Preamble Recitals

Nach dem mit der Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor müssen Finanzunternehmen bestimmte Schlüsselprinzipien für das Management des IKT-Drittparteienrisikosein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; festlegen, die insbesondere dann wichtig sind, wenn Finanzunternehmen zur Unterstützung ihrer kritischen oder wichtigen Funktionen auf IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zurückgreifen.

Finanzunternehmen müssen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisikoein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; annehmen und regelmäßig überprüfen. Nach Artikel 28 Absatz 2 der Verordnung (EU) 2022/2554 muss diese Strategie eine Leitlinie für die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen umfassen, die von IKT-Drittdienstleistern bereitgestellt werden. Sie gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis.

Finanzunternehmen unterscheiden sich in ihrer Größe, Struktur und internen Organisation sowie in der Art und Komplexität ihrer Tätigkeiten und Geschäfte erheblich voneinander. Es ist notwendig, dieser Vielfalt Rechnung zu tragen und bei der Ausarbeitung der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „Leitlinie“), bestimmte grundlegende regulatorische Anforderungen einzuführen, die für alle Finanzunternehmen angemessen sind, und sicherzustellen, dass diese Anforderungen in einer verhältnismäßigen Weise angewandt werden.

Gehören Finanzunternehmen einer Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; an, so sollte das Mutterunternehmenein Mutterunternehmen im Sinne von Artikel 2 Nummer 9 und Artikel 22 der Richtlinie 2013/34/EU;, das für die Erstellung des konsolidierten oder teilkonsolidierten Abschlusses für die Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; verantwortlich zeichnet, sicherstellen, dass die Leitlinie innerhalb der Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; auf konsistente und kohärente Weise angewandt wird.

Bei der Anwendung der Leitlinie sollten gruppeninterne IKT-Dienstleister, einschließlich solcher, die sich im vollständigen oder gemeinsamen Besitz von Finanzunternehmen innerhalb desselben institutsbezogenen Sicherungssystems befinden, als IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; betrachtet werden. Wenngleich die von gruppeninternen IKT-Dienstleistern ausgehenden Risiken möglicherweise anderer Art sind, gelten für sie dieselben Anforderungen nach der Verordnung (EU) 2022/2554. Werden die Dienstleistungen über eine Kette von IKT-Drittdienstleistern bereitgestellt, so sollte die Leitlinie entsprechend auch für Unterauftragnehmer gelten, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon für IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; erbringen.

Das übergeordnete Prinzip, wonach die Verantwortung für das Management des IKT-Risikosjeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten beeinträchtigen kann. eines Finanzunternehmens letztlich beim Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). liegt, gilt auch bei der Nutzung von IKT-Drittdienstleistern. Diese Verantwortung sollte sich weiter im kontinuierlichen Engagement des Leitungsorgansein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). bei der Kontrolle und Überwachung des IKT-Risikomanagements niederschlagen, einschließlich bei der Annahme und mindestens jährlichen Überprüfung der Leitlinie.

Um eine angemessene Berichterstattung an das Leitungsorganein Leitungsorgan im Sinne von Artikel 4 Absatz 1 Nummer 36 der Richtlinie 2014/65/EU, von Artikel 3 Absatz 1 Nummer 7 der Richtlinie 2013/36/EU, von Artikel 2 Absatz 1 Buchstabe s der Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates(^31^), von Artikel 2 Absatz 1 Nummer 45 der Verordnung (EU) Nr. 909/2014, von Artikel 3 Absatz 1 Nummer 20 der Verordnung (EU) 2016/1011 sowie im Sinne der einschlägigen Vorschrift der Verordnung über Märkte von Krypto-Werten oder die entsprechenden Personen, die das Unternehmen tatsächlich leiten oder im Einklang mit dem einschlägigen Unionsrecht oder nationalen Recht Schlüsselfunktionen wahrnehmen;Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (ABl. L 302 vom 17.11.2009, S. 32). zu gewährleisten, sollten in der Leitlinie die internen Zuständigkeiten für die Genehmigung, das Management, die Kontrolle und die Dokumentation vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „vertragliche Vereinbarungen“), einschließlich der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die im Rahmen vertraglicher Vereinbarungen nach Artikel 28 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 erbracht werden, eindeutig spezifiziert und ermittelt werden.

Damit allen möglichen Risiken, die bei der Vergabe von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen entstehen können, Rechnung getragen wird, sollte die Leitlinie die einzelnen Schritte in jeder Hauptphase des Lebenszyklus vertraglicher Vereinbarungen mit Drittdienstleistern nachzeichnen.

Um die ermittelten Risiken zu mindern, sollte in der Leitlinie spezifiziert werden, wie vertragliche Vereinbarungen zu planen sind, einschließlich der Risikobewertung, des Verfahrens zur Erfüllung der Sorgfaltspflicht und des Genehmigungsverfahrens für neue oder wesentliche Änderungen dieser vertraglichen Vereinbarungen. Um die Risiken zu managen, die vor dem Abschluss einer vertraglichen Vereinbarung mit einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; entstehen könnten, sollte die Leitlinie ein geeignetes und verhältnismäßiges Verfahren für die Auswahl und die Bewertung der Eignung künftiger IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; enthalten und vorschreiben, dass das Finanzunternehmen eine nicht erschöpfende Liste von Elementen zu berücksichtigen hat, die bei einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; gegeben sein müssen. In der Liste sollten insbesondere auch Elemente enthalten sein, die die geschäftliche Reputation der Dienstleister, ihre finanziellen, personellen und technischen Ressourcen, ihre Informationssicherheit, ihre Organisationsstruktur, einschließlich Risikomanagement, und ihre internen Kontrollen betreffen.

Um bei der Bereitstellung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; ein solides Risikomanagement zu gewährleisten, sollte die Leitlinie Informationen über die Implementierung, die Überwachung und das Management der vertraglichen Vereinbarungen, gegebenenfalls auch auf konsolidierter und teilkonsolidierter Ebene, enthalten. Dazu gehören auch Anforderungen hinsichtlich der Vertragsklauseln über gegenseitige Verpflichtungen der Finanzunternehmen und IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die schriftlich niedergelegt werden sollten. Um eine effiziente Beaufsichtigung zu gewährleisten und die Resilienz im Falle von Änderungen des Geschäftsmodells oder -umfelds zu fördern, sollten in der Leitlinie die Rechte der Finanzunternehmen oder der beauftragten Dritten und der zuständigen Behörden im Zusammenhang mit Inspektionen und dem Zugang zu Informationen gewährleistet und die Ausstiegsstrategien und Beendigungsverfahren genauer festgelegt werden.

Soweit personenbezogene Daten von IKT-Drittdienstleistern verarbeitet werden, lassen die Leitlinie und etwaige vertragliche Vereinbarungen die Verpflichtungen aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(²)Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). unberührt und sollten diese ergänzen, z. B. durch einen schriftlichen Vertrag, in dem beschrieben wird, wie personenbezogene Daten zu verarbeiten sind, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, und in dem alle anderen nach dieser Verordnung erforderlichen Elemente festgelegt werden.

Der in Artikel 54 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(³)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., in Artikel 54 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(⁴)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und in Artikel 54 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(⁵)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). genannte Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden hat zu diesem Entwurf technischer Regulierungsstandards, auf dem die vorliegende Verordnung beruht, öffentliche Konsultationen durchgeführt, die damit verbundenen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 eingesetzten Interessengruppe Bankensektor, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 eingesetzten Interessengruppe Versicherung und Rückversicherung und der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 eingesetzten Interessengruppe Wertpapiere und Wertpapiermärkte eingeholt.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(⁶)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). angehört und hat am 24. Januar 2024 eine Stellungnahme abgegeben —