Artikel 34 VO (EU) 2024/1774

Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen müssen im Rahmen ihrer Systeme, Protokolle und Tools sowie bei allen IKT-Assets

a)

den Lebenszyklus aller IKT-Assets überwachen und managen;

b)

überwachen, ob die IKT-Assets von IKT-Drittdienstleistern der Finanzunternehmen unterstützt werden, sofern anwendbar;

c)

die Kapazitätsanforderungen ihrer IKT-Assets und Maßnahmen ermitteln, um die Verfügbarkeit und Effizienz der IKT-Systeme zu wahren und zu verbessern und IKT-Kapazitätsengpässen vorzubeugen, bevor sie auftreten;

d)

eine automatisierte Schwachstellensuche sowie Bewertungen der IKT-Assets durchführen, die der in Artikel 30 Absatz 1 genannten Klassifizierung und dem Gesamtrisikoprofil des betreffenden IKT-Assets angemessen sind, und Patches zur Behebung ermittelter Schwachstellen installieren;

e)

die mit veralteten oder nicht unterstützten IKT-Assets oder mit IKT-Altsystemen verbundenen Risiken managen;

f)

Vorfälle im Zusammenhang mit der logischen und physischen Zugangskontrolle, dem IKT-Betrieb, einschließlich System- und Netzwerkverkehr, sowie dem IKT-Änderungsmanagement protokollieren;

g)

Maßnahmen ermitteln und umsetzen, um Informationen über anomale Aktivitäten und anomales Verhalten bei kritischen oder wichtigen IKT-Vorgängen zu überwachen und zu analysieren;

h)

Maßnahmen zur Überwachung relevanter und aktueller Informationen über Cyberbedrohungen umsetzen;

i)

Maßnahmen zur Erkennung etwaiger Informationslecks, Schadcodes und anderer Sicherheitsbedrohungen sowie öffentlich bekannter Schwachstellen in Software und Hardware umsetzen und die Verfügbarkeit entsprechender neuer Sicherheitsupdates prüfen.

Für die Zwecke von Buchstabe f stimmen die Finanzunternehmen den Detaillierungsgrad der Protokolle auf deren Zweck und auf die Nutzung des IKT-Assets ab, der diese Protokolle produziert.