Beta

Source: OJ L, 2025/295, 13.2.2025

Current language: DE

Artikel 2 Inhalt, Struktur und Format der Informationen, die kritische IKT-Drittdienstleister übermitteln, offenlegen oder melden müssen

    1. Kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; stellen der federführenden Überwachungsbehörde auf Anfrage alle Informationen zur Verfügung, die sie benötigt, um ihre Überwachungsaufgaben gemäß den Vorschriften der Verordnung (EU) 2022/2554 wahrzunehmen.

    1. Die in Absatz 1 genannten Informationen umfassen unter anderem:

      1. Informationen über die Vereinbarungen, einschließlich entsprechender Vertragsunterlagen in Kopie, zwischen:

        1. dem kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; und den in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen,

        2. dem kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seinen Unterauftragnehmern, um die technologische Wertschöpfungskette der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die für Finanzunternehmen in der Union erbracht werden, zu erfassen,

      2. Informationen über die Organisations- und Gruppenstruktur des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, einschließlich Angaben zu allen Unternehmen derselben Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU;, die direkt oder indirekt IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für Finanzunternehmen in der Union erbringen,

      3. Informationen über die Großaktionäre, einschließlich ihrer Struktur und geografischen Verteilung, die den folgenden Kategorien angehören:

        1. Unternehmen, die allein oder gemeinsam mit ihren verbundenen Unternehmen mindestens 25 % des Kapitals oder der Stimmrechte des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; halten,

        2. Unternehmen, die berechtigt sind, die Mehrheit der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu bestellen oder abzuberufen,

        3. Unternehmen, die aufgrund einer Vereinbarung die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; kontrollieren,

      4. Informationen über den Marktanteil des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; für jede Art von Diensten auf den relevanten Märkten, auf denen er tätig ist,

      5. Informationen über die internen Governance-Regelungen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, einschließlich der Organisationsstruktur mit den Zuständigkeits- und Rechenschaftspflichten,

      6. die Sitzungsprotokolle des Leitungsorgansein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; und aller anderen relevanten internen Ausschüsse, die in irgendeiner Weise mit Tätigkeiten und Risiken bezüglich IKT-Drittdienstleistungen, die Funktionen von Finanzunternehmen in der Union unterstützen, in Zusammenhang stehen,

      7. Informationen über die IKT-Sicherheit des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, insbesondere über relevante Strategien, Ziele, Leit- und Richtlinien, Verfahren, Protokolle, Prozesse, Kontrollmaßnahmen zum Schutz sensibler Daten, Zugangskontrollen, Verschlüsselungsverfahren und Pläne für Reaktionsmaßnahmen bei Vorfällen sowie Informationen über die Einhaltung aller einschlägigen Vorschriften und gegebenenfalls nationalen und internationalen Standards,

      8. Informationen über technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes und der Vertraulichkeit von Daten, sowohl bei personenbezogenen als auch nicht personenbezogenen Daten, umgesetzte Kontrollmaßnahmen zum Schutz sensibler Daten, Zugangskontrollen, Verschlüsselungsverfahren, Plan für Reaktionsmaßnahmen bei Datenschutzverletzungen, wenn die Verarbeitung personenbezogener Daten durch den IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; den Rechtsvorschriften von Drittländern unterliegt, auch bei Zugriffsanfragen von Regierungen aus Drittländern, eine Liste der entsprechenden Länder und der geltenden Rechtsvorschriften,

      9. Informationen über die Mechanismen für Datenübertragbarkeit, Übertragbarkeit von Anwendungen und Interoperabilität, die der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; den Finanzunternehmen der Union anbietet,

      10. Informationen über den Standort der Rechenzentren und IKT-Produktionszentren, die für die Erbringung von Dienstleistungen für Finanzunternehmen genutzt werden, einschließlich einer Liste aller relevanten Räumlichkeiten und Einrichtungen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, auch außerhalb der Union,

      11. Informationen über die Erbringung von Dienstleistungen durch den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; aus Drittländern, einschließlich Informationen über einschlägige Rechtsvorschriften, die für die vom IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; verarbeiteten personenbezogenen und nicht personenbezogenen Daten gelten,

      12. Informationen über Maßnahmen, die zur Bewältigung von Risiken im Zusammenhang mit der Erbringung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; aus Drittländern durch den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seine Unterauftragnehmer ergriffen wurden,

      13. Informationen über den Risikomanagementrahmen und den Rahmen für die Behandlung von Vorfällen, insbesondere über die Leit- und Richtlinien, Verfahren, Instrumente, Mechanismen und Governance-Regelungen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seiner Unterauftragnehmer, einschließlich der Auflistung und Beschreibung schwerwiegender Vorfälle mit direkten oder indirekten Auswirkungen auf Finanzunternehmen in der Union, die relevante Einzelheiten enthält, anhand derer die Bedeutung des Vorfalls für Finanzunternehmen bestimmt und potenzielle grenzüberschreitende Auswirkungen bewertet werden können,

      14. Informationen über den Rahmen für das Änderungsmanagement, insbesondere über Leit- und Richtlinien, Verfahren und Kontrollen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seiner Unterauftragnehmer,

      15. Informationen über den allgemeinen Reaktions- und Wiederherstellungsrahmen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, insbesondere über Geschäftsfortführungspläne und damit zusammenhängende Vereinbarungen und Verfahren, die Lebenszyklusstrategie für die Softwareentwicklung, Reaktions- und Wiederherstellungspläne und damit zusammenhängende Vereinbarungen und Verfahren, sowie Vereinbarungen und Verfahren zum Backup,

      16. Informationen über die Leistungsüberwachung, die Sicherheitsüberwachung und die Verfolgung von Sicherheitsvorfällen, über Meldemechanismen in Bezug auf die Leistungsfähigkeit der Dienste und die Sicherheitsvorfälle sowie über die Einhaltung der Dienstgütevereinbarungen und vereinbarter Dienstgüteziele oder vergleichbarer Vereinbarungen zwischen kritischen IKT-Drittdienstleistern und Finanzunternehmen in der Union,

      17. Informationen über den Rahmen für das IKT-Drittparteienmanagement des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, insbesondere über Strategien, Leit- und Richtlinien, Verfahren, Prozesse und Kontrollen, mit detaillierten Angaben zur Sorgfalts- und Risikobewertung aller relevanten IKT- und Gegenparteirisiken, die der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; gegenüber seinen Unterauftragnehmern vor Abschluss einer Vereinbarung und zur Überwachung der Geschäftsbeziehung durchführt,

      18. Auszüge aus den Überwachungs- und Scansystemen des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seiner Unterauftragnehmer, die unter anderem die Netzwerk-, Server-, Anwendungs- und Sicherheitsüberwachung, die Schwachstellensuche, die Protokollverwaltung, die Leistungsüberwachung, die Behandlung von Sicherheitsvorfällen sowie Messungen anhand von Zuverlässigkeitszielen, wie etwa den Dienstgütezielen, umfassen,

      19. Auszüge aus Produktions-, Vorproduktions- und Testsystemen oder -anwendungen, die vom kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seinen Unterauftragnehmern genutzt werden, um direkt oder indirekt Dienstleistungen für Finanzunternehmen in der Union zu erbringen,

      20. Konformitätsberichte und verfügbare Prüfungsberichte sowie alle relevanten Feststellungen aus der Überprüfung, auch im Rahmen von Audits, die von nationalen Behörden in der Union und außerhalb der Union durchgeführt werden, wenn Vereinbarungen über die Zusammenarbeit mit den zuständigen Behörden einen solchen Informationsaustausch vorsehen, oder Zertifizierungen, die der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder seine Unterauftragnehmer erlangt haben, einschließlich Berichten interner und externer Revisoren, Zertifizierungen oder Konformitätsbewertungen nach branchenspezifischen Standards; dies umfasst Informationen über alle Arten verfügbarer unabhängiger Tests zur Prüfung der Resilienz der IKT-Systeme des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;, einschließlich aller Arten bedrohungsorientierter Penetrationstests, die vom IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; durchgeführt werden,

      21. Informationen über alle Bewertungen, die vom kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder in seinem Auftrag durchgeführt werden, um die Eignung und Integrität von Personen, die Schlüsselpositionen innerhalb des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; innehaben, zu beurteilen,

      22. Informationen über etwaige Pläne mit Abhilfemaßnahmen zur Umsetzung der Empfehlungen gemäß Artikel 3 und einschlägige Informationen, die die Umsetzung der Abhilfemaßnahmen belegen,

      23. Informationen über für Mitarbeiter angebotene Schulungen und Programme zur Sensibilisierung für IKT-Sicherheit, gegebenenfalls einschließlich Informationen über Investitionen, Ressourcen und Methoden des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; für die Schulung seines Personals im Hinblick auf den Umgang mit sensiblen Finanzdaten und die Wahrung eines hohen Maßes an Sicherheit,

      24. Informationen über die Geschäftstätigkeiten des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; und Abschlüsse, einschließlich Informationen über die für IKT und Sicherheit vorgesehenen Budgetmittel und Ressourcen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod