Artikel 17 VO (EU) 2024/1774

(1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sehen die Finanzunternehmen in den in Artikel 9 Absatz 4 Buchstabe e der Verordnung (EU) 2022/2554 genannten IKT-Änderungsmanagementverfahren für alle Änderungen an Software, Hardware, Firmware-Komponenten, Systemen oder Sicherheitsparametern alles Folgende vor:

a)

eine Überprüfung, ob die IKT-Sicherheitsanforderungen erfüllt sind,

b)

Mechanismen, die gewährleisten, dass die Funktionen, die Änderungen genehmigen, und die Funktionen, die für die Beantragung und Umsetzung dieser Änderungen zuständig sind, unabhängig sind,

c)

eine klare Beschreibung der Aufgaben und Zuständigkeiten, um zu gewährleisten, dass

i)

Änderungen angegeben und geplant werden,

ii)

ein angemessener Übergang vorgesehen ist,

iii)

die Änderungen kontrolliert getestet und finalisiert werden,

iv)

eine wirksame Qualitätssicherung gewährleistet ist,

d)

die Dokumentation und Kommunikation der Änderungen im Detail, wozu u. a. Folgendes zählt:

i)

Zweck und Umfang der Änderung,

ii)

Zeitplan für die Umsetzung der Änderung,

iii)

die erwarteten Ergebnisse;

e)

die Angabe von Ausweichverfahren und -zuständigkeiten, einschließlich Verfahren und Zuständigkeiten für den Abbruch von Änderungen oder die Wiederherstellung, wenn Änderungen nicht erfolgreich implementiert wurden,

f)

Verfahren, Protokolle und Tools für den Umgang mit Notfalländerungen, die angemessene Schutzvorkehrungen vorsehen,

g)

Verfahren zur Dokumentation, Neubewertung, Bewertung und Genehmigung von Notfalländerungen, nachdem diese vorgenommen wurden, einschließlich Ausweichlösungen und Patches,

h)

Angabe der potenziellen Auswirkungen einer Änderung auf bestehende IKT-Sicherheitsmaßnahmen und Bewertung, ob eine solche Änderung zusätzliche IKT-Sicherheitsmaßnahmen erfordert.

(2) Wenn zentrale Gegenparteien und Zentralverwahrer an ihren IKT-Systemen erhebliche Änderungen vorgenommen haben, unterziehen sie diese strengen Tests unter Simulation von Stressbedingungen.

Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgenden Parteien ein:

a)

Clearingmitglieder und Kunden,

b)

interoperable zentrale Gegenparteien,

c)

andere interessierte Parteien.

Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgende Parteien ein:

a)

Nutzer,

b)

kritische Versorgungsbetriebe und kritische Dienstleister,

c)

andere Zentralverwahrer,

d)

andere Marktinfrastrukturen,

e)

alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer IKT-Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.