Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Wirtschaft/Finanzwesen - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 28 Absatz 10 Unterabsatz 3,

in Erwägung nachstehender Gründe:

(1) Nach dem mit der Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienz im Finanzsektor müssen Finanzunternehmen bestimmte Schlüsselprinzipien für das Management des IKT-Drittparteienrisikos festlegen, die insbesondere dann wichtig sind, wenn Finanzunternehmen zur Unterstützung ihrer kritischen oder wichtigen Funktionen auf IKT-Drittdienstleister zurückgreifen.

(2) Finanzunternehmen müssen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko annehmen und regelmäßig überprüfen. Nach Artikel 28 Absatz 2 der Verordnung (EU) 2022/2554 muss diese Strategie eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen, die von IKT-Drittdienstleistern bereitgestellt werden. Sie gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis.

(3) Finanzunternehmen unterscheiden sich in ihrer Größe, Struktur und internen Organisation sowie in der Art und Komplexität ihrer Tätigkeiten und Geschäfte erheblich voneinander. Es ist notwendig, dieser Vielfalt Rechnung zu tragen und bei der Ausarbeitung der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden "Leitlinie"), bestimmte grundlegende regulatorische Anforderungen einzuführen, die für alle Finanzunternehmen angemessen sind, und sicherzustellen, dass diese Anforderungen in einer verhältnismäßigen Weise angewandt werden.

(4) Gehören Finanzunternehmen einer Gruppe an, so sollte das Mutterunternehmen, das für die Erstellung des konsolidierten oder teilkonsolidierten Abschlusses für die Gruppe verantwortlich zeichnet, sicherstellen, dass die Leitlinie innerhalb der Gruppe auf konsistente und kohärente Weise angewandt wird.

(5) Bei der Anwendung der Leitlinie sollten gruppeninterne IKT-Dienstleister, einschließlich solcher, die sich im vollständigen oder gemeinsamen Besitz von Finanzunternehmen innerhalb desselben institutsbezogenen Sicherungssystems befinden, als IKT-Drittdienstleister betrachtet werden. Wenngleich die von gruppeninternen IKT-Dienstleistern ausgehenden Risiken möglicherweise anderer Art sind, gelten für sie dieselben Anforderungen nach der Verordnung (EU) 2022/2554. Werden die Dienstleistungen über eine Kette von IKT-Drittdienstleistern bereitgestellt, so sollte die Leitlinie entsprechend auch für Unterauftragnehmer gelten, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon für IKT-Drittdienstleister erbringen.

(6) Das übergeordnete Prinzip, wonach die Verantwortung für das Management des IKT-Risikos eines Finanzunternehmens letztlich beim Leitungsorgan liegt, gilt auch bei der Nutzung von IKT-Drittdienstleistern. Diese Verantwortung sollte sich weiter im kontinuierlichen Engagement des Leitungsorgans bei der Kontrolle und Überwachung des IKT-Risikomanagements niederschlagen, einschließlich bei der Annahme und mindestens jährlichen Überprüfung der Leitlinie.

(7) Um eine angemessene Berichterstattung an das Leitungsorgan zu gewährleisten, sollten in der Leitlinie die internen Zuständigkeiten für die Genehmigung, das Management, die Kontrolle und die Dokumentation vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden "vertragliche Vereinbarungen"), einschließlich der IKT-Dienstleistungen, die im Rahmen vertraglicher Vereinbarungen nach Artikel 28 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 erbracht werden, eindeutig spezifiziert und ermittelt werden.