Delegierte Verordnung (EU) 2024/1774 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens

(1) Im Zuge des in Artikel 16 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten vereinfachten IKT-Risikomanagementrahmens ermitteln, klassifizieren und dokumentieren die in Absatz 1 jenes Artikels genannten Finanzunternehmen alle kritischen oder wichtigen Funktionen, die Informations- und IKT-Assets, die diese Funktionen unterstützen, und deren wechselseitige Abhängigkeiten. Die Finanzunternehmen überprüfen diese Ermittlung und Klassifizierung bei Bedarf.(2) Die in Absatz 1 genannten Finanzunternehmen ermitteln alle kritischen oder wichtigen Funktionen, die von IKT-Drittdienstleistern unterstützt werden.

Klassifizierung von Informations- und IKT-Assets

ALLGEMEINER GRUNDSATZ

TITEL I

Gesamtrisikoprofil und -komplexität

WEITERE HARMONISIERUNG VON TOOLS, METHODEN, PROZESSEN UND RICHTLINIEN FÜR IKT-RISIKOMANAGEMENT IM EINKLANG MIT ARTIKEL 15 DER VERORDNUNG (EU) 2022/2554

TITEL II

Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

KAPITEL I

ABSCHNITT 1

Allgemeine Elemente der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

ABSCHNITT 2

IKT-Risikomanagement

Management von IKT-Assets

ABSCHNITT 3

Richtlinie für das Management von IKT-Assets

Verfahren für das Management von IKT-Assets

Verschlüsselung und Kryptografie

ABSCHNITT 4

Verschlüsselung und kryptografische Kontrollen

Management kryptografischer Schlüssel

IKT-Betriebssicherheit

ABSCHNITT 5

Richtlinien und Verfahren für IKT-Vorgänge

Kapazitäts- und Leistungsmanagement

Schwachstellen- und Patch-Management

Daten- und Systemsicherheit

Datenaufzeichnung

Netzwerksicherheit

Abschnitt 6

Management der Netzwerksicherheit

Sicherung von Informationen bei der Übermittlung

IKT-Projekt- und -Änderungsmanagement

ABSCHNITT 7

IKT-Projektmanagement

Beschaffung, Entwicklung und Wartung von IKT-Systemen

IKT-Änderungsmanagement

ABSCHNITT 8

Physische Sicherheit und Sicherheit vor Umweltereignissen

Richtlinien für Personalpolitik und Zugangskontrolle

KAPITEL II

Richtlinien für Personalpolitik

Identitätsmanagement

Zugangskontrolle

Erkennung IKT-bezogener Vorfälle und Reaktion

KAPITEL III

Richtlinien für die Behandlung IKT-bezogener Vorfälle

Erkennung anormaler Aktivitäten und Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle

Management der IKT-Geschäftsfortführung

KAPITEL IV

Komponenten der IKT-Geschäftsfortführungsleitlinie

Test des IKT-Geschäftsfortführungsplans

IKT-Reaktions- und Wiederherstellungspläne

Bericht über die Überprüfung des IKT-Risikomanagementrahmens

KAPITEL V

Format und Inhalt des Berichts über die Überprüfung des IKT-Risikomanagementrahmens

VEREINFACHTER IKT-RISIKOMANAGEMENTRAHMEN FÜR DIE IN ARTIKEL 16 ABSATZ 1 DER VERORDNUNG (EU) 2022/2554 GENANNTEN FINANZUNTERNEHMEN

TITEL III

Vereinfachter IKT-Risikomanagementrahmen

Governance und Organisation

Informationssicherheitsleitlinien und -maßnahmen

Weitere Elemente der Systeme, Protokolle und Tools zur Minimierung der Auswirkungen von IKT-Risiken

KAPITEL II

Daten-, System- und Netzwerksicherheit

IKT-Sicherheitstests

KAPITEL III

Komponenten des IKT-Geschäftsfortführungsplans

Testen der Geschäftsfortführungspläne

Bericht über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

Format und Inhalt des Berichts über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

SCHLUSSBESTIMMUNGEN

TITEL IV

Inkrafttreten

Europäisches Sekundärrecht

Artikel 30 VO (EU) 2024/1774

Klassifizierung von Informations- und IKT-Assets