Digitale operationale Resilienz im Finanzsektor

WICHTIGE ECKPUNKTE

Geltungsbereich

Die Verordnung gilt für:

• Kredit-, Zahlungs-, E-Geld-Institute und Einrichtungen der betrieblichen Altersversorgung;
• Kontoinformationsdienstleister, Anbieter von Krypto-Dienstleistungen, Datenbereitstellungsdienste, Schwarmfinanzierungsdienstleister und IKT-Drittdienstleister;
• Wertpapierfirmen, alternative Investmentfonds, Verwaltungsgesellschaften, Ratingagenturen und Administratoren kritischer Referenzwerte;
• Transaktions- und Verbriefungsregister, Zentralverwahrer, zentrale Gegenparteien und Handelsplätze;
• Versicherungen, Versicherungsvermittler und Rückversicherungsunternehmen.

IKT-Risikomanagement

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt,

• verfügen über interne Governance- und Kontrollmaßnahmen, die ein wirksames und umsichtiges Management von IKT-Risiko gewährleisten;
• stellen sicher, dass ihr Leitungsorgan alle relevanten Vorkehrungen definiert, genehmigt, überwacht und verantwortet;
• verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen mit den erforderlichen Strategien, Leit- und Richtlinien, Verfahren, Protokollen und Instrumenten, um schnell und effizient reagieren zu können;
• verwenden und unterhalten stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Instrumente, die angemessen, zuverlässig und technologisch resilient sind und über ausreichend Kapazitäten verfügen;
• ermitteln, klassifizieren und dokumentieren auf angemessene Weise alle IKT-gestützten Unternehmensfunktionen, Aufgaben und Verantwortlichkeiten und überprüfen Risikoszenarien;
• überwachen und kontrollieren kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Instrumente und minimieren die Auswirkungen jeglicher IKT-Risiken;
• erkennen umgehend anomale Aktivitäten und ermitteln potenzielle wesentliche Schwachstellen;
• führen eine umfassende IKT-Geschäftsfortführungsleitlinie mit geeigneten Plänen, Verfahren und Mechanismen ein;
• entwickeln und dokumentieren Richtlinien und Verfahren zum Backup sowie zur Wiedergewinnung und Wiederherstellung;
• stellen Ressourcen und Personal bereit, um Schwachstellen, Cyberbedrohungen und IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu bewerten und ihre potenziellen Auswirkungen auf die digitale operationale Resilienz des Finanzunternehmens zu analysieren;
• arbeiten Krisenkommunikationspläne aus, um zumindest schwerwiegende IKT-bezogene Vorfälle oder Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit offenzulegen.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Die Finanzunternehmen

• bestimmen Maßnahmen, richten diese ein und wenden sie an, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden;
• klassifizieren Vorfälle und bestimmen deren Auswirkungen anhand von Kriterien wie der Anzahl der betroffenen Kunden und Gegenparteien, der Dauer, der geografischen Ausbreitung und Datenverlusten;
• berichten zumindest über schwerwiegende IKT-bezogene Vorfälle an ihre bestimmte zuständige Behörde, welche die Berichterstattung an ein höheres Gremium wie die Europäische Zentralbank oder die Europäische Bankenaufsichtsbehörde übernimmt.

Testen der digitalen operationalen Resilienz

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt,

• erstellen, pflegen und überprüfen ein solides und umfassendes Programm für das Testen, das mit den erforderlichen Bewertungen, Tests, Methoden, Verfahren und Instrumenten ausgestattet ist;
• führen mindestens alle drei Jahre auf der Grundlage ihres Risikoprofils und unter Berücksichtigung der betrieblichen Gegebenheiten bedrohungsorientierte Penetrationstests durch, wobei nur zertifizierte Tester zum Einsatz kommen, über die erforderliche Fachkenntnis und Eignung und über eine einschlägige Berufshaftpflichtversicherung verfügen.

Management des IKT-Drittparteienrisikos

Die Finanzunternehmen

• managen das Drittparteienrisiko als einen integralen Bestandteil ihres allgemeinen IKT-Risikos;
• treffen vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, um ihre Geschäftstätigkeit unter uneingeschränkter Einhaltung der entsprechenden Gesetzgebung auszuüben;
• berücksichtigen Art, Umfang, Komplexität und Bedeutung der IKT-bezogenen Abhängigkeiten und potenzieller Risiken;
• wägen Nutzen und Kosten alternativer Lösungen bei der Ermittlung und Bewertung der damit verbundenen Risiken ab;
• nehmen in den Vertrag die Rechte und Pflichten jeder Partei und die Dienstleistungsvereinbarung auf.

Überwachungsrahmen für kritische IKT-Drittdienstleister

Der Rahmen

• überträgt den Europäischen Aufsichtsbehörden die Aufgabe,
• • auf der Grundlage klarer Kriterien die für die Finanzunternehmen als kritisch erachteten IKT-Drittdienstleister einzustufen;
  • diejenige Europäische Aufsichtsbehörde zur federführenden Überwachungsbehörde für jeden kritischen IKT-Drittdienstleister zu ernennen, die für das betreffende Finanzunternehmen zuständig ist;
• richtet ein Überwachungsforum ein, um
• • einschlägige Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen zu erörtern und einen kohärenten Ansatz bei der Überwachung auf EU-Ebene zu fördern,
  • jährlich Bewertungen der Überwachungstätigkeiten durchzuführen, Maßnahmen zur Erhöhung der digitalen operationalen Resilienz und bewährte Verfahren zu fördern,
  • umfassende Referenzwerte für kritische IKT-Drittdienstleister vorzulegen;
• überträgt der federführenden Überwachungsbehörde die Aufgabe,
• • als vorrangige Anlaufstelle für kritische IKT-Drittdienstleister zu dienen,
  • zu bewerten, ob jeder kritische Dienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen verfügt,
  • alle einschlägigen Informationen und Unterlagen anzufordern, Untersuchungen und Inspektionen durchzuführen (auch in Drittländern), Abhilfemaßnahmen zu spezifizieren und Empfehlungen abzugeben;
• versetzt die Europäische Bankenaufsichtsbehörde, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und die Europäische Wertpapier- und Marktaufsichtsbehörde in die Lage, mit Regulierungs- und Überwachungsbehörden von Drittländern an IKT-Drittparteienrisiken zu arbeiten;
• fordert die Europäischen Aufsichtsbehörden dazu auf, dem Europäische Parlament, dem Rat der Europäischen Union und der Europäischen Kommission alle fünf Jahre einen gemeinsamen vertraulichen Bericht über ihre Beziehungen mit Behörden in Drittländern vorzulegen.

Kriterien für die Bestimmung kritischer Dienstleister

Gemäß der Delegierten Verordnung (EU) 2024/1502 können IKT-Drittdienstleister nach einer zweistufigen Bewertung als kritisch eingestuft und der direkten Aufsicht der ESAs unterstellt werden.

• Schritt 1 – quantitative Kriterien

Der Dienstleister muss messbare Grenzwerte einhalten, beispielsweise:

• die Anzahl der Finanzunternehmen oder den Anteil ihrer Gesamtaktiva, die von den Dienstleistungen des Dienstleisters abhängig sind;
• ob er systemrelevanten Instituten dient (global systemrelevante Institute (G-SRI) oder andere systemrelevante Institute (A-SRI));
• ob seine Dienstleistungen ersetzbar sind oder ob ein Wechsel zu einem anderen Dienstleister schwierig oder kostspielig wäre.

• Schritt 2 – qualitative Kriterien

Dienstleister, die Schritt 1 erfüllen, werden dann anhand umfassenderer Erwägungen bewertet, darunter:

• der potenziellen systemischen Auswirkungen, wenn ihre Dienstleistungen gestört würden;
• des Grades der gegenseitigen Abhängigkeit zwischen Finanzunternehmen, die denselben Dienstleister nutzen;
• der Kritikalität der unterstützten Funktionen;
• der Abhängigkeit von gemeinsamen Unterauftragnehmern.

Ein Dienstleister wird nur dann als kritisch eingestuft, wenn er die Kriterien in beiden Schritten erfüllt.

Vereinbarungen über den Austausch von Informationen

Finanzunternehmen können Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, soweit dieser Austausch

• darauf abzielt, die digitale operationale Resilienz zu stärken;
• innerhalb vertrauenswürdiger Gemeinschaften erfolgt;
• das Geschäftsgeheimnis gewahrt und personenbezogene Daten geschützt und Leitlinien für die Wettbewerbspolitik befolgt werden.

Sanktionen und Abhilfemaßnahmen

Die zuständigen Behörden

• verfügen über alle Aufsichts-, Untersuchungs- und Sanktionsbefugnisse, die zur Erfüllung ihrer Aufgaben erforderlich sind;
• verhängen, und veröffentlichen auf ihren Websites, die verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen, innerhalb ihres nationalen Rechtsrahmens festgelegt sind.

Die Europäischen Aufsichtsbehörden erarbeiten Entwürfe für technische Regulierungsstandards für IKT-Risikomanagementinstrumente, die Klassifizierung und Berichterstattung über IKT-bezogene Vorfälle und die Durchführung von Überwachungsstätigkeiten.

Die Kommission:

• hat die Befugnis, delegierte Rechtsakte zu erlassen;
• legt bis zum 17. Januar 2028 nach Konsultation der Europäischen Aufsichtsbehörden und des Europäischen Ausschusses für Systemrisiken dem Parlament und dem Rat eine Überprüfung der Verordnung vor.

Die Verordnung ändert die Verordnung (EG) Nr. 1060/2009, die Verordnungen (EU) Nrn. 648/2012, 909/2014 und 600/2014 sowie die Verordnung (EU) 2016/1011.