Artikel 15 VO (EU) 2014/795

(1) Ein SIPS-Betreiber schafft einen soliden Rahmen, der angemessene Systeme, Grundsätze, Verfahren und Kontrollen zur Erkennung, Überwachung und Steuerung des operationellen Risikos vorsieht.

(1a) Ein SIPS-Betreiber überprüft, untersucht und prüft Systeme, betriebliche Vorgaben, Verfahren und Kontrollen in regelmäßigen Abständen und nach erheblichen Änderungen am System.

(2) Ein SIPS-Betreiber legt Zielvorgaben und Grundsätze in Bezug auf das Leistungsniveau und die Zuverlässigkeit des Betriebs fest, die geeignet sind, diese Ziele zu erreichen. Er überprüft die Zielvorgaben und Grundsätze mindestens einmal jährlich.

(3) Ein SIPS-Betreiber stellt sicher, dass ein SIPS jederzeit über eine skalierbare Kapazität zur Bewältigung einer aufgrund von Stressereignissen eintretenden Erhöhung der Zahlungsvolumen verfügt und dass er in der Lage ist, seine Zielvorgaben in Bezug auf das Leistungsniveau zu erfüllen.

(4) Ein SIPS-Betreiber legt umfassende Richtlinien für die physische Sicherheit und die Informationssicherheit fest zur angemessenen Erkennung, Bewertung und Begegnung aller möglichen Schwachstellen und Bedrohungen. Er überprüft die Richtlinien mindestens einmal jährlich.

(4a) Ein SIPS-Betreiber errichtet einen Rahmen zur Widerstandsfähigkeit gegenüber Cyberangriffen und verfügt dazu über geeignete Steuerungsmaßnahmen für das Cyberrisikomanagement. Der SIPS-Betreiber ermittelt seine kritischen Geschäfte und unterstützenden Vermögenswerte und verfügt über geeignete Maßnahmen zum Schutz vor, zur Aufdeckung von, zur Reaktion auf und zur Erholung von Cyberangriffen. Diese Maßnahmen sind regelmäßig zu prüfen. Der SIPS-Betreiber stellt sicher, dass er über ein solides Maß an Situationsbewusstsein für Cyberbedrohungen verfügt. Der SIPS-Betreiber stellt sicher, dass Verfahren zum kontinuierlichen Lernen und zur Verbesserung bestehen, die es ihm erlauben, seinen Rahmen zur Widerstandsfähigkeit gegenüber Cyberangriffen, soweit erforderlich, zeitnah an die Dynamik von Cyberrisiken anzupassen.

(5) Ein SIPS-Betreiber legt einen Notfallplan für Ereignisse fest, die mit einer erheblichen Gefahr einer Störung der Geschäfte des SIPS verbunden sind. Der Plan sieht die Nutzung eines sekundären Standorts vor und ist darauf ausgelegt, sicherzustellen, dass die kritischen informationstechnischen Systeme ihren Betrieb innerhalb von zwei Stunden nach diesen Ereignissen wieder aufnehmen können. Der Plan ist so zu gestalten, dass das SIPS jederzeit in der Lage ist, alle bis zum Ende des Geschäftstages, an dem die Störung eintritt, fällig werdenden Zahlungen abzuwickeln. Der SIPS-Betreiber testet den Plan und überprüft ihn mindestens einmal jährlich.

(6) Ein SIPS-Betreiber ermittelt kritische Teilnehmer — insbesondere auf der Grundlage des Volumens und Wertes der Zahlungen sowie möglicher Auswirkungen, die sie auf andere Teilnehmer und das SIPS insgesamt haben — wenn bei den genannten wichtigen Teilnehmern ein bedeutendes operationelles Problem auftritt.

(7) Ein SIPS-Betreiber erkennt, überwacht und steuert die Risiken, die wichtige Teilnehmer, andere FMIs sowie Dienstleister und Versorgungsunternehmen für Geschäfte des SIPS darstellen können.