Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 26 Absatz 11 Unterabsatz 4,

in Erwägung nachstehender Gründe:

(1) Diese Verordnung wurde im Einklang mit dem TIBER-EU-Rahmen ausgearbeitet und spiegelt die Methodik, das Verfahren und die Struktur bedrohungsorientierter Penetrationstests (im Folgenden "TLPT") gemäß TIBER-EU wider. Finanzunternehmen, die zur Durchführung von TLPT verpflichtet sind, können sich auf den TIBER-EU-Rahmen oder eine seiner nationalen Umsetzungen beziehen und diesen Rahmen oder die nationale Umsetzung anwenden, sofern dieser Rahmen oder die Umsetzung mit den Anforderungen der Artikel 26 und 27 der Verordnung (EU) 2022/2554 und der vorliegenden Verordnung im Einklang steht. Die Benennung einer einzigen staatlichen Behörde für den Finanzsektor, die auf nationaler Ebene für mit TLPT verbundene Angelegenheiten zuständig ist, gemäß Artikel 26 Absatz 9 der Verordnung (EU) 2022/2554 sollte die auf Unionsebene den zuständigen Behörden übertragene Befugnis für die Beaufsichtigung bestimmter Finanzunternehmen gemäß Artikel 46 der genannten Verordnung unberührt lassen, wie beispielsweise die Zuständigkeit der Europäischen Zentralbank für bedeutende Kreditinstitute für mit TLPT verbundene Angelegenheiten. Werden nur einige mit TLPT verbundene Aufgaben gemäß Artikel 26 Absatz 10 der Verordnung (EU) 2022/2554 einer anderen nationalen Behörde für den Finanzsektor übertragen, so sollte die für das in Artikel 46 der genannten Verordnung genannte Finanzunternehmen zuständige Behörde für die nicht übertragenen mit TLPT verbundenen Aufgaben zuständig bleiben.

(2) Angesichts der Komplexität des TLPT und der damit verbundenen Risiken sollte seine Durchführung auf diejenigen Finanzunternehmen beschränkt werden, bei denen er gerechtfertigt ist. Daher sollten die für mit TLPT verbundenen Angelegenheiten zuständigen Behörden (im Folgenden "TLPT-Behörden") (auf Unions- oder auf nationaler Ebene) Finanzunternehmen vom Anwendungsbereich des TLPT ausnehmen, die in zentralen Finanzdienstleistungsteilsektoren tätig sind und bei denen ein TLPT nicht gerechtfertigt ist. Demnach könnten Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen unter Berücksichtigung einer Gesamtbewertung ihres IKT-Risikoprofils und ihres Reifegrads, ihrer Auswirkungen auf den Finanzsektor und entsprechender Bedenken hinsichtlich der Finanzstabilität von der Pflicht zur Durchführung von TLPT befreit werden, auch wenn sie die quantitativen Kriterien erfüllen.