Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 10 Schwachstellen- und Patch-Management
Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Schwachstellen-Management.
Die in Absatz 1 genannten Verfahren für das Schwachstellen-Management sorgen dafür, dass
relevante und vertrauenswürdige Informationsressourcen ermittelt und aktualisiert werden, um für Schwachstellen zu sensibilisieren und das Bewusstsein dafür aufrechtzuerhalten,
die Durchführung automatisierter Schwachstellenbewertungen und -scans bei IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; gewährleistet und dabei sichergestellt wird, dass deren Häufigkeit und Umfang der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil des IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; entsprechen,
überprüft wird, ob
IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; Schwachstellen angehen, die im Zusammenhang mit den IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für das Finanzunternehmen stehen,
diese Dienstleister dem Finanzunternehmen zumindest die kritischen Schwachstellen und Statistiken und Trends zeitnah melden;
nachverfolgt wird, wie Folgendes verwendet wird:
Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, die für IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen genutzt werden,
IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die das Finanzunternehmen selbst entwickelt hat oder von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; speziell für das Finanzunternehmen angepasst oder entwickelt wurden;
Verfahren für die verantwortungsvolle Offenlegung von Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festgelegt werden,
die Einführung von Patches und anderen Abhilfemaßnahmen priorisiert wird, um die ermittelten Schwachstellen zu beheben,
die Behebung von Schwachstellen überwacht und geprüft wird,
eine Aufzeichnung aller festgestellten Schwachstellen, die IKT-Systeme betreffen, und die Überwachung der Behebung dieser Schwachstellen verlangt werden.
Für die Zwecke von Buchstabe b führen die Finanzunternehmen die automatisierten Schwachstellenbewertungen und -scans für IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; bei IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt;, die kritische oder wichtige Funktionen unterstützen, mindestens einmal wöchentlich durch.
Für die Zwecke von Buchstabe c fordern die Finanzunternehmen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf, die einschlägigen Schwachstellen zu untersuchen, die Ursachen zu ermitteln und geeignete Abhilfemaßnahmen zu ergreifen.
Für die Zwecke von Buchstabe d überwachen die Finanzunternehmen, gegebenenfalls in Zusammenarbeit mit dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die aktuelle Version der Bibliotheken Dritter sowie mögliche Aktualisierungen. Was gebrauchsfertige (Standard-)IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; oder Komponenten von IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; betrifft, die für die Ausführung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; erworben und verwendet werden, die keine kritischen oder wichtigen Funktionen unterstützen, wird die Nutzung von Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, von den Finanzunternehmen soweit wie möglich nachverfolgt.
Für die Zwecke von Buchstabe f berücksichtigen die Finanzunternehmen die Kritikalität der Schwachstelleeine Schwachstelle, Empfindlichkeit oder Fehlfunktion eines Vermögenswerts, eines Systems, eines Prozesses oder einer Kontrolle, die ausgenutzt werden kann;, die im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegte Klassifizierung sowie das Risikoprofil der IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt;, die von den ermittelten Schwachstellen betroffen sind.
Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Patch-Management.
Die in Absatz 3 genannten Verfahren für das Patch-Management dienen dazu,
soweit möglich verfügbare Software- und Hardware-Patches und -Aktualisierungen mithilfe automatisierter Tools zu ermitteln und zu bewerten;
Notfallverfahren für das Patching und die Aktualisierung von IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; zu ermitteln;
Software- und Hardware-Patches und die Aktualisierungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii zu testen und einzuführen;
Fristen für die Installation von Software- und Hardware-Patches und von Aktualisierungen zu setzen sowie Eskalationsverfahren für den Fall festzulegen, dass diese Fristen nicht eingehalten werden können.
Relevant recitals
Erwägungsgrund 11 Vulnerability management
IKT-Landschaften, IKT-Schwachstellen und Cyberbedrohungen verändern sich ständig, sodass für die Ermittlung, Bewertung und Behebung von IKT-Schwachstellen ein proaktiver und umfassender Ansatz benötigt wird. Ohne einen solchen Ansatz drohen Finanzunternehmen, ihren Kunden, Nutzern und Gegenparteien erhebliche Risiken in Bezug auf ihre digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen;, die Sicherheit ihrer Netzwerke und die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, die durch Richtlinien und Verfahren der IKT-Sicherheit geschützt werden sollen. Daher sollten in Titel II genannte Finanzunternehmen Schwachstellen in ihrem IKT-Umfeld ermitteln und beheben, und sowohl Finanzunternehmen als auch ihre IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; sollten in einem Rahmen arbeiten, der einen kohärenten, transparenten und verantwortungsvollen Umgang mit Schwachstellen gewährleistet. Aus demselben Grund sollten Finanzunternehmen IKT-Schwachstellen mithilfe zuverlässiger Ressourcen und automatisierter Tools überwachen und prüfen, ob IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; bei Schwachstellen bereitgestellter IKT-Dienste unverzüglich aktiv werden.
Erwägungsgrund 12 Patch management
Patch-Management sollte ein wesentlicher Bestandteil dieser IKT-Sicherheitsrichtlinien und -verfahren sein, die dazu dienen, durch Erprobung und Einführung in einer kontrollierten Umgebung festgestellte Schwachstellen zu beseitigen und Störungen durch die Installation von Patches zu verhindern.
Erwägungsgrund 13 Responsible vulnerability disclosure
Um im Hinblick auf potenzielle Sicherheitsbedrohungen, die für das Finanzunternehmen und seine Interessenträger relevant sein könnten, eine zeitnahe und transparente Kommunikation zu gewährleisten, sollten Finanzunternehmen Verfahren für eine verantwortungsvolle Offenlegung von IKT-Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festlegen. Bei der Festlegung dieser Verfahren sollten Finanzunternehmen verschiedene Faktoren berücksichtigen und zum Beispiel prüfen, wie schwerwiegend die Schwachstelleeine Schwachstelle, Empfindlichkeit oder Fehlfunktion eines Vermögenswerts, eines Systems, eines Prozesses oder einer Kontrolle, die ausgenutzt werden kann; ist, wie sie sich auf die Interessenträger auswirken kann und wie schnell für Abhilfe oder eine Minderung der Auswirkungen gesorgt werden kann.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.