Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 15 Unterabsatz 4 und Artikel 16 Absatz 3 Unterabsatz 4,

in Erwägung nachstehender Gründe:

(1) Die Verordnung (EU) 2022/2554 gilt für ein breites Spektrum von Finanzunternehmen, die sich in Bezug auf Größe, Struktur, interne Organisation sowie Art und Komplexität ihrer Tätigkeiten unterscheiden und daher mehr oder weniger Komplexitäts- oder Risikoelemente aufweisen. Um sicherzustellen, dass dieser Vielfalt gebührend Rechnung getragen wird, sollten sämtliche Anforderungen in Bezug auf Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit sowie einen vereinfachten IKT-Risikomanagementrahmen in einem angemessenen Verhältnis zu Größe, Struktur, interner Organisation, Art und Komplexität dieser Finanzunternehmen und den damit verbundenen Risiken stehen.

(2) Aus dem gleichen Grund sollten Finanzunternehmen, die der Verordnung (EU) 2022/2554 unterliegen, bei der Erfüllung der Anforderungen an Richtlinien, Verfahren, Protokolle und Tools für die IKT-Sicherheit sowie bei einem vereinfachten IKT-Risikomanagementrahmen über eine gewisse Flexibilität verfügen. Deshalb sollten Finanzunternehmen zur Erfüllung von Dokumentationsanforderungen, die sich aus diesen Anforderungen ergeben, sämtliche Unterlagen, über die sie bereits verfügen, verwenden dürfen. Die Entwicklung, Dokumentation und Umsetzung spezifischer Richtlinien für die IKT-Sicherheit sollte nur für bestimmte wesentliche Elemente verlangt werden, wobei auch die führenden Branchenpraktiken und -normen berücksichtigt werden sollten. Um spezifische technische Aspekte der Umsetzung abzudecken, müssen entsprechende Verfahren der IKT-Sicherheit entwickelt, dokumentiert und umgesetzt werden, unter anderem für das Kapazitäts- und Leistungsmanagement, den Umgang mit Schwachstellen und das Patch-Management, die Daten- und Systemsicherheit sowie die Protokollierung.

(3) Um die ordnungsgemäße Umsetzung der in Titel II Kapitel I genannten Richtlinien, Verfahren, Protokolle und Tools für die IKT-Sicherheit im Zeitverlauf zu gewährleisten, ist es wichtig, dass Finanzunternehmen alle Aufgaben und Zuständigkeiten im Zusammenhang mit der IKT-Sicherheit korrekt zuweisen und aufrechterhalten und dass sie festlegen, welche Folgen die Nichteinhaltung von Richtlinien oder Verfahren der IKT-Sicherheit hat.

(4) Um das Risiko von Interessenkonflikten zu begrenzen, sollten Finanzunternehmen bei der Zuweisung von IKT-Aufgaben und -Zuständigkeiten für Aufgabentrennung sorgen.

(5) Um Flexibilität zu gewährleisten und den Kontrollrahmen der Finanzunternehmen zu vereinfachen, sollten diese nicht verpflichtet sein, spezifische Bestimmungen über die Folgen der Nichteinhaltung der in Titel II Kapitel I genannten Richtlinien, Verfahren und Protokolle für die IKT-Sicherheit auszuarbeiten, wenn solche Bestimmungen bereits im Rahmen einer anderen solchen Richtlinie oder eines anderen solchen Verfahrens festgelegt sind.

(6) In einem dynamischen Umfeld, in dem ständig neue IKT-Risiken entstehen, ist es wichtig, dass Finanzunternehmen sich bei der Entwicklung von Richtlinien für die IKT-Sicherheit auf führende Verfahren und gegebenenfalls Normen im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates ² stützen. Dies sollte es den in Titel II genannten Finanzunternehmen ermöglichen, in einer sich wandelnden Landschaft gut informiert und vorbereitet zu sein.

(7) Zur Gewährleistung der digitalen operationalen Resilienz sollten in Titel II