Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 25 Test des IKT-Geschäftsfortführungsplans

    1. Beim Test der IKT-Geschäftsfortführungspläne gemäß Artikel 11 Absatz 6 der Verordnung (EU) 2022/2554 berücksichtigen die Finanzunternehmen ihre Business-Impact-Analyse (BIA) und die in Artikel 3 Absatz 1 Buchstabe b der vorliegenden Verordnung genannte IKT-Risikobewertung.

    1. Durch den in Absatz 1 genannten Test ihrer IKT-Geschäftsfortführungspläne beurteilen die Finanzunternehmen, ob sie die Fortführung ihrer kritischen oder wichtigen Funktionen gewährleisten können. Diese Tests müssen

      1. ausgehend von Testszenarien durchgeführt werden, bei denen potenzielle Störungen simuliert werden und die eine angemessene Zahl von schwerwiegenden, aber plausiblen Szenarien umfassen,

      2. gegebenenfalls Tests der von IKT-Drittanbietern erbrachten IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; umfassen,

      3. bei den in Artikel 11 Absatz 6 Unterabsatz 2 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; handelt, Szenarien für Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme enthalten,

      4. darauf ausgelegt sein, die Annahmen, auf denen die Geschäftsfortführungspläne beruhen, einschließlich der Governance-Regelungen und Krisenkommunikationspläne, infrage zu stellen,

      5. Verfahren enthalten, mit denen überprüft wird, ob die Mitarbeiter der Finanzunternehmen, die IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die IKT-Systeme und die IKT-Dienste angemessen auf die gemäß Artikel 26 Absatz 2 gebührend berücksichtigten Szenarien reagieren.

    2. Für die Zwecke des Buchstabens a nehmen die Finanzunternehmen in ihre Tests stets die bei Ausarbeitung der Geschäftsfortführungspläne berücksichtigten Szenarien auf.

    3. Für die Zwecke des Buchstabens b berücksichtigen die Finanzunternehmen in gebührendem Umfang gegebenenfalls Szenarien, in denen die Insolvenz oder der Ausfall der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder politische Risiken im Sitzland der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; unterstellt werden.

    4. Für die Zwecke des Buchstabens c wird bei den Tests überprüft, ob zumindest kritische oder wichtige Funktionen für ausreichend lange Zeit angemessen aufrechterhalten werden können und ob der normale Betrieb wiederhergestellt werden kann.

    1. Zentrale Gegenparteien beziehen in die in Absatz 1 genannten Tests ihrer IKT-Geschäftsfortführungspläne neben den Anforderungen in Absatz 2 folgende Parteien ein:

      1. Clearingmitglieder,

      2. externe Dienstleister,

      3. relevante Institute in der Finanzinfrastruktur, mit denen zentrale Gegenparteien laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.

    1. Zentralverwahrerein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014; beziehen in die in Absatz 1 genannten Tests ihrer IKT-Geschäftsfortführungspläne neben den Anforderungen in Absatz 2 gegebenenfalls folgende Parteien ein:

      1. die Nutzer der Zentralverwahrerein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014;,

      2. kritische Versorgungsbetriebe und kritische Dienstleister,

      3. andere Zentralverwahrerein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014;,

      4. andere Marktinfrastrukturen,

      5. alle sonstigen Institute, mit denen die Zentralverwahrerein Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014; laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.

    1. Die Finanzunternehmen dokumentieren die Ergebnisse der in Absatz 1 genannten Tests. Alle bei diesen Tests festgestellten Schwachstellen werden analysiert, angegangen und dem Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(31) Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32)., von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen; zur Kenntnis gebracht.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod