DORA-Dokumentationsanforderungen

DORA-Dokumentationsanforderungen

Die Verordnung über die digitale operationale Resilienz (DORA) stellt neue Anforderungen an Unternehmen im Finanzsektor. Eine der zentralen Herausforderungen besteht darin, die umfassenden Dokumentationsanforderungen zu erfüllen. Unsere Checkliste für DORA-Dokumentationsanforderungen hilft Ihnen, Ihren Fortschritt zu bewerten und Lücken zu schließen. Entdecken Sie, wie diese Checkliste Ihnen dabei hilft, die Compliance-Anforderungen effektiv zu erfüllen und Ihr Unternehmen auf die neue Ära der digitalen Resilienz vorzubereiten.

Warum ist die Checkliste für DORA-Dokumentationsanforderungen wichtig?

DORA zielt darauf ab, den Finanzsektor gegen Cyberrisiken zu wappnen und die operationale Resilienz zu stärken. Die Dokumentationsanforderungen sind dabei ein zentraler Bestandteil. Mit unserer Checkliste können Sie:

Ihre Fortschritte bewerten
Schwachstellen identifizieren
Maßnahmen zur vollständigen Compliance planen

Was beinhaltet die Checkliste?

Strategien
- DOR-Strategie
- Kommunikationsstrategie für IKT-Vorfälle
- IKT-Drittparteienrisiko-Strategie
- (Optionale) Multi-Anbieter-Strategie
Leitlinien und Richtlinien
- Informationssicherheitsleitlinie
- Richtlinien für IKT-Risikomanagement, Netzwerksicherheit, und mehr
Spezifische Verfahren
- Schwachstellenmanagement
- Patch-Management
- Schutz kryptografischer Schlüssel
Übergreifende Dokumente
- Geschäftsstrategie
- Geschäftsfortführungsleitlinie inkl. BIA
- Resilienztestprogramme

Wie verwenden Sie die Checkliste?

Die Checkliste ist in einfache Kategorien unterteilt, sodass Sie gezielt prüfen können:

Erstellt: Haben Sie das erforderliche Dokument?
Aktuell: Ist es auf dem neuesten Stand?
Umgesetzt: Wurden die Anforderungen vollständig umgesetzt?

Die Vorteile einer systematischen Prüfung

Eine strukturierte Herangehensweise an die Dokumentationsanforderungen hilft Ihnen:

Risiken zu minimieren
Audit-Anforderungen zu erfüllen
Ihr Unternehmen zukunftssicher zu machen

Fazit

Nutzen Sie die Checkliste für DORA-Dokumentationsanforderungen als Tool, um Ihre Compliance sicherzustellen. Laden Sie sich die Checkliste hier kostenlos herunter, um Ihr Unternehmen optimal auf die neuen Anforderungen vorzubereiten.

DORA-Dokumentationsanforderungen	DORA-Dokumentationsanforderungen im Detail
Strategie	Strategie
DOR-Strategie (Art. 6 Abs. 8 i.V.m. Art. 5 Abs. 2 lit. d DORA)	Art. 6 Abs. 8 DORA (8) Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationale Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt wird. Zu diesem Zweck schließt die Strategie für die digitale operationale Resilienz Methoden, um IKT-Risiken anzugehen und spezifische IKT-Ziele zu erreichen, ein, indem a) erläutert wird, wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und die Ziele des Finanzunternehmens unterstützt; b) die Risikotoleranzschwelle für IKT-Risiken im Einklang mit der Risikobereitschaft des Finanzunternehmens festgelegt und die Auswirkungsstoleranz mit Blick auf IKT-Störungen untersucht wird; c) klare Ziele für die Informationssicherheit festgelegt werden, einschließlich der wesentlichen Leistungsindikatoren und der wesentlichen Risikokennzahlen; d) die IKT-Referenzarchitektur und etwaige Änderungen erläutert werden, die für die Erreichung spezifischer Geschäftsziele erforderlich sind; e) die verschiedenen Mechanismen dargelegt werden, die eingesetzt wurden, um IKT-bezogene Vorfälle zu erkennen, sich davor zu schützen und daraus entstehende Folgen zu verhindern; f) der aktuelle Stand bezüglich der digitalen operationalen Resilienz anhand der Anzahl gemeldeter schwerwiegender IKT-Vorfälle und bezüglich der Wirksamkeit von Präventivmaßnahmen dargelegt wird; g) Tests der digitalen operationalen Resilienz gemäß Kapitel IV dieser Verordnung durchgeführt werden; h) für IKT-bezogene Vorfälle eine Kommunikationsstrategie dargelegt wird, die gemäß Artikel 14 offengelegt werden muss. Art. 5 Abs. 2 lit. d DORA (2) Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1. Für die Zwecke von Unterabsatz 1 gilt Folgendes: d) das Leitungsorgan trägt die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8, einschließlich der Festlegung der angemessenen Toleranzschwelle für das IKT-Risiko des Finanzunternehmens gemäß Artikel 6 Absatz 8 Buchstabe b;
Kommunikationsstrategie für IKT-bezogene Vorfälle (Art. 14 Abs. 3 i.V.m. Art. 6 Abs. 8 lit. h DORA)	Art. 14 Abs. 3 DORA - Kommunikation (3) Mindestens eine Person im Finanzunternehmen ist mit der Umsetzung der Kommunikationsstrategie für IKT-bezogene Vorfälle beauftragt und nimmt zu diesem Zweck die entsprechende Aufgabe gegenüber der Öffentlichkeit und den Medien wahr. Art. 6 Abs. 8 lit. h DORA - IKT-Risikomanagementrahmen (8) Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationale Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt wird. Zu diesem Zweck schließt die Strategie für die digitale operationale Resilienz Methoden, um IKT-Risiken anzugehen und spezifische IKT-Ziele zu erreichen, ein, indem h) für IKT-bezogene Vorfälle eine Kommunikationsstrategie dargelegt wird, die gemäß Artikel 14 offengelegt werden muss.
Strategie für das IKT-Drittparteienrisiko (Art. 28 Abs. 2 DORA)	Art. 28 Abs. 2 DORA - Allgemeine Prinzipien (1) Finanzunternehmen managen das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 und im Einklang mit den folgenden Prinzipien: a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich. b) Beim Management des IKT-Drittparteienrisikos tragen Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung, wobei Folgendes zu berücksichtigen ist: i) die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten, ii) die Risiken infolge vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen wurden, wobei die Kritikalität oder Relevanz der jeweiligen Dienstleistungen, Prozesse oder Funktionen sowie die potenziellen Auswirkungen auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf Einzel- und Gruppenebene zu berücksichtigen sind. (2) Finanzinstitute, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, beschließen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko und überprüfen diese regelmäßig, wobei gegebenenfalls die in Artikel 6 Absatz 9 genannte Strategie zur Nutzung mehrerer Anbieter Berücksichtigung findet. Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, und gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzunternehmens und des Umfangs und der Komplexität der Unternehmensdienstleistungen regelmäßig Risiken, die im Zusammenhang mit den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. (3) Finanzunternehmen führen und aktualisieren im Rahmen ihres IKT-Risikomanagementrahmens auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Die vertraglichen Vereinbarungen gemäß Unterabsatz 1 werden angemessen dokumentiert, wobei zwischen Vereinbarungen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen abdecken, und solchen unterschieden wird, bei denen dies nicht der Fall ist. Finanzunternehmen erstatten den zuständigen Behörden mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen, den Kategorien von IKT-Drittdienstleistern, der Art der vertraglichen Vereinbarungen sowie den bereitgestellten IKT-Dienstleistungen und -Funktionen. Finanzunternehmen stellen der zuständigen Behörde auf Verlangen das vollständige Informationsregister oder auf Anfrage bestimmte Teile dieses Registers zusammen mit allen Informationen zur Verfügung, die für eine wirksame Beaufsichtigung des Finanzunternehmens als notwendig erachtet werden. Finanzunternehmen unterrichten die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist. (4) Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen müssen Finanzunternehmen: a) beurteilen, ob sich die vertragliche Vereinbarung auf die Nutzung von IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion bezieht; b) beurteilen, ob die aufsichtsrechtlichen Bedingungen für die Auftragsvergabe erfüllt sind; c) alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten, einschließlich der Möglichkeit, dass diese vertragliche Vereinbarung dazu beitragen kann, das in Artikel 29 genannte IKT-Konzentrationsrisiko zu erhöhen; d) bei potenziellen IKT-Drittdienstleistern der gebotenen Sorgfaltspflicht nachkommen und während des gesamten Auswahl- und Bewertungsprozesses sicherstellen, dass der IKT-Drittdienstleister geeignet ist; e) Interessenkonflikte, die durch die vertragliche Vereinbarung entstehen können, ermitteln und bewerten. (5) Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Betreffen diese vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so berücksichtigen die Finanzunternehmen vor Abschluss der Vereinbarungen angemessen, ob die IKT-Drittdienstleister die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden. (6) Bei der Ausübung der Zugangs-, Inspektions- und Auditrechte in Bezug auf den IKT-Drittdienstleister bestimmen Finanzunternehmen auf der Grundlage eines risikobasierten Ansatzes vorab die Häufigkeit von Audits und Inspektionen sowie die zu prüfenden Bereiche, indem allgemein anerkannte Auditstandards im Einklang mit etwaigen Aufsichtsanweisungen für die Anwendung und Einbeziehung solcher Auditstandards eingehalten werden. Wenn vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen werden, ein hohes Maß an technischer Komplexität mit sich bringen, überprüft das Finanzunternehmen, dass die internen oder externen Revisoren oder ein Revisorenpool über die Fähigkeiten und Kenntnisse verfügen bzw. verfügt, die für die wirksame Durchführung der einschlägigen Audits und Bewertungen erforderlich sind. (7) Finanzunternehmen stellen sicher, dass vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen gekündigt werden können, wenn einer der folgenden Umstände vorliegt: a) ein erheblicher Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze, sonstige Vorschriften oder Vertragsbedingungen; b) Umstände, die im Laufe der Überwachung des IKT-Drittparteienrisikos festgestellt wurden und die als geeignet eingeschätzt werden, die Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen zu beeinträchtigen, einschließlich wesentlicher Änderungen, die sich auf die Vereinbarung oder die Verhältnisse des IKT-Drittdienstleisters auswirken; c) nachweisliche Schwächen des IKT-Drittdienstleisters in Bezug auf sein allgemeines IKT-Risikomanagement und insbesondere bei der Art und Weise, in der er die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet, unabhängig davon, ob es sich um personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten handelt; d) die zuständige Behörde kann das Finanzunternehmen infolge der Bedingungen der jeweiligen vertraglichen Vereinbarung oder der mit dieser Vereinbarung verbundenen Umstände nicht mehr wirksam beaufsichtigen. (8) Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein. In den Ausstiegsstrategien wird den Risiken Rechnung getragen, die auf der Ebene der IKT-Drittdienstleister entstehen können, darunter insbesondere ein möglicher Fehler des IKT-Drittdienstleisters, eine Verschlechterung der Qualität der bereitgestellten IKT-Dienstleistungen, jede Unterbrechung der Geschäftstätigkeit aufgrund unangemessener oder unterlassener Bereitstellung von IKT-Dienstleistungen oder jedes erhebliche Risiko im Zusammenhang mit der angemessenen und kontinuierlichen Bereitstellung der jeweiligen IKT-Dienstleistungen oder der Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern unter einem der in Absatz 7 genannten Umstände. Finanzunternehmen stellen sicher, dass sie aus vertraglichen Vereinbarungen ausscheiden können, ohne: a) Unterbrechung ihrer Geschäftstätigkeit, b) Einschränkung der Einhaltung regulatorischer Anforderungen, c) Beeinträchtigung der Kontinuität und Qualität ihrer für Kunden erbrachten Dienstleistungen. Ausstiegspläne müssen umfassend, dokumentiert und im Einklang mit den in Artikel 4 Absatz 2 aufgeführten Kriterien ausreichend getestet sein sowie regelmäßig überprüft werden. Finanzunternehmen ermitteln alternative Lösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, dem IKT-Drittdienstleister die vertraglich vereinbarten IKT-Dienstleistungen und die relevanten Daten zu entziehen und sie sicher und vollständig alternativen Anbietern zu übertragen oder wieder in die eigenen Systeme zu überführen. Finanzunternehmen verfügen über angemessene Notfallmaßnahmen, um die Fortführung der Geschäftstätigkeit zu gewährleisten, falls die in Unterabsatz 1 genannten Umstände auftreten. (9) Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Durchführungsstandards, um die Standardvorlagen für die Zwecke des in Absatz 3 genannten Informationsregisters festzulegen, einschließlich Informationen, die allen vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen gemein sind. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die in Unterabsatz 1 genannten technischen Durchführungsstandards gemäß Artikel 15 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen. (10) Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe für technische Regulierungsstandards, um den detaillierten Inhalt der Leitlinie, die in Absatz 2 in Bezug auf die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, genannt wird, weiter zu spezifizieren. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.
(optionale) Strategie zur Nutzung mehrerer IKT-Anbieter (Art. 28 Abs. 2 i.V.m. Art. 6 Abs. 9 DORA)	Art. 28 Abs. 2 DORA - Allgemeine Prinzipien (2) Finanzinstitute, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, beschließen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko und überprüfen diese regelmäßig, wobei gegebenenfalls die in Artikel 6 Absatz 9 genannte Strategie zur Nutzung mehrerer Anbieter Berücksichtigung findet. Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, und gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzunternehmens und des Umfangs und der Komplexität der Unternehmensdienstleistungen regelmäßig Risiken, die im Zusammenhang mit den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. Art. 6 Abs. 9 DORA - IKT-Risikomanagementrahmen (9) Finanzunternehmen können im Zusammenhang mit der Strategie für die digitale operationale Resilienz nach Absatz 8 eine ganzheitliche Strategie zur Nutzung mehrerer IKT-Anbieter auf Gruppen- oder Unternehmensebene festlegen, in der wesentliche Abhängigkeiten von IKT-Drittdienstleistern aufgezeigt und die Gründe für die Nutzung verschiedener IKT-Drittdienstleister erläutert werden.
Leit-/ Richtlinie	Leit-/ Richtlinie
Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)	Art. 9 Abs. 4 lit. a DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: a) Sie erarbeiten und dokumentieren eine Informationssicherheitsleitlinie, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets, gegebenenfalls einschließlich derjenigen ihrer Kunden, festgelegt sind;
Richtlinien für das IKT-Risikomanagement (Art. 3 RTS RMF)	Art. 3 RTS RMF - IKT-Risikomanagement Die Finanzunternehmen entwickeln, dokumentieren und implementieren Richtlinien und Verfahren für das IKT-Risikomanagement, die alle folgenden Elemente umfassen: a) einen Verweis auf die Genehmigung der nach Artikel 6 Absatz 8 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Risikotoleranzschwelle für IKT-Risiken; b) ein Verfahren und eine Methodik für die Durchführung der IKT-Risikobewertung, um Folgendes zu ermitteln: i) Schwachstellen und Bedrohungen, die die unterstützten Unternehmensfunktionen, die IKT-Systeme und die IKT-Assets, die diese Funktionen unterstützen, beeinträchtigen oder beeinträchtigen könnten, ii) die quantitativen oder qualitativen Indikatoren zur Messung der Auswirkungen und der Wahrscheinlichkeit eines Auftretens der unter Ziffer i genannten Schwachstellen und Bedrohungen; c) das Verfahren zur Ermittlung, Implementierung und Dokumentation von Maßnahmen für die Behandlung von IKTRisiken mit Blick auf die ermittelten und bewerteten IKT-Risiken, einschließlich der Festlegung von Maßnahmen für die Behandlung von IKT-Risiken, die erforderlich sind, um diese unter die Risikotoleranzschwelle nach Buchstabe a zu senken; d) für IKT-Restrisiken, die nach der Implementierung der Maßnahmen für die Behandlung von IKT-Risiken gemäß Buchstabe c weiter bestehen: i) Bestimmungen über die Ermittlung dieser IKT-Restrisiken, ii) die Zuweisung von Aufgaben und Verantwortlichkeiten mit Blick auf 1. das Eingehen von IKT-Restrisiken, die die Risikotoleranzschwelle nach Buchstabe a des Finanzunternehmens überschreiten, 2. das Überprüfungsverfahren gemäß Buchstabe d Ziffer iv, iii) die Erstellung eines Inventars der eingegangenen IKT-Restrisiken, einschließlich einer Begründung, weshalb sie eingegangen wurden, iv) Bestimmungen über die Überprüfung der eingegangenen IKT-Restrisiken, die mindestens einmal jährlich vorgenommen wird, einschließlich zur 1. Ermittlung etwaiger Änderungen der IKT-Restrisiken, 2. Bewertung der verfügbaren Abhilfemaßnahmen, 3. Bewertung, ob die Gründe für das Eingehen der IKT-Restrisiken zum Zeitpunkt der Überprüfung noch gültig und anwendbar sind; e) Bestimmungen über die Überwachung i) jeglicher Änderungen der IKT-Risiken und der Cyberbedrohungslage, ii) interner und externer Schwachstellen und Bedrohungen, iii) des IKT-Risikos des Finanzunternehmens, damit Änderungen, die sich auf sein IKT-Risikoprofil auswirken könnten, rasch erkannt werden können; f) Bestimmungen über ein Verfahren, mit dem sichergestellt wird, dass alle Änderungen der Geschäftsstrategie und der Strategie für die digitale operationale Resilienz des Finanzunternehmens berücksichtigt werden. Für die Zwecke von Absatz 1 Buchstabe c stellt das dort genannte Verfahren sicher, dass a) die Wirksamkeit der implementierten Maßnahmen für die Behandlung von IKT-Risiken überwacht wird; b) bewertet wird, ob die festgelegten Risikotoleranzschwellen des Finanzunternehmens erreicht wurden; c) bewertet wird, ob das Finanzunternehmen tätig geworden ist, um diese Maßnahmen erforderlichenfalls zu korrigieren oder zu verbessern.
Richtlinie für das Management von IKT-Assets (Art. 4 RTS RMF i.V.m. Art. 9 Abs. 2 und 4 lit. c DORA)	Art. 4 RTS RMF - Richtlinie für das Management von IKT-Assets (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für das Management von IKT-Assets. (2) Die in Absatz 1 genannte Richtlinie für das Management von IKT-Assets enthält a) Vorschriften für die Überwachung und das Management des Lebenszyklus von IKT-Assets, die gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 ermittelt und klassifiziert werden; b) Vorschriften, wonach das Finanzunternehmen in seinen Aufzeichnungen Folgendes erfasst: i) die eindeutige Kennung jedes IKT-Assets, ii) Informationen über den physischen oder logischen Standort aller IKT-Assets, iii) die Klassifizierung aller IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2254, iv) die Identität der Eigentümer von IKT-Assets, v) die Unternehmensfunktionen oder -dienstleistungen, die durch das IKT-Asset unterstützt werden, vi) die für die IKT-Geschäftsfortführung geltenden Anforderungen, einschließlich der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte, vii) die Möglichkeit eines Zugriffs auf das IKT-Asset über externe Netzwerke, einschließlich des Internets, viii) die Verbindungen und Interdependenzen zwischen IKT-Assets und den Unternehmensfunktionen, die die einzelnen IKT-Assets nutzen, ix) für alle IKT-Assets gegebenenfalls die Fristen bis zum Ende des Zeitraums, in dem die regelmäßigen, erweiterten und kundenspezifischen Unterstützungsdienstleistungen des IKT-Drittdienstleisters bereitgestellt werden und nach dem diese IKT-Assets nicht mehr von ihrem Anbieter oder einem IKT-Drittdienstleister unterstützt werden; c) Vorschriften für Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, wonach diese Finanzunternehmen Aufzeichnungen über die Informationen führen, die für die Durchführung einer spezifischen IKT-Risikobewertung aller IKT-Altsysteme nach Artikel 8 Absatz 7 der Verordnung (EU) 2022/2554 erforderlich sind. Art. 9 Abs. 2 DORA - Schutz und Prävention (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden. Art. 9 Abs. 2 4 lit. c DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: c) sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung;
Richtlinie für Verschlüsselung und kryptografische Kontrollen (Art. 6 und 7 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)	Art. 4 RTS RMF - Richtlinie für das Management von IKT-Assets (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für das Management von IKT-Assets. (2) Die in Absatz 1 genannte Richtlinie für das Management von IKT-Assets enthält a) Vorschriften für die Überwachung und das Management des Lebenszyklus von IKT-Assets, die gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 ermittelt und klassifiziert werden; b) Vorschriften, wonach das Finanzunternehmen in seinen Aufzeichnungen Folgendes erfasst: i) die eindeutige Kennung jedes IKT-Assets, ii) Informationen über den physischen oder logischen Standort aller IKT-Assets, iii) die Klassifizierung aller IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2254, iv) die Identität der Eigentümer von IKT-Assets, v) die Unternehmensfunktionen oder -dienstleistungen, die durch das IKT-Asset unterstützt werden, vi) die für die IKT-Geschäftsfortführung geltenden Anforderungen, einschließlich der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte, vii) die Möglichkeit eines Zugriffs auf das IKT-Asset über externe Netzwerke, einschließlich des Internets, viii) die Verbindungen und Interdependenzen zwischen IKT-Assets und den Unternehmensfunktionen, die die einzelnen IKT-Assets nutzen, ix) für alle IKT-Assets gegebenenfalls die Fristen bis zum Ende des Zeitraums, in dem die regelmäßigen, erweiterten und kundenspezifischen Unterstützungsdienstleistungen des IKT-Drittdienstleisters bereitgestellt werden und nach dem diese IKT-Assets nicht mehr von ihrem Anbieter oder einem IKT-Drittdienstleister unterstützt werden; c) Vorschriften für Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, wonach diese Finanzunternehmen Aufzeichnungen über die Informationen führen, die für die Durchführung einer spezifischen IKT-Risikobewertung aller IKT-Altsysteme nach Artikel 8 Absatz 7 der Verordnung (EU) 2022/2554 erforderlich sind. Art. 9 Abs. 2 DORA - Schutz und Prävention (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden. Art. 9 Abs. 2 4 lit. c DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: c) sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung;
Richtlinien für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)	Art. 8 RTS RMF - Richtlinien und Verfahren für IKT-Vorgänge (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge. (2) Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente: a) eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente: i) Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems, ii) Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung, iii) Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen; b) Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente: i) Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen, ii) Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT- Systemen, iii) Protokolle für Prüfpfad- und Systemprotokollinformationen, iv) Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden, v) Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen, vi) Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind, vii) Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden; c) Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente: i) Verfahren und Protokolle für die Fehlerbehandlung, ii) Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme, iii) Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems. Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt. Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher. Art. 9 Abs. 2 DORA (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.
Richtlinien für Patches und Updates (Art. 9 Abs. 4 lit. f DORA)	Art. 9 Abs. 4 lit. f DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: f) sie besitzen angemessene und umfassende dokumentierte Richtlinien für Patches und Updates.
Richtlinien für das Management der Netzwerksicherheit (Art. 13 RTS RMF)	Art. 13 RTS RMF - Management der Netzwerksicherheit Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen, die die Sicherheit der Netzwerke gegen Eindringen und Missbrauch von Daten gewährleisten, Richtlinien, Verfahren, Protokolle und Tools für das Management der Netzwerksicherheit, in denen alle folgenden Aspekte behandelt werden: a) die Trennung und Segmentierung von IKT-Systemen und -Netzwerken unter Berücksichtigung i) der Kritikalität oder Bedeutung der Funktion, die von diesen IKT-Systemen und -Netzwerken unterstützt wird, ii) der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung, iii) des Gesamtrisikoprofils der IKT-Assets, die diese IKT-Systeme und -Netzwerke nutzen; b) die Dokumentation aller Netzwerkverbindungen und Datenflüsse des Finanzunternehmens; c) die Nutzung eines gesonderten und speziellen Netzwerks für die Verwaltung von IKT-Assets; d) die Ermittlung und Implementierung von Kontrollen für den Netzwerkzugang, um Verbindungen zum Netzwerk des Finanzunternehmens durch ein nicht zugelassenes Gerät oder System oder einen Endpunkt, der die Sicherheitsanforderungen des Finanzunternehmens nicht erfüllt, zu verhindern und zu erkennen; e) die Verschlüsselung von Netzwerkverbindungen über Unternehmensnetzwerke, öffentliche Netzwerke, inländische Netzwerke, Netzwerke Dritter und drahtlose Netzwerke für die verwendeten Kommunikationsprotokolle unter Berücksichtigung der Ergebnisse der genehmigten Datenklassifizierung, der Ergebnisse der IKT-Risikobewertung und der Verschlüsselung von Netzwerkverbindungen gemäß Artikel 6 Absatz 2; f) die Konzeption der Netzwerke im Einklang mit den vom Finanzunternehmen festgelegten IKT-Sicherheitsanforderungen unter Berücksichtigung führender Praktiken zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit des Netzwerks; g) die Sicherung des Netzwerkverkehrs zwischen den internen Netzwerken und dem Internet und anderen externen Verbindungen; h) die Ermittlung der Aufgaben und Verantwortlichkeiten sowie der Etappen für die Spezifikation, Implementierung, Genehmigung, Änderung und Überprüfung der Firewall-Regeln und Verbindungsfilter; i) die Überprüfung der Netzwerkarchitektur und des Konzepts für die Netzwerksicherheit einmal jährlich und für Kleinstunternehmen in regelmäßigen Abständen, um potenzielle Schwachstellen zu ermitteln; j) die Maßnahmen zur vorübergehenden Isolierung von Teilnetzwerken sowie von Netzwerkkomponenten und -geräten, soweit erforderlich; k) die Implementierung einer sicheren Konfigurationsbasis für alle Netzwerkkomponenten und die Absicherung des Netzwerks und der Netzwerkgeräte im Einklang mit etwaigen Anweisungen des Anbieters und gegebenenfalls mit Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 sowie führenden Praktiken; l) die Verfahren zur Begrenzung, Sperrung und Beendigung von System- und Fernsitzungen nach einer bestimmten Inaktivitätszeit; m) für Vereinbarungen über Netzwerkdienstleistungen: i) die Ermittlung und Spezifikation von IKT- und Informationssicherheitsmaßnahmen, der Dienstleistungsgüte und von Managementanforderungen für alle Netzwerkdienste; ii) die Feststellung, ob diese Dienstleistungen von einem gruppeninternen IKT-Dienstleister oder von IKT- Drittdienstleistern erbracht werden. Für die Zwecke von Buchstabe h überprüfen die Finanzunternehmen regelmäßig die Firewall-Regeln und die Verbindungsfilter im Einklang mit der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil der beteiligten IKT-Systeme. Bei IKT-Systemen, die kritische oder wichtige Funktionen unterstützen, überprüfen Finanzunternehmen mindestens alle sechs Monate, ob die bestehenden Firewall- Regeln und Verbindungsfilter angemessen sind.
Richtlinien zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)	Art. 14 RTS RMF - Sicherung von Informationen bei der Übermittlung (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten Richtlinien, Verfahren, Protokolle und Tools zum Schutz von Informationen, die übermittelt werden. Die Finanzunternehmen gewährleisten insbesondere Folgendes: a) die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten während der Übermittlung über das Netzwerk und die Festlegung von Verfahren, um zu bewerten, ob diese Anforderungen eingehalten werden; b) die Verhinderung und Erkennung von Datenlecks und die sichere Übertragung von Informationen zwischen dem Finanzunternehmen und externen Parteien; c) die Implementierung, Dokumentation und regelmäßige Überprüfung der Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die dem Bedarf des Finanzunternehmens hinsichtlich des Schutzes von Informationen im Zusammenhang mit den Mitarbeitern des Finanzunternehmens und Dritten Rechnung tragen. (2) Die Finanzunternehmen konzipieren die Richtlinien, Protokolle und Tools zum Schutz von Informationen bei der Übermittlung nach Absatz 1 auf der Grundlage der Ergebnisse einer genehmigten Datenklassifizierung und der IKT- Risikobewertung.
Richtlinien für das IKT-Projektmanagement (inkl. IKT-Projektrisikobewertung) (Art. 15 RTS RMF)	Artikel 15 RTS-RMF - IKT-Projektmanagement (1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für das IKT-Projektmanagement. (2) In den in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement werden die Elemente festgelegt, die ein wirksames Management der IKT-Projekte in Bezug auf die Beschaffung, die Wartung sowie gegebenenfalls die Entwicklung der IKT-Systeme des Finanzunternehmens gewährleisten. (3) Die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement müssen alles Folgende beinhalten: a) die Ziele des IKT-Projekts, b) die Governance des IKT-Projekts, samt Aufgaben und Zuständigkeiten, c) die Planung, den zeitlichen Rahmen und die Etappen des IKT-Projekts, d) eine IKT-Projektrisikobewertung, e) die relevanten Etappenziele, f) die Anforderungen an das Änderungsmanagement, g) das Testen aller Anforderungen, einschließlich der Sicherheitsanforderungen, und das zugehörige Genehmigungsverfahren bei der Einführung eines IKT-Systems in der Produktionsumgebung. (4) Durch Bereitstellung der erforderlichen Informationen und Fachkenntnisse aus dem Geschäftsbereich oder den geschäftlichen Funktionen, auf die sich das IKT-Projekt auswirkt, gewährleisten die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement die sichere Durchführung des Projekts. (5) Der in Absatz 3 Buchstabe d genannten IKT-Projektrisikobewertung entsprechend müssen die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement vorsehen, dass das Leitungsorgan wie folgt über die Einleitung von IKT-Projekten, die sich auf kritische oder wichtige Funktionen des Finanzunternehmens auswirken, deren Fortschritte und die damit verbundenen Risiken unterrichtet wird: a) einzeln oder zusammengefasst, je nach Bedeutung und Umfang der IKT-Projekte, b) in regelmäßigen Abständen sowie erforderlichenfalls bei einzelnen Ereignissen.
Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen (Art. 16 Abs. 1 RTS RMF)	Art. 16 Abs. 1 RTS RMF - Beschaffung, Entwicklung und Wartung von IKT-Systemen (1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen. Diese Richtlinien müssen a) Sicherheitskonzepte und Methoden für die Beschaffung, Entwicklung und Wartung von IKT-Systemen enthalten, b) verlangen, dass Folgendes angegeben wird: i) die technischen Spezifikationen und technischen IKT-Spezifikationen im Sinne von Artikel 2 Nummern 4 und 5 der Verordnung (EU) Nr. 1025/2012, ii) die Anforderungen für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen mit besonderem Schwerpunkt auf den Anforderungen an die IKT-Sicherheit und auf deren Genehmigung durch die betreffende Geschäftsfunktion und den IKT-Asset-Eigentümer gemäß den internen Governance-Regelungen des Finanzunternehmens; c) Maßnahmen vorsehen, mit denen das Risiko einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung, Wartung und Einführung dieser IKT-Systeme in der Produktionsumgebung gemindert wird.
Richtlinien für das IKT-Änderungsmanagement (Art. 9 Abs. 4 lit. e DORA)	Art. 9 Abs. 4 lit. e DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: e) sie implementieren und dokumentieren Richtlinien, Verfahren und Kontrollen für das IKT-Änderungsmanagement, einschließlich Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren und fester Bestandteil des gesamten Änderungsmanagementprozesses des Finanzunternehmens sind, um sicherzustellen, dass alle Änderungen an IKT-Systemen auf kontrollierte Weise erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden;
Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen (Art. 18 RTS RMF)	Artikel 18 RTS RMF - Physische Sicherheit und Sicherheit vor Umweltereignissen (1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten verfassen, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen. Die Finanzunternehmen gestalten diese Richtlinien unter Berücksichtigung der Cyberbedrohungslage gemäß der nach Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets. (2) Die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen müssen alles Folgende beinhalten: a) einen Verweis auf den Abschnitt der Richtlinien, in dem es um die in Artikel 21 Absatz 1 Buchstabe g genannte Kontrolle der Zugangs- und Zugriffsrechte geht, b) die Maßnahmen, mit denen die Räumlichkeiten und Rechenzentren des Finanzunternehmens und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, vor Angriffen, Unfällen und Umweltbedrohungen und -gefahren geschützt werden, c) die Maßnahmen, mit denen die IKT-Assets inner- und außerhalb der Räumlichkeiten des Finanzunternehmens unter Berücksichtigung der Ergebnisse der IKT-Risikobewertung für diese IKT-Assets gesichert werden, d) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von IKT-Assets, Informationsassets und Einrichtungen für die physische Zugangskontrolle des Finanzunternehmens durch angemessene Wartung sichergestellt werden soll, e) Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewahrt werden sollen, einschließlich i) der Vorgabe eines „leeren Schreibtischs“, ii) der Vorgabe eines „leeren Bildschirms“ bei Datenverarbeitungsanlagen. Für die Zwecke des Buchstabens b müssen die Maßnahmen zum Schutz vor Umweltbedrohungen und -gefahren der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke des Buchstabens c müssen die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen angemessene Schutzmaßnahmen für unbeaufsichtigte IKT-Assets enthalten.
Richtlinien für Personalpolitik (Art. 19 RTS RMF)	Artikel 19 RTS RMF - Richtlinien für Personalpolitik Die Finanzunternehmen nehmen in ihre Richtlinien für Personalpolitik oder in ihre anderen einschlägigen Richtlinien alle nachstehend genannten IKT-sicherheitsbezogenen Elemente auf: a) die Angabe und Zuweisung etwaiger spezifischer Zuständigkeiten im Bereich der IKT-Sicherheit, b) die Vorgabe für die Mitarbeiter des Finanzunternehmens und des IKT-Drittdienstleisters, die IKT-Assets des Finanzunternehmens nutzen oder auf diese zugreifen, i) sich über die Richtlinien, Verfahren und Protokolle des Finanzunternehmens zur IKT-Sicherheit zu informieren und diese einzuhalten, ii) auf dem Laufenden darüber zu sein, welche Kanäle das Finanzunternehmen für die Meldung anomaler Verhaltensweisen geschaffen hat, wozu — soweit relevant — die gemäß der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates (11) eingerichteten Meldekanäle zählen, iii) dem Finanzunternehmen nach Beendigung des Beschäftigungsverhältnisses alle in ihrem Besitz befindlichen IKT-Assets und materiellen Informationsassets, die Eigentum des Finanzunternehmens sind, auszuhändigen.
Richtlinien für das Identitätsmanagement (Art. 20 RTS RMF)	Artikel 20 RTS RMF - Identitätsmanagement (1) Um die Zuweisung der Nutzerzugriffsrechte gemäß Artikel 21 zu ermöglichen, entwickeln, dokumentieren und implementieren die Finanzunternehmen im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte Richtlinien und Verfahren für das Identitätsmanagement, die die eindeutige Identifizierung und Authentifizierung der natürlichen Personen und Systeme, die auf Informationen der Finanzunternehmen zugreifen, gewährleisten. (2) Die in Absatz 1 genannten Richtlinien für das Identitätsmanagement müssen alles Folgende vorsehen: a) unbeschadet des Artikels 21 Absatz 1 Buchstabe c ist jedem Mitarbeiter des Finanzunternehmens oder Mitarbeitern der IKT-Drittdienstleister, die auf die Informationsassets und IKT-Assets des Finanzunternehmens zugreifen, eine eindeutige Identität zuzuweisen, die einem eindeutigen Nutzerkonto zugeordnet werden kann, b) einen Lebenszyklusmanagementprozess für Identitäten und Konten, der die Erstellung, Änderung, Überprüfung und Aktualisierung, die vorübergehende Deaktivierung und die Beendigung aller Konten umfasst. Für die Zwecke des Buchstabens a führen die Finanzunternehmen Aufzeichnungen über alle zugeordneten Identitäten. Diese Aufzeichnungen werden unbeschadet der im geltenden Unionsrecht und im nationalen Recht festgelegten Speicherpflichten nach einer Umstrukturierung des Finanzunternehmens oder nach Ablauf der Vertragsbeziehung aufbewahrt. Für die Zwecke des Buchstabens b greifen die Finanzunternehmen beim Lebenszyklusmanagementprozess für Identitäten soweit möglich und angemessen auf automatisierte Lösungen zurück.
Richtlinien im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte (Art. 21 RTS RMF i.V.m. Art. 9 Abs. 4 lit. c DORA)	Artikel 21 RTS RMF - Zugangskontrolle Im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien, die alles Folgende vorsehen: a) die Zuweisung der Rechte auf Zugang zu IKT-Assets nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang, b) die Abtrennung der Aufgaben, einen ungerechtfertigten Zugang zu kritischen Daten zu verhindern oder die Zuweisung einer Kombination von Zugriffsrechten zu verhindern, die zur Umgehung von Kontrollen genutzt werden können, c) eine Bestimmung zur Zurechenbarkeit, die die Nutzung generischer und gemeinsam genutzter Nutzerkonten so weit wie möglich einschränkt und die sicherstellt, dass die in den IKT-Systemen vorgenommenen Handlungen jederzeit einem Nutzer zugeordnet werden können, d) eine Bestimmung zur Beschränkung des Zugangs zu IKT-Assets, die Kontrollen und Tools zur Verhinderung eines unbefugten Zugangs vorsieht, e) Kontoverwaltungsverfahren für die Gewährung, Änderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten, die alles Folgende beinhalten: i) die Zuweisung der Aufgaben und Zuständigkeiten für die Gewährung, Überprüfung und Entziehung von Zugangsrechten, ii) die Zuweisung eines bevorrechtigten Zugangs, eines Notfallzugangs und eines Administratorzugangs nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc bei allen IKT-Systemen, iii) den umgehenden Entzug der Zugangsrechte bei Beendigung des Beschäftigungsverhältnisses oder wenn der Zugang nicht länger erforderlich ist, iv) die Aktualisierung der Zugangsrechte, wenn Änderungen notwendig sind, mindestens aber einmal jährlich bei allen IKT-Systemen mit Ausnahme derjenigen, die kritische oder wichtige Funktionen unterstützen, und mindestens alle sechs Monate bei IKT-Systemen, die kritische oder wichtige Funktionen unterstützen; f) Authentifizierungsmethoden, die alles Folgende vorsehen: i) die Nutzung von Authentifizierungsmethoden ist der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen und trägt führenden Praktiken Rechnung, ii) die Nutzung starker Authentifizierungsmethoden entspricht den führenden Praktiken und Techniken für den Fernzugang zum Netz des Finanzunternehmens, für den bevorrechtigten Zugang, für den Zugang zu IKT-Assets, die kritische oder wichtige Funktionen unterstützen oder IKT-Assets, die öffentlich zugänglich sind, g) physische Zugangskontrollen, die Folgendes einschließen: i) die Identifizierung und Protokollierung natürlicher Personen mit Zugangsberechtigung für Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, ii) die Gewährung der Rechte auf physischen Zugang zu kritischen IKT-Assets nur für befugte Personen nach dem Grundsatz „Kenntnis nur, wenn nötig“ und dem Grundsatz der minimalen Berechtigung sowie ad hoc, iii) die Überwachung des physischen Zugangs zu Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und/oder Informationsassets untergebracht sind, iv) die Überprüfung der physischen Zugangsrechte, um zu gewährleisten, dass unnötige Zugangsrechte umgehend entzogen werden. Für die Zwecke von Buchstabe e Ziffer i legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, den Gründen für die Protokollierung des Ereignisses und den Ergebnissen der IKT-Risikobewertung Rechnung. Für die Zwecke von Buchstabe e Ziffer ii verwenden die Finanzunternehmen für die Ausführung administrativer Aufgaben in IKT-Systemen nach Möglichkeit spezielle Konten. Für das Management des bevorrechtigten Zugangs greifen die Finanzunternehmen soweit möglich und angemessen auf automatisierte Lösungen zurück. Für die Zwecke von Buchstabe g Ziffer i müssen die Identifizierung und Protokollierung der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein. Für die Zwecke von Buchstabe g Ziffer iii muss die Überwachung der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und der Kritikalität des Zugangsbereichs angemessen sein. Art. 9 Abs. 4 lit. c DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: c) sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung;
IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA i.V.m. Art. 5 Abs. 2 lit. e und Art. 8 DORA; Art. 24 RTS RMF)	Art. 11 DORA - Reaktion und Wiederherstellung (1) Als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens und auf der Grundlage der Identifizierungsanforderungen nach Artikel 8 legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann. (2) Finanzunternehmen implementieren die IKT-Geschäftsfortführungsleitlinie mittels spezieller, angemessener und dokumentierter Regelungen, Pläne, Verfahren und Mechanismen, die darauf abzielen, a) die Fortführung der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen; b) auf alle IKT-bezogenen Vorfälle rasch, angemessen und wirksam zu reagieren und diesen so entgegenzuwirken, dass Schäden begrenzt werden und die Wiederaufnahme von Tätigkeiten und Wiederherstellungsmaßnahmen Vorrang erhalten; c) unverzüglich spezielle Pläne zu aktivieren, die Eindämmungsmaßnahmen, Prozesse und Technologien für alle Arten IKT-bezogener Vorfälle ermöglichen und weitere Schäden vermeiden, sowie maßgeschneiderte Verfahren zur Reaktion und Wiederherstellung gemäß Artikel 12 zu aktivieren; d) vorläufige Auswirkungen, Schäden und Verluste einzuschätzen; e) Kommunikations- und Krisenmanagementmaßnahmen festzulegen, die gewährleisten, dass allen relevanten internen Mitarbeitern und externen Interessenträgern im Sinne von Artikel 14 aktualisierte Informationen übermittelt werden, und die Meldung an die zuständigen Behörden gemäß Artikel 19 sicherstellen. (3) Finanzunternehmen implementieren als Teil des in Artikel 6 Absatz 1 genannten IKT-Risikomanagementrahmens damit verbundene IKT-Reaktions- und Wiederherstellungspläne, die einer unabhängigen internen Revision zu unterziehen sind, sofern es sich bei dem Finanzunternehmen nicht um ein Kleinstunternehmen handelt. (4) Finanzunternehmen erstellen, pflegen und testen regelmäßig angemessene IKT-Geschäftsfortführungspläne, insbesondere in Bezug auf kritische oder wichtige Funktionen, die ausgelagert oder durch vertragliche Vereinbarungen an IKT-Drittdienstleister vergeben werden. (5) Als Teil der allgemeinen Geschäftsfortführungsleitlinie führen Finanzunternehmen eine Business-Impact-Analyse (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durch. Im Rahmen der BIA bewerten Finanzunternehmen die potenziellen Auswirkungen schwerwiegender Betriebsstörungen anhand quantitativer und qualitativer Kriterien, wobei sie gegebenenfalls interne und externe Daten und Szenarioanalysen heranziehen. Dabei werden die Kritikalität der identifizierten und erfassten Unternehmensfunktionen, Unterstützungsprozesse, Abhängigkeiten von Dritten und Informationsassets sowie deren Interdependenzen berücksichtigt. Die Finanzunternehmen stellen sicher, dass IKT-Assets und -Dienste in voller Übereinstimmung mit der BIA konzipiert und genutzt werden, insbesondere wenn es darum geht, die Redundanz aller kritischen Komponenten in angemessener Weise zu gewährleisten. (6) Im Rahmen ihres umfassenden IKT-Risikomanagements gilt für Finanzunternehmen Folgendes: a) sie testen bei IKT-Systemen, die alle Funktionen unterstützen, mindestens jährlich sowie im Falle jeglicher wesentlicher Änderungen an IKT-Systemen, die kritische oder wichtige Funktionen unterstützen, die IKT-Geschäftsfortführungspläne sowie die IKT-Reaktions- und Wiederherstellungspläne; b) sie testen die gemäß Artikel 14 erstellten Krisenkommunikationspläne. Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, nehmen für die Zwecke von Unterabsatz 1 Buchstabe a Szenarien für Cyberangriffe und Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme, die für die Erfüllung der Verpflichtungen nach Artikel 12 erforderlich sind, in ihre Testpläne auf. Finanzunternehmen überprüfen ihre IKT-Geschäftsfortführungsleitlinie und ihre IKT-Reaktions- und Wiederherstellungspläne regelmäßig und berücksichtigen dabei die Ergebnisse von Tests, die gemäß Unterabsatz 1 durchgeführt wurden, sowie die Empfehlungen, die sich aus Audits oder aufsichtlichen Überprüfungen ergeben. (7) Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, verfügen über eine Krisenmanagementfunktion, die bei Aktivierung ihrer IKT- Geschäftsfortführungspläne oder ihrer IKT-Reaktions- und Wiederherstellungspläne unter anderem klare Verfahren für die Abwicklung interner und externer Krisenkommunikation gemäß Artikel 14 festlegt. (8) Finanzunternehmen sorgen dafür, dass Aufzeichnungen über die Tätigkeiten vor und während Störungen, wenn ihre IKT-Geschäftsfortführungspläne oder ihre IKT-Reaktions- und Wiederherstellungspläne aktiviert werden, jederzeit eingesehen werden können. (9) Zentralverwahrer übermitteln den zuständigen Behörden Kopien der Ergebnisse der Tests der IKT-Geschäftsfortführung oder ähnlicher Vorgänge. (10) Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, melden den zuständigen Behörden auf Anfrage die geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden. (11) Gemäß jeweils Artikel 16 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 arbeiten die Europäischen Aufsichtsbehörden (im Folgenden „ESA“) über den Gemeinsamen Ausschuss bis zum 17. Juli 2024 gemeinsame Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste nach Absatz 10 aus. Art. 5 Abs. 2 lit. e DORA - Governance und Organisation (2) Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1. Für die Zwecke von Unterabsatz 1 gilt Folgendes: e) das Leitungsorgan genehmigt, überwacht und überprüft regelmäßig die Umsetzung der in Artikel 11 Absatz 1 genannten IKT-Geschäftsfortführungsleitlinie und der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne, die als eigenständige spezielle Leitlinie, die integraler Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens und seines Reaktions- und Wiederherstellungsplans ist, verabschiedet werden können; Art. 8 DORA - Identifizierung (1) Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind. (2) Finanzunternehmen ermitteln kontinuierlich alle Quellen für IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind. Finanzunternehmen überprüfen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien. (3) Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen bei jeder wesentlichen Änderung der Netzwerk- und Informationssysteminfrastruktur, der Prozesse oder Verfahren, die sich auf ihre IKT-gestützten Unternehmensfunktionen, Informations- oder IKT-Assets auswirken, eine Risikobewertung durch. (4) Finanzunternehmen ermitteln alle Informations- und IKT-Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, und erfassen diejenigen, die als kritisch gelten. Sie erfassen die Konfiguration von Informations- und IKT-Assets sowie die Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IKT-Assets. (5) Finanzunternehmen ermitteln und dokumentieren alle Prozesse, die von IKT-Drittdienstleistern abhängen, und ermitteln Vernetzungen mit IKT-Drittdienstleistern, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. (6) Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren. (7) Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, führen für alle IKT-Altsysteme regelmäßig, mindestens jedoch einmal jährlich und in jedem Fall vor und nach Anschluss von Technologien, Anwendungen oder Systemen eine spezifische Bewertung des IKT-Risikos durch. Art. 24 RTS RMF - Komponenten der IKT-Geschäftsfortführungsleitlinie (1) Die Finanzunternehmen nehmen in die in Artikel 11 Absatz 1 der Verordnung (EU) 2022/2554 genannte IKT-Geschäftsfortführungsleitlinie Folgendes auf: a) eine Beschreibung i) der Ziele der IKT-Geschäftsfortführungsleitlinie, darunter auch der Wechselwirkungen zwischen der IKT- und der allgemeinen Geschäftsfortführung, unter Berücksichtigung der Ergebnisse der in Artikel 11 Absatz 5 der Verordnung (EU) 2022/2554 genannten Business-Impact-Analyse, ii) des Umfangs der Geschäftsfortführungsvorkehrungen, -pläne, -verfahren und -mechanismen samt etwaiger Beschränkungen und Ausschlüsse, iii) des von den Geschäftsfortführungsvorkehrungen, -plänen, -verfahren und -mechanismen abzudeckenden Zeitraums, iv) der Kriterien für die Aktivierung und Deaktivierung von IKT-Geschäftsfortführungsplänen, IKT-Reaktions- und Wiederherstellungsplänen und Krisenkommunikationsplänen; b) Bestimmungen zu: i) Governance und Organisation zur Umsetzung der IKT-Geschäftsfortführungsleitlinie, einschließlich Aufgaben, Zuständigkeiten und Eskalationsverfahren, wobei zu gewährleisten ist, dass ausreichende Ressourcen zur Verfügung stehen, ii) der Abstimmung zwischen den IKT-Geschäftsfortführungsplänen und den allgemeinen Geschäftsfortführungsplänen, was zumindest alles Folgende angeht: 1. die potenziellen Ausfallszenarien, einschließlich der in Artikel 26 Absatz 2 genannten Szenarien, 2. die Ziele für die Wiederherstellung des Geschäftsbetriebs, wobei festzulegen ist, dass das Finanzunternehmen den Betrieb seiner kritischen oder wichtigen Funktionen nach einer Störung entsprechend den Vorgaben für die Wiederherstellungszeit und den Wiederherstellungspunkt wiederherstellen können muss; iii) der Entwicklung von IKT-Geschäftsfortführungsplänen für schwerwiegende Betriebsstörungen als Teil dieser Pläne und der Priorisierung der IKT-Geschäftsfortführungsmaßnahmen nach einem risikobasierten Ansatz, iv) Entwicklung, Tests und Überprüfung der IKT-Reaktions- und Wiederherstellungspläne gemäß den Artikeln 25 und 26, v) der Überprüfung der Wirksamkeit umgesetzter Geschäftsfortführungsvorkehrungen, -pläne, -verfahren und -mechanismen gemäß Artikel 26, vi) der Abstimmung der IKT-Geschäftsfortführungsleitlinie mit: 1. der in Artikel 14 Absatz 2 der Verordnung (EU) 2022/2554 genannten Kommunikationsstrategie, 2. den in Artikel 11 Absatz 2 Buchstabe e der Verordnung (EU) 2022/2554 genannten Kommunikations- und Krisenmanagementmaßnahmen. (2) Zentrale Gegenparteien stellen zusätzlich zu den Anforderungen in Absatz 1 sicher, dass ihre IKT-Geschäftsfortführungsleitlinie a) für ihre kritischen Funktionen eine Wiederherstellungszeit von maximal 2 Stunden vorsieht, b) externen Verbindungen und wechselseitigen Abhängigkeiten innerhalb der Finanzinfrastrukturen Rechnung trägt, darunter Handelsplätzen, die von der zentralen Gegenpartei gecleart werden, Wertpapierliefer- und -abrechnungssystemen sowie Zahlungssystemen und Kreditinstituten, die von der zentralen Gegenpartei oder einer verbundenen zentralen Gegenpartei genutzt werden; c) Vorkehrungen im Hinblick darauf verlangt, i) die Fortführung kritischer oder wichtiger Funktionen der zentralen Gegenpartei ausgehend von Katastrophenszenarien sicherzustellen, ii) einen sekundären Verarbeitungsstandort zu unterhalten, der die Fortführung kritischer oder wichtiger Funktionen der zentralen Gegenpartei in gleicher Weise wie am Primärstandort gewährleisten kann, iii) einen sekundären Geschäftsstandort zu unterhalten oder zur sofortigen Verfügung zu haben, damit die Mitarbeiter die Dienstleistung weiter erbringen können, wenn der Primärstandort nicht verfügbar ist, iv) die Einrichtung zusätzlicher Verarbeitungsstandorte zu erwägen, insbesondere falls die unterschiedlichen Risikoprofile des primären und des sekundären Standorts keine hinreichende Gewähr dafür bieten, dass die Ziele der zentralen Gegenpartei hinsichtlich der Geschäftsfortführung in allen Szenarien erreicht werden können. Für die Zwecke von Buchstabe a führen die zentralen Gegenparteien Tagesabschlussprozesse und Zahlungen unter allen Umständen fristgerecht durch. Für die Zwecke von Buchstabe c Ziffer i müssen die dort genannten Vorkehrungen die Verfügbarkeit angemessener Humanressourcen, die Höchstdauer eines Ausfalls der kritischen Funktionen, den Failover zu einem sekundären Standort und die Wiederherstellung an diesem sekundären Standort regeln. Für die Zwecke von Buchstabe c Ziffer ii muss der dort genannte sekundäre Verarbeitungsstandort ein anderes geografisches Risikoprofil aufweisen als der Primärstandort. (3) Zentralverwahrer stellen zusätzlich zu den Anforderungen in Absatz 1 sicher, dass ihre IKT-Geschäftsfortführungsleitlinie a) etwaigen Verbindungen und wechselseitigen Abhängigkeiten gegenüber Nutzern, kritischen Versorgungsbetrieben und kritischen Dienstleistern, anderen Zentralverwahrern und anderen Marktinfrastrukturen Rechnung trägt, b) verlangt, dass die Vorkehrungen für die Geschäftsfortführung vorsehen, dass die Vorgabe für die Wiederherstellungszeit für ihre kritischen oder wichtigen Funktionen maximal zwei Stunden beträgt. (4) Handelsplätze stellen zusätzlich zu den Anforderungen in Absatz 1 sicher, dass ihre IKT-Geschäftsfortführungsleitlinie gewährleistet, dass a) der Handel nach einer Störung innerhalb von zwei Stunden oder einer geringfügig längeren Frist wieder aufgenommen werden kann, b) der Datenverlust bei allen IT-Diensten des Handelsplatzes nach einer Störung nahezu null beträgt.
Richtlinien für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)	Art. 12 Abs. 1 lit. a und Abs. 2 DORA - Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung (1) Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten als Teil ihres IKT-Risikomanagementrahmens sicherzustellen, entwickeln und dokumentieren Finanzunternehmen: a) Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden; b) Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden. (2) Finanzunternehmen richten Datensicherungssysteme ein, die in Übereinstimmung mit den Richtlinien und Verfahren zur Datensicherung sowie den Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung aktiviert werden können. Die Aktivierung von Datensicherungssystemen darf die Sicherheit der Netzwerk- und Informationssysteme oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten nicht gefährden. Die Datensicherungsverfahren sowie die Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden sind regelmäßig zu testen.
Kommunikationsleitlinien für Mitarbeiter (in Bezug auf den IKT-Risikomanagementrahmen) (Art. 14 Abs. 2 DORA)	Art. 14 Abs. 2 DORA - Kommunikation (2) Als Teil des IKT-Risikomanagementrahmens setzen Finanzunternehmen Kommunikationsstrategien für interne Mitarbeiter und externe Interessenträger um. Bei Kommunikationsleitlinien für Mitarbeiter wird berücksichtigt, dass zwischen dem Personal, das am IKT-Risikomanagement, insbesondere im Bereich Reaktion und Wiederherstellung, beteiligt ist, und dem zu informierendem Personal unterschieden werden muss.
Richtlinien für die Behandlung IKT-bezogener Vorfälle (Art. 22 und 23 RTS RMF)	Art. 22 RTS RMF - Richtlinien für die Behandlung IKT-bezogener Vorfälle Im Rahmen des Mechanismus zur Erkennung anomaler Aktivitäten, worunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle fallen, entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für IKT-bezogene Vorfälle, in deren Rahmen sie a) den in Artikel 17 der Verordnung (EU) 2022/2554 genannten Prozess für die Behandlung IKT-bezogener Vorfälle dokumentieren, b) eine Liste der relevanten Kontakte erstellen, die mit internen Funktionen und externen Interessenträgern, die direkt an der IKT-Betriebssicherheit beteiligt sind, unter anderem in Bezug auf Folgendes unterhalten werden: i) die Erkennung und Überwachung von Cyberbedrohungen, ii) die Erkennung anomaler Aktivitäten, iii) das Schwachstellenmanagement; c) technische, organisatorische und operative Mechanismen zur Unterstützung des Prozesses für die Behandlung IKT-bezogener Vorfälle einrichten, implementieren und betreiben, darunter auch Mechanismen, die eine rasche Erkennung anomaler Tätigkeiten und Verhaltensweisen gemäß Artikel 23 ermöglichen, d) gemäß Artikel 15 der Delegierten Verordnung (EU) 2024/1772 (12) und gemäß allen nach Unionsrecht geltenden Speichervorschriften alle Nachweise im Zusammenhang mit IKT-bezogenen Vorfällen so lange aufbewahren, wie es für die Zwecke der Datenerhebung unbedingt erforderlich und der Kritikalität der betreffenden Unternehmensfunktionen, unterstützenden Prozesse sowie IKT- und Informationsassets angemessen ist, e) Mechanismen zur Analyse bedeutender oder wiederkehrender IKT-bezogener Vorfälle und -Muster in Bezug auf Anzahl und Auftreten IKT-bezogener Vorfälle einrichten und implementieren. Für die Zwecke des Buchstabens d bewahren die Finanzunternehmen die dort genannten Nachweise auf sichere Weise auf. Art. 23 RTS RMF - Erkennung anormaler Aktivitäten und Kriterien für die Erkennung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle (1) Um IKT-bezogene Vorfälle und anormale Aktivitäten wirkungsvoll zu erkennen und wirkungsvoll darauf reagieren zu können. legen die Finanzunternehmen klare Aufgaben und Zuständigkeiten fest. (2) Der in Artikel 10 Absatz 1 der Verordnung (EU) 2022/2554 genannte Mechanismus zur umgehenden Erkennung anomaler Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, muss es den Finanzunternehmen ermöglichen, a) alles Folgende zu sammeln, zu überwachen und zu analysieren: i) interne und externe Faktoren, darunter zumindest die gemäß Artikel 12 gesammelten Protokolle, die Informationen von Unternehmens- und IKT-Funktionen sowie alle etwaigen, von Nutzern des Finanzunternehmens gemeldeten Probleme, ii) potenzielle interne und externe Cyberbedrohungen unter Berücksichtigung der üblicherweise von Angreifern verwendeten Szenarien und der auf Bedrohungsanalysen beruhenden Szenarien, iii) Meldungen IKT-bezogener Vorfälle durch einen IKT-Drittdienstleister des Finanzunternehmens, die in den Systemen und Netzwerken des IKT-Drittdienstleisters entdeckt wurden und Auswirkungen auf das Finanzunternehmen haben könnten, b) anomale Aktivitäten und Verhaltensweisen festzustellen und Tools einzusetzen, die zumindest für IKT- und Informationsassets, die kritische oder wichtige Funktionen unterstützen, Warnmeldungen generieren, die auf anomale Aktivitäten und Verhaltensweisen aufmerksam machen, c) die unter Buchstabe b genannten Warnmeldungen zu priorisieren, damit die festgestellten IKT-bezogenen Vorfälle innerhalb der von den Finanzunternehmen festgelegten erwarteten Abwicklungszeit sowohl während als auch außerhalb der Arbeitszeiten gelöst werden können, d) sämtliche relevanten Informationen über alle anomalen Aktivitäten und Verhaltensweisen automatisch oder manuell aufzuzeichnen, zu analysieren und auszuwerten. Für die Zwecke des Buchstabens b beinhalten die dort genannten Tools auch solche, die nach vorab definierten Regeln automatische Warnmeldungen zur Feststellung von Anomalien generieren, die die Vollständigkeit und Integrität der Datenquellen oder gesammelten Protokolle beeinträchtigen. (3) Die Finanzunternehmen schützen jede Aufzeichnung anomaler Aktivitäten vor Manipulation und unbefugtem Zugriff und zwar unabhängig davon, ob diese Daten gespeichert sind oder gerade übermittelt oder verwendet werden. (4) Für jede festgestellte anomale Aktivität protokollieren die Finanzunternehmen alle relevanten Informationen, die a) die Feststellung von Datum und Uhrzeit der anomalen Aktivität ermöglichen, b) die Feststellung von Datum und Uhrzeit der Erkennung der anomalen Aktivität ermöglichen, c) die Feststellung der Art der anomalen Aktivität ermöglichen. (5) Wenn die Finanzunternehmen die in Artikel 10 Absatz 2 der Verordnung (EU) 2022/2554 genannten Erkennungs- und Reaktionsprozesse für IKT-bezogene Vorfälle auslösen, tragen sie dabei allen folgenden Kriterien Rechnung: a) Hinweisen darauf, dass in einem IKT-System oder -Netzwerk möglicherweise eine böswillige Aktivität stattgefunden hat oder dieses IKT-System oder -Netzwerk korrumpiert sein könnte, b) Datenverlusten, die im Hinblick auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten festgestellt wurden, c) festgestellten schädlichen Auswirkungen auf die Transaktionen und Operationen des Finanzunternehmens, d) der Nichtverfügbarkeit von IKT-Systemen und -Netzwerken. (6) Für die Zwecke des Absatzes 5 tragen die Finanzunternehmen auch der Kritikalität der betroffenen Dienstleistung Rechnung.
Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)	Art. 24 Abs. 5 DORA - Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz (5) Finanzunternehmen, die keine Kleinstunternehmen sind, legen Verfahren und Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme fest und legen interne Validierungsmethoden fest, um sicherzustellen, dass alle ermittelten Schwächen, Mängel oder Lücken vollständig angegangen werden.
Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer o. wichtiger Funktionen (Art. 28 Abs. 2 und 10 DORA; Art. 1-11 RTS TPPol)	Art. 28 Abs. 2 und 10 DORA - Allgemeine Prinzipien (2) Finanzinstitute, bei denen es sich weder um die in Artikel 16 Absatz 1 Unterabsatz 1 genannten Unternehmen noch um Kleinstunternehmen handelt, beschließen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko und überprüfen diese regelmäßig, wobei gegebenenfalls die in Artikel 6 Absatz 9 genannte Strategie zur Nutzung mehrerer Anbieter Berücksichtigung findet. Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, und gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzunternehmens und des Umfangs und der Komplexität der Unternehmensdienstleistungen regelmäßig Risiken, die im Zusammenhang mit den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. (10) Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe für technische Regulierungsstandards, um den detaillierten Inhalt der Leitlinie, die in Absatz 2 in Bezug auf die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, genannt wird, weiter zu spezifizieren. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen. Artikel 1 RTS TPPol - Gesamtrisikoprofil und -komplexität In der Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „Leitlinie“), werden die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art und der Umfang seiner Dienstleistungen, Tätigkeiten und Geschäfte und die Elemente berücksichtigt, durch die sich deren Komplexität erhöht oder verringert, einschließlich der Elemente, die Folgendes betreffen: a) die Art der IKT-Dienstleistungen, die Gegenstand der vertraglichen Vereinbarung zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „vertragliche Vereinbarung“), sind; b) den Standort des IKT-Drittdienstleisters oder den Standort seines Mutterunternehmens; c) ob die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von einem IKT-Drittdienstleister in einem Mitgliedstaat oder einem Drittstaat bereitgestellt werden, auch unter Berücksichtigung des Standorts, von dem aus die IKT-Dienstleistungen bereitgestellt werden, und des Standorts, an dem die Daten verarbeitet und gespeichert werden; d) die Art der Daten, die mit dem IKT-Drittdienstleister ausgetauscht werden; e) ob der IKT-Drittdienstleister derselben Gruppe angehört wie das Finanzunternehmen, für das die Dienstleistungen erbracht werden; f) die Nutzung von IKT-Drittdienstleistern, die einer Zulassung, Registrierung oder der Beaufsichtigung oder Überwachung durch eine zuständige Behörde in einem Mitgliedstaat oder dem Überwachungsrahmen nach Kapitel V Abschnitt II der Verordnung (EU) 2022/2554 unterliegen, sowie die Nutzung von IKT-Drittdienstleistern, auf die dies nicht zutrifft; g) die Nutzung von IKT-Drittdienstleistern, die der Zulassung, Registrierung oder der Beaufsichtigung oder Überwachung durch eine Aufsichtsbehörde in einem Drittstaat unterliegen, sowie die Nutzung von IKT-Drittdienstleistern, auf die dies nicht zutrifft; h) ob die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sich auf einen einzigen IKT-Drittdienstleister oder eine kleine Anzahl solcher Dienstleister konzentriert; i) die Übertragbarkeit der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auf einen anderen IKT-Drittdienstleister, auch aufgrund technologischer Besonderheiten; j) die potenziellen Auswirkungen von Störungen bei der Bereitstellung der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auf die Kontinuität der Tätigkeiten des Finanzunternehmens und auf die Verfügbarkeit seiner Dienstleistungen. Artikel 2 RTS TPPol - Anwendung auf eine Gruppe Findet diese Verordnung auf teilkonsolidierter oder konsolidierter Basis Anwendung, so gewährleistet das Mutterunternehmen, das für die Erstellung des konsolidierten oder teilkonsolidierten Abschlusses für die Gruppe verantwortlich zeichnet, dass die Leitlinie in allen Finanzunternehmen, die Teil der Gruppe sind, konsistent umgesetzt wird und für die wirksame Anwendung dieser Verordnung auf allen relevanten Ebenen der Gruppe angemessen ist. Artikel 3 RTS TPPol - Governance-Regelungen (1) Das Leitungsorgan überprüft die Leitlinie mindestens einmal jährlich und aktualisiert sie erforderlichenfalls. Die an der Leitlinie vorgenommenen Änderungen werden zeitnah und sobald dies im Rahmen der einschlägigen vertraglichen Vereinbarungen möglich ist umgesetzt. Das Finanzunternehmen dokumentiert den geplanten zeitlichen Ablauf der Umsetzung. (2) In der Leitlinie wird eine Methode festgelegt, mit der bestimmt wird, welche IKT-Dienstleistungen kritische oder wichtige Funktionen unterstützen, oder es wird auf eine solche Methode verwiesen. In der Leitlinie ist auch anzugeben, wann eine solche Bewertung vorgenommen und überprüft werden soll. (3) In der Leitlinie werden die internen Zuständigkeiten für die Genehmigung, das Management, die Kontrolle und die Dokumentation einschlägiger vertraglicher Vereinbarungen eindeutig zugewiesen, und es wird sichergestellt, dass innerhalb des Finanzunternehmens angemessene Fähigkeiten, Erfahrung und Kenntnisse aufrechterhalten werden, damit die einschlägigen vertraglichen Vereinbarungen, einschließlich der im Rahmen dieser Vereinbarungen erbrachten IKT-Dienstleistungen, wirksam überwacht werden können. (4) Unbeschadet der letztlichen Verantwortung des Finanzunternehmens für die wirksame Beaufsichtigung der einschlägigen vertraglichen Vereinbarungen wird in der Leitlinie vorgeschrieben, dass der IKT-Drittdienstleister laut der Bewertung über ausreichende Ressourcen verfügen muss, um sicherzustellen, dass das Finanzunternehmen alle seine rechtlichen und regulatorischen Anforderungen hinsichtlich der zur Unterstützung kritischer oder wichtiger Funktionen bereitgestellten IKT-Dienstleistungen erfüllt. (5) In der Leitlinie wird eindeutig angegeben, bei welcher Funktion oder bei welchem Mitglied der Geschäftsleitung die Zuständigkeit für die Überwachung der einschlägigen vertraglichen Vereinbarungen liegt. In der Leitlinie wird festgelegt, wie diese Funktion oder dieses Mitglied der Geschäftsleitung mit den Kontrollfunktionen zusammenarbeitet, es sei denn, die Funktion oder das Mitglied ist Teil der Kontrollfunktionen, und es werden die Berichtspflichten gegenüber dem Leitungsorgan festgelegt, einschließlich der Art der zu meldenden Informationen und der vorzulegenden Dokumentation. Darüber hinaus wird festgelegt, wie häufig diese Berichterstattung erfolgt. (6) Die Leitlinie gewährleistet, dass die vertraglichen Vereinbarungen mit Folgendem im Einklang stehen: a) dem in Artikel 6 der Verordnung (EU) 2022/2554 genannten IKT-Risikomanagementrahmen; b) der in Artikel 9 Absatz 4 der Verordnung (EU) 2022/2554 genannten Informationssicherheitsleitlinie; c) der in Artikel 11 der Verordnung (EU) 2022/2554 genannten IKT-Geschäftsfortführungsleitlinie; d) den in Artikel 19 der Verordnung (EU) 2022/2554 festgelegten Anforderungen für die Meldung von Vorfällen. (7) In der Leitlinie ist vorzusehen, dass IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, einer unabhängigen Überprüfung unterzogen und in den Auditplan aufgenommen werden. (8) In der Leitlinie ist ausdrücklich festzulegen, dass die vertraglichen Vereinbarungen a) das Finanzunternehmen und sein Leitungsorgan nicht von ihren aufsichtlichen Pflichten und Verantwortlichkeiten gegenüber ihren Kunden entbinden; b) die wirksame Beaufsichtigung eines Finanzunternehmens nicht verhindern und nicht gegen aufsichtliche Einschränkungen für Dienstleistungen und Tätigkeiten verstoßen dürfen; c) vorschreiben müssen, dass die IKT-Drittdienstleister mit den zuständigen Behörden zusammenarbeiten; d) vorschreiben müssen, dass das Finanzunternehmen, seine Revisoren und die zuständigen Behörden wirksam Zugang zu Daten und Räumlichkeiten haben müssen, die mit der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zusammenhängen. Artikel 4 RTS TPPol - Hauptphasen des Lebenszyklus mit Blick auf die Annahme und Nutzung vertraglicher Vereinbarungen In der Leitlinie werden für jede Hauptphase des Lebenszyklus der vertraglichen Vereinbarung die Anforderungen, einschließlich der Regelungen, Zuständigkeiten und Prozesse, festgelegt, die mindestens Folgendes abdecken: a) die Zuständigkeiten des Leitungsorgans, gegebenenfalls einschließlich seiner Beteiligung an der Entscheidungsfindung hinsichtlich der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden; b) die Planung vertraglicher Vereinbarungen, einschließlich der Risikobewertung, des Verfahrens zur Erfüllung der Sorgfaltspflicht nach den Artikeln 5 und 6 und des Genehmigungsverfahrens für neue oder wesentliche Änderungen vertraglicher Vereinbarungen im Sinne von Artikel 8 Absatz 4; c) die Einbeziehung von Geschäftsbereichen, internen Kontrollen und anderen relevanten Organisationsbereichen in Bezug auf vertragliche Vereinbarungen; d) die Umsetzung, die Überwachung und das Management vertraglicher Vereinbarungen nach den Artikeln 7, 8 und 9, gegebenenfalls auch auf konsolidierter und teilkonsolidierter Ebene; e) die Dokumentation und die Erstellung von Aufzeichnungen unter Berücksichtigung der für das Informationsregister nach Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 geltenden Anforderungen; f) die Ausstiegsstrategien und Beendigungsverfahren nach Artikel 10. Artikel 5 RTS TPPol - Ex-ante-Risikobewertung (1) Nach der Leitlinie muss vor Abschluss einer vertraglichen Vereinbarung der Geschäftsbedarf des Finanzunternehmens bestimmt werden. (2) In der Leitlinie ist vorzusehen, dass auf Ebene des Finanzunternehmens und gegebenenfalls auf konsolidierter und teilkonsolidierter Ebene eine Risikobewertung durchzuführen ist, bevor eine vertragliche Vereinbarung geschlossen wird. Bei der Risikobewertung werden alle einschlägigen Anforderungen der Verordnung (EU) 2022/2554 sowie die geltenden sektorspezifischen Rechtsvorschriften der Union berücksichtigt. In der Leitlinie werden insbesondere die Auswirkungen der Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister auf das Finanzunternehmen sowie alle Risiken berücksichtigt, die mit der Bereitstellung dieser IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister verbunden sind, darunter a) operationelle Risiken, b) rechtliche Risiken, c) IKT-Risiken, d) Reputationsrisiken, e) Risiken im Zusammenhang mit dem Schutz vertraulicher oder personenbezogener Daten, f) Risiken im Zusammenhang mit der Verfügbarkeit von Daten, g) Risiken im Zusammenhang mit dem Standort, an dem die Daten verarbeitet und gespeichert werden, h) Risiken im Zusammenhang mit dem Standort des IKT-Drittdienstleisters, i) IKT-Konzentrationsrisiken auf Unternehmensebene. Artikel 6 RTS TPPol - Sorgfaltspflicht (1) In der Leitlinie wird ein angemessenes und verhältnismäßiges Verfahren für die Auswahl und Bewertung der künftigen IKT-Drittdienstleister festgelegt, wobei zu berücksichtigen ist, ob es sich bei dem IKT-Drittdienstleister um einen gruppeninternen IKT-Dienstleister handelt, und verlangt wird, dass das Finanzunternehmen vor Abschluss einer vertraglichen Vereinbarung bewertet, ob der IKT-Drittdienstleister a) über die geschäftliche Reputation, hinreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, Informationssicherheitsstandards, eine angemessene Organisationsstruktur, ein angemessenes Risikomanagement und angemessene interne Kontrollen sowie gegebenenfalls über die erforderlichen Zulassungen oder Registrierungen verfügt, um die IKT-Dienstleistungen zur Unterstützung der kritischen oder wichtigen Funktion zuverlässig und professionell erbringen zu können; b) in der Lage ist, einschlägige technologische Entwicklungen zu überwachen und führende Praktiken im Bereich der IKT-Sicherheit zu ermitteln und sie gegebenenfalls zu implementieren, damit er über einen wirksamen und soliden Rahmen für die digitale operationale Resilienz verfügt; c) IKT-Unterauftragnehmer nutzt oder zu nutzen gedenkt, um IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon zu erbringen; d) in einem Drittstaat lokalisiert ist oder die Daten in einem Drittstaat verarbeitet oder speichert und, falls dies der Fall ist, ob diese Praxis die operationellen Risiken, Reputationsrisiken oder das Risiko erhöht, von restriktiven Maßnahmen, einschließlich Embargos und Sanktionen, betroffen zu sein, die sich auf die Fähigkeit des IKT-Drittdienstleisters, die IKT-Dienstleistungen zu erbringen, oder die Fähigkeit des Finanzunternehmens, diese IKT-Dienstleistungen zu empfangen, auswirken können; e) vertraglichen Vereinbarungen zustimmt, mit denen effektiv die Möglichkeit sichergestellt wird, dass das Finanzunternehmen selbst, beauftragte Dritte und zuständige Behörden Audits beim IKT-Drittdienstleister, auch in dessen Räumlichkeiten, durchführen; f) in ethischer und sozial verantwortlicher Weise handelt, die Menschenrechte und die Rechte des Kindes achtet, einschließlich des Verbots der Kinderarbeit, die geltenden Grundsätze des Umweltschutzes einhält und angemessene Arbeitsbedingungen gewährleistet. (2) In der Leitlinie wird festgelegt, welches Maß an Sicherheit hinsichtlich der Wirksamkeit des Risikomanagementrahmens von IKT-Drittdienstleistern für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von einem IKT-Drittdienstleister bereitgestellt werden sollen, gegeben sein muss. In der Leitlinie ist vorzusehen, dass im Rahmen des Verfahrens zur Erfüllung der Sorgfaltspflicht bewertet wird, ob Maßnahmen zur Risikominderung und zur Geschäftsfortführung bestehen und wie deren Funktionsfähigkeit innerhalb des IKT-Drittdienstleisters sichergestellt wird. (3) In der Leitlinie wird das Verfahren zur Erfüllung der Sorgfaltspflicht festgelegt, anhand dessen die künftigen IKT-Drittdienstleister ausgewählt und bewertet werden, und es wird angegeben, welche der folgenden Elemente mit Blick auf das erforderliche Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters zu berücksichtigen sind: a) Audits oder unabhängige Bewertungen, die vom Finanzunternehmen selbst oder in seinem Auftrag durchgeführt werden; b) Berichte über unabhängige Audits, die auf Verlangen des IKT-Drittdienstleisters erstellt werden; c) Auditberichte der internen Revisionsfunktion des IKT-Drittdienstleisters; d) geeignete Zertifizierungen Dritter; e) andere relevante Informationen, die dem Finanzunternehmen zur Verfügung stehen, oder andere vom IKT-Drittdienstleister bereitgestellte Informationen. (4) Die Finanzunternehmen gewährleisten unter Berücksichtigung der in Absatz 3 Buchstaben a bis e aufgeführten Elemente ein angemessenes Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters. Gegebenenfalls ist mehr als eines der unter diesen Buchstaben aufgeführten Elemente zu berücksichtigen. Artikel 7 RTS TPPol - Interessenkonflikte (1) In der Leitlinie werden geeignete Maßnahmen festgelegt, die vor Abschluss einschlägiger vertraglicher Vereinbarungen zu ergreifen sind, um die sich aus der Nutzung von IKT-Drittdienstleistern ergebenden tatsächlichen oder potenziellen Interessenkonflikte zu ermitteln, zu vermeiden und zu managen, und es wird eine kontinuierliche Überwachung solcher Interessenkonflikte vorgesehen. (2) Werden IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von gruppeninternen IKT-Dienstleistern bereitgestellt, so wird in der Leitlinie festgelegt, dass Entscheidungen über die Bedingungen für diese IKT-Dienstleistungen, einschließlich der finanziellen Bedingungen, objektiv getroffen werden müssen. Artikel 8 RTS TPPol - Vertragsklauseln (1) In der Leitlinie wird festgelegt, dass die einschlägige vertragliche Vereinbarung schriftlich abzufassen ist und alle in Artikel 30 Absätze 2 und 3 der Verordnung (EU) 2022/2554 genannten Elemente enthalten muss. Die Leitlinie umfasst auch Elemente mit Blick auf die in Artikel 1 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Anforderungen sowie gegebenenfalls andere einschlägige Rechtsvorschriften der Union und der Mitgliedstaaten. (2) In der Leitlinie ist festzulegen, dass die einschlägigen vertraglichen Vereinbarungen das Recht des Finanzunternehmens auf Zugang zu Informationen, auf die Durchführung von Inspektionen und Audits sowie auf die Durchführung von IKT-Tests vorsehen müssen. In der Leitlinie ist vorzusehen, dass das Finanzunternehmen zu diesen Zwecken — unbeschadet seiner letztlichen Verantwortung — auf folgende Methoden zurückgreifen muss: a) eigene interne Audits oder Audits eines beauftragten Dritten; b) gegebenenfalls Sammelaudits und gepoolte IKT-Tests, einschließlich bedrohungsorientierter Penetrationstests, die gemeinsam mit anderen als Auftraggeber auftretenden Finanzunternehmen oder Firmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters nutzen, organisiert und von diesen Finanzunternehmen oder Firmen oder einem von ihnen beauftragten Dritten durchgeführt werden; c) gegebenenfalls Zertifizierungen Dritter; d) gegebenenfalls Berichte über interne oder von Dritten durchgeführte Audits, die vom IKT-Drittdienstleister zur Verfügung gestellt werden. (3) Das Finanzunternehmen darf sich längerfristig nicht nur auf die in Absatz 2 Buchstabe c genannten Zertifizierungen oder die in Absatz 2 Buchstabe d genannten Auditberichte verlassen. Nach der Leitlinie ist die Anwendung der in Absatz 2 Buchstaben c und d genannten Methoden nur dann gestattet, wenn das Finanzunternehmen a) den Auditplan des IKT-Drittdienstleisters für die einschlägigen vertraglichen Vereinbarungen als zufriedenstellend erachtet; b) sicherstellt, dass der Umfang der Zertifizierungen oder Auditberichte die von ihm ermittelten Systeme und wesentlichen Kontrollen abdeckt und die Einhaltung der einschlägigen rechtlichen Anforderungen gewährleistet; c) den Inhalt der Zertifizierungen oder Auditberichte laufend gründlich bewertet und prüft, ob die Berichte oder Zertifizierungen nicht obsolet sind; d) sicherstellt, dass wesentliche Systeme und Kontrollen in künftigen Fassungen der Zertifizierung oder des Auditberichts berücksichtigt werden; e) die zertifizierende oder prüfende Partei in zufriedenstellendem Maße für geeignet hält; f) davon überzeugt ist, dass die Zertifizierungen ausgestellt werden und die Zertifizierungen und die Audits nach weithin anerkannten einschlägigen professionellen Standards durchgeführt werden und einen Test der operationalen Wirksamkeit der bestehenden wesentlichen Kontrollen umfassen; g) das vertragliche Recht hat, in einer aus der Perspektive des Risikomanagements vertretbaren und legitimen Häufigkeit Änderungen des Umfangs der Zertifizierungen oder Auditberichte mit Blick auf andere einschlägige Systeme und Kontrollen zu verlangen; h) das vertragliche Recht hat, nach eigenem Ermessen Einzel- und Sammelaudits im Zusammenhang mit den vertraglichen Vereinbarungen durchzuführen und diese Rechte in der vereinbarten Häufigkeit wahrzunehmen. (4) Die Leitlinie stellt sicher, dass wesentliche Änderungen der vertraglichen Vereinbarung in einem schriftlichen Dokument förmlich festgehalten werden, das von allen Parteien datiert und unterzeichnet wird und in dem das Verfahren zur Verlängerung der vertraglichen Vereinbarungen festgelegt ist. Artikel 9 RTS TPPol - Überwachung der vertraglichen Vereinbarungen (1) In der Leitlinie ist vorzusehen, dass in den vertraglichen Vereinbarungen die Maßnahmen und Schlüsselindikatoren festgelegt werden, anhand deren die Leistungsfähigkeit der IKT-Drittdienstleister kontinuierlich überwacht wird, einschließlich Maßnahmen, die dazu dienen, die Einhaltung der Anforderungen für die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Daten und Informationen und die Einhaltung der einschlägigen Strategien und Verfahren des Finanzunternehmens durch die IKT-Drittdienstleister zu überwachen. Darüber hinaus sind in der Leitlinie Maßnahmen zu spezifizieren, die Anwendung finden, wenn Dienstleistungsvereinbarungen nicht eingehalten werden, und gegebenenfalls Vertragsstrafen umfassen. (2) In der Leitlinie wird festgelegt, wie das Finanzunternehmen bewertet, ob die IKT-Drittdienstleister, die für die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen in Anspruch genommen werden, angemessene Leistungs- und Qualitätsstandards im Einklang mit der vertraglichen Vereinbarung und den Strategien des Finanzunternehmens einhalten. Die Leitlinie muss insbesondere gewährleisten, dass a) die IKT-Drittdienstleister dem Finanzunternehmen angemessene Berichte über ihre Tätigkeiten und Dienstleistungen vorlegen, darunter regelmäßige Berichte, Berichte über Vorfälle, Berichte über die Erbringung von Dienstleistungen, Berichte über die IKT-Sicherheit und Berichte über Maßnahmen und Tests zur Geschäftsfortführung; b) die Leistungsfähigkeit von IKT-Drittdienstleistern anhand wesentlicher Leistungsindikatoren, wesentlicher Kontrollindikatoren, Audits, Selbstzertifizierungen und unabhängiger Überprüfungen im Einklang mit dem IKT-Risikomanagementrahmen des Finanzunternehmens bewertet wird; c) das Finanzunternehmen andere relevante Informationen von den IKT-Drittdienstleistern erhält; d) das Finanzunternehmen gegebenenfalls über IKT-bezogene Vorfälle und operationale oder sicherheitsbezogene Vorfälle im Zusammenhang mit Zahlungen unterrichtet wird; e) eine unabhängige Überprüfung und Audits vorgenommen werden, um die Einhaltung der rechtlichen und regulatorischen Anforderungen und Strategien zu prüfen. (3) In der Leitlinie wird festgelegt, dass die Bewertung nach Absatz 2 zu dokumentieren ist und ihre Ergebnisse verwendet werden müssen, um die Risikobewertung des Finanzunternehmens im Sinne von Artikel 6 zu aktualisieren. (4) In der Leitlinie werden die geeigneten Maßnahmen festgelegt, die das Finanzunternehmen ergreifen muss, wenn es Mängel beim IKT-Drittdienstleister, einschließlich IKT-bezogener Vorfälle und operationaler oder sicherheitsbezogener Vorfälle im Zusammenhang mit Zahlungen, bei der Erbringung der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder bei der Einhaltung vertraglicher Vereinbarungen oder rechtlicher Anforderungen feststellt. Ferner wird darin festgelegt, wie die Umsetzung solcher Maßnahmen zu überwachen ist, um sicherzustellen, dass die Maßnahmen innerhalb eines festgelegten Zeitrahmens wirksam eingehalten werden, wobei zu berücksichtigen ist, wie wesentlich die Mängel sind. Artikel 10 RTS TPPol - Ausstieg aus und Beendigung von vertraglichen Vereinbarungen Die Leitlinie enthält Anforderungen an einen dokumentierten Ausstiegsplan für jede vertragliche Vereinbarung sowie Anforderungen, die die regelmäßigen Überprüfungen und Tests des dokumentierten Ausstiegsplans betreffen. Bei der Festlegung des Ausstiegsplans ist Folgendes zu berücksichtigen: a) unvorhergesehene und anhaltende Unterbrechungen bei der Bereitstellung von Dienstleistungen; b) eine mangelhafte oder nicht erfolgte Erbringung von Dienstleistungen; c) eine unerwartete Beendigung vertraglicher Vereinbarungen. Der Ausstiegsplan muss realistisch und durchführbar sein, auf plausiblen Szenarien und vernünftigen Annahmen beruhen und einen Durchführungszeitplan enthalten, der mit den in den vertraglichen Vereinbarungen festgelegten Ausstiegs- und Beendigungsbedingungen vereinbar ist.
Weitere Dokumentationsanforderungen	Weitere Dokumentationsanforderungen
Bericht über die Überprüfung des IKT-Risikomanagementrahmens (Art. 6 Abs. 5 DORA i.V.m. Art. 27 RTS RMF)	Art. 6 DORA - IKT-Risikomanagementrahmen (5) Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich — bzw. im Falle von Kleinstunternehmen regelmäßig — sowie bei Auftreten schwerwiegender IKT-bezogener Vorfälle und nach aufsichtsrechtlichen Anweisungen oder Feststellungen, die sich aus einschlägigen Tests der digitalen operationalen Resilienz oder Auditverfahren ergeben, dokumentiert und überprüft. Der Rahmen wird auf Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf deren Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt. Art. 27 RTS RMF - Format und Inhalt des Berichts über die Überprüfung des IKT-Risikomanagementrahmens (1) Die Finanzunternehmen legen den in Artikel 6 Absatz 5 der Verordnung (EU) 2022/2554 genannten Bericht über die Überprüfung des IKT-Risikomanagementrahmens in einem durchsuchbaren elektronischen Format vor. (2) Die Finanzunternehmen nehmen in den in Absatz 1 genannten Bericht alle folgenden Informationen auf: a) einen einleitenden Abschnitt, der Folgendes enthält: i) eine eindeutige Angabe des Finanzunternehmens, das Gegenstand des Berichts ist, und, sofern relevant, eine Beschreibung seiner Gruppenstruktur; ii) eine Beschreibung des Kontexts des Berichts mit Blick auf Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte des Finanzunternehmens, seine Organisation, die ermittelten kritischen Funktionen, die Strategie, die wichtigsten laufenden Projekte oder Tätigkeiten, die Beziehungen und seine Abhängigkeit von internen und per Vertrag vergebenen IKT-Dienstleistungen und -Systemen oder die Auswirkungen, die ein Totalverlust oder eine schwerwiegende Verschlechterung derartiger Systeme hinsichtlich kritischer oder wichtiger Funktionen und der Markteffizienz hätte; iii) eine Zusammenfassung der wichtigsten Veränderungen des IKT-Risikomanagementrahmens seit dem letzten vorgelegten Bericht; iv) eine Kurzzusammenfassung des aktuellen und auf kurze Sicht bestehenden IKT-Risikoprofils, der Bedrohungslage, der erachteten Wirksamkeit seiner Kontrollen und der Sicherheitslage des Finanzunternehmens; b) das Datum der Genehmigung des Berichts durch das Leitungsorgan des Finanzunternehmens; c) eine Beschreibung des Grunds für die Überprüfung des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 5 der Verordnung (EU) 2022/2554; d) das Anfangs- und Enddatum des Überprüfungszeitraums; e) eine Angabe der für die Überprüfung verantwortlichen Funktion; f) eine Beschreibung der wichtigsten Veränderungen und Verbesserungen des IKT-Risikomanagementrahmens seit der letzten Überprüfung; g) eine Zusammenfassung der Ergebnisse der Überprüfung und eine detaillierte Analyse und Bewertung der Schwere der Schwächen, Mängel und Lücken des IKT-Risikomanagementrahmens im Überprüfungszeitraum; h) eine Beschreibung der Maßnahmen zur Behebung festgestellter Schwächen, Mängel und Lücken, die alles Folgende enthält: i) eine Zusammenfassung der Maßnahmen, die zur Behebung festgestellter Schwächen, Mängel und Lücken ergriffen wurden; ii) ein voraussichtliches Datum für die Durchführung der Maßnahmen und Daten für die interne Kontrolle der Durchführung, einschließlich Informationen über den Stand der Durchführung dieser Maßnahmen zum Zeitpunkt der Ausarbeitung des Berichts, gegebenenfalls mit einer Erläuterung, ob die Gefahr besteht, dass Fristen nicht eingehalten werden; iii) die zu verwendenden Tools und die Nennung der für die Durchführung der Maßnahmen verantwortlichen Funktion, wobei anzugeben ist, ob es sich um interne oder externe Tools/Instrumente und Funktionen handelt; iv) eine Beschreibung der Auswirkungen der im Rahmen der Maßnahmen geplanten Veränderungen auf die finanziellen, personellen und materiellen Ressourcen des Finanzunternehmens, insbesondere auch auf die für die Durchführung etwaiger Korrekturmaßnahmen vorgesehenen Ressourcen; v) gegebenenfalls Informationen über das Verfahren zur Unterrichtung der zuständigen Behörde; vi) falls die festgestellten Schwächen, Mängel oder Lücken nicht Gegenstand von Korrekturmaßnahmen sind, eine ausführliche Erläuterung der Kriterien, die zur Analyse der Auswirkungen dieser Schwächen, Mängel oder Lücken herangezogen wurden, um das damit verbundene IKT-Restrisiko zu bewerten, sowie der Kriterien für das Eingehen des damit verbundenen Restrisikos; i) Informationen über geplante Weiterentwicklungen des IKT-Risikomanagementrahmens; j) Schlussfolgerungen aus der Überprüfung des IKT-Risikomanagementrahmens; k) Informationen über frühere Überprüfungen, insbesondere auch i) eine Liste aller bisherigen Überprüfungen; ii) gegebenenfalls den Stand der Umsetzung der im letzten Bericht genannten Korrekturmaßnahmen; iii) falls sich die in früheren Überprüfungen vorgeschlagenen Korrekturmaßnahmen als unwirksam erwiesen oder zu unerwarteten Herausforderungen geführt haben, eine Beschreibung der Möglichkeiten für eine Verbesserung dieser Korrekturmaßnahmen oder der unerwarteten Herausforderungen; l) die zur Ausarbeitung des Berichts herangezogenen Informationsquellen, die insbesondere auch alles Folgende beinhalten müssen: i) bei den in Artikel 6 Absatz 6 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, die Ergebnisse der internen Revisionen; ii) die Ergebnisse der Compliance-Bewertungen; iii) die Ergebnisse der Tests der digitalen operationalen Resilienz und gegebenenfalls die Ergebnisse der erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis bedrohungsorientierter Penetrationstests (TLPT — Threat-Led Penetration Testing); iv) externe Quellen. Wurde die Überprüfung nach aufsichtsrechtlichen Anweisungen oder Feststellungen, die sich aus einschlägigen Tests der digitalen operationalen Resilienz oder Auditverfahren ergeben, eingeleitet, so muss der Bericht für die Zwecke des Buchstabens c ausdrückliche Verweise auf diese Anweisungen oder Feststellungen enthalten, die Aufschluss über den Grund für die Einleitung der Überprüfung geben. Wurde die Überprüfung nach IKT-bezogenen Vorfällen eingeleitet, so muss der Bericht eine Liste aller IKT-bezogenen Vorfälle mit einer Analyse der Ursachen dieser Vorfälle enthalten. Für die Zwecke von Buchstabe f enthält die Beschreibung eine Analyse der Auswirkungen der Veränderungen auf die Strategie für die digitale operationale Resilienz des Finanzunternehmens, auf den internen IKT-Kontrollrahmen des Finanzunternehmens und auf die IKT-Risikomanagement-Governance des Finanzunternehmens.
(IKT-)Revisionspläne inkl. Follow-up Verfahren bei kritischen Erkenntnissen (Art. 6 Abs. 6 und 7 i.V.m. Art. 5 Abs. 2 lit. f DORA)	Art. 6 Abs. 6 und 7 DORA - IKT-Risikomanagementrahmen (6) Im Einklang mit dem Revisionsplan des betreffenden Finanzunternehmens ist der IKT-Risikomanagementrahmen von Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, regelmäßig einer internen Revision durch Revisoren zu unterziehen. Diese Revisoren verfügen über ausreichendes Wissen und ausreichende Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken sowie über eine angemessene Unabhängigkeit. Häufigkeit und Schwerpunkt von IKT-Revisionen sind den IKT-Risiken des Finanzunternehmens entsprechend angemessen. (7) Auf der Grundlage der Feststellungen aus der Überprüfung der internen Revision legen Finanzunternehmen ein förmliches Follow-up-Verfahren einschließlich Regeln für die rechtzeitige Überprüfung und Auswertung kritischer Erkenntnisse der IKT-Revision fest. Art. 5 Abs. 2 lit. f DORA - Governance und Organisation (2) Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1. Für die Zwecke von Unterabsatz 1 gilt Folgendes: f) das Leitungsorgan genehmigt und überprüft regelmäßig die internen IKT-Revisionspläne des Finanzunternehmens, die IKT-Revision und die daran vorgenommenen wesentlichen Änderungen;
Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten (Art. 8 Abs. 1 und 6 DORA)	Art. 8 Abs. 1 und 6 DORA - Identifizierung (1) Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind. (6) Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren.
Inventar aller (kritischen) Informations- und IKT-Assets (Art. 8 Abs. 1, 4 und 6 DORA)	Art. 8 Abs. 1, 4 und 6 DORA – Identifizierung (1) Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 6 Absatz 1 ermitteln und klassifizieren Finanzunternehmen alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Rollen und Abhängigkeiten hinsichtlich der IKT-Risiken und dokumentieren sie angemessen. Finanzunternehmen überprüfen erforderlichenfalls, mindestens jedoch einmal jährlich, ob diese Klassifizierung und jegliche einschlägige Dokumentation angemessen sind. (4) Finanzunternehmen ermitteln alle Informations- und IKT-Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, und erfassen diejenigen, die als kritisch gelten. Sie erfassen die Konfiguration von Informations- und IKT-Assets sowie die Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IKT-Assets. (6) Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren.
Inventar aller Prozesse, die von IKT-Drittdienstleistern abhängen (Art. 8 Abs. 5 und 6 DORA)	Art. 8 Abs. 5 und 6 DORA – Identifizierung (5) Finanzunternehmen ermitteln und dokumentieren alle Prozesse, die von IKT-Drittdienstleistern abhängen, und ermitteln Vernetzungen mit IKT-Drittdienstleistern, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. (6) Für die Zwecke der Absätze 1, 4 und 5 führen Finanzunternehmen entsprechende Inventare, die sie regelmäßig sowie bei jeder wesentlichen Änderung im Sinne von Absatz 3 aktualisieren.
Verfahren für das IKT-Risikomanagement (Art. 3 RTS RMF)	Artikel 3 RTS RMF – IKT-Risikomanagement Die Finanzunternehmen entwickeln, dokumentieren und implementieren Richtlinien und Verfahren für das IKT-Risikomanagement, die alle folgenden Elemente umfassen: a) einen Verweis auf die Genehmigung der nach Artikel 6 Absatz 8 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Risikotoleranzschwelle für IKT-Risiken; b) ein Verfahren und eine Methodik für die Durchführung der IKT-Risikobewertung, um Folgendes zu ermitteln:i)Schwachstellen und Bedrohungen, die die unterstützten Unternehmensfunktionen, die IKT-Systeme und die IKT-Assets, die diese Funktionen unterstützen, beeinträchtigen oder beeinträchtigen könnten,ii)die quantitativen oder qualitativen Indikatoren zur Messung der Auswirkungen und der Wahrscheinlichkeit eines Auftretens der unter Ziffer i genannten Schwachstellen und Bedrohungen; c) das Verfahren zur Ermittlung, Implementierung und Dokumentation von Maßnahmen für die Behandlung von IKT-Risiken mit Blick auf die ermittelten und bewerteten IKT-Risiken, einschließlich der Festlegung von Maßnahmen für die Behandlung von IKT-Risiken, die erforderlich sind, um diese unter die Risikotoleranzschwelle nach Buchstabe a zu senken; d) für IKT-Restrisiken, die nach der Implementierung der Maßnahmen für die Behandlung von IKT-Risiken gemäß Buchstabe c weiter bestehen:i)Bestimmungen über die Ermittlung dieser IKT-Restrisiken,ii)die Zuweisung von Aufgaben und Verantwortlichkeiten mit Blick auf1.das Eingehen von IKT-Restrisiken, die die Risikotoleranzschwelle nach Buchstabe a des Finanzunternehmens überschreiten,2.das Überprüfungsverfahren gemäß Buchstabe d Ziffer iv,iii)die Erstellung eines Inventars der eingegangenen IKT-Restrisiken, einschließlich einer Begründung, weshalb sie eingegangen wurden,iv)Bestimmungen über die Überprüfung der eingegangenen IKT-Restrisiken, die mindestens einmal jährlich vorgenommen wird, einschließlich zur1.Ermittlung etwaiger Änderungen der IKT-Restrisiken,2.Bewertung der verfügbaren Abhilfemaßnahmen,3.Bewertung, ob die Gründe für das Eingehen der IKT-Restrisiken zum Zeitpunkt der Überprüfung noch gültig und anwendbar sind; e) Bestimmungen über die Überwachungi)jeglicher Änderungen der IKT-Risiken und der Cyberbedrohungslage,ii)interner und externer Schwachstellen und Bedrohungen,iii)des IKT-Risikos des Finanzunternehmens, damit Änderungen, die sich auf sein IKT-Risikoprofil auswirken könnten, rasch erkannt werden können; f) Bestimmungen über ein Verfahren, mit dem sichergestellt wird, dass alle Änderungen der Geschäftsstrategie und der Strategie für die digitale operationale Resilienz des Finanzunternehmens berücksichtigt werden. Für die Zwecke von Absatz 1 Buchstabe c stellt das dort genannte Verfahren sicher, dass a) die Wirksamkeit der implementierten Maßnahmen für die Behandlung von IKT-Risiken überwacht wird; b) bewertet wird, ob die festgelegten Risikotoleranzschwellen des Finanzunternehmens erreicht wurden; c) bewertet wird, ob das Finanzunternehmen tätig geworden ist, um diese Maßnahmen erforderlichenfalls zu korrigieren oder zu verbessern.
Verfahren für das Management von IKT-Assets (Art. 5 RTS RMF)	Art. 5 RTS RMF - Verfahren für das Management von IKT-Assets Die Finanzunternehmen entwickeln, dokumentieren und implementieren ein Verfahren für das Management von (1) IKT-Assets. (2) In dem in Absatz 1 genannten Verfahren für das Management von IKT-Assets werden die Kriterien festgelegt, nach denen die Bewertung der Kritikalität von Informationsassets und IKT-Assets, die Unternehmensfunktionen unterstützen, vorgenommen wird. Bei dieser Bewertung wird Folgendes berücksichtigt: a) das IKT-Risiko im Zusammenhang mit diesen Unternehmensfunktionen und deren Abhängigkeit von den Informationsassets oder IKT-Assets; b) mögliche Auswirkungen des Verlusts der Vertraulichkeit, Integrität und Verfügbarkeit solcher Informationsassets und IKT-Assets auf die Geschäftsprozesse und -tätigkeiten der Finanzunternehmen.
Schutzmaßnahmen für kryptografische Schlüssel (Art. 9 Abs. 4 lit. d DORA)	Art. 9 Abs. 4 lit. d DORA - Schutz und Prävention (4) Als Teil des IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 gilt für Finanzunternehmen Folgendes: d) sie implementieren Konzepte und Protokolle für starke Authentifizierungsmechanismen, die auf einschlägigen Normen und speziellen Kontrollsystemen basieren, sowie Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten auf der Grundlage der Ergebnisse aus genehmigten Datenklassifizierungs- und IKT-Risikobewertungsprozessen verschlüsselt werden;
Register aller Zertifikate und Zertifikatspeicher für diejenigen IKT-Assets, die kritische o. wichtige Funktionen unterstützen (Art. 7 Abs. 4 RTS RMF)	Art. 7 Abs. 4 RTS RMF - Management kryptografischer Schlüssel (4) Die Finanzunternehmen erstellen und führen für mindestens diejenigen IKT-Assets, die kritische oder wichtige Funktionen unterstützen, ein Register aller Zertifikate und Zertifikatspeicher. Die Finanzunternehmen halten dieses Register auf dem neuesten Stand.
Verfahren für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)	Art. 8 RTS RMF - Richtlinien und Verfahren für IKT-Vorgänge (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge. (2) Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente: a) eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente: i) Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems, ii) Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung, iii) Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen; b) Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente: i) Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen, ii) Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT- Systemen, iii) Protokolle für Prüfpfad- und Systemprotokollinformationen, iv) Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden, v) Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen, vi) Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind, vii) Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden; c) Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente: i) Verfahren und Protokolle für die Fehlerbehandlung, ii) Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme, iii) Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems. Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt. Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher. Art. 9 Abs. 2 DORA - Schutz und Prävention (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.
Verfahren für das Kapazitäts- und Leistungsmanagement (inkl. Überwachung) (Art. 9 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)	Art. 9 RTS RMF - Kapazitäts- und Leistungsmanagement (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Kapazitäts- und Leistungsmanagement, die Folgendes betreffen: a) die Ermittlung der Anforderungen an die Kapazität ihrer IKT-Systeme, b) die Anwendung von Methoden zur Ressourcenoptimierung, c) Überwachungsverfahren, um Folgendes aufrechtzuerhalten und zu verbessern: i) die Verfügbarkeit von Daten und IKT-Systemen, ii) die Effizienz der IKT-Systeme, iii) die Verhinderung von IKT-Kapazitätsengpässen. (2) Durch die in Absatz 1 genannten Verfahren für das Kapazitäts- und Leistungsmanagement wird sichergestellt, dass die Finanzunternehmen geeignete Maßnahmen ergreifen, um den Besonderheiten von IKT-Systemen mit langen oder komplexen Beschaffungs- oder Genehmigungsverfahren oder von ressourcenintensiven IKT-Systemen Rechnung zu tragen. Art. 9 Abs. 2 DORA - Schutz und Prävention (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.
Verfahren für das Schwachstellen-Management (Art. 10 Abs. 1 und 2 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)	Art. 10 Abs. 1 und 2 RTS RMF - Schwachstellen- und Patch-Management (1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Schwachstellen-Management. (2) Die in Absatz 1 genannten Verfahren für das Schwachstellen-Management sorgen dafür, dass a) relevante und vertrauenswürdige Informationsressourcen ermittelt und aktualisiert werden, um für Schwachstellen zu sensibilisieren und das Bewusstsein dafür aufrechtzuerhalten, b) die Durchführung automatisierter Schwachstellenbewertungen und -scans bei IKT-Assets gewährleistet und dabei sichergestellt wird, dass deren Häufigkeit und Umfang der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil des IKT-Assets entsprechen, c) überprüft wird, ob i) IKT-Drittdienstleister Schwachstellen angehen, die im Zusammenhang mit den IKT-Dienstleistungen für das Finanzunternehmen stehen, ii) diese Dienstleister dem Finanzunternehmen zumindest die kritischen Schwachstellen und Statistiken und Trends zeitnah melden; d) e) f) nachverfolgt wird, wie Folgendes verwendet wird: i) Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, die für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen genutzt werden, ii) IKT-Dienstleistungen, die das Finanzunternehmen selbst entwickelt hat oder von einem IKT-Drittdienstleister speziell für das Finanzunternehmen angepasst oder entwickelt wurden; Verfahren für die verantwortungsvolle Offenlegung von Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festgelegt werden, die Einführung von Patches und anderen Abhilfemaßnahmen priorisiert wird, um die ermittelten Schwachstellen zu beheben, g) h) die Behebung von Schwachstellen überwacht und geprüft wird, eine Aufzeichnung aller festgestellten Schwachstellen, die IKT-Systeme betreffen, und die Überwachung der Behebung dieser Schwachstellen verlangt werden. Für die Zwecke von Buchstabe b führen die Finanzunternehmen die automatisierten Schwachstellenbewertungen und -scans für IKT-Assets bei IKT-Assets, die kritische oder wichtige Funktionen unterstützen, mindestens einmal wöchentlich durch. Für die Zwecke von Buchstabe c fordern die Finanzunternehmen IKT-Drittdienstleister auf, die einschlägigen Schwachstellen zu untersuchen, die Ursachen zu ermitteln und geeignete Abhilfemaßnahmen zu ergreifen. Für die Zwecke von Buchstabe d überwachen die Finanzunternehmen, gegebenenfalls in Zusammenarbeit mit dem IKT- Drittdienstleister, die aktuelle Version der Bibliotheken Dritter sowie mögliche Aktualisierungen. Was gebrauchsfertige (Standard-)IKT-Assets oder Komponenten von IKT-Assets betrifft, die für die Ausführung von IKT-Dienstleistungen erworben und verwendet werden, die keine kritischen oder wichtigen Funktionen unterstützen, wird die Nutzung von Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, von den Finanzunternehmen soweit wie möglich nachverfolgt. Für die Zwecke von Buchstabe f berücksichtigen die Finanzunternehmen die Kritikalität der Schwachstelle, die im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegte Klassifizierung sowie das Risikoprofil der IKT-Assets, die von den ermittelten Schwachstellen betroffen sind. Art. 9 Abs. 2 DORA - Schutz und Prävention (2) Finanzunternehmen konzipieren, beschaffen und implementieren IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools, die darauf abzielen, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, insbesondere jener zur Unterstützung kritischer oder wichtiger Funktionen, zu gewährleisten und hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.

DORA-Dokumentationsanforderungen