Artikel 17 VO (EU) 2026/255
Aufrechterhaltung des Geschäftsbetriebs und Backup-Einrichtungen
(1) IIP und RRM stellen sicher, dass sie über ausreichend Personal, Infrastruktur, Kapital und Finanzmittel verfügen, um die Kontinuität und Ordnungsmäßigkeit bei der Erbringung ihrer jeweiligen Dienste sowie einen angemessenen Schutz der IIP und des RRM vor operativen, rechtlichen und geschäftlichen Risiken zu gewährleisten.
(2) Bei der Registrierung neuer IIP-Kunden erteilen IIP den Kunden Anweisungen zur Nutzung von Backup-Einrichtungen und übermitteln ihnen anschließend während der gesamten Dauer der erbrachten IIP-Dienste regelmäßige Erinnerungen.
(3) IIP und RRM müssen über zuverlässige Kontrollen und Verfahren für den Umgang mit operativen Risiken verfügen, um die Verfügbarkeit angemessener Ressourcen und Backup-Einrichtungen sicherzustellen. Diese Kontrollen und Verfahren werden im Rahmen einer Strategie für den Umgang mit operativen Risiken oder eines Rahmens für operative Risiken dokumentiert, wodurch sichergestellt ist, dass Störungen der erbrachten Dienste so gering wie möglich gehalten werden. Diese Strategie oder dieser Rahmen muss Folgendes umfassen:
- a)
- ein Versionskontrollsystem, mit dem Änderungen an der IIP- und RRM-Software verfolgt und archiviert werden können,
- b)
- eine Qualitätssicherungsstrategie, mit der sichergestellt wird, dass alle Veränderungen der Hardware- und Softwarearchitektur der IIP und RRM nachverfolgt werden,
- c)
- automatisierte Überwachungs- und Warnsysteme, um die Verfügbarkeit aller Systemkomponenten und -dienste zu verfolgen und die IIP-Kunden und RRM-Kunden unverzüglich über etwaige Dienstunterbrechungen zu unterrichten,
- d)
- Redundanz von Hardwarekomponenten und Netzinfrastruktur, die eine Ausfallsicherung durch Backup-Systeme ermöglicht, einschließlich
- i)
- im Falle von IIP Verfahren, mit denen sichergestellt wird, dass jede geplante Wartung der IIP-Dienste mit minimalen oder keinen Störungen des Dienstes durchgeführt wird, wobei Duplizierung und Redundanz von Hardware- und Softwarekomponenten genutzt werden,
- ii)
- im Falle von RRM Verfahren für minimale Störungen während der geplanten Wartung, wobei Wartungsfenster für Zeiten geringer Aktivität eingeplant sind,
- e)
- die Durchführung regelmäßiger Überprüfungen, mindestens einmal jährlich, zur Bewertung der technischen Infrastrukturen der IIP und RRM und der damit verbundenen Strategien und Verfahren, einschließlich Vorkehrungen zur Aufrechterhaltung des Geschäftsbetriebs und — im Falle von IIP — Vorkehrungen für die Informationssicherheit,
- f)
- umfassende Datensicherungsmaßnahmen, mit denen der Schutz vor Datenverlusten gewährleistet wird, einschließlich der Speicherung der Daten, die der Agentur bei IIP in den letzten fünf Jahren nach Beendigung des entsprechenden Ereignisses und bei RRM in den letzten fünf Jahren gemeldet wurden,
- g)
- wirksame Vorkehrungen zur Aufrechterhaltung des Geschäftsbetriebs bei ungeplanten Ereignissen, darunter
- i)
- Vorkehrungen zur Gewährleistung der Kontinuität der Prozesse, die für die Gewährleistung der Wirksamkeit von Datenmeldediensten von entscheidender Bedeutung sind, einschließlich Eskalationsverfahren, relevanter ausgelagerter Tätigkeiten oder Abhängigkeiten von externen Anbietern, die — bei einer IIP-Backup-Infrastruktur — eine vertragliche Vereinbarung mit einer anderen von der Agentur zugelassenen IIP umfassen können, zu der IIP-Kunden zur Offenlegung ihrer Informationen bei einem Vorfall umgeleitet werden, ohne dass dem IIP-Kunden zusätzliche Kosten entstehen,
- ii)
- spezifische Notfallvorkehrungen, die ein angemessenes Spektrum möglicher kurz- und mittelfristiger Szenarien umfassen, einschließlich Systemausfällen, Naturkatastrophen, Kommunikationsstörungen, des Verlusts von wichtigen Mitarbeitern und der Unmöglichkeit der Nutzung der üblicherweise genutzten Räumlichkeiten,
- iii)
- die Einrichtung von Ausfall- und Reserveverfahren, in denen festgelegt ist, dass IIP-Kunden für die Offenlegung ihrer Informationen zu Backup-IIP-Einrichtungen umgeleitet werden,
- iv)
- die Festlegung eines Zielwerts für die maximale Frist zur Wiederherstellung kritischer Funktionen,
- v)
- obligatorische Schulungen des Personals zur Aufrechterhaltung des Geschäftsbetriebs,
- vi)
- die Benennung des für die Aufrechterhaltung des Geschäftsbetriebs verantwortlichen Personals in Schlüsselpositionen, einschließlich der Benennung des Personals, das für eine unmittelbare Reaktion auf eine Störung der Dienste verantwortlich ist.
(4) Antragsteller können die Einhaltung einer der in Absatz 3 genannten Anforderungen nachweisen, indem sie der Agentur ein gültiges Zertifikat entsprechend der Normenreihe ISO/IEC 27000 über Informationssicherheits-Managementsysteme oder gleichwertige Zertifizierungen übermitteln. Die Agentur kann von den Antragstellern weitere Klarstellungen in Bezug auf die erteilte Zertifizierung, fehlende Informationen zum Nachweis der Einhaltung der in Absatz 3 genannten Anforderungen und eine Aktualisierung dieser Zertifizierung nach ihrem Ablaufdatum verlangen.
(5) IIP und RRM stellen sicher, dass alle bei der Überprüfung gemäß Absatz 3 Buchstabe e festgestellten Mängel behoben werden.
(6) IIP stellen der Öffentlichkeit alle Informationen im Zusammenhang mit den alternativen Offenlegungsmethoden zur Verfügung, die ihre IIP-Kunden im Falle eines Ausfalls der Plattform nutzen können. Wenn eine geplante Instandhaltung zu Störungen führen kann, ist sie für Zeitfenster zu planen, in denen lediglich geringe Aktivitäten erwartet werden.
(7) IIP-Dienste im Zusammenhang mit der Offenlegung und Veröffentlichung von Informationen und der Übermittlung von Meldungen von Insider-Informationen müssen zu mindestens 99,5 % der Zeit verfügbar sein. Gleiches gilt, wenn IIP-Dienste ganz oder teilweise an externe Dienstleister ausgelagert werden.
(8) Falls IIP-Kunden von der IIP über eine geplante Wartung, ungeplante Ausfallzeiten oder sonstige Störungen gemäß Artikel 18 unterrichtet wurden oder die IIP-Kunden in Ausnahmefällen selbst feststellen, dass weder die IIP noch ihre Backup-Einrichtungen in Betrieb sind, können die IIP-Kunden entscheiden, ob sie auf ihrer Website die Informationen offenlegen, die sie über die IIP offengelegt hätten, oder sich zur unverzüglichen Offenlegung auf eine andere IIP stützen, bis die IIP oder ihre Backup-Einrichtungen wiederhergestellt sind.
(9) IIP veröffentlichen auf ihrer Plattform die von ihren IIP-Kunden gemäß Absatz 8 offengelegten Informationen, sobald dies nach der Wiederherstellung der Dienste technisch möglich ist.
© Europäische Union 1998-2021
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.