Artikel 9 VO (EU) 2017/571

Sicherheit

(1) Ein Datenbereitstellungsdienst muss Verfahren und Systeme für die physische und elektronische Sicherheit einführen, die darauf abzielen, dass

a)
seine IT-Systeme vor Missbrauch oder einem unbefugten Zugriff geschützt sind,
b)
die Risiken eines Angriffs auf die Informationssysteme gemäß der Definition nach Artikel 2 Buchstabe a der Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates(1) minimiert werden,
c)
eine unbefugte Offenlegung von vertraulichen Informationen verhindert wird, und dass
d)
die Sicherheit und die Integrität der Daten gewährleistet ist.

(2) Wenn eine Wertpapierfirma ( „meldepflichtige Firma” ) einen Dritten ( „vorlegende Firma” ) damit beauftragt, in ihrem Namen einem ARM Informationen vorzulegen, muss ein ARM über Verfahren und Systeme verfügen, um zu gewährleisten, dass die vorlegende Firma keinen Zugriff auf sonstige Informationen oder Informationen über die meldepflichtige Firma hat, die dem ARM von der meldepflichtigen Firma vorgelegt wurden und die von der meldepflichtigen Firma möglicherweise direkt oder über eine sonstige vorlegende Firma an den ARM geschickt wurden.

(3) Ein Datenbereitstellungsdienst muss Maßnahmen und Systeme einführen, um unverzüglich die in Absatz 1 aufgeführten Risiken zu identifizieren und zu handhaben.

(4) Im Falle von Verstößen gegen die Maßnahmen zur physischen und elektronischen Sicherheit gemäß Absatz 1, Absatz 2 und Absatz 3 muss der Datenbereitstellungsdienst unverzüglich:

a)
die zuständigen Behörden seines Herkunftsmitgliedstaats unterrichten und diesen einen Vorfallbericht zukommen lassen, in dem die Art des Zwischenfalls, die ergriffenen Maßnahmen zur Beseitigung des Zwischenfalls und die Initiativen dargestellt werden, um ähnliche Zwischenfälle zu vermeiden, und
b)
seine Kunden unterrichten, die von einem solchen Sicherheitsproblem betroffen sind.

(5) Ein ARM hat die in Absatz 4 Buchstabe a genannte Unterrichtung auch gegenüber anderen zuständigen Behörden vorzunehmen, denen er Geschäftsmeldungen vorlegt.

Fußnote(n):

(1)

Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8).

© Europäische Union 1998-2021

Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.