Artikel 2 VO (EU) 2024/1774

(1) Die Finanzunternehmen stellen sicher, dass ihre IKT-Sicherheitsrichtlinien, die Informationssicherheit und die damit verbundenen Verfahren, Protokolle und Tools nach Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 in ihren IKT-Risikomanagementrahmen eingebettet sind. Die Finanzunternehmen legen Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit nach diesem Kapitel fest, die

a)

die Netzwerksicherheit gewährleisten;

b)

Schutzvorkehrungen gegen Eindringen und Missbrauch von Daten umfassen;

c)

die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten wahren, einschließlich durch den Einsatz kryptografischer Techniken;

d)

eine präzise und rasche Datenübermittlung ohne wesentliche Störungen und unangemessene Verzögerungen gewährleisten.

(2) Die Finanzunternehmen stellen sicher, dass die in Absatz 1 genannten IKT-Sicherheitsrichtlinien

a)

auf die Ziele für die Informationssicherheit des Finanzunternehmens abgestimmt sind, die in der in Artikel 6 Absatz 8 der Verordnung (EU) 2022/2554 genannten Strategie für die digitale operationale Resilienz enthalten sind;

b)

das Datum der förmlichen Genehmigung der IKT-Sicherheitsrichtlinien durch das Leitungsorgan enthalten;

c)

Indikatoren und Maßnahmen für Folgendes umfassen:

i)

Überwachung der Implementierung der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit,

ii)

Erfassung von Ausnahmen von dieser Implementierung,

iii)

Gewährleistung, dass bei Ausnahmen im Sinne von Ziffer ii die digitale operationale Resilienz des Finanzunternehmens sichergestellt ist;

d)

die Verantwortlichkeiten der Mitarbeiter auf allen Ebenen festlegen, um die IKT-Sicherheit des Finanzunternehmens zu gewährleisten;

e)

die Folgen einer Nichteinhaltung der IKT-Sicherheitsrichtlinien durch Mitarbeiter des Finanzunternehmens spezifizieren, sofern einschlägige Bestimmungen nicht in anderen Richtlinien des Finanzunternehmens enthalten sind;

f)

ein Verzeichnis der erforderlichen Dokumentation umfassen;

g)

die Regelungen für die Aufgabentrennung nach dem Modell der drei Verteidigungslinien oder gegebenenfalls einem anderen internen Modell für Risikomanagement und Kontrolle spezifizieren, um Interessenkonflikte zu vermeiden;

h)

führende Praktiken und gegebenenfalls Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 berücksichtigen;

i)

die Aufgaben und Verantwortlichkeiten für die Entwicklung, Implementierung und Aufrechterhaltung von Richtlinien, Verfahren, Protokollen und Tools für IKT-Sicherheit festlegen;

j)

im Einklang mit Artikel 6 Absatz 5 der Verordnung (EU) 2022/2554 überprüft werden;

k)

wesentliche Änderungen in Bezug auf das Finanzunternehmen, einschließlich wesentlicher Änderungen der Tätigkeiten oder Prozesse des Finanzunternehmens, der Cyberbedrohungslage oder der geltenden rechtlichen Verpflichtungen, berücksichtigen.