Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 41 Absatz 2 Unterabsatz 2,

in Erwägung nachstehender Gründe:

(1) Mit dem durch die Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienz im Finanzsektor wird ein Überwachungsrahmen der Union für die gemäß Artikel 31 der genannten Verordnung als kritisch eingestuften Drittdienstleister der Informations- und Kommunikationstechnologie (im Folgenden "IKT-Drittdienstleister") im Finanzsektor eingeführt.

(2) IKT-Drittdienstleister, die sich dafür entscheiden, einen freiwilligen Antrag auf Einstufung als kritisch zu stellen, sollten der betreffenden Europäischen Aufsichtsbehörde (ESA) alle erforderlichen Informationen zum Nachweis ihrer Kritikalität gemäß den in der Verordnung (EU) 2022/2554 festgelegten Grundsätzen und Kriterien zur Verfügung stellen. Aus diesem Grund sollten die in dem freiwilligen Antrag enthaltenen Informationen hinreichend detailliert und vollständig sein, um eine präzise und umfassende Bewertung der Kritikalität gemäß Artikel 31 Absatz 11 der genannten Verordnung zu ermöglichen. Die zuständige ESa sollte unvollständige Anträge ablehnen und die fehlenden Informationen anfordern.

(3) Die rechtliche Identifizierung von IKT-Drittdienstleistern, die in den Anwendungsbereich dieses technischen Regulierungsstandards fallen, sollte der Kennung entsprechen, die in der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen Durchführungsverordnung der Kommission festgelegt ist.

(4) Nachdem die federführende Überwachungsbehörde ihre Empfehlungen an kritische IKT-Drittdienstleister abgegeben hat, sollte sie als Folgemaßnahme deren Einhaltung durch die kritischen IKT-Drittdienstleister überwachen. Im Interesse einer effizienten und wirksamen Überwachung der von den kritischen IKT-Drittdienstleistern im Zusammenhang mit diesen Empfehlungen ergriffenen Maßnahmen oder Abhilfemaßnahmen sollte es der federführenden Überwachungsbehörde möglich sein, die in Artikel 35 Absatz 1 Buchstabe c der Verordnung (EU) 2022/2554 genannten Berichte anzufordern, die als Zwischenberichte über erzielte Fortschritte und Abschlussberichte konzipiert sein sollten.

(5) Für die Zwecke der Bewertung gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2022/2554, wonach die federführende Überwachungsbehörde zu beurteilen hat, ob die von einem kritischen IKT-Drittdienstleister vorgelegte Erklärung ausreichend ist, sollte mit der Mitteilung des kritischen IKT-Drittdienstleisters über seine Absicht, den erhaltenen Empfehlungen Folge zu leisten, eine Beschreibung der Schritte und Maßnahmen, die zur Minderung der in den Empfehlungen dargelegten Risiken ergriffen wurden, einschließlich der entsprechenden Fristen, an die federführende Überwachungsbehörde übermittelt werden. Diese Erklärung sollte in Form eines Plans mit Abhilfemaßnahmen vorgelegt werden.

(6) Da die federführende Überwachungsbehörde die Vereinbarungen der kritischen IKT-Drittdienstleister über die Unterauftragsvergabe bewerten soll, muss eine Vorlage für die Bereitstellung von Informationen über diese Vereinbarungen ausgearbeitet werden. In der Vorlage sollte der Tatsache Rechnung getragen werden, dass kritische IKT-Drittdienstleister anders als Finanzunternehmen strukturiert sind.