Artikel 32 Struktur des Überwachungsrahmens

1. Der Gemeinsame Ausschuss richtet gemäß Artikel 57 Absatz 1 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 das Überwachungsforum als Unterausschuss ein, der die Arbeit des Gemeinsamen Ausschusses und der in Artikel 31 Absatz 1 Buchstabe b genannten federführenden Überwachungsbehörde im Bereich des IKT-Drittparteienrisikosein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; in allen Finanzsektoren unterstützt. Das Überwachungsforum erarbeitet die Entwürfe gemeinsamer Positionen und gemeinsamer Maßnahmen des Gemeinsamen Ausschusses in diesem Bereich.
2. Das Überwachungsforum erörtert regelmäßig einschlägige Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen und fördert einen kohärenten Ansatz bei der Überwachung des IKT-Drittparteienrisikosein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; auf Unionsebene.
1. Das Überwachungsforum führt jährlich eine gemeinsame Bewertung der Ergebnisse und Erkenntnisse der Überwachungstätigkeiten durch, die für alle kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; durchgeführt wurden, und fördert Koordinierungsmaßnahmen, um die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; von Finanzunternehmen zu erhöhen, bewährte Verfahren zum Angehen des IKT-Konzentrationsrisikosdie Exposition gegenüber einzelnen oder mehreren verbundenen kritischen IKT-Drittdienstleistern, die zu einer gewissen Abhängigkeit von diesen Dienstleistern führt, sodass die Nichtverfügbarkeit, der Ausfall oder sonstige Defizite dieser Dienstleister die Fähigkeit eines Finanzunternehmens gefährden könnten, kritische oder wichtige Funktionen zu erfüllen, oder bei dem Finanzunternehmen andere Formen nachteiliger Auswirkungen, einschließlich großer Verluste, herbeiführen oder die finanzielle Stabilität der Union insgesamt gefährden könnten; zu fördern und Möglichkeiten zur Abschwächung sektorübergreifender Risikotransfers zu untersuchen.
1. Das Überwachungsforum legt umfassende Referenzwerte für kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; vor, die vom Gemeinsamen Ausschuss als gemeinsame Positionen der ESA gemäß Artikel 56 Absatz 1 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 anzunehmen sind.
1. Das Überwachungsforum setzt sich zusammen aus
  1. den Vorsitzenden der ESA;
  2. einem hochrangigen Vertreter des aktuellen Personals der in Artikel 46 genannten betreffenden zuständigen Behörde eines jeden Mitgliedstaats;
  3. den Exekutivdirektoren jeder Europäischen Aufsichtsbehörde und einem Vertreter der Kommission, des ESRB, der EZB und der ENISA als Beobachter;
  4. gegebenenfalls einem zusätzlichen Vertreter einer in Artikel 46 genannten zuständigen Behörde eines jeden Mitgliedstaats als Beobachter;
  5. gegebenenfalls einem Vertreter der gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden, der für die Beaufsichtigung eines wesentlichen oder wichtigen, von der genannten Richtlinie erfassten Unternehmens, das als kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; eingestuft wurde, zuständig ist, als Beobachter.
2. Das Überwachungsforum kann gegebenenfalls den Rat unabhängiger Sachverständiger einholen, die gemäß Absatz 6 ernannt wurden.
1. Jeder Mitgliedstaat benennt die jeweils zuständige Behörde, deren Mitarbeiter der in Absatz 4 Unterabsatz 1 Buchstabe b genannte hochrangige Vertreter ist, und setzt die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; davon in Kenntnis.
2. Die ESA veröffentlichen auf ihrer Website die Liste der von den Mitgliedstaaten benannten hochrangigen Vertreter aus dem aktuellen Personal der jeweils zuständigen Behörde.
1. Die in Absatz 4 Unterabsatz 2 genannten unabhängigen Sachverständigen werden vom Überwachungsforum aus einem Pool von Sachverständigen ernannt, die im Anschluss an ein öffentliches und transparentes Bewerbungsverfahren ausgewählt wurden.
2. Die unabhängigen Sachverständigen werden auf der Grundlage ihres Fachwissens in den Bereichen Finanzstabilität, digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; und Fragen der IKT-Sicherheit ernannt. Sie handeln unabhängig und objektiv im alleinigen Interesse der Union als Ganzes und dürfen von Organen oder Einrichtungen der Union, von der Regierung eines Mitgliedstaats oder von öffentlichen oder privaten Stellen Weisungen weder einholen noch entgegennehmen.
1. Gemäß Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 geben die ESA für die Zwecke dieses Abschnitts bis zum 17. Juli 2024 Leitlinien für die Zusammenarbeit zwischen den ESA und den zuständigen Behörden heraus, die die detaillierten Verfahren und Bedingungen für die Zuweisung und Ausführung von Aufgaben zwischen zuständigen Behörden und den ESA sowie die Einzelheiten zum Austausch von Informationen regeln, die zuständige Behörden benötigen, um die Weiterbehandlung der in Artikel 35 Absatz 1 Buchstabe d genannten Empfehlungen zu gewährleisten, die an kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; gerichtet werden.
1. Die in diesem Abschnitt dargelegten Anforderungen gelten unbeschadet der Anwendung der Richtlinie (EU) 2022/2555 und anderer Überwachungsvorschriften der Union, die für Anbieter von Cloud-Computing-Diensten gelten.
1. Die ESA legen dem Europäischen Parlament, dem Rat und der Kommission über den Gemeinsamen Ausschuss und auf der Grundlage von Vorarbeiten des Überwachungsforums jährlich einen Bericht über die Anwendung dieses Abschnitts vor.

Relevant recitals

Erwägungsgrund 31 Oversight framework for ICT third-party service providers

Unter Berücksichtigung der potenziellen Systemrisiken, die mit der verstärkten Auslagerung und der Konzentration der Abhängigkeiten von IKT-Drittdienstleistern verbunden sind, und in Anbetracht nationaler Regelungen, die den Finanzaufsichtsbehörden unzureichend Werkzeuge bereitstellen, die geeignet sind, die Folgen der bei kritischen IKT-Drittdienstleistern auftretenden IKT-Risiken zu quantifizieren, zu qualifizieren und zu beheben, muss ein geeigneter Überwachungsrahmen geschaffen werden, der eine kontinuierliche Überwachung der Tätigkeiten von IKT-Drittdienstleistern, bei denen es sich um für Finanzunternehmen kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; handelt, ermöglicht und zugleich bei Kunden, bei denen es sich nicht um Finanzunternehmen handelt, Vertraulichkeit und Sicherheit gewährleistet. Auch wenn mit der gruppeninternen Bereitstellung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; spezifische Risiken und Vorteile einhergehen, sollte sie nicht automatisch als weniger riskant angesehen werden als die Bereitstellung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; durch Dienstleister außerhalb einer Finanzgruppe und sollte daher demselben Rechtsrahmen unterliegen. Wenn IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; innerhalb einer Finanzgruppe bereitgestellt werden, könnten Finanzunternehmen möglicherweise jedoch ein höheres Maß an Kontrolle über gruppeninterne Dienstleister haben, was bei der Gesamtrisikobewertung berücksichtigt werden sollte.

Erwägungsgrund 76 Oversight Framework for critical ICT third-party providers

Um die Konvergenz und Effizienz von Aufsichtskonzepten in Bezug auf das IKT-Drittparteienrisikoein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; im Finanzsektor zu fördern und um die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; von Finanzunternehmen zu stärken, die bei den IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die die Erbringung von Finanzdienstleistungen unterstützen, auf kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; angewiesen sind, und damit zugleich dazu beizutragen, die Stabilität des Finanzsystems der Union und die Integrität des Binnenmarkts für Finanzdienstleistungen zu bewahren, sollten kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; einem Überwachungsrahmen der Union unterliegen. Auch wenn die Einrichtung des Überwachungsrahmens aufgrund des Mehrwerts von Maßnahmen auf Unionsebene und der inhärenten Rolle und der Besonderheiten der Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; bei der Erbringung von Finanzdienstleistungen gerechtfertigt ist, sollte zugleich daran erinnert werden, dass diese Lösung nur im Kontext dieser Verordnung, die speziell der digitalen operationalen Resilienz im Finanzsektor vorbehalten ist, angemessen erscheint. Ein solcher Überwachungsrahmen sollte hingegen nicht als ein neues Modell für die Beaufsichtigung auf Ebene der Union in den Bereichen Finanzdienstleistungen und -tätigkeiten betrachtet werden.

Erwägungsgrund 79 Risks posed by critical ICT third-party providers

Der digitale Wandel im Bereich der Finanzdienstleistungen hat zu einem noch nie da gewesenen Maß an Nutzung und Abhängigkeit von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; geführt. Da es unvorstellbar geworden ist, Finanzdienstleistungen ohne die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen zu erbringen, ist das Finanzökosystem der Union zwangsläufig immer abhängiger von bestimmten IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; geworden, die von IKT-Dienstleistern bereitgestellt werden. Einige dieser Dienstleister sind Innovatoren bei der Entwicklung und Anwendung IKT-gestützter Technologien und spielen daher eine wichtige Rolle bei der Erbringung von Finanzdienstleistungen oder sind nunmehr fester Bestandteil der Wertschöpfungskette für Finanzdienstleistungen geworden. Somit sind sie für die Stabilität und Integrität des Finanzsystems der Union inzwischen von entscheidender Bedeutung. Diese breite Abhängigkeit von Dienstleistungen, die von kritischen IKT-Drittdienstleistern erbracht werden, in Verbindung mit der Interdependenz der Informationssysteme verschiedener Marktteilnehmer schafft ein unmittelbares und potenziell schwerwiegendes Risiko für das Finanzdienstleistungssystem der Union und für die Kontinuität bei der Erbringung von Finanzdienstleistungen, falls kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; von Betriebsstörungen oder schwerwiegenden Cybervorfällen betroffen sein sollten. Cybervorfälle haben die Besonderheit, dass sie sich im gesamten Finanzsystem potenzieren und erheblich schneller verbreiten können als andere Arten von Risiken, die im Finanzsektor überwacht werden, und sich über Branchen und geografische Grenzen hinweg ausbreiten können. Sie haben das Potenzial, sich zu einer Systemkrise auszuweiten, bei der das Vertrauen in das Finanzsystem aufgrund der Unterbrechung von Funktionen zur Stützung der Realwirtschaft oder aufgrund erheblicher finanzieller Verluste auf ein Niveau sinkt, dem das Finanzsystem nicht standhalten kann oder das gezielte Maßnahmen zur Abfederung schwerer Schocks erfordert. Um zu verhindern, dass diese Szenarien eintreten und dabei die Stabilität und Integrität des Finanzsystems der Union gefährden, ist es von entscheidender Bedeutung, die Aufsichtspraktiken hinsichtlich des IKT-Drittparteienrisikosein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; im Finanzsektor einander anzunähern, insbesondere durch neue Vorschriften, die die Überwachung kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; in der Union ermöglichen.

Erwägungsgrund 87 Designation of Lead Overseer by preponderance

Um sicherzustellen, dass kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf Unionsebene angemessen und wirksam überwacht werden, könnte nach dieser Verordnung jede der drei ESA als federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; benannt werden. Die Entscheidung darüber, welcher der drei ESA ein kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; konkret zugewiesen wird, sollte anhand einer Bewertung dessen getroffen werden, welche Finanzunternehmen in den Finanzbranchen, für die die betreffende ESA zuständig ist, überwiegend tätig sind. Dieser Ansatz sollte zu einer ausgewogenen Aufteilung der Aufgaben und Zuständigkeiten zwischen den drei ESA bei der Wahrnehmung ihrer Überwachungsfunktionen führen und die Humanressourcen und das technische Fachwissen, über die jede der drei ESA verfügen, bestmöglich nutzen.

Erwägungsgrund 91 Operational principles for oversight

Die Ausübung der Überwachung sollte sich an drei Handlungsgrundsätzen orientieren, um Folgendes sicherzustellen: a) eine enge Koordinierung zwischen den ESA bei ihren Aufgaben als federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; mithilfe eines gemeinsamen Überwachungsnetzes (JON — Joint Oversight Network), b) die Kohärenz mit dem durch die Richtlinie (EU) 2022/2555 geschaffenen Rahmen (über eine freiwillige Konsultation der Einrichtungen, die in den Geltungsbereich der genannten Richtlinie fallen, um Doppelarbeit bei an kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; gerichteten Maßnahmen zu vermeiden) und c) eine Sorgfaltspflicht, wonach das potenzielle Risiko einer Störung der von kritischen IKT-Drittdienstleistern bereitgestellten Dienste für Kunden, bei denen es sich um nicht in den Geltungsbereich dieser Verordnung fallende Unternehmen handelt, zu minimieren ist.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.