(1) Die gemäß Artikel 31 Absatz 1 Buchstabe b ernannte federführende Überwachungsbehörde führt die Überwachung über die zugewiesenen kritischen IKT-Drittdienstleister durch und ist für diese kritischen IKT-Drittdienstleister für die Zwecke aller mit der Überwachung verbundenen Angelegenheiten die vorrangige Anlaufstelle.
(2) Für die Zwecke des Absatzes 1 bewertet die federführende Überwachungsbehörde, ob jeder kritische IKT-Drittdienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken verfügt, die er für Finanzunternehmen mit sich bringen kann.
Bei der in Unterabsatz 1 genannten Bewertung stehen vor allem IKT-Dienstleistungen im Mittelpunkt, die von dem kritischen IKT-Drittdienstleister bereitgestellt werden und kritische oder wichtige Funktionen von Finanzunternehmen unterstützen. Diese Bewertung wird auf IKT-Dienstleistungen, die andere als kritische oder wichtige Funktionen unterstützen, ausgeweitet, wenn dies zur Bewältigung aller relevanten Risiken erforderlich ist.
(3) Die in Absatz 2 genannte Bewertung erstreckt sich auf
| a) | IKT-Anforderungen, um insbesondere die Sicherheit, Verfügbarkeit, Kontinuität, Skalierbarkeit und Qualität der Dienste zu gewährleisten, die der kritische IKT-Drittdienstleister für Finanzunternehmen erbringt, sowie die Fähigkeit, jederzeit hohe Standards in Bezug auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der Daten aufrechtzuerhalten; |
| b) | die physische Sicherheit, die zur Gewährleistung der IKT-Sicherheit beiträgt, darunter auch die Sicherheit von Räumlichkeiten, Einrichtungen und Datenzentren; |
| c) | Risikomanagementprozesse, einschließlich Strategien für IKT-Risikomanagement, IKT-Geschäftsfortführungsleitlinie und IKT-Reaktions- und Wiederherstellungsplänen; |
| d) | Governance-Regelungen, einschließlich einer Organisationsstruktur mit klaren, transparenten und kohärenten Zuständigkeits- und Rechenschaftspflichten, die ein wirksames IKT-Risikomanagement ermöglichen; |
| e) | die Ermittlung, Überwachung und unverzügliche Meldung wesentlicher IKT-bezogener Vorfälle an die Finanzunternehmen sowie den Umgang mit und die Lösung dieser Vorfälle, insbesondere Cyberangriffe; |
| f) | Mechanismen für Datenübertragbarkeit, Übertragbarkeit von Anwendungen und Interoperabilität, die eine wirksame Wahrnehmung von Kündigungsrechten durch die Finanzunternehmen gewährleisten; |
| g) | Tests von IKT-Systemen, Infrastrukturen und Kontrollen; |
| h) | IKT-Audits; |
| i) | die Übernahme einschlägiger nationaler und internationaler Normen, die auf die Erbringung der IKT-Dienstleistungen für Finanzunternehmen anwendbar sind. |
(4) Die federführende Überwachungsbehörde nimmt auf der Grundlage der in Absatz 2 genannten Bewertung und in Abstimmung mit dem in Artikel 34 Absatz 1 genannten gemeinsamen Überwachungsnetz (Joint Oversight Network — JON) einen klaren, detaillierten und durchdachten individuellen Überwachungsplan an, in dem die für jeden kritischen IKT-Drittdienstleister vorgesehenen jährlichen Überwachungsziele und wichtigsten Überwachungsmaßnahmen beschrieben werden. Dieser Plan wird dem kritischen IKT-Drittdienstleister jedes Jahr übermittelt.
Vor der Annahme des Überwachungsplans übermittelt die federführende Überwachungsbehörde dem kritischen IKT-Drittdienstleister den Entwurf des Überwachungsplans.
Nach Eingang des Entwurfs des Überwachungsplans kann der kritische IKT-Drittdienstleister innerhalb von 15 Kalendertagen eine begründete Erklärung vorlegen, in der die erwarteten Auswirkungen auf Kunden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, aufgezeigt werden und gegebenenfalls Lösungen zur Risikominderung enthalten sind.
(5) Sobald die in Absatz 4 genannten jährlichen Überwachungspläne angenommen und den kritischen IKT-Drittdienstleistern übermittelt wurden, dürfen die zuständigen Behörden Maßnahmen in Bezug auf diese kritischen IKT-Drittdienstleister nur im Einvernehmen mit der federführenden Überwachungsbehörde ergreifen.