Source: OJ L, 2025/295, 13.2.2025
Current language: DE
RTS on harmonisation for oversight conduct
DELEGIERTE VERORDNUNG (EU) 2025/295 DER KOMMISSION
vom 24. Oktober 2024
zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(1)ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., insbesondere auf Artikel 41 Absatz 2 Unterabsatz 2,
in Erwägung nachstehender Gründe:
Erwägungsgrund 1 Union oversight framework for critical ICT third-party service providers
Mit dem durch die Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor wird ein Überwachungsrahmen der Union für die gemäß Artikel 31 der genannten Verordnung als kritisch eingestuften Drittdienstleister der Informations- und Kommunikationstechnologie (im Folgenden „IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;“) im Finanzsektor eingeführt.
Erwägungsgrund 2 Voluntary designation as critical
IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die sich dafür entscheiden, einen freiwilligen Antrag auf Einstufung als kritisch zu stellen, sollten der betreffenden Europäischen Aufsichtsbehörde (ESA) alle erforderlichen Informationen zum Nachweis ihrer Kritikalität gemäß den in der Verordnung (EU) 2022/2554 festgelegten Grundsätzen und Kriterien zur Verfügung stellen. Aus diesem Grund sollten die in dem freiwilligen Antrag enthaltenen Informationen hinreichend detailliert und vollständig sein, um eine präzise und umfassende Bewertung der Kritikalität gemäß Artikel 31 Absatz 11 der genannten Verordnung zu ermöglichen. Die zuständige ESA sollte unvollständige Anträge ablehnen und die fehlenden Informationen anfordern.
Erwägungsgrund 3 Legal identification of critical ICT third-party service providers
Die rechtliche Identifizierung von IKT-Drittdienstleistern, die in den Anwendungsbereich dieses technischen Regulierungsstandards fallen, sollte der Kennung entsprechen, die in der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen Durchführungsverordnung der Kommission festgelegt ist.
Erwägungsgrund 4 Follow-up of Lead Overseer's recommendations
Nachdem die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; ihre Empfehlungen an kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; abgegeben hat, sollte sie als Folgemaßnahme deren Einhaltung durch die kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; überwachen. Im Interesse einer effizienten und wirksamen Überwachung der von den kritischen IKT-Drittdienstleistern im Zusammenhang mit diesen Empfehlungen ergriffenen Maßnahmen oder Abhilfemaßnahmen sollte es der federführenden Überwachungsbehörde möglich sein, die in Artikel 35 Absatz 1 Buchstabe c der Verordnung (EU) 2022/2554 genannten Berichte anzufordern, die als Zwischenberichte über erzielte Fortschritte und Abschlussberichte konzipiert sein sollten.
Erwägungsgrund 5 Lead Overseer's assessment of remediation plans
Für die Zwecke der Bewertung gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2022/2554, wonach die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; zu beurteilen hat, ob die von einem kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; vorgelegte Erklärung ausreichend ist, sollte mit der Mitteilung des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; über seine Absicht, den erhaltenen Empfehlungen Folge zu leisten, eine Beschreibung der Schritte und Maßnahmen, die zur Minderung der in den Empfehlungen dargelegten Risiken ergriffen wurden, einschließlich der entsprechenden Fristen, an die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; übermittelt werden. Diese Erklärung sollte in Form eines Plans mit Abhilfemaßnahmen vorgelegt werden.
Erwägungsgrund 6 Template for subcontracting arrangements
Da die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; die Vereinbarungen der kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; über die Unterauftragsvergabe bewerten soll, muss eine Vorlage für die Bereitstellung von Informationen über diese Vereinbarungen ausgearbeitet werden. In der Vorlage sollte der Tatsache Rechnung getragen werden, dass kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; anders als Finanzunternehmen strukturiert sind.
Erwägungsgrund 7 Information sharing after issuing recommendations
Nachdem die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; ihre Empfehlungen an einen kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; abgegeben hat und die zuständigen Behörden die betreffenden Finanzunternehmen über die in diesen Empfehlungen ermittelten Risiken in Kenntnis gesetzt haben, sollte die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; die Umsetzung der Maßnahmen und der Abhilfemaßnahmen, mit denen der betreffende kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; den Empfehlungen nachkommt, überwachen und bewerten. Die zuständigen Behörden sollten überwachen und bewerten, inwieweit die Finanzunternehmen den in diesen Empfehlungen ermittelten Risiken ausgesetzt sind. Damit bei der Wahrnehmung ihrer jeweiligen Aufgaben die gleichen Voraussetzungen bestehen, sollten sich die zuständigen Behörden und die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; über alle wesentlichen Erkenntnisse austauschen, die sie für die Wahrnehmung ihrer jeweiligen Aufgaben benötigen, insbesondere wenn die in den Empfehlungen ermittelten Risiken schwerwiegend sind und bei einer großen Zahl von Finanzunternehmen in mehreren Mitgliedstaaten auftreten. Durch den Informationsaustausch soll sichergestellt werden, dass bei der Rückmeldung der federführenden Überwachungsbehörde an den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; über die Umsetzung der Maßnahmen und Abhilfemaßnahmen die Auswirkungen auf die Risiken für Finanzunternehmen berücksichtigt werden und dass die Aufsichtstätigkeiten der zuständigen Behörden auf der Grundlage der Bewertung durch die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; durchgeführt werden.
Erwägungsgrund 8 Risk assessments by competent authorities
Um einen effizienten und wirksamen Informationsaustausch zu ermöglichen, sollten die zuständigen Behörden im Rahmen ihrer Aufsichtstätigkeiten bewerten, inwieweit die von ihnen beaufsichtigten Finanzunternehmen den in den Empfehlungen ermittelten Risiken ausgesetzt sind. Diese Bewertung sollte verhältnismäßig und risikobasiert erfolgen. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; sollte die zuständigen Behörden in konkreten Fällen, in denen die in den Empfehlungen dargelegten Risiken schwerwiegend sind und bei einer großen Zahl von Finanzunternehmen in mehreren Mitgliedstaaten auftreten, um Übermittlung der Ergebnisse dieser Bewertung ersuchen. Im Sinne der bestmöglichen Nutzung der Ressourcen der zuständigen Behörden sollte die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; bei der Anforderung der Ergebnisse dieser Bewertung stets berücksichtigen, dass der Zweck dieser Auskunftsersuchen darin bestehen sollte, die Umsetzung der Maßnahmen und Abhilfemaßnahmen der kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu bewerten.
Erwägungsgrund 9 Processing of personal data
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(2)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). angehört und hat am 22. Juli 2024 eine Stellungnahme abgegeben.
Erwägungsgrund 10 Draft regulatory technical standards from ESAs
Die vorliegende Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von den ESA vorgelegt wurde.
Erwägungsgrund 11 Open public consultations
Der Gemeinsame Ausschuss der ESA hat zu dem Entwurf technischer Regulierungsstandards, auf den sich diese Verordnung stützt, offene öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahmen der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(3)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj). eingesetzten Interessengruppe „Bankensektor“, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(4)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48. ELI: http://data.europa.eu/eli/reg/2010/1094/oj). eingesetzten Interessengruppen „Versicherung und Rückversicherung“ und „Betriebliche Altersversorgung“ sowie der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(5)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). eingesetzten Interessengruppe „Wertpapiere und Wertpapiermärkte“ eingeholt —
HAT FOLGENDE VERORDNUNG ERLASSEN:
- Artikel 1Informationen, die IKT-Drittdrittdienstleister im Antrag auf Einstufung als kritisch bereitstellen müssen
- Artikel 2Inhalt, Struktur und Format der Informationen, die kritische IKT-Drittdienstleister übermitteln, offenlegen oder melden müssen
- Artikel 3Informationen, die kritische IKT-Drittdienstleister nach Abgabe der Empfehlungen bereitstellen müssen
- Artikel 4Struktur und Format der Informationen, die kritische IKT-Drittdienstleister bereitstellen müssen
- Artikel 5Vorlage für die Bereitstellung von Informationen über Vereinbarungen über die Unterauftragsvergabe
- Artikel 6Bewertung der in den Empfehlungen der federführenden Überwachungsbehörde dargelegten Risiken durch die zuständigen Behörden
- Artikel 7Inkrafttreten
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 24. Oktober 2024
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN