Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 41 Format und Inhalt des Berichts über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens

    1. Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen legen den in Absatz 2 jenes Artikels genannten Bericht über die Überprüfung des IKT-Risikomanagementrahmens in einem durchsuchbaren elektronischen Format vor.

    1. Der in Absatz 1 genannte Bericht muss alle folgenden Informationen enthalten:

      1. einen einleitenden Abschnitt, der Folgendes enthält:

        1. eine Beschreibung des Kontexts des Berichts mit Blick auf Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte des Finanzunternehmens, die Organisation, die ermittelten kritischen Funktionen, die Strategie, die wichtigsten laufenden Projekte oder Tätigkeiten und die Beziehungen des Finanzunternehmens sowie die Abhängigkeit des Finanzunternehmens von internen und ausgelagerten IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; und -Systemen oder die Auswirkungen, die ein Totalverlust oder eine schwerwiegende Verschlechterung derartiger Systeme hinsichtlich kritischer oder wichtiger Funktionen und der Markteffizienz hätte;

        2. eine Kurzzusammenfassung des ermittelten aktuellen und auf kurze Sicht bestehenden IKT-Risikoprofils, der Bedrohungslage, der erachteten Wirksamkeit seiner Kontrollen und der Sicherheitslage des Finanzunternehmens;

        3. Informationen über das Gebiet, über das Bericht erstattet wird;

        4. eine Zusammenfassung der wichtigsten Veränderungen des IKT-Risikomanagementrahmens seit dem letzten Bericht;

        5. eine Zusammenfassung und eine Beschreibung der Auswirkungen der wichtigsten Veränderungen des IKT-Risikomanagementrahmens seit dem letzten Bericht;

      2. das Datum der Genehmigung des Berichts durch das Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). des Finanzunternehmens, sofern anwendbar;

      3. eine Beschreibung der Gründe für die Überprüfung, insbesondere auch,

        1. falls die Überprüfung nach aufsichtsrechtlichen Anweisungen eingeleitet wurde: Belege für diese Anweisungen;

        2. falls die Überprüfung nach Auftreten von IKT-bezogenen Vorfällen eingeleitet wurde: die Liste aller IKT-bezogenen Vorfälle mit zugehöriger Ursachenanalyse;

      4. das Anfangs- und Enddatum des Überprüfungszeitraums;

      5. die für die Überprüfung zuständige Person;

      6. eine Zusammenfassung der Ergebnisse und eine Eigenbewertung der Schwere der Schwächen, Mängel und Lücken, die im IKT-Risikomanagementrahmen für den Überprüfungszeitraum festgestellt wurden, einschließlich einer detaillierten Analyse derselben;

      7. ermittelte Abhilfemaßnahmen zur Behebung von Schwächen, Mängeln und Lücken im vereinfachten IKT-Risikomanagementrahmen und voraussichtliches Datum für die Implementierung dieser Maßnahmen, einschließlich Folgemaßnahmen für in früheren Berichten festgestellte Schwächen, Mängel und Lücken, sofern diese Schwächen, Mängel und Lücken noch nicht behoben sind;

      8. allgemeine Schlussfolgerungen zur Überprüfung des vereinfachten IKT-Risikomanagementrahmens, einschließlich weiterer geplanter Entwicklungen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod