Delegierte Verordnung (EU) 2024/1774 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens

<p><p>Bei der Entwicklung und Implementierung der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit nach Titel II und des vereinfachten IKT-Risikomanagementrahmens nach Titel III werden Größe und Gesamtrisikoprofil des Finanzunternehmens sowie die Art und der Umfang seiner Dienstleistungen, Tätigkeiten und Geschäfte und die Elemente berücksichtigt, die deren Komplexität erhöhen oder verringern, darunter:</p>
            <dl>
              <dt style="float: left">a)</dt><dd>Verschlüsselung und Kryptografie;</dd>
              <dt style="float: left">b)</dt><dd>IKT-Betriebssicherheit;</dd>
              <dt style="float: left">c)</dt><dd>Netzwerksicherheit;</dd>
              <dt style="float: left">d)</dt><dd>IKT-Projekt- und -Änderungsmanagement;</dd>
              <dt style="float: left">e)</dt><dd>die potenziellen Auswirkungen des IKT-Risikos auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie von Störungen, die die Kontinuität und Verfügbarkeit der Tätigkeiten des Finanzunternehmens beeinträchtigen.</dd>
            </dl></p>

Gesamtrisikoprofil und -komplexität

ALLGEMEINER GRUNDSATZ

TITEL I

WEITERE HARMONISIERUNG VON TOOLS, METHODEN, PROZESSEN UND RICHTLINIEN FÜR IKT-RISIKOMANAGEMENT IM EINKLANG MIT ARTIKEL 15 DER VERORDNUNG (EU) 2022/2554

TITEL II

Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

KAPITEL I

ABSCHNITT 1

Allgemeine Elemente der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

ABSCHNITT 2

IKT-Risikomanagement

Management von IKT-Assets

ABSCHNITT 3

Richtlinie für das Management von IKT-Assets

Verfahren für das Management von IKT-Assets

Verschlüsselung und Kryptografie

ABSCHNITT 4

Verschlüsselung und kryptografische Kontrollen

Management kryptografischer Schlüssel

IKT-Betriebssicherheit

ABSCHNITT 5

Richtlinien und Verfahren für IKT-Vorgänge

Kapazitäts- und Leistungsmanagement

Schwachstellen- und Patch-Management

Daten- und Systemsicherheit

Datenaufzeichnung

Netzwerksicherheit

Abschnitt 6

Management der Netzwerksicherheit

Sicherung von Informationen bei der Übermittlung

IKT-Projekt- und -Änderungsmanagement

ABSCHNITT 7

IKT-Projektmanagement

Beschaffung, Entwicklung und Wartung von IKT-Systemen

IKT-Änderungsmanagement

ABSCHNITT 8

Physische Sicherheit und Sicherheit vor Umweltereignissen

Richtlinien für Personalpolitik und Zugangskontrolle

KAPITEL II

Richtlinien für Personalpolitik

Identitätsmanagement

Zugangskontrolle

Erkennung IKT-bezogener Vorfälle und Reaktion

KAPITEL III

Richtlinien für die Behandlung IKT-bezogener Vorfälle

Erkennung anormaler Aktivitäten und Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle

Management der IKT-Geschäftsfortführung

KAPITEL IV

Komponenten der IKT-Geschäftsfortführungsleitlinie

Test des IKT-Geschäftsfortführungsplans

IKT-Reaktions- und Wiederherstellungspläne

Bericht über die Überprüfung des IKT-Risikomanagementrahmens

KAPITEL V

Format und Inhalt des Berichts über die Überprüfung des IKT-Risikomanagementrahmens

VEREINFACHTER IKT-RISIKOMANAGEMENTRAHMEN FÜR DIE IN ARTIKEL 16 ABSATZ 1 DER VERORDNUNG (EU) 2022/2554 GENANNTEN FINANZUNTERNEHMEN

TITEL III

Vereinfachter IKT-Risikomanagementrahmen

Governance und Organisation

Informationssicherheitsleitlinien und -maßnahmen

Klassifizierung von Informations- und IKT-Assets

Weitere Elemente der Systeme, Protokolle und Tools zur Minimierung der Auswirkungen von IKT-Risiken

KAPITEL II

Daten-, System- und Netzwerksicherheit

IKT-Sicherheitstests

KAPITEL III

Komponenten des IKT-Geschäftsfortführungsplans

Testen der Geschäftsfortführungspläne

Bericht über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

Format und Inhalt des Berichts über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

SCHLUSSBESTIMMUNGEN

TITEL IV

Inkrafttreten

Europäisches Sekundärrecht

Artikel 1 VO (EU) 2024/1774

Gesamtrisikoprofil und -komplexität