Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 23 Erkennung anormaler Aktivitäten und Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle
Um IKT-bezogene Vorfälle und anormale Aktivitäten wirkungsvoll zu erkennen und wirkungsvoll darauf reagieren zu können. legen die Finanzunternehmen klare Aufgaben und Zuständigkeiten fest.
Der in Artikel 10 Absatz 1 der Verordnung (EU) 2022/2554 genannte Mechanismus zur umgehenden Erkennung anomaler Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, muss es den Finanzunternehmen ermöglichen,
alles Folgende zu sammeln, zu überwachen und zu analysieren:
interne und externe Faktoren, darunter zumindest die gemäß Artikel 12 gesammelten Protokolle, die Informationen von Unternehmens- und IKT-Funktionen sowie alle etwaigen, von Nutzern des Finanzunternehmens gemeldeten Probleme,
potenzielle interne und externe Cyberbedrohungen unter Berücksichtigung der üblicherweise von Angreifern verwendeten Szenarien und der auf Bedrohungsanalysen beruhenden Szenarien,
Meldungen IKT-bezogener Vorfälle durch einen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; des Finanzunternehmens, die in den Systemen und Netzwerken des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; entdeckt wurden und Auswirkungen auf das Finanzunternehmen haben könnten,
anomale Aktivitäten und Verhaltensweisen festzustellen und Tools einzusetzen, die zumindest für IKT- und Informationsassetseine Sammlung materieller oder immaterieller Informationen, die geschützt werden sollten;, die kritische oder wichtige Funktionen unterstützen, Warnmeldungen generieren, die auf anomale Aktivitäten und Verhaltensweisen aufmerksam machen,
die unter Buchstabe b genannten Warnmeldungen zu priorisieren, damit die festgestellten IKT-bezogenen Vorfälle innerhalb der von den Finanzunternehmen festgelegten erwarteten Abwicklungszeit sowohl während als auch außerhalb der Arbeitszeiten gelöst werden können,
sämtliche relevanten Informationen über alle anomalen Aktivitäten und Verhaltensweisen automatisch oder manuell aufzuzeichnen, zu analysieren und auszuwerten.
Für die Zwecke des Buchstabens b beinhalten die dort genannten Tools auch solche, die nach vorab definierten Regeln automatische Warnmeldungen zur Feststellung von Anomalien generieren, die die Vollständigkeit und Integrität der Datenquellen oder gesammelten Protokolle beeinträchtigen.
Die Finanzunternehmen schützen jede Aufzeichnung anomaler Aktivitäten vor Manipulation und unbefugtem Zugriff und zwar unabhängig davon, ob diese Daten gespeichert sind oder gerade übermittelt oder verwendet werden.
Für jede festgestellte anomale Aktivität protokollieren die Finanzunternehmen alle relevanten Informationen, die
die Feststellung von Datum und Uhrzeit der anomalen Aktivität ermöglichen,
die Feststellung von Datum und Uhrzeit der Erkennung der anomalen Aktivität ermöglichen,
die Feststellung der Art der anomalen Aktivität ermöglichen.
Wenn die Finanzunternehmen die in Artikel 10 Absatz 2 der Verordnung (EU) 2022/2554 genannten Erkennungs- und Reaktionsprozesse für IKT-bezogene Vorfälle auslösen, tragen sie dabei allen folgenden Kriterien Rechnung:
Hinweisen darauf, dass in einem IKT-System oder -Netzwerk möglicherweise eine böswillige Aktivität stattgefunden hat oder dieses IKT-System oder -Netzwerk korrumpiert sein könnte,
Datenverlusten, die im Hinblick auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten festgestellt wurden,
festgestellten schädlichen Auswirkungen auf die Transaktionen und Operationen des Finanzunternehmens,
der Nichtverfügbarkeit von IKT-Systemen und -Netzwerken.
Für die Zwecke des Absatzes 5 tragen die Finanzunternehmen auch der Kritikalität der betroffenen Dienstleistung Rechnung.
Relevant recitals
Erwägungsgrund 9 Encryption and cryptographic controls
Kryptografische Kontrollen können die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewährleisten. In Titel II genannte Finanzunternehmen sollten daher solche Kontrollen auf der Grundlage eines risikobasierten Ansatzes festlegen und durchführen. Zu diesem Zweck sollten Finanzunternehmen in einem zweistufigen Prozess Daten einstufen und IKT-Risiken umfassend bewerten und im Anschluss daran betreffende Daten, die gespeichert sind oder übermittelt werden, und erforderlichenfalls auch solche, die gerade verwendet werden, entsprechend verschlüsseln. Angesichts der Komplexität der Verschlüsselung in Verwendung befindlicher Daten sollten die in Titel II dieser Verordnung genannten Finanzunternehmen solche Daten nur verschlüsseln, wenn dies angesichts der Ergebnisse der IKT-Risikobewertung angemessen ist. Wenn die Verschlüsselung in Verwendung befindlicher Daten nicht möglich oder zu komplex ist, sollten in Titel II genannte Finanzunternehmen in der Lage sein, die Vertraulichkeit, Integrität und Verfügbarkeit der betreffenden Daten durch andere Maßnahmen für IKT-Sicherheit zu schützen. Vor dem Hintergrund der raschen technologischen Entwicklung im Bereich der Kryptografie sollten in Titel II genannte Finanzunternehmen über Entwicklungen in der Kryptoanalyse auf dem Laufenden bleiben und führende Praktiken und Normen berücksichtigen. In Titel II genannte Finanzunternehmen sollten daher einen flexiblen Ansatz verfolgen, der auf Risikominderung und -überwachung beruht, sodass sie vor dem Hintergrund der Dynamik kryptografischer Bedrohungen in der Lage sind, solche Bedrohungen, einschließlich Bedrohungen aufgrund der Fortschritte im Bereich der Quantentechnologie, zu bewältigen.
Erwägungsgrund 19 Detection of anomalous activities
Im Interesse einer frühzeitigen und wirksamen Aufdeckung von Anomalien sollten in Titel II genannte Finanzunternehmen unterschiedliche Informationsquellen erfassen, überwachen und analysieren und entsprechende Rollen und Zuständigkeiten zuweisen. Bei internen Informationsquellen sind Protokolle eine höchst relevante Quelle, doch sollten sich Finanzunternehmen nicht allein auf Protokolle verlassen. Stattdessen sollten sie umfassendere Informationen prüfen und auch Meldungen anderer interner Funktionen einbeziehen, die oft eine wertvolle Quelle relevanter Informationen sind. Aus dem gleichen Grund sollten Finanzunternehmen Informationen aus externen Quellen analysieren und überwachen, einschließlich der von IKT-Drittanbietern bereitgestellten Informationen über Vorfälle, die ihre Systeme und Netze betreffen, sowie anderer Informationsquellen, die Finanzunternehmen für relevant halten. Soweit personenbezogene Daten betroffen sind, findet das Datenschutzrecht der Union Anwendung. Die personenbezogenen Daten sollten auf das für die Erkennung des Vorfalls erforderliche Maß beschränkt sein.
Erwägungsgrund 20 Incident evidence retention
Zur Verbesserung der Erkennung IKT-bezogener Vorfälle sollten Finanzunternehmen diese Vorfälle dokumentieren. Um einerseits sicherzustellen, dass solche Nachweise ausreichend lang aufbewahrt werden, und andererseits einen übermäßigen Aufwand zu vermeiden, sollten Finanzunternehmen bei der Festlegung der Speicherfrist unter anderem die Kritikalität der betreffenden Daten und die sich aus dem Unionsrecht ergebenden Anforderungen an die Vorratsspeicherung berücksichtigen.
Erwägungsgrund 21 Comprehensive triggers for ICT-related incidents
Um sicherzustellen, dass IKT-bezogene Vorfälle zeitnah erkannt werden, sollten in Titel II genannte Finanzunternehmen sich nicht auf die Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion darauf beschränken. Finanzunternehmen sollten jedes dieser Kriterien berücksichtigen, doch sollten die Auslösung der Verfahren für die Erkennung IKT-bezogener Vorfälle und die Reaktion darauf nicht davon abhängen, dass die in den Kriterien beschriebenen Umstände gleichzeitig auftreten, und sollte die Bedeutung der betroffenen IKT-Dienste angemessen berücksichtigt werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.