­tio­nen über kri­ti­sche IKT-Dritt­dienst­lei­ster aus, die sie benö­ti­gen, um ihre jewei­li­gen Auf­ga­ben gemäß die­ser Ver­ord­nung wahr­neh­men zu kön­nen, ins­be­son­de­re in Bezug auf die ermit­tel­ten Risi­ken, die Her­an­ge­hens­wei­sen und die Maß­nah­men, die im Rah­men der Über­wa­chungs­auf­ga­ben der feder­füh­ren­den Über­wa­chungs­be­hör­de ergrif­fen wurden.


Arti­kel 49 Sek­tor­über­grei­fen­de Übun­gen, Kom­mu­ni­ka­ti­on und Zusam­men­ar­beit im Finanzbereich


(1) Die ESA kön­nen über den Gemein­sa­men Aus­schuss und in Zusam­men­ar­beit mit — je nach Sach­la­ge — den zustän­di­gen Behör­den, den in Arti­kel 3 der Richt­li­nie 2014/59/EU genann­ten natio­na­len Abwick­lungs­be­hör­den, der EZB, dem Ein­heit­li­chen Abwick­lungs­aus­schuss (bei Infor­ma­tio­nen über Unter­neh­men, die in den Gel­tungs­be­reich der Ver­ord­nung (EU) Nr. 806/2014 fal­len), dem ESRB und der ENISA Mecha­nis­men für den Aus­tausch wirk­sa­mer Ver­fah­ren zwi­schen Finanz­sek­to­ren ein­rich­ten, um die Lage­er­fas­sung zu ver­bes­sern und sek­tor­über­grei­fend gemein­sa­me Cyber­an­fäl­lig­kei­ten und ‑risi­ken zu ermit­teln.

Eben­so kön­nen sie Kri­sen­ma­nage­ment- und Not­fall­übun­gen mit Sze­na­ri­en für Cyber­an­grif­fe kon­zi­pie­ren, um Kom­mu­ni­ka­ti­ons­ka­nä­le zu ent­wickeln und schritt­wei­se eine wirk­sa­me koor­di­nier­te Reak­ti­on auf Uni­ons­ebe­ne zu ermög­li­chen, sofern es zu einem schwer­wie­gen­den grenz­über­schrei­ten­den IKT-bezo­ge­nen Vor­fall oder einer ver­gleich­ba­ren Bedro­hung kommt, die syste­mi­sche Aus­wir­kun­gen auf den gesam­ten Finanz­sek­tor der Uni­on mit sich bringen.

Mit die­sen Übun­gen kön­nen gege­be­nen­falls auch Abhän­gig­kei­ten des Finanz­sek­tors von ande­ren Wirt­schafts­sek­to­ren unter­sucht werden.

(2) Die zustän­di­gen Behör­den, die ESA und die EZB arbei­ten eng zusam­men und tau­schen Infor­ma­tio­nen aus, um ihren Auf­ga­ben gemäß den Arti­keln 47 bis 54 nach­zu­kom­men. Dabei stim­men sie ihre Beauf­sich­ti­gungs­tä­tig­keit eng unter­ein­an­der ab, um Ver­stö­ße gegen die­se Ver­ord­nung fest­zu­stel­len und ihnen ent­ge­gen­zu­wir­ken, bewähr­te Ver­fah­ren zu ent­wickeln und zu för­dern, die Zusam­men­ar­beit zu erleich­tern, eine kohä­ren­te Aus­le­gung zu för­dern und bei Unei­nig­keit eine Bewer­tung vor­zu­neh­men, die sich nicht nur auf eine ein­zel­ne Rechts­ord­nung stützt.


Arti­kel 50 Ver­wal­tungs­recht­li­che Sank­tio­nen und Abhilfemaßnahmen


(1) Die zustän­di­gen Behör­den ver­fü­gen über alle Aufsichts‑, Unter­su­chungs- und Sank­ti­ons­be­fug­nis­se, die zur Erfül­lung ihrer Auf­ga­ben im Rah­men die­ser Ver­ord­nung erfor­der­lich sind.

(2) Die Befug­nis­se gemäß Absatz 1 umfas­sen zumin­dest fol­gen­de Befugnisse:

a) den Zugriff auf Unter­la­gen oder Daten jeg­li­cher Form, die nach Ansicht der zustän­di­gen Behör­de für die Aus­füh­rung ihrer Auf­ga­ben von Belang sind, sowie den Erhalt oder Anfer­ti­gung von Kopien von ihnen;

b) Durch­füh­rung von Vor-Ort-Inspek­tio­nen oder Unter­su­chun­gen, ein­schließ­lich unter anderem

i) der Vor­la­dung von Ver­tre­tern der Finanz­un­ter­neh­men, damit die­se münd­li­che oder schrift­li­che Erklä­run­gen zu Sach­ver­hal­ten oder Unter­la­gen abge­ben, die mit Gegen­stand und Zweck der Unter­su­chung in Zusam­men­hang ste­hen, sowie der Auf­zeich­nung der Antworten,

ii) der Befra­gung jeder ande­ren natür­li­chen oder juri­sti­schen Per­son, die die­ser Befra­gung zum Zweck der Ein­ho­lung von Infor­ma­tio­nen über den Gegen­stand einer Unter­su­chung zustimmt;

c) das Ver­lan­gen von Kor­rek­tur- und Abhil­fe­maß­nah­men bei Ver­stö­ßen gegen die Anfor­de­run­gen die­ser Verordnung.

(3) Unbe­scha­det des Rechts der Mit­glied­staa­ten, straf­recht­li­che Sank­tio­nen im Ein­klang mit Arti­kel 52 zu ver­hän­gen, legen die Mit­glied­staa­ten ange­mes­se­ne ver­wal­tungs­recht­li­che Sank­tio­nen und Abhil­fe­maß­nah­men für Ver­stö­ße gegen die­se Ver­ord­nung fest und sor­gen für deren wirk­sa­me Umsetzung.

Die­se Sank­tio­nen und Maß­nah­men müs­sen wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein.

(4) Die Mit­glied­staa­ten über­tra­gen den zustän­di­gen Behör­den die Befug­nis, bei Ver­stö­ßen gegen die­se Ver­ord­nung min­de­stens die fol­gen­den ver­wal­tungs­recht­li­chen Sank­tio­nen bzw. Abhil­fe­maß­nah­men anzuwenden:

a) die Ertei­lung einer Anwei­sung, wonach die natür­li­che oder juri­sti­sche Per­son gegen die­se Ver­ord­nung ver­sto­ßen­des Ver­hal­ten zu unter­las­sen und von einer Wie­der­ho­lung abzu­se­hen hat;

b) das Ver­lan­gen, dass Prak­ti­ken oder Ver­hal­tens­wei­sen, die nach Ansicht der zustän­di­gen Behör­de den Bestim­mun­gen die­ser Ver­ord­nung zuwi­der­lau­fen, vor­über­ge­hend oder dau­er­haft ein­ge­stellt und nicht wie­der­holt werden;

c) das Ergrei­fen jeder Art von Maß­nah­me, auch finan­zi­el­ler Art, um sicher­zu­stel­len, dass Finanz­un­ter­neh­men wei­ter­hin die recht­li­chen Anfor­de­run­gen erfüllen;

d) das Ver­lan­gen — soweit gemäß natio­na­lem Recht zuläs­sig — bereits exi­stie­ren­der Auf­zeich­nun­gen von Daten­über­mitt­lun­gen im Besitz einer Tele­kom­mu­ni­ka­ti­ons­ge­sell­schaft, wenn der begrün­de­te Ver­dacht auf einen Ver­stoß gegen die Ver­ord­nung besteht und die­se Auf­zeich­nun­gen für eine Unter­su­chung von Ver­stö­ßen gegen die­se Ver­ord­nung rele­vant sein könn­ten; und

e) die Abga­be öffent­li­cher Bekannt­ma­chun­gen, ein­schließ­lich öffent­li­cher Bekannt­ga­ben, in denen die Iden­ti­tät der natür­li­chen oder juri­sti­schen Per­son und die Art des Ver­sto­ßes ange­ge­ben sind.

(5) Gel­ten Absatz 2 Buch­sta­be c und Absatz 4 für juri­sti­sche Per­so­nen, so stat­ten die Mit­glied­staa­ten die zustän­di­gen Behör­den mit der Befug­nis aus, Mit­glie­dern des Lei­tungs­or­gans sowie ande­ren natür­li­chen Per­so­nen, die nach natio­na­lem Recht für den Ver­stoß ver­ant­wort­lich sind, vor­be­halt­lich der nach natio­na­lem Recht gel­ten­den Bedin­gun­gen ver­wal­tungs­recht­li­che Sank­tio­nen und Abhil­fe­maß­nah­men aufzuerlegen.

(6) Die Mit­glied­staa­ten stel­len sicher, dass alle Ent­schei­dun­gen zur Auf­er­le­gung der in Absatz 2 Buch­sta­be c fest­ge­leg­ten ver­wal­tungs­recht­li­chen Sank­tio­nen oder Abhil­fe­maß­nah­men ord­nungs­ge­mäß begrün­det wer­den und dass gegen sie ein Rechts­be­helf ein­ge­legt wer­den kann.


Arti­kel 51 Aus­übung der Befug­nis zur Auf­er­le­gung von ver­wal­tungs­recht­li­chen Sank­tio­nen und Abhilfemaßnahmen


(1) Die zustän­di­gen Behör­den üben die Befug­nis­se zur Auf­er­le­gung der in Arti­kel 50 genann­ten ver­wal­tungs­recht­li­chen Sank­tio­nen und Abhil­fe­maß­nah­men inner­halb ihres natio­na­len Rechts­rah­mens je nach Sach­la­ge in fol­gen­der Wei­se aus:

a) direkt;

b) in Zusam­men­ar­beit mit ande­ren Behörden;

c) unter ihrer Ver­ant­wor­tung durch Über­tra­gung an ande­re Behör­den oder

d) durch Antrag­stel­lung bei den zustän­di­gen Justizbehörden.

(2) Bei der Fest­le­gung von Art und Umfang einer nach Arti­kel 50 auf­er­leg­ten ver­wal­tungs­recht­li­chen Sank­ti­on oder Abhil­fe­maß­nah­me berück­sich­ti­gen die zustän­di­gen Behör­den, inwie­weit der Ver­stoß vor­sätz­lich erfolg­te oder das Ergeb­nis von Fahr­läs­sig­keit ist, sowie alle ande­ren rele­van­ten Umstän­de, dar­un­ter auch je nach Sachlage:

a) die Wesent­lich­keit, Schwe­re und Dau­er des Verstoßes;

b) der Grad an Ver­ant­wor­tung der für den Ver­stoß ver­ant­wort­li­chen natür­li­chen oder juri­sti­schen Person;

c) die Finanz­kraft der ver­ant­wort­li­chen natür­li­chen oder juri­sti­schen Person;

d) die Höhe der von der ver­ant­wort­li­chen natür­li­chen oder juri­sti­schen Per­son erziel­ten Gewin­ne oder ver­hin­der­ten Ver­lu­ste, sofern sich die­se bezif­fern lassen;

e) die Ver­lu­ste, die Drit­ten durch den Ver­stoß ent­stan­den sind, sofern sich die­se bezif­fern lassen;

f) die Bereit­schaft der ver­ant­wort­li­chen natür­li­chen oder juri­sti­schen Per­son zur Zusam­men­ar­beit mit der zustän­di­gen Behör­de, unbe­scha­det des Erfor­der­nis­ses, die von die­ser natür­li­chen oder juri­sti­schen Per­son erziel­ten Gewin­ne oder ver­hin­der­ten Ver­lu­ste einzuziehen;

g) frü­he­re Ver­stö­ße der ver­ant­wort­li­chen natür­li­chen oder juri­sti­schen Person.


Arti­kel 52 Straf­recht­li­che Sanktionen


(1) Mit­glied­staa­ten kön­nen beschlie­ßen, für Ver­stö­ße, die nach ihrem natio­na­len Recht straf­recht­li­chen Sank­tio­nen unter­lie­gen, kei­ne Vor­schrif­ten für ver­wal­tungs­recht­li­che Sank­tio­nen oder Abhil­fe­maß­nah­men fest­zu­le­gen.

(2) Mit­glied­staa­ten, die straf­recht­li­che Sank­tio­nen für die in die­ser Ver­ord­nung genann­ten Ver­stö­ße fest­ge­legt haben, stel­len durch ange­mes­se­ne Maß­nah­men sicher, dass die zustän­di­gen Behör­den über alle not­wen­di­gen Befug­nis­se ver­fü­gen, um sich mit den Justiz‑, Straf­ver­fol­gungs- oder Straf­ju­stiz­be­hör­den in ihrem Hoheits­ge­biet ins Beneh­men zu set­zen, um spe­zi­fi­sche Infor­ma­tio­nen im Zusam­men­hang mit straf­recht­li­chen Ermitt­lun­gen oder Ver­fah­ren, die wegen der Ver­stö­ße gegen die­se Ver­ord­nung ein­ge­lei­tet wur­den, zu erhal­ten und die­se ande­ren zustän­di­gen Behör­den sowie der EBA, der ESMA oder der EIOPA zur Ver­fü­gung zu stel­len, um ihre Pflich­ten zur Zusam­men­ar­beit für die Zwecke die­ser Ver­ord­nung zu erfüllen.


Arti­kel 53 Mitteilungspflichten


Die Mit­glied­staa­ten tei­len der Kom­mis­si­on, der ESMA, der EBA und der EIOPA bis zum 17. Janu­ar 2025 die Geset­ze, son­sti­ge Vor­schrif­ten sowie Ver­wal­tungs­vor­schrif­ten, ein­schließ­lich der ein­schlä­gi­gen straf­recht­li­chen Vor­schrif­ten, zur Umset­zung die­ses Kapi­tels mit. Die Mit­glied­staa­ten tei­len der Kom­mis­si­on, der ESMA, der EBA und der EIOPA spä­te­re Ände­run­gen die­ser Vor­schrif­ten unver­züg­lich mit.


Arti­kel 54 Öffent­li­che Bekannt­ma­chung ver­wal­tungs­recht­li­cher Sanktionen


(1) Die zustän­di­gen Behör­den ver­öf­fent­li­chen auf ihren amt­li­chen Web­sites unver­züg­lich jede Ent­schei­dung zur Ver­hän­gung einer ver­wal­tungs­recht­li­chen Sank­ti­on, gegen die nach Mit­tei­lung die­ser Ent­schei­dung an die Per­son, gegen die die Sank­ti­on ver­hängt wur­de, kein Rechts­be­helf ein­ge­legt wer­den kann.

(2) Die in Absatz 1 genann­te Bekannt­ma­chung umfasst Infor­ma­tio­nen zu Art und Natur des Ver­sto­ßes, der Iden­ti­tät der ver­ant­wort­li­chen Per­so­nen und der ver­häng­ten Sanktionen.

(3) Gelangt die zustän­di­ge Behör­de nach einer Ein­zel­fall­prü­fung zu der Auf­fas­sung, dass die Bekannt­ma­chung der Iden­ti­tät im Fal­le juri­sti­scher Per­so­nen oder der Iden­ti­tät und der per­so­nen­be­zo­ge­nen Daten im Fal­le natür­li­cher Per­so­nen unver­hält­nis­mä­ßig wäre, was auch Risi­ken für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließt, die Sta­bi­li­tät der Finanz­märk­te oder die Durch­füh­rung lau­fen­der straf­recht­li­cher Ermitt­lun­gen gefähr­den oder der betrof­fe­nen Per­son einen unver­hält­nis­mä­ßi­gen Scha­den zufü­gen wür­de — soweit die­ser ermit­telt wer­den kann —, so beschließt sie in Bezug auf die Ent­schei­dung, mit der eine ver­wal­tungs­recht­li­che Sank­ti­on ver­hängt wird, eine der fol­gen­den Lösungen:

a) Auf­schub der Ver­öf­fent­li­chung bis alle Grün­de für die Nicht­ver­öf­fent­li­chung wegfallen;

b) anony­me Ver­öf­fent­li­chung im Ein­klang mit dem natio­na­len Recht; oder

c) Unter­las­sung der Ver­öf­fent­li­chung, wenn die unter den Buch­sta­ben a und b genann­ten Optio­nen ent­we­der nicht aus­rei­chen, um zu gewähr­lei­sten, dass kei­ne Gefahr für die Sta­bi­li­tät der Finanz­märk­te besteht, oder wenn eine sol­che Ver­öf­fent­li­chung nicht mit der bei der Ver­hän­gung der Sank­ti­on ange­wand­ten Nach­sicht ver­ein­bar wäre.

(4) Wird ent­schie­den, eine ver­wal­tungs­recht­li­che Sank­ti­on gemäß Absatz 3 Buch­sta­be b in anony­mi­sier­ter Form bekannt zu machen, so kann die Bekannt­ma­chung der ein­schlä­gi­gen Anga­ben auf­ge­scho­ben werden.

(5) Macht eine zustän­di­ge Behör­de eine Ent­schei­dung zur Ver­hän­gung einer ver­wal­tungs­recht­li­chen Sank­ti­on, gegen die ein Rechts­be­helf bei den ein­schlä­gi­gen Justiz­be­hör­den ein­ge­legt wor­den ist, bekannt, so fügen die zustän­di­gen Behör­den die­se Infor­ma­ti­on ihrer amt­li­chen Web­site unver­züg­lich und etwa­ige nach­fol­gen­de Infor­ma­tio­nen über den Aus­gang des Rechts­be­helfs­ver­fah­rens zu einem spä­te­ren Zeit­punkt hin­zu. Gericht­li­che Ent­schei­dun­gen, mit denen eine Ent­schei­dung zur Ver­hän­gung einer ver­wal­tungs­recht­li­chen Sank­ti­on für nich­tig erklärt wird, wer­den eben­falls bekannt gemacht.

(6) Die zustän­di­gen Behör­den stel­len sicher, dass die in den Absät­zen 1 bis 4 genann­ten Bekannt­ma­chun­gen nur so lan­ge auf ihrer amt­li­chen Web­site ver­blei­ben, wie es zum Zwecke die­ses Arti­kels erfor­der­lich ist. Die­ser Zeit­raum darf fünf Jah­re ab dem Zeit­punkt der Ver­öf­fent­li­chung nicht überschreiten.


Arti­kel 55 Wah­rung des Berufsgeheimnisses


(1) Ver­trau­li­che Infor­ma­tio­nen, die gemäß die­ser Ver­ord­nung emp­fan­gen, aus­ge­tauscht oder über­mit­telt wer­den, unter­lie­gen den in Absatz 2 fest­ge­leg­ten Bestim­mun­gen zum Berufs­ge­heim­nis.

(2) Zur Wah­rung des Berufs­ge­heim­nis­ses ver­pflich­tet sind alle Per­so­nen, die bei den gemäß die­ser Ver­ord­nung zustän­di­gen Behör­den oder bei einer Behör­de, einem Markt­teil­neh­mer oder einer natür­li­chen oder juri­sti­schen Per­son beschäf­tigt sind oder waren, an die bzw. den die­se zustän­di­gen Behör­den ihre Befug­nis­se dele­giert haben, ein­schließ­lich unter Ver­trag genom­me­ner Revi­so­ren und Sachverständigen.

(3) Unter das Berufs­ge­heim­nis fal­len­de Infor­ma­tio­nen, ein­schließ­lich der zwi­schen den gemäß der vor­lie­gen­den Ver­ord­nung zustän­di­gen Behör­den und den gemäß der Richt­li­nie (EU) 2022/2555 benann­ten oder ein­ge­rich­te­ten zustän­di­gen Behör­den aus­ge­tausch­ten Infor­ma­tio­nen, dür­fen kei­ner ande­ren Per­son oder Behör­de gegen­über offen­ge­legt wer­den, es sei denn, dies geschieht auf­grund von Uni­ons­recht oder natio­na­lem Recht.

(4) Alle gemäß die­ser Ver­ord­nung zwi­schen den zustän­di­gen Behör­den aus­ge­tausch­ten Infor­ma­tio­nen, die Geschäfts- oder Betriebs­be­din­gun­gen und ande­re wirt­schaft­li­che oder per­sön­li­che Ange­le­gen­hei­ten betref­fen, wer­den als ver­trau­lich betrach­tet und unter­lie­gen den Anfor­de­run­gen an das Berufs­ge­heim­nis, es sein denn, ihre Wei­ter­ga­be wird von der zustän­di­gen Behör­de zum Zeit­punkt der Mit­tei­lung für zuläs­sig erklärt oder ist für Gerichts­ver­fah­ren erforderlich.


Arti­kel 56 Datenschutz


(1) Die ESA und die zustän­di­gen Behör­den dür­fen per­so­nen­be­zo­ge­ne Daten nur ver­ar­bei­ten, wenn dies zur Erfül­lung ihrer jewei­li­gen Pflich­ten und Auf­ga­ben gemäß die­ser Ver­ord­nung erfor­der­lich ist, ins­be­son­de­re für Unter­su­chun­gen, Inspek­tio­nen, Aus­kunfts­er­su­chen, Kom­mu­ni­ka­ti­ons­zwecke, Ver­öf­fent­li­chun­gen, Eva­lu­ie­run­gen, Veri­fi­zie­run­gen, Bewer­tun­gen und die Erstel­lung von Über­wa­chungs­plä­nen. Die per­so­nen­be­zo­ge­nen Daten müs­sen im Ein­klang mit der Ver­ord­nung (EU) 2016/679 oder der Ver­ord­nung (EU) 2018/1725 ver­ar­bei­tet wer­den, je nach­dem, wel­che der bei­den anwend­bar ist.

(2) Sofern in ande­ren sek­tor­spe­zi­fi­schen Rechts­ak­ten nichts ande­res vor­ge­se­hen ist, wer­den die in Absatz 1 genann­ten per­so­nen­be­zo­ge­nen Daten bis zur Erfül­lung der gel­ten­den Auf­sichts­pflich­ten, in jedem Fall aber für höch­stens 15 Jah­re auf­be­wahrt, außer bei anhän­gi­gen Gerichts­ver­fah­ren, die eine wei­te­re Spei­che­rung die­ser Daten erfordern.

VIII Dele­gier­te Rechtsakte

Arti­kel 57 Aus­übung der Befugnisübertragung


(1) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te wird der Kom­mis­si­on unter den in die­sem Arti­kel fest­ge­leg­ten Bedin­gun­gen über­tra­gen.

(2) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te gemäß Arti­kel 31 Absatz 6 und Arti­kel 43 Absatz 2 wird der Kom­mis­si­on für einen Zeit­raum von fünf Jah­ren ab dem 17. Janu­ar 2024 über­tra­gen. Die Kom­mis­si­on erstellt spä­te­stens neun Mona­te vor Ablauf des Zeit­raums von fünf Jah­ren einen Bericht über die Befug­nis­über­tra­gung. Die Befug­nis­über­tra­gung ver­län­gert sich still­schwei­gend um Zeit­räu­me glei­cher Län­ge, es sei denn, das Euro­päi­sche Par­la­ment oder der Rat wider­spre­chen einer sol­chen Ver­län­ge­rung spä­te­stens drei Mona­te vor Ablauf des jewei­li­gen Zeitraums.

(3) Die Befug­nis­über­tra­gung gemäß Arti­kel 31 Absatz 6 und Arti­kel 43 Absatz 2 kann vom Euro­päi­schen Par­la­ment oder vom Rat jeder­zeit wider­ru­fen wer­den. Der Beschluss über den Wider­ruf been­det die Über­tra­gung der in die­sem Beschluss ange­ge­be­nen Befug­nis. Er wird am Tag nach sei­ner Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on oder zu einem im Beschluss über den Wider­ruf ange­ge­be­nen spä­te­ren Zeit­punkt wirk­sam. Die Gül­tig­keit von dele­gier­ten Rechts­ak­ten, die bereits in Kraft sind, wird von dem Beschluss über den Wider­ruf nicht berührt.

(4) Vor dem Erlass eines dele­gier­ten Rechts­akts kon­sul­tiert die Kom­mis­si­on die von den ein­zel­nen Mit­glied­staa­ten benann­ten Sach­ver­stän­di­gen, im Ein­klang mit den in der Inter­in­sti­tu­tio­nel­len Ver­ein­ba­rung vom 13. April 2016 über bes­se­re Recht­set­zung ent­hal­te­nen Grundsätzen.

(5) Sobald die Kom­mis­si­on einen dele­gier­ten Rechts­akt erlässt, über­mit­telt sie ihn gleich­zei­tig dem Euro­päi­schen Par­la­ment und dem Rat.

(6) Ein dele­gier­ter Rechts­akt, der gemäß Arti­kel 31 Absatz 6 und Arti­kel 43 Absatz 2 erlas­sen wur­de, tritt nur in Kraft, wenn weder das Euro­päi­sche Par­la­ment noch der Rat inner­halb einer Frist von drei Mona­ten nach Über­mitt­lung die­ses Rechts­akts an das Euro­päi­sche Par­la­ment und den Rat Ein­wän­de erho­ben haben oder wenn vor Ablauf die­ser Frist sowohl das Euro­päi­sche Par­la­ment als auch der Rat der Kom­mis­si­on mit­ge­teilt haben, dass sie kei­ne Ein­wän­de erhe­ben wer­den. Auf Initia­ti­ve des Euro­päi­schen Par­la­ments oder des Rates wird die­se Frist um drei Mona­te verlängert.

IX Über­gangs- und Schlussbestimmungen

Abschnitt I

Arti­kel 58 Überprüfungsklausel


(1) Bis zum 17. Janu­ar 2028 führt die Kom­mis­si­on nach Kon­sul­ta­ti­on der ESA und des ESRB, je nach Sach­la­ge, eine Über­prü­fung durch und legt dem Euro­päi­schen Par­la­ment und dem Rat einen Bericht vor, gege­be­nen­falls zusam­men mit einem Gesetz­ge­bungs­vor­schlag. Die Über­prü­fung muss sich min­de­stens auf Fol­gen­des erstrecken:

a) die Kri­te­ri­en für die Benen­nung kri­ti­scher IKT-Dritt­dienst­lei­ster gemäß Arti­kel 31 Absatz 2;

b) die Frei­wil­lig­keit der Mel­dung erheb­li­cher Cyber­be­dro­hun­gen gemäß Arti­kel 19;

c) die Rege­lung gemäß Arti­kel 31 Absatz 12 und die Befug­nis­se der feder­füh­ren­den Über­wa­chungs­be­hör­de gemäß Arti­kel 35 Absatz 1 Buch­sta­be d Zif­fer iv erster Gedan­ken­strich, um die Wirk­sam­keit die­ser Bestim­mun­gen im Hin­blick auf die Gewähr­lei­stung einer wirk­sa­men Über­wa­chung kri­ti­scher IKT-Dritt­dienst­lei­ster mit Sitz in einem Dritt­land und die Not­wen­dig­keit der Grün­dung eines Toch­ter­un­ter­neh­mens in der Uni­on zu bewerten.

Für die Zwecke von Unter­ab­satz 1 die­ses Buch­sta­bens umfasst die Über­prü­fung eine Ana­ly­se der Rege­lung gemäß Arti­kel 31 Absatz 12, ein­schließ­lich hin­sicht­lich der Bedin­gun­gen für den Zugang von Finanz­un­ter­neh­men der Uni­on zu Dienst­lei­stun­gen aus Dritt­län­dern und der Ver­füg­bar­keit die­ser Dienst­lei­stun­gen auf dem Uni­ons­markt, und berück­sich­tigt wei­te­re Ent­wick­lun­gen auf den Märk­ten für die unter die­se Ver­ord­nung fal­len­den Dienst­lei­stun­gen, die von Finanz­un­ter­neh­men und Finanz­auf­sichts­be­hör­den bei der Anwen­dung die­ser Rege­lung bzw. der damit ver­bun­de­nen Beauf­sich­ti­gung gewon­ne­nen prak­ti­schen Erfah­run­gen sowie alle ein­schlä­gi­gen regu­la­to­ri­schen und auf­sicht­li­chen Ent­wick­lun­gen auf inter­na­tio­na­ler Ebene.

d) die Ange­mes­sen­heit der Ein­be­zie­hung der­je­ni­gen in Arti­kel 2 Absatz 3 Buch­sta­be e genann­ten Finanz­un­ter­neh­men in den Gel­tungs­be­reich die­ser Ver­ord­nung, die auto­ma­ti­sier­te Ver­triebs­sy­ste­me nut­zen, unter Berück­sich­ti­gung künf­ti­ger Markt­ent­wick­lun­gen im Zusam­men­hang mit der Nut­zung sol­cher Systeme;

e) die Funk­ti­ons­wei­se und Wirk­sam­keit des JON bei der För­de­rung der Kohä­renz der Über­wa­chung und der Effi­zi­enz des Infor­ma­ti­ons­aus­tauschs inner­halb des Überwachungsrahmens.

(2) Im Zusam­men­hang mit der Über­prü­fung der Richt­li­nie (EU) 2015/2366 bewer­tet die Kom­mis­si­on, ob die Resi­li­enz von Zah­lungs­sy­ste­men und Zah­lungs­ab­wick­lungs­tä­tig­kei­ten gegen­über Cyber­an­grif­fen erhöht wer­den muss und ob es ange­mes­sen ist, den Gel­tungs­be­reich die­ser Ver­ord­nung auf Betrei­ber von Zah­lungs­sy­ste­men und an Zah­lungs­ab­wick­lungs­tä­tig­kei­ten betei­lig­te Stel­len aus­zu­wei­ten. Die Kom­mis­si­on legt unter Berück­sich­ti­gung des Ergeb­nis­ses die­ser Bewer­tung dem Euro­päi­schen Par­la­ment und dem Rat im Rah­men der Über­prü­fung der Richt­li­nie (EU) 2015/2366 bis spä­te­stens 17. Juli 2023 einen Bericht vor.

Auf der Grund­la­ge die­ses Über­prü­fungs­be­richts und nach Kon­sul­ta­ti­on der ESA, der EZB und des ESRB kann die Kom­mis­si­on gege­be­nen­falls als Teil des Gesetz­ge­bungs­vor­schlags, den sie gemäß Arti­kel 108 Unter­ab­satz 2 der Richt­li­nie (EU) 2015/2366 anneh­men kann, einen Vor­schlag unter­brei­ten, mit dem sicher­ge­stellt wird, dass alle Betrei­ber von Zah­lungs­sy­ste­men und alle an Zah­lungs­ab­wick­lungs­tä­tig­kei­ten betei­lig­te Stel­len einer ange­mes­se­nen Über­wa­chung unter­lie­gen, wobei der bestehen­den Über­wa­chung durch die Zen­tral­bank Rech­nung zu tra­gen ist.

(3) Bis zum 17. Janu­ar 2026 führt die Kom­mis­si­on nach Kon­sul­ta­ti­on der ESA und des Aus­schus­ses der Euro­päi­schen Auf­sichts­stel­len für Abschluss­prü­fer eine Über­prü­fung durch und legt — gege­be­nen­falls zusam­men mit einem Gesetz­ge­bungs­vor­schlag — dem Euro­päi­schen Par­la­ment und dem Rat einen Bericht dar­über vor, ob stren­ge­re Anfor­de­run­gen an Abschluss­prü­fer und Prü­fungs­ge­sell­schaf­ten in Bezug auf die digi­ta­le ope­ra­tio­na­le Resi­li­enz ange­mes­sen sind, indem Abschluss­prü­fer und Prü­fungs­ge­sell­schaf­ten in den Gel­tungs­be­reich der vor­lie­gen­den Ver­ord­nung auf­ge­nom­men wer­den oder die Richt­li­nie 2006/43/EG des Euro­päi­schen Par­la­ments und des Rates (39) geän­dert wird.

Abschnitt II

Ände­run­gen


Arti­kel 59 Ände­run­gen der Ver­ord­nung (EG) Nr. 1060/2009


Die Ver­ord­nung (EG) Nr. 1060/2009 wird wie folgt geän­dert:

1. Anhang I Abschnitt A Num­mer 4 Unter­ab­satz 1 erhält fol­gen­de Fassung:

Eine Rating­agen­tur ver­fügt über eine soli­de Ver­wal­tung und Rech­nungs­le­gung, inter­ne Kon­troll­me­cha­nis­men, effi­zi­en­te Ver­fah­ren für die Risi­ko­be­wer­tung sowie wirk­sa­me Kon­troll- und Sicher­heits­me­cha­nis­men für den Betrieb von IKT-Syste­men gemäß der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates (*1).

(*1) Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor und zur Ände­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1).“”

1. Anhang III Num­mer 12 erhält fol­gen­de Fassung:

12. Die Rating­agen­tur ver­stößt gegen Arti­kel 6 Absatz 2 in Ver­bin­dung mit Anhang I Abschnitt A Num­mer 4, wenn sie über kei­ne soli­de Ver­wal­tung und Rech­nungs­le­gung, kei­ne inter­nen Kon­troll­me­cha­nis­men, kei­ne effi­zi­en­ten Ver­fah­ren für die Risi­ko­be­wer­tung oder kei­ne wirk­sa­men Kon­troll- und Sicher­heits­me­cha­nis­men für den Betrieb von IKT-Syste­men gemäß der Ver­ord­nung (EU) 2022/2554 ver­fügt oder wenn sie kei­ne Ent­schei­dungs­pro­zes­se oder kei­ne Orga­ni­sa­ti­ons­struk­tur nach Maß­ga­be jener Num­mer schafft oder unterhält.“


Arti­kel 60 Ände­run­gen der Ver­ord­nung (EU) Nr. 648/2012


Die Ver­ord­nung (EU) Nr. 648/2012 wird wie folgt geän­dert:

1. Arti­kel 26 wird wie folgt geän­dert: a)

Absatz 3 erhält fol­gen­de Fassung:

(3) Eine CCP muss dau­er­haft über eine Orga­ni­sa­ti­ons­struk­tur ver­fü­gen, die Kon­ti­nui­tät und ein ord­nungs­ge­mä­ßes Funk­tio­nie­ren im Hin­blick auf die Erbrin­gung ihrer Dienst­lei­stun­gen und Aus­übung ihrer Tätig­kei­ten gewähr­lei­stet. Sie muss ange­mes­se­ne und ver­hält­nis­mä­ßi­ge Syste­me, Res­sour­cen und Ver­fah­ren ein­set­zen, ein­schließ­lich IKT-Syste­men, die gemäß der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates (*2) betrie­ben werden.

(*2) Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor und zur Ände­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1).“”

b) Absatz 6 wird gestrichen;

2. Arti­kel 34 wird wie folgt geän­dert: a)

Absatz 1 erhält fol­gen­de Fassung:

(1) Eine CCP hat eine ange­mes­se­ne Geschäfts­fort­füh­rungs­leit­li­nie sowie einen Not­fall­wie­der­her­stel­lungs­plan — der eine IKT-Geschäfts­fort­füh­rungs­leit­li­nie und IKT- Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne umfasst, die nach der Ver­ord­nung (EU) 2022/2554 auf­ge­stellt und umge­setzt wer­den — fest­zu­le­gen, umzu­set­zen und zu befol­gen, mit dem Ziel eine Auf­recht­erhal­tung der Funk­tio­nen der CCP, eine recht­zei­ti­ge Wie­der­her­stel­lung des Geschäfts­be­triebs sowie eine Erfül­lung der Pflich­ten der CCP zu gewährleisten.“

b) Absatz 3 Unter­ab­satz 1 erhält fol­gen­de Fassung:

(3) Um die ein­heit­li­che Anwen­dung die­ses Arti­kels zu gewähr­lei­sten, erar­bei­tet die ESMA nach Anhö­rung der Mit­glie­der des ESZB Ent­wür­fe für tech­ni­sche Regu­lie­rungs­stan­dards, in denen der Min­dest­in­halt und die Anfor­de­run­gen an die Geschäfts­fort­füh­rungs­leit­li­nie und an den Not­fall­wie­der­her­stel­lungs­plan, unter Aus­schluss der IKT-Geschäfts­fort­füh­rungs­leit­li­nie und der Plä­ne für Not­fall­wie­der­her­stel­lung, fest­ge­legt werden.“

3. Arti­kel 56 Absatz 3 Unter­ab­satz 1 erhält fol­gen­de Fas­sung: „(3) Um die ein­heit­li­che Anwen­dung die­ses Arti­kels zu gewähr­lei­sten, erar­bei­tet die ESMA Ent­wür­fe für tech­ni­sche Regu­lie­rungs­stan­dards, in denen die Ein­zel­hei­ten des in Absatz 1 genann­ten Antrags auf Regi­strie­rung fest­ge­legt wer­den, mit Aus­nah­me der Anfor­de­run­gen im Zusam­men­hang mit dem IKT-Risikomanagement.“

4. Arti­kel 79 Absät­ze 1 und 2 erhält fol­gen­de Fas­sung: „(1) Ein Trans­ak­ti­ons­re­gi­ster ermit­telt Quel­len ope­ra­tio­nel­ler Risi­ken und mini­miert die­se Risi­ken durch die Ent­wick­lung ange­mes­se­ner Syste­me, Kon­trol­len und Ver­fah­ren, ein­schließ­lich IKT-Syste­men, die gemäß der Ver­ord­nung (EU) 2022/2554 betrie­ben werden.

(2) Ein Trans­ak­ti­ons­re­gi­ster hat eine ange­mes­se­ne Geschäfts­fort­füh­rungs­leit­li­nie und einen Not­fall­wie­der­her­stel­lungs­plan — ein­schließ­lich einer IKT-Geschäfts­fort­füh­rungs­leit­li­nie und IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­nen, die nach der Ver­ord­nung (EU) 2022/2554 ein­ge­rich­tet wer­den — fest­zu­le­gen, umzu­set­zen und zu befol­gen, mit dem Ziel, die Auf­recht­erhal­tung der Funk­tio­nen des Trans­ak­ti­ons­re­gi­sters, die recht­zei­ti­ge Wie­der­her­stel­lung des Geschäfts­be­triebs sowie die Erfül­lung der Pflich­ten des Trans­ak­ti­ons­re­gi­sters zu gewährleisten.“

5. Arti­kel 80 Absatz 1 wird gestri­chen; 6.

Anhang I Abschnitt II wird wie folgt geändert:

a) Die Buch­sta­ben a und b erhal­ten fol­gen­de Fassung:

a) Ein Trans­ak­ti­ons­re­gi­ster ver­stößt gegen Arti­kel 79 Absatz 1, wenn es nicht die Quel­len betrieb­li­cher Risi­ken ermit­telt bzw. die­se Risi­ken nicht durch die Ent­wick­lung ange­mes­se­ner Syste­me, Kon­trol­len und Ver­fah­ren, ein­schließ­lich IKT-Syste­men, die gemäß der Ver­ord­nung (EU) 2022/2554 betrie­ben wer­den, minimiert.

b) Ein Trans­ak­ti­ons­re­gi­ster ver­stößt gegen Arti­kel 79 Absatz 2, wenn es nicht eine ange­mes­se­ne Geschäfts­fort­füh­rungs­leit­li­nie und einen Not­fall­wie­der­her­stel­lungs­plan, die nach der Ver­ord­nung (EU) 2022/2554 ein­ge­rich­tet wer­den, fest­legt, umsetzt oder auf­recht­erhält, mit dem Ziel, die Auf­recht­erhal­tung der Funk­tio­nen des Trans­ak­ti­ons­re­gi­sters, die zeit­na­he Wie­der­her­stel­lung des Geschäfts­be­triebs sowie die Erfül­lung der Pflich­ten des Trans­ak­ti­ons­re­gi­sters zu gewährleisten.“

b) Buch­sta­be c wird gestrichen;

1. Anhang III wird wie folgt geändert:

a) Abschnitt II wird wie folgt geändert:

i) Buch­sta­be c erhält fol­gen­de Fassung:

c) eine Tier 2‑CCP ver­stößt gegen Arti­kel 26 Absatz 3, wenn sie nicht dau­er­haft über eine Orga­ni­sa­ti­ons­struk­tur ver­fügt, die Kon­ti­nui­tät und ein ord­nungs­ge­mä­ßes Funk­tio­nie­ren im Hin­blick auf die Erbrin­gung ihrer Dienst­lei­stun­gen und Aus­übung ihrer Tätig­kei­ten gewähr­lei­stet, oder wenn sie kei­ne ange­mes­se­nen und geeig­ne­ten Syste­me, Res­sour­cen und Ver­fah­ren ein­setzt, ein­schließ­lich IKT-Syste­men, die gemäß der Ver­ord­nung (EU) 2022/2554 (DORA) betrie­ben werden;“

ii) Buch­sta­be f wird gestrichen.

b) in Abschnitt III erhält Buch­sta­be a fol­gen­de Fassung:

a) eine Tier 2‑CCP ver­stößt gegen Arti­kel 34 Absatz 1, wenn sie kei­ne ange­mes­se­ne Geschäfts­fort­füh­rungs­leit­li­nie und kei­nen Reak­ti­ons- und Wie­der­her­stel­lungs­plan, die nach der Ver­ord­nung (EU) 2022/2554 ein­ge­rich­tet wer­den, fest­legt, umsetzt und befolgt, mit dem Ziel, eine Auf­recht­erhal­tung der Funk­tio­nen der CCP, eine recht­zei­ti­ge Wie­der­her­stel­lung des Geschäfts­be­triebs sowie eine Erfül­lung der Pflich­ten der CCP zu gewähr­lei­sten, wobei ein sol­cher Plan zumin­dest eine Wie­der­her­stel­lung aller Trans­ak­tio­nen zum Zeit­punkt der Stö­rung ermög­li­chen muss, sodass die CCP wei­ter­hin zuver­läs­sig arbei­ten und die Abwick­lung zum geplan­ten Ter­min vor­neh­men kann;“


Arti­kel 61 Ände­run­gen der Ver­ord­nung (EU) Nr. 909/2014



Arti­kel 45 der Ver­ord­nung (EU) Nr. 909/2014 wird wie folgt geän­dert: 1.


Absatz 1 erhält fol­gen­de Fas­sung:

(1) Ein Zen­tral­ver­wah­rer ermit­telt Quel­len des inter­nen und exter­nen ope­ra­tio­nel­len Risi­kos und hält deren Aus­wir­kun­gen durch den Ein­satz ange­mes­se­ner IKT-Tools, Ver­fah­ren und Stra­te­gien, die gemäß der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates (*3) ein­ge­rich­tet und ver­wal­tet wer­den, sowie durch alle ande­ren rele­van­ten ange­mes­se­nen Instru­men­te, Kon­trol­len und Ver­fah­ren für ande­re Arten ope­ra­tio­nel­ler Risi­ken, auch für alle von ihm betrie­be­nen Wert­pa­pier­lie­fer- und ‑abrech­nungs­sy­ste­me, so gering wie möglich.

(*3) Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor und zur Ände­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1).“”

1. Absatz 2 wird gestrichen;

2. Absät­ze 3 und 4 erhal­ten fol­gen­de Fassung:

(3) Für die von ihm erbrach­ten Dienst­lei­stun­gen und jedes von ihm betrie­be­ne Wert­pa­pier­lie­fer- und ‑abrech­nungs­sy­stem legt ein Zen­tral­ver­wah­rer eine ange­mes­se­ne Geschäfts­fort­füh­rungs­leit­li­nie sowie einen Not­fall­wie­der­her­stel­lungs­plan, ein­schließ­lich einer IKT-Geschäfts­fort­füh­rungs­leit­li­nie und IKT-Reak­ti­ons- und Wie­der­her­stel­lungs­plä­ne, die gemäß der Ver­ord­nung (EU) 2022/2554 ein­ge­rich­tet wer­den, fest, die er anwen­det und befolgt, um bei Ereig­nis­sen, die ein beträcht­li­ches Risi­ko einer Beein­träch­ti­gung des Geschäfts­be­triebs ber­gen, das Auf­recht­erhal­ten der Dienst­lei­stun­gen, die rasche Wie­der­her­stel­lung des Geschäfts­be­triebs und die Erfül­lung sei­ner Pflich­ten zu gewährleisten.

(4) Der Plan nach Absatz 3 muss eine Wie­der­her­stel­lung aller Geschäf­te und Posi­tio­nen der Teil­neh­mer zum Zeit­punkt der Stö­rung ermög­li­chen, damit die Teil­neh­mer eines Zen­tral­ver­wah­rers ihre Tätig­kei­ten in siche­rer Wei­se fort­set­zen und Lie­fe­run­gen und Abrech­nun­gen zum geplan­ten Ter­min vor­neh­men kön­nen; hier­zu gehört auch die Vor­sor­ge, dass kri­ti­sche IT-Syste­me nach der Stö­rung wie­der in Betrieb genom­men wer­den kön­nen, so wie in Arti­kel 12 Absät­ze 5 und 7 der Ver­ord­nung (EU) 2022/2554 vorgesehen.“

1. Absatz 6 erhält fol­gen­de Fassung:

(6) Ein Zen­tral­ver­wah­rer ermit­telt, über­wacht und managt die Risi­ken, die von wich­ti­gen Teil­neh­mern an den von ihm betrie­be­nen Wert­pa­pier­lie­fer- und ‑abrech­nungs­sy­ste­men sowie von Dienst­lei­stern und Ver­sor­gungs­be­trie­ben, ande­ren Zen­tral­ver­wah­rern oder ande­ren Markt­in­fra­struk­tu­ren für sei­nen Geschäfts­be­trieb aus­ge­hen könn­ten. Er unter­rich­tet die zustän­di­ge Behör­de sowie die betref­fen­den Behör­den auf Ver­lan­gen über alle sol­cher­ma­ßen ermit­tel­ten Risi­ken. Er unter­rich­tet die zustän­di­ge Behör­de sowie die betref­fen­den Behör­den fer­ner unver­züg­lich über alle Stör­fäl­le infol­ge die­ser Risi­ken, die nicht im Zusam­men­hang mit dem IKT-Risi­ko auftreten.“

1. Absatz 7 Unter­ab­satz 1 erhält fol­gen­de Fassung:

(7) Die ESMA arbei­tet in enger Abstim­mung mit den Mit­glie­dern des ESZB Ent­wür­fe tech­ni­scher Regu­lie­rungs­stan­dards aus, in denen die ope­ra­tio­nel­len Risi­ken nach den Absät­zen 1 und 6 — mit Aus­nah­me von IKT-Risi­ken — sowie die Ver­fah­ren zur Prü­fung, Bewäl­ti­gung oder Mini­mie­rung die­ser Risi­ken ein­schließ­lich der Geschäfts­fort­füh­rungs­leit­li­ni­en und der Not­fall­sa­nie­rungs­plä­ne nach den Absät­zen 3 und 4 sowie der Ver­fah­ren zu ihrer Beur­tei­lung prä­zi­siert werden.“


Arti­kel 62 Ände­run­gen der Ver­ord­nung (EU) Nr. 600/2014


Die Ver­ord­nung (EU) Nr. 600/2014 wird wie folgt geän­dert:

6. Arti­kel 27g wird wie folgt geän­dert: a)

Absatz 4 erhält fol­gen­de Fassung:

(4) Ein APA muss die in der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates (*4) fest­ge­leg­ten Anfor­de­run­gen in Bezug auf die Sicher­heit von Netz­werk- und Infor­ma­ti­ons­sy­ste­men erfüllen.“

(*4) Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates vom 14. Dezem­ber 2022 über die digi­ta­le ope­ra­tio­na­le Resi­li­enz im Finanz­sek­tor und zur Ände­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1).“”

b) Absatz 8 Buch­sta­be c erhält fol­gen­de Fassung:

c)

die kon­kre­ten orga­ni­sa­to­ri­schen Anfor­de­run­gen nach den Absät­zen 3 und 5.“

7. Arti­kel 27h wird wie folgt geän­dert: a)

Absatz 5 erhält fol­gen­de Fassung:

(5) Ein CTP muss die in der Ver­ord­nung (EU) 2022/2554 fest­ge­leg­ten Anfor­de­run­gen in Bezug auf die Sicher­heit von Netz­werk- und Infor­ma­ti­ons­sy­ste­men erfüllen.“

b) in Absatz 8 erhält Buch­sta­be e fol­gen­de Fassung:

e) die kon­kre­ten orga­ni­sa­to­ri­schen Anfor­de­run­gen nach Absatz 4.“

8. Arti­kel 27i wird wie folgt geän­dert: a)

Absatz 3 erhält fol­gen­de Fassung:

(3) Ein ARM muss die in der Ver­ord­nung (EU) 2022/2554 fest­ge­leg­ten Anfor­de­run­gen in Bezug auf die Sicher­heit von Netz­werk- und Infor­ma­ti­ons­sy­ste­men erfüllen.“

b) Absatz 5 Buch­sta­be b erhält fol­gen­de Fassung:

b) die kon­kre­ten orga­ni­sa­to­ri­schen Anfor­de­run­gen nach den Absät­zen 2 und 4.“


Arti­kel 63 Ände­run­gen der Ver­ord­nung (EU) 2016/1011


In Arti­kel 6 der Ver­ord­nung (EU) 2016/1011 wird fol­gen­der Absatz ange­fügt:

(6) Für kri­ti­sche Refe­renz­wer­te ver­fügt ein Admi­ni­stra­tor über eine soli­de Ver­wal­tung und Rech­nungs­le­gung, inter­ne Kon­troll­me­cha­nis­men, effi­zi­en­te Ver­fah­ren für die Risi­ko­be­wer­tung sowie wirk­sa­me Kon­troll- und Sicher­heits­me­cha­nis­men für den Betrieb von IKT-Syste­men gemäß der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates (*5).


Arti­kel 64 Inkraft­tre­ten und Anwendung


Die­se Ver­ord­nung tritt am zwan­zig­sten Tag nach ihrer Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on in Kraft.

Sie gilt ab dem 17. Janu­ar 2025.