Delegierte Verordnung (EU) 2024/1774 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens

<p><p>Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen konzipieren und implementieren, sofern angemessen, ein Verfahren für die Beschaffung, Entwicklung und Wartung von IKT-Systemen entsprechend einem risikobasierten Ansatz. Dieses Verfahren muss</p>
              <dl>
                <dt style="float: left">a)</dt><dd>sicherstellen, dass die funktionalen und nichtfunktionalen Anforderungen, insbesondere auch die Anforderungen an die Informationssicherheit, von der betreffenden Unternehmensfunktion klar spezifiziert und genehmigt werden, bevor IKT-Systeme beschafft oder entwickelt werden;</dd>
                <dt style="float: left">b)</dt><dd>sicherstellen, dass IKT-Systeme vor ihrer erstmaligen Nutzung und vor der Einführung von Änderungen an der Produktionsumgebung getestet und genehmigt werden;</dd>
                <dt style="float: left">c)</dt><dd>Maßnahmen zur Minderung des Risikos einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung und Implementierung in der Produktionsumgebung vorsehen.</dd>
              </dl></p>

Beschaffung, Entwicklung und Wartung von IKT-Systemen

ALLGEMEINER GRUNDSATZ

TITEL I

Gesamtrisikoprofil und -komplexität

WEITERE HARMONISIERUNG VON TOOLS, METHODEN, PROZESSEN UND RICHTLINIEN FÜR IKT-RISIKOMANAGEMENT IM EINKLANG MIT ARTIKEL 15 DER VERORDNUNG (EU) 2022/2554

TITEL II

Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

KAPITEL I

ABSCHNITT 1

Allgemeine Elemente der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit

ABSCHNITT 2

IKT-Risikomanagement

Management von IKT-Assets

ABSCHNITT 3

Richtlinie für das Management von IKT-Assets

Verfahren für das Management von IKT-Assets

Verschlüsselung und Kryptografie

ABSCHNITT 4

Verschlüsselung und kryptografische Kontrollen

Management kryptografischer Schlüssel

IKT-Betriebssicherheit

ABSCHNITT 5

Richtlinien und Verfahren für IKT-Vorgänge

Kapazitäts- und Leistungsmanagement

Schwachstellen- und Patch-Management

Daten- und Systemsicherheit

Datenaufzeichnung

Netzwerksicherheit

Abschnitt 6

Management der Netzwerksicherheit

Sicherung von Informationen bei der Übermittlung

IKT-Projekt- und -Änderungsmanagement

ABSCHNITT 7

IKT-Projektmanagement

IKT-Änderungsmanagement

ABSCHNITT 8

Physische Sicherheit und Sicherheit vor Umweltereignissen

Richtlinien für Personalpolitik und Zugangskontrolle

KAPITEL II

Richtlinien für Personalpolitik

Identitätsmanagement

Zugangskontrolle

Erkennung IKT-bezogener Vorfälle und Reaktion

KAPITEL III

Richtlinien für die Behandlung IKT-bezogener Vorfälle

Erkennung anormaler Aktivitäten und Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle

Management der IKT-Geschäftsfortführung

KAPITEL IV

Komponenten der IKT-Geschäftsfortführungsleitlinie

Test des IKT-Geschäftsfortführungsplans

IKT-Reaktions- und Wiederherstellungspläne

Bericht über die Überprüfung des IKT-Risikomanagementrahmens

KAPITEL V

Format und Inhalt des Berichts über die Überprüfung des IKT-Risikomanagementrahmens

VEREINFACHTER IKT-RISIKOMANAGEMENTRAHMEN FÜR DIE IN ARTIKEL 16 ABSATZ 1 DER VERORDNUNG (EU) 2022/2554 GENANNTEN FINANZUNTERNEHMEN

TITEL III

Vereinfachter IKT-Risikomanagementrahmen

Governance und Organisation

Informationssicherheitsleitlinien und -maßnahmen

Klassifizierung von Informations- und IKT-Assets

Weitere Elemente der Systeme, Protokolle und Tools zur Minimierung der Auswirkungen von IKT-Risiken

KAPITEL II

Daten-, System- und Netzwerksicherheit

IKT-Sicherheitstests

KAPITEL III

Komponenten des IKT-Geschäftsfortführungsplans

Testen der Geschäftsfortführungspläne

Bericht über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

Format und Inhalt des Berichts über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

SCHLUSSBESTIMMUNGEN

TITEL IV

Inkrafttreten

Europäisches Sekundärrecht

Artikel 37 VO (EU) 2024/1774

Beschaffung, Entwicklung und Wartung von IKT-Systemen