Artikel 75 VO (EU) 2022/439

(1) Bei der Bewertung der Architektur der IT-Systeme, die von Bedeutung für die Ratingsysteme des Instituts und die Anwendung des IRB-Ansatzes gemäß Artikel 144 der Verordnung (EU) Nr. 575/2013 sind, beurteilen die zuständigen Behörden alle folgenden Punkte:

a)

die Architektur der IT-Systeme einschließlich aller Anwendungen, ihrer Schnittstellen und Interaktionen;

b)

ein Datenflussdiagramm mit einer Übersicht über die wichtigsten Anwendungen, Datenbanken und IT-Komponenten für die Anwendung des IRB-Ansatzes und für die Ratingsysteme;

c)

die Zuordnung von IT-Systemeigentümern;

d)

die Kapazität, Skalierbarkeit und Effizienz der IT-Systeme;

e)

die Handbücher der IT-Systeme und Datenbanken.

(2) Bei der Bewertung der Stabilität und Sicherheit der IT-Infrastruktur, die von Bedeutung für die Ratingsysteme des Instituts und die Anwendung des IRB-Ansatzes ist, überprüfen die zuständigen Behörden, ob:

a)

die IT-Infrastruktur die ordentlichen und außerordentlichen Verfahren eines Instituts zeitnah, automatisch und flexibel unterstützen kann;

b)

dem Risiko des Ausfalls der Funktionalität der IT-Infrastruktur ( „Störungen” ), dem Risiko des Datenverlusts und dem Risiko fehlerhafter Beurteilungen ( „Fehler” ) angemessen Rechnung getragen wird;

c)

die IT-Infrastruktur angemessen vor Diebstahl, Betrug, Manipulation oder Sabotage von Daten oder Systemen durch böswillige Insider oder Außenstehende geschützt ist.

(3) Bei der Bewertung der Stabilität der IT-Infrastruktur, die von Bedeutung für die Ratingsysteme des Instituts und die Anwendung des IRB-Ansatzes ist, überprüfen die zuständigen Behörden, ob:

a)

die Verfahren zur Sicherung der IT-Systeme, Daten und Dokumentation implementiert sind und regelmäßig getestet werden;

b)

Aktionspläne zur Aufrechterhaltung der Kontinuität für entscheidend wichtige IT-Systeme umgesetzt werden;

c)

die Wiederherstellungsverfahren für IT-Systeme im Störungsfall definiert sind und regelmäßig getestet werden;

d)

die Verwaltung der IT-Systemnutzer im Einklang mit den einschlägigen Grundsätzen und Verfahren des Instituts steht;

e)

Prüfpfade für kritische IT-Systeme umgesetzt werden;

f)

das Management von Änderungen an IT-Systemen angemessen ist und die Überwachung von Änderungen alle IT-Systeme abdeckt.

(4) Um zu bewerten, ob die IT-Infrastruktur, die von Bedeutung für die Ratingsysteme des Instituts und die Anwendung des IRB-Ansatzes ist, sowohl regelmäßig als auch gegebenenfalls auf Ad-hoc-Basis geprüft wird, überprüfen die zuständigen Behörden, ob:

a)

die regelmäßige Überwachung und Ad-hoc-Überprüfungen zu Empfehlungen zur Beseitigung von aufgedeckten Schwächen oder Mängeln führen;

b)

die Feststellungen und Empfehlungen nach Buchstabe a der Geschäftsleitung und dem Leitungsorgan des Instituts mitgeteilt werden;

c)

geeignete Nachweise dafür vorhanden sind, dass die Empfehlungen ordnungsgemäß berücksichtigt und vom Institut umgesetzt werden.