Art. 28 Governance und Organisation | RTS on ICT risk management framework | DORA

1. Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen müssen über einen internen Governance- und Kontrollrahmen verfügen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.
1. Die in Absatz 1 genannten Finanzunternehmen stellen im Zuge ihres vereinfachten IKT-Risikomanagementrahmens sicher, dass ihr Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32).
  1. die Gesamtverantwortung dafür trägt, dass der vereinfachte IKT-Risikomanagementrahmen im Einklang mit der Risikobereitschaft des Finanzunternehmens die Verwirklichung der Geschäftsstrategie des Finanzunternehmens ermöglicht, und sicherstellt, dass IKT-Risiken in diesem Zusammenhang berücksichtigt werden;
  2. für alle IKT-bezogenen Funktionen klare Aufgaben und Zuständigkeiten festlegt;
  3. die Ziele für die Informationssicherheit und die IKT-Anforderungen festlegt;
  4. Folgendes genehmigt, überwacht und regelmäßig überprüft:
    
    die in Artikel 30 Absatz 1 dieser Verordnung genannte Klassifizierung der Informations-Assets des Finanzunternehmens, die Liste der ermittelten Hauptrisiken sowie die Business-Impact-Analyse und die zugehörigen Richtlinien;
    
    die in Artikel 16 Absatz 1 Buchstabe f der Verordnung (EU) 2022/2554 genannten Geschäftsfortführungspläne des Finanzunternehmens sowie Gegen- und Wiederherstellungsmaßnahmen;
  5. die nötigen Budgetmittel zuweist und mindestens einmal jährlich überprüft, um den Anforderungen des Finanzunternehmens an die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; in Bezug auf alle Arten von Ressourcen gerecht werden zu können, einschließlich einschlägiger Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz sowie Vermittlung von IKT-Kompetenzen für alle Mitarbeiter;
  6. die in den Kapiteln I, II und III dieses Titels enthaltenen Richtlinien und Maßnahmen festlegt und umsetzt, um das IKT-Risikojeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten beeinträchtigen kann., dem das Finanzunternehmen ausgesetzt ist, zu ermitteln, zu bewerten und zu managen;
  7. die notwendigen Verfahren, IKT-Protokolle und Tools ermittelt und implementiert, um sämtliche Informations- und IKT-Assetseine Software oder Hardware in den Netzwerk- und Informationssystemen, die das Finanzunternehmen nutzt; zu schützen;
  8. sicherstellt, dass die Mitarbeiter des Finanzunternehmens über ausreichende Kenntnisse und Fähigkeiten entsprechend den zu managenden IKT-Risiken verfügen und diesbezüglich stets auf dem neuesten Stand gehalten werden, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten zu können;
  9. die Modalitäten des Meldewesens festlegt, die insbesondere auch die Häufigkeit, die Form und den Inhalt der Meldungen an das Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). über die Informationssicherheit und die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; regeln.
1. Die in Absatz 1 genannten Finanzunternehmen können die Überprüfung der Einhaltung der Anforderungen für das IKT-Risikomanagement im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten an gruppeninterne IKT-Unternehmen oder an IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; auslagern. Im Falle einer solchen Auslagerung bleiben die Finanzunternehmen weiterhin uneingeschränkt für die Überprüfung der Einhaltung der IKT-Risikomanagementanforderungen verantwortlich.
1. Die in Absatz 1 genannten Finanzunternehmen sorgen für eine angemessene Trennung und die Unabhängigkeit von Kontrollfunktionen und internen Revisionsfunktionen.
1. Die in Absatz 1 genannten Finanzunternehmen stellen sicher, dass ihr vereinfachter IKT-Risikomanagementrahmen im Einklang mit dem Revisionsplan des betreffenden Finanzunternehmens einer internen Revision durch Revisoren unterzogen wird. Die Revisoren müssen über ausreichendes Wissen und ausreichende Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken verfügen und unabhängig sein. Häufigkeit und Schwerpunkt der IKT-Revisionen müssen den IKT-Risiken des Finanzunternehmens angemessen sein.
1. Auf der Grundlage der Ergebnisse der in Absatz 5 genannten Revision stellen die in Absatz 1 genannten Finanzunternehmen die rechtzeitige Überprüfung und Auswertung kritischer Erkenntnisse der IKT-Revision sicher.