Source: OJ L 333, 27.12.2022, p. 1–79Current language: DE
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 24 Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz
Um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in Bezug auf die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; zu erkennen und Korrekturmaßnahmen umgehend umzusetzen, erstellen, pflegen und überprüfen Finanzunternehmen, die keine Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; sind, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz als integraler Bestandteil des in Artikel 6 genannten IKT-Risikomanagementrahmens.
Das Programm für Tests der digitalen operationalen Resilienz umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools, die gemäß den Artikeln 25 und 26 anzuwenden sind.
Bei der Ausführung des in Absatz 1 genannten Programms für das Testen der digitalen operationalen Resilienz wenden Finanzunternehmen, die keine Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; sind, unter Berücksichtigung der in Artikel 4 Absatz 2 aufgeführten Kriterien einen risikobasierten Ansatz an, wobei sie die sich entwickelnden IKT-Risikolandschaften, etwaige spezifische Risiken, denen das betreffende Finanzunternehmen ausgesetzt ist oder ausgesetzt sein könnte, die Kritikalität von Informationsassetseine Sammlung materieller oder immaterieller Informationen, die geschützt werden sollten; und erbrachten Dienstleistungen sowie alle sonstigen Faktoren, die das Finanzunternehmen für angemessen hält, gebührend berücksichtigen.
Finanzunternehmen, die keine Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; sind, stellen sicher, dass Tests von unabhängigen, internen oder externen Parteien durchgeführt werden. Werden die Tests von einem internen Tester durchgeführt, stellen die Finanzunternehmen ausreichende Ressourcen bereit und tragen dafür Sorge, dass während der Konzeptions- und Durchführungsphase der Prüfung keine Interessenkonflikte entstehen.
Finanzunternehmen, die keine Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; sind, legen Verfahren und Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme fest und legen interne Validierungsmethoden fest, um sicherzustellen, dass alle ermittelten Schwächen, Mängel oder Lücken vollständig angegangen werden.
Finanzunternehmen, die keine Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; sind, stellen sicher, dass bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich angemessene Tests durchgeführt werden.
Relevant recitals
Erwägungsgrund 25 Inconsistent digital operational resilience testing requirements
In einigen Teilsektoren des Finanzsektors wurden Anforderungen für Tests der digitalen operationalen Resilienz entwickelt, deren Rahmen nicht immer vollständig aneinander angeglichen waren. Dies führt zu potenziell doppelten Kosten für grenzüberschreitend tätige Finanzunternehmen und verkompliziert die gegenseitige Anerkennung der Ergebnisse von Tests der digitalen operationalen Resilienz, was wiederum zu einer Fragmentierung des Binnenmarkts führen könnte.
Erwägungsgrund 56 Regular security testing of ICT systems and staff
Um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen und im Einklang sowohl mit den einschlägigen internationalen Standards (z. B. die „G7 Fundamental Elements for Threat-Led Penetration Testing“ (Grundzüge bedrohungsorientierter Penetrationstests der G7-Staaten)) als auch den in der Union angewandten Rahmen (z. B. TIBER-EU), sollten Finanzunternehmen ihre IKT-Systeme und ihre Mitarbeiter mit IKT-bezogenen Verantwortungen regelmäßig auf die Effizienz ihrer Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung hin testen, um potenzielle IKT-Schwachstellen aufzudecken und zu beseitigen. Um den Unterschieden Rechnung zu tragen, die zwischen und in den verschiedenen Finanzteilsektoren bei der Abwehrbereitschaft von Finanzunternehmen im Bereich der Cybersicherheit bestehen, sollten die Tests eine breite Palette von Instrumenten und Maßnahmen umfassen, die von der Bewertung grundlegender Anforderungen (z. B. Bewertungen und Überprüfungen der Schwachstellen, Analysen von Open-Source-Software, Bewertungen der Netzwerksicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests oder End-to-End-Tests) bis hin zu erweiterten Tests anhand von TLPT reichen. Diese erweiterten Tests sollten nur für Finanzunternehmen vorgeschrieben werden, die aus IKT-Perspektive ausgereift genug sind, um sie angemessen durchführen zu können. Folglich sollten die in dieser Verordnung vorgeschriebene Tests der digitalen operationalen Resilienz für die Finanzunternehmen, die die Kriterien dieser Verordnung erfüllen (zum Beispiel große systemrelevante Kreditinstitute mit ausgereifter IKT, Börsen, Zentralverwahrerein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014; und zentrale Gegenparteien), ausgedehnter sein als für andere Finanzunternehmen. Gleichzeitig sollten die Tests der digitalen operationalen Resilienz anhand von TLPT für Finanzunternehmen, die in zentralen Finanzdienstleistungsteilsektoren tätig sind und eine systemrelevante Rolle spielen (zum Beispiel Zahlungen, Banken sowie Clearing und Abrechnung), mehr Relevanz und für andere Teilsektoren (zum Beispiel Vermögensverwalter, Ratingagenturen usw.) weniger Relevanz besitzen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.