Artikel 9 Überwachung der vertraglichen Vereinbarungen

In der Leitlinie ist vorzusehen, dass in den vertraglichen Vereinbarungen die Maßnahmen und Schlüsselindikatoren festgelegt werden, anhand deren die Leistungsfähigkeit der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; kontinuierlich überwacht wird, einschließlich Maßnahmen, die dazu dienen, die Einhaltung der Anforderungen für die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Daten und Informationen und die Einhaltung der einschlägigen Strategien und Verfahren des Finanzunternehmens durch die IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu überwachen. Darüber hinaus sind in der Leitlinie Maßnahmen zu spezifizieren, die Anwendung finden, wenn Dienstleistungsvereinbarungen nicht eingehalten werden, und gegebenenfalls Vertragsstrafen umfassen.

1. die IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; dem Finanzunternehmen angemessene Berichte über ihre Tätigkeiten und Dienstleistungen vorlegen, darunter regelmäßige Berichte, Berichte über Vorfälle, Berichte über die Erbringung von Dienstleistungen, Berichte über die IKT-Sicherheit und Berichte über Maßnahmen und Tests zur Geschäftsfortführung;

2. die Leistungsfähigkeit von IKT-Drittdienstleistern anhand wesentlicher Leistungsindikatoren, wesentlicher Kontrollindikatoren, Audits, Selbstzertifizierungen und unabhängiger Überprüfungen im Einklang mit dem IKT-Risikomanagementrahmen des Finanzunternehmens bewertet wird;

3. das Finanzunternehmen andere relevante Informationen von den IKT-Drittdienstleistern erhält;

4. das Finanzunternehmen gegebenenfalls über IKT-bezogene Vorfälle und operationale oder sicherheitsbezogene Vorfälle im Zusammenhang mit Zahlungen unterrichtet wird;

5. eine unabhängige Überprüfung und Audits vorgenommen werden, um die Einhaltung der rechtlichen und regulatorischen Anforderungen und Strategien zu prüfen.

In der Leitlinie wird festgelegt, dass die Bewertung nach Absatz 2 zu dokumentieren ist und ihre Ergebnisse verwendet werden müssen, um die Risikobewertung des Finanzunternehmens im Sinne von Artikel 6 zu aktualisieren.

In der Leitlinie werden die geeigneten Maßnahmen festgelegt, die das Finanzunternehmen ergreifen muss, wenn es Mängel beim IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, einschließlich IKT-bezogener Vorfälle und operationaler oder sicherheitsbezogener Vorfälle im Zusammenhang mit Zahlungen, bei der Erbringung der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen oder bei der Einhaltung vertraglicher Vereinbarungen oder rechtlicher Anforderungen feststellt. Ferner wird darin festgelegt, wie die Umsetzung solcher Maßnahmen zu überwachen ist, um sicherzustellen, dass die Maßnahmen innerhalb eines festgelegten Zeitrahmens wirksam eingehalten werden, wobei zu berücksichtigen ist, wie wesentlich die Mängel sind.