Artikel 3 VO (EU) 2024/1774

Die Finanzunternehmen entwickeln, dokumentieren und implementieren Richtlinien und Verfahren für das IKT-Risikomanagement, die alle folgenden Elemente umfassen:

a)

einen Verweis auf die Genehmigung der nach Artikel 6 Absatz 8 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Risikotoleranzschwelle für IKT-Risiken;

b)

ein Verfahren und eine Methodik für die Durchführung der IKT-Risikobewertung, um Folgendes zu ermitteln:

i)

Schwachstellen und Bedrohungen, die die unterstützten Unternehmensfunktionen, die IKT-Systeme und die IKT-Assets, die diese Funktionen unterstützen, beeinträchtigen oder beeinträchtigen könnten,

ii)

die quantitativen oder qualitativen Indikatoren zur Messung der Auswirkungen und der Wahrscheinlichkeit eines Auftretens der unter Ziffer i genannten Schwachstellen und Bedrohungen;

c)

das Verfahren zur Ermittlung, Implementierung und Dokumentation von Maßnahmen für die Behandlung von IKT-Risiken mit Blick auf die ermittelten und bewerteten IKT-Risiken, einschließlich der Festlegung von Maßnahmen für die Behandlung von IKT-Risiken, die erforderlich sind, um diese unter die Risikotoleranzschwelle nach Buchstabe a zu senken;

d)

für IKT-Restrisiken, die nach der Implementierung der Maßnahmen für die Behandlung von IKT-Risiken gemäß Buchstabe c weiter bestehen:

i)

Bestimmungen über die Ermittlung dieser IKT-Restrisiken,

ii)

die Zuweisung von Aufgaben und Verantwortlichkeiten mit Blick auf

1.

das Eingehen von IKT-Restrisiken, die die Risikotoleranzschwelle nach Buchstabe a des Finanzunternehmens überschreiten,

2.

das Überprüfungsverfahren gemäß Buchstabe d Ziffer iv,

iii)

die Erstellung eines Inventars der eingegangenen IKT-Restrisiken, einschließlich einer Begründung, weshalb sie eingegangen wurden,

iv)

Bestimmungen über die Überprüfung der eingegangenen IKT-Restrisiken, die mindestens einmal jährlich vorgenommen wird, einschließlich zur

1.

Ermittlung etwaiger Änderungen der IKT-Restrisiken,

2.

Bewertung der verfügbaren Abhilfemaßnahmen,

3.

Bewertung, ob die Gründe für das Eingehen der IKT-Restrisiken zum Zeitpunkt der Überprüfung noch gültig und anwendbar sind;

e)

Bestimmungen über die Überwachung

i)

jeglicher Änderungen der IKT-Risiken und der Cyberbedrohungslage,

ii)

interner und externer Schwachstellen und Bedrohungen,

iii)

des IKT-Risikos des Finanzunternehmens, damit Änderungen, die sich auf sein IKT-Risikoprofil auswirken könnten, rasch erkannt werden können;

f)

Bestimmungen über ein Verfahren, mit dem sichergestellt wird, dass alle Änderungen der Geschäftsstrategie und der Strategie für die digitale operationale Resilienz des Finanzunternehmens berücksichtigt werden.

Für die Zwecke von Absatz 1 Buchstabe c stellt das dort genannte Verfahren sicher, dass

a)

die Wirksamkeit der implementierten Maßnahmen für die Behandlung von IKT-Risiken überwacht wird;

b)

bewertet wird, ob die festgelegten Risikotoleranzschwellen des Finanzunternehmens erreicht wurden;

c)

bewertet wird, ob das Finanzunternehmen tätig geworden ist, um diese Maßnahmen erforderlichenfalls zu korrigieren oder zu verbessern.