DES EUROPÄISCHEN PARLAMENTS UND DES RATES

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,
gestützt auf den Vorschlag der Europäischen Kommission,
nach Übermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
gestützt auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses,
gestützt auf die Stellungnahme des Ausschusses der Regionen,
Er handelt nach dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

vom 14. Dezember 2022

über die digitale operative Widerstandsfähigkeit des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011

(Text mit Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION,

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Übermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme der Europäischen Zentralbank (1), nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (2), gemäß dem ordentlichen Gesetzgebungsverfahren (3), in Erwägung ziehen,

in Erwägung nachstehender Gründe:

(1) Im digitalen Zeitalter unterstützt die Informations- und Kommunikationstechnologie (IKT) komplexe Systeme, die für alltägliche Aktivitäten genutzt werden. Sie hält unsere Volkswirtschaften in Schlüsselsektoren, einschließlich des Finanzsektors, am Laufen und verbessert das Funktionieren des Binnenmarktes. Die zunehmende Digitalisierung und Vernetzung verstärken auch die IKT RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)Dadurch werden die Gesellschaft als Ganzes und das Finanzsystem im Besonderen anfälliger für Cyber-Bedrohungen oder IKT-Störungen. Während die allgegenwärtige Nutzung von IKT-Systemen und die starke Digitalisierung und Konnektivität heute zu den Hauptmerkmalen der Tätigkeit der Finanzinstitute in der Union gehören, muss ihre digitale Widerstandsfähigkeit noch besser berücksichtigt und in ihren breiteren operativen Rahmen integriert werden.

(2) Der Einsatz von IKT hat in den letzten Jahrzehnten eine zentrale Rolle bei der Erbringung von Finanzdienstleistungen gespielt, so dass sie inzwischen für die typischen täglichen Funktionen aller Finanzunternehmen von entscheidender Bedeutung sind. Die Digitalisierung erstreckt sich beispielsweise auf den Zahlungsverkehr, der zunehmend von Bargeld und Papier auf digitale Lösungen umgestellt wird, sowie auf das Clearing und die Abrechnung von Wertpapieren, den elektronischen und algorithmischen Handel, Kredit- und Finanzierungsgeschäfte, Peer-to-Peer-Finanzierung, Kreditwürdigkeitsprüfung, Forderungsmanagement und Back-Office-Tätigkeiten. Auch der Versicherungssektor hat sich durch den Einsatz von IKT verändert, von der Entstehung von Versicherungsvermittlern, die ihre Dienstleistungen online anbieten und mit InsurTech arbeiten, bis hin zum digitalen Underwriting von Versicherungen. Das Finanzwesen ist nicht nur im gesamten Sektor weitgehend digital geworden, sondern die Digitalisierung hat auch die Verflechtungen und Abhängigkeiten innerhalb des Finanzsektors und mit Drittanbietern von Infrastruktur und Dienstleistungen vertieft.

(3) Der Europäische Ausschuss für Systemrisiken (European Systemic Risk Board, ESRB) hat in einem Bericht über systemische Cyberrisiken im Jahr 2020 bekräftigt, dass die bestehende starke Verflechtung von Finanzunternehmen, Finanzmärkten und Finanzmarktinfrastrukturen und insbesondere die gegenseitigen Abhängigkeiten ihrer IKT-Systeme ein systemisches Risiko darstellen könnten SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) weil sich lokalisierte Cyber-Vorfälle schnell von einem der rund 22 000 Finanzunternehmen der Union auf das gesamte Finanzsystem ausbreiten können, ohne dass geografische Grenzen eine Rolle spielen. Schwerwiegende IKT-Verstöße im Finanzsektor betreffen nicht nur isolierte Finanzunternehmen. Sie ebnen auch den Weg für die Ausbreitung örtlich begrenzter Schwachstellen über die finanziellen Übertragungskanäle und können negative Folgen für die Stabilität des Finanzsystems der Union haben, wie z. B. Liquiditätsengpässe und einen allgemeinen Verlust des Vertrauens in die Finanzmärkte.

(4) In den letzten Jahren hat das IKT-Risiko die Aufmerksamkeit der internationalen, europäischen und nationalen politischen Entscheidungsträger, Regulierungsbehörden und StandardStandard Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder ständigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt: (a) "internationale Norm" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) "europäische Norm" eine Norm, die von einer europäischen Normungsorganisation angenommen wurde; c) "harmonisierte Norm" eine europäische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) "nationale Norm" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates.-Gremien in dem Versuch, die digitale Widerstandsfähigkeit zu verbessern, Standards festzulegen und die Regulierungs- und Aufsichtsarbeit zu koordinieren. Auf internationaler Ebene zielen der Basler Ausschuss für Bankenaufsicht, der Ausschuss für Zahlungsverkehr und Marktinfrastrukturen, der Rat für Finanzstabilität, das Institut für Finanzstabilität sowie die G7 und die G20 darauf ab, den zuständigen Behörden und Marktteilnehmern in den verschiedenen Rechtsordnungen Instrumente an die Hand zu geben, um die Widerstandsfähigkeit ihrer Finanzsysteme zu stärken. Diese Arbeit wurde auch durch die Notwendigkeit vorangetrieben, das IKT-Risiko im Kontext eines stark vernetzten globalen Finanzsystems gebührend zu berücksichtigen und eine größere Kohärenz der einschlägigen bewährten Verfahren anzustreben.

(5) Trotz gezielter politischer und gesetzgeberischer Initiativen auf Unionsebene und auf nationaler Ebene stellt das IKT-Risiko nach wie vor eine Herausforderung für die operative Widerstandsfähigkeit, Leistungsfähigkeit und Stabilität des Finanzsystems der Union dar. Die Reformen, die auf die Finanzkrise von 2008 folgten, stärkten in erster Linie die finanzielle Widerstandsfähigkeit des Finanzsektors der Union und zielten darauf ab, die Wettbewerbsfähigkeit und Stabilität der Union aus wirtschaftlicher und aufsichtsrechtlicher Sicht sowie im Hinblick auf das Marktverhalten zu sichern. Obwohl die IKT-Sicherheit und die digitale Widerstandsfähigkeit Teil des operationellen Risikos sind, standen sie weniger im Mittelpunkt der Regulierungsagenda nach der Finanzkrise und wurden nur in einigen Bereichen der Finanzdienstleistungspolitik und der Regulierungslandschaft der Union bzw. nur in einigen wenigen Mitgliedstaaten entwickelt.

(6) In ihrer Mitteilung vom 8. März 2018 mit dem Titel "FinTech-Aktionsplan: Für einen wettbewerbsfähigeren und innovativeren europäischen Finanzsektor" hob die Kommission hervor, dass es von größter Bedeutung ist, den Finanzsektor der Union widerstandsfähiger zu machen, auch in operativer Hinsicht, um seine technologische Sicherheit und sein reibungsloses Funktionieren zu gewährleisten, seine rasche Wiederherstellung nach IKT-Verletzungen und -Vorfällen sicherzustellen und letztlich die wirksame und reibungslose Erbringung von Finanzdienstleistungen in der gesamten Union, auch in Stresssituationen, zu ermöglichen und gleichzeitig das Vertrauen der Verbraucher und des Marktes zu erhalten.

(7) Im April 2019 haben die durch die Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates (4) eingerichtete Europäische Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde) (EBA), die durch die Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (5) eingerichtete Europäische Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) (EIOPA) und die Europäische Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), ("ESMA"), die durch die Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (6) eingerichtet wurde (zusammen als "Europäische Aufsichtsbehörden" oder "ESAs" bezeichnet), haben gemeinsam eine technische Beratung herausgegeben, in der ein kohärenter Ansatz für IKT-Risiken im Finanzbereich gefordert und empfohlen wird, die digitale operative Widerstandsfähigkeit der Finanzdienstleistungsbranche durch eine sektorspezifische Initiative der Union in angemessener Weise zu stärken.

(8) Der Finanzsektor der Union wird durch ein einheitliches Regelwerk reguliert und unterliegt einem europäischen System der Finanzaufsicht. Dennoch sind die Bestimmungen über die digitale operationelle Widerstandsfähigkeit und die IKT-Sicherheit noch nicht vollständig oder durchgängig harmonisiert, obwohl die digitale operationelle Widerstandsfähigkeit für die Gewährleistung der Finanzstabilität und der Marktintegrität im digitalen Zeitalter von entscheidender Bedeutung ist und nicht weniger wichtig ist als z. B. gemeinsame aufsichtsrechtliche oder Marktverhaltensstandards. Das einheitliche Regelwerk und das Aufsichtssystem sollten daher so weiterentwickelt werden, dass sie auch die digitale operationelle Widerstandsfähigkeit abdecken, indem die Mandate der zuständigen Behörden gestärkt werden, damit sie das IKT-Risikomanagement im Finanzsektor überwachen können, um die Integrität und Effizienz des Binnenmarktes zu schützen und sein ordnungsgemäßes Funktionieren zu erleichtern.

(9) Unterschiedliche Rechtsvorschriften und uneinheitliche nationale Regulierungs- oder Aufsichtsansätze in Bezug auf das IKT-Risiko führen zu Hindernissen für das Funktionieren des Binnenmarktes für Finanzdienstleistungen und behindern die reibungslose Ausübung der Niederlassungsfreiheit und die Erbringung von Dienstleistungen für grenzüberschreitend tätige Finanzunternehmen. Auch der Wettbewerb zwischen Finanzunternehmen der gleichen Art, die in verschiedenen Mitgliedstaaten tätig sind, könnte verzerrt werden. Dies gilt insbesondere für Bereiche, in denen die Harmonisierung auf Unionsebene sehr begrenzt ist, wie z. B. bei der Prüfung der digitalen operationellen Belastbarkeit, oder nicht vorhanden ist, wie z. B. bei der Überwachung des IKT-Drittrisikos. Unterschiede, die sich aus den auf nationaler Ebene geplanten Entwicklungen ergeben, könnten weitere Hindernisse für das Funktionieren des Binnenmarkts zum Nachteil der Marktteilnehmer und der Finanzstabilität schaffen.

(10) Da die Bestimmungen über IKT-Risiken bisher nur teilweise auf Unionsebene behandelt wurden, gibt es Lücken oder Überschneidungen in wichtigen Bereichen, wie z.B. bei den IKT-bezogenen VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Berichterstattung und Prüfung der digitalen operationellen Belastbarkeit sowie Unstimmigkeiten infolge sich abzeichnender divergierender nationaler Vorschriften oder einer kostenineffizienten Anwendung sich überschneidender Vorschriften. Dies ist besonders nachteilig für einen IKT-intensiven Nutzer wie den Finanzsektor, da technologische Risiken keine Grenzen kennen und der Finanzsektor seine Dienstleistungen in großem Umfang grenzüberschreitend innerhalb und außerhalb der Union erbringt. Einzelne Finanzunternehmen, die grenzüberschreitend tätig sind oder über mehrere Zulassungen verfügen (z. B. ein Finanzinstitut UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) können eine Zulassung für Banken, Wertpapierfirmen und Zahlungsinstitute haben, die jeweils von einer anderen zuständigen Behörde in einem oder mehreren Mitgliedstaaten erteilt wird), stehen vor operativen Herausforderungen bei der Bewältigung von IKT-Risiken und der Abmilderung negativer Auswirkungen von IKT-Vorfällen auf eigene Faust und auf kohärente, kosteneffiziente Weise.

(11) Da das einheitliche Regelwerk nicht von einem umfassenden IKT- oder Betriebsrisikorahmen begleitet wurde, ist eine weitere Harmonisierung der wichtigsten Anforderungen an die digitale operationelle Widerstandsfähigkeit aller Finanzunternehmen erforderlich. Die Entwicklung von IKT-Kapazitäten und der allgemeinen Widerstandsfähigkeit von Finanzunternehmen auf der Grundlage dieser zentralen Anforderungen im Hinblick auf die Überwindung von Betriebsausfällen würde dazu beitragen, die Stabilität und Integrität der Finanzmärkte in der Union zu erhalten und somit ein hohes Maß an Anleger- und Verbraucherschutz in der Union zu gewährleisten. Da diese Verordnung zum reibungslosen Funktionieren des Binnenmarkts beitragen soll, sollte sie sich auf die Bestimmungen des Artikels 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) in der Auslegung gemäß der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (Gerichtshof) stützen.

(12) Diese Verordnung zielt darauf ab, die Anforderungen an das IKT-Risiko als Teil der Anforderungen an das operationelle Risiko zu konsolidieren und zu verbessern, die bisher in verschiedenen Rechtsakten der Union getrennt behandelt wurden. Diese Rechtsakte deckten zwar die Hauptkategorien des Finanzrisikos ab (z. B. Kreditrisiko, Marktrisiko, Gegenparteiausfallrisiko und Liquiditätsrisiko, Marktverhaltensrisiko), deckten aber zum Zeitpunkt ihrer Annahme nicht alle Komponenten der operationellen Belastbarkeit umfassend ab. Bei der Weiterentwicklung der Vorschriften für das operationelle Risiko in diesen Rechtsakten der Union wurde häufig ein traditioneller quantitativer Risikoansatz bevorzugt (d. h. die Festlegung einer Eigenkapitalanforderung zur Deckung des IKT-Risikos), statt gezielter qualitativer Vorschriften für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorfällen oder für die Berichterstattung und digitale Testmöglichkeiten. Diese Rechtsakte dienten in erster Linie dazu, wesentliche Vorschriften zur Aufsicht, zur Marktintegrität oder zum Verhalten abzudecken und zu aktualisieren. Durch die Konsolidierung und Aktualisierung der verschiedenen Vorschriften zum IKT-Risiko sollten erstmals alle Bestimmungen, die sich mit dem digitalen Risiko im Finanzsektor befassen, auf kohärente Weise in einem einzigen Rechtsakt zusammengeführt werden. Daher schließt diese Verordnung die Lücken oder behebt Unstimmigkeiten in einigen der früheren Rechtsakte, auch in Bezug auf die darin verwendete Terminologie, und bezieht sich ausdrücklich auf IKT-Risiken durch gezielte Vorschriften über IKT-Risikomanagementkapazitäten, Meldung von Vorfällen, Prüfung der operativen Belastbarkeit und Überwachung von IKT-Drittrisiken. Diese Verordnung sollte daher auch das Bewusstsein für IKT-Risiken schärfen und anerkennen, dass IKT-Vorfälle und ein Mangel an operativer Widerstandsfähigkeit die Solidität von Finanzunternehmen gefährden können.

(13) Finanzunternehmen sollten beim Umgang mit IKT-Risiken unter Berücksichtigung ihrer Größe und ihres Gesamtrisikoprofils sowie der Art, des Umfangs und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte denselben Ansatz und dieselben prinzipienbasierten Regeln verfolgen. Eine einheitliche Vorgehensweise trägt dazu bei, das Vertrauen in das Finanzsystem zu stärken und seine Stabilität zu erhalten, insbesondere in Zeiten, in denen eine hohe Abhängigkeit von IKT-Systemen, -Plattformen und -Infrastrukturen besteht, was mit einem erhöhten digitalen Risiko verbunden ist. Die Einhaltung einer grundlegenden Cyber-Hygiene sollte auch verhindern, dass der Wirtschaft hohe Kosten auferlegt werden, indem die Auswirkungen und Kosten von IKT-Störungen minimiert werden.

(14) Eine Verordnung trägt dazu bei, die regulatorische Komplexität zu verringern, die aufsichtliche Konvergenz zu fördern und die Rechtssicherheit zu erhöhen, und sie trägt auch dazu bei, die Befolgungskosten zu begrenzen, insbesondere für grenzüberschreitend tätige Finanzunternehmen, und Wettbewerbsverzerrungen zu verringern. Daher ist die Wahl einer Verordnung zur Schaffung eines gemeinsamen Rahmens für die digitale operationelle Widerstandsfähigkeit von Finanzunternehmen der geeignetste Weg, um eine einheitliche und kohärente Anwendung aller Komponenten des IKT-Risikomanagements durch den Finanzsektor der Union zu gewährleisten.

(15) Die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (7) war die erste horizontale CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; auf Unionsebene erlassener Rahmen, der auch für drei Arten von Finanzunternehmen gilt, nämlich Kreditinstitute, Handelsplätze und zentrale Gegenparteien. Da die Richtlinie (EU) 2016/1148 jedoch einen Mechanismus zur Identifizierung von Betreibern wesentlicher Dienste auf nationaler Ebene vorsieht, wurden in der Praxis nur bestimmte Kreditinstitute, Handelsplätze und zentrale Gegenparteien, die von den Mitgliedstaaten identifiziert wurden, in den Anwendungsbereich der Richtlinie aufgenommen und müssen daher die in der Richtlinie festgelegten Anforderungen an die IKT-Sicherheit und die Meldung von Vorfällen erfüllen. Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (8) legt ein einheitliches Kriterium für die Bestimmung der Unternehmen fest, die in den Anwendungsbereich der Richtlinie fallen (Größenkappungsregel), wobei die drei Arten von Finanzunternehmen ebenfalls in den Anwendungsbereich der Richtlinie fallen.

(16) Da diese Verordnung jedoch den Grad der Harmonisierung der verschiedenen Komponenten der digitalen Widerstandsfähigkeit erhöht, indem sie Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-bezogenen Vorfällen einführt, die im Vergleich zu den im geltenden Finanzdienstleistungsrecht der Union festgelegten Anforderungen strenger sind, stellt dieses höhere Niveau auch im Vergleich zu den in der Richtlinie (EU) 2022/2555 festgelegten Anforderungen eine stärkere Harmonisierung dar. Folglich stellt diese Verordnung lex specialis im Hinblick auf die Richtlinie (EU) 2022/2555 dar. Gleichzeitig ist es von entscheidender Bedeutung, eine enge Beziehung zwischen dem Finanzsektor und dem horizontalen Cybersicherheitsrahmen der Union, wie er derzeit in der Richtlinie (EU) 2022/2555 festgelegt ist, aufrechtzuerhalten, um die Kohärenz mit den von den Mitgliedstaaten angenommenen Cybersicherheitsstrategien zu gewährleisten und es den Finanzaufsichtsbehörden zu ermöglichen, von Cybervorfällen Kenntnis zu erlangen, die andere unter diese Richtlinie fallende Sektoren betreffen.

(17) Gemäß Artikel 4 Absatz 2 des Vertrags über die Europäische Union und unbeschadet der gerichtlichen Überprüfung durch den Gerichtshof sollte diese Verordnung die Zuständigkeit der Mitgliedstaaten in Bezug auf wesentliche staatliche Aufgaben im Bereich der öffentlichen Sicherheit, der Verteidigung und des Schutzes der nationalen Sicherheit, z. B. in Bezug auf die Weitergabe von Informationen, die dem Schutz der nationalen Sicherheit zuwiderlaufen würden, nicht berühren.

(18) Um sektorübergreifendes Lernen zu ermöglichen und die Erfahrungen anderer Sektoren bei der Bewältigung von Cyberbedrohungen wirksam zu nutzen, sollten die in der Richtlinie (EU) 2022/2555 genannten Finanzinstitute Teil des "Ökosystems" der genannten Richtlinie bleiben (z. B. Kooperationsgruppe und Computer Security Incident Response Teams (CSIRTs)) Die ESAs und die zuständigen nationalen Behörden sollten in der Lage sein, an den strategischen Grundsatzdiskussionen und den technischen Arbeiten der Kooperationsgruppe im Rahmen der genannten Richtlinie teilzunehmen und Informationen auszutauschen und weiter mit den gemäß der genannten Richtlinie benannten oder eingerichteten einheitlichen Ansprechpartnern zusammenzuarbeiten. Die im Rahmen dieser Verordnung zuständigen Behörden sollten auch die CSIRTs konsultieren und mit ihnen zusammenarbeiten. Die zuständigen Behörden sollten auch in der Lage sein, die gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden um fachliche Beratung zu ersuchen und Kooperationsvereinbarungen zu treffen, um wirksame und reaktionsschnelle Koordinierungsmechanismen zu gewährleisten.

(19) Da die digitale Widerstandsfähigkeit und die physische Widerstandsfähigkeit von Finanzunternehmen eng miteinander verknüpft sind, ist in dieser Verordnung und in der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates (9) ein kohärenter Ansatz in Bezug auf die Widerstandsfähigkeit kritischer Unternehmen erforderlich. Da die physische Widerstandsfähigkeit von Finanzunternehmen durch die in dieser Verordnung geregelten IKT-Risikomanagement- und Berichterstattungspflichten umfassend behandelt wird, sollten die in den Kapiteln III und IV der Richtlinie (EU) 2022/2557 festgelegten Pflichten nicht für Finanzunternehmen gelten, die in den Anwendungsbereich jener Richtlinie fallen.

(20) Cloud Computing-DienstCloud Computing-Dienst Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter sind eine Kategorie digitaler Infrastrukturen, die unter die Richtlinie (EU) 2022/2555 fallen. Der mit dieser Verordnung geschaffene Aufsichtsrahmen der Union ("Aufsichtsrahmen") gilt für alle kritischen IKT-Drittdienstleister, einschließlich Cloud-Computing-Dienstleister, die IKT-Dienste für Finanzunternehmen erbringen, und sollte als Ergänzung zu der gemäß der Richtlinie (EU) 2022/2555 durchgeführten Aufsicht betrachtet werden. Darüber hinaus sollte der mit dieser Verordnung geschaffene Aufsichtsrahmen für Anbieter von Cloud-Computing-Diensten gelten, wenn es keinen horizontalen Rahmen der Union zur Einrichtung einer digitalen Aufsichtsbehörde gibt.

(21) Um die IKT-Risiken vollständig unter Kontrolle zu halten, müssen die Finanzunternehmen über umfassende Kapazitäten für ein starkes und wirksames IKT-Risikomanagement sowie über spezifische Mechanismen und Strategien für den Umgang mit allen IKT-bezogenen Vorfällen und für die Meldung größerer IKT-bezogener Vorfälle verfügen. Ebenso sollten die Finanzunternehmen über Strategien für die Prüfung von IKT-Systemen, -Kontrollen und -Prozessen sowie für das Management von IKT-Drittrisiken verfügen. Die Grundanforderungen an die digitale operative Widerstandsfähigkeit von Finanzunternehmen sollten erhöht werden, wobei auch eine verhältnismäßige Anwendung der Anforderungen für bestimmte Finanzunternehmen, insbesondere Kleinstunternehmen, sowie für Finanzunternehmen, die einem vereinfachten IKT-Risikomanagementrahmen unterliegen, möglich sein sollte. Zur Erleichterung einer effizienten Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung, die verhältnismäßig ist und der Notwendigkeit einer Verringerung des Verwaltungsaufwands für die zuständigen Behörden Rechnung trägt, sollten die einschlägigen nationalen Aufsichtsregelungen in Bezug auf solche Finanzunternehmen deren Größe und Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte berücksichtigen, auch wenn die in Artikel 5 der Richtlinie (EU) 2016/2341 des Europäischen Parlaments und des Rates (10) festgelegten einschlägigen Schwellenwerte überschritten werden. Insbesondere sollte sich die Aufsichtstätigkeit in erster Linie auf die Notwendigkeit konzentrieren, schwerwiegende Risiken im Zusammenhang mit dem IKT-Risikomanagement eines bestimmten Unternehmens anzugehen.

Die zuständigen Behörden sollten auch bei der Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung, die gemäß Artikel 31 der Richtlinie (EU) 2016/2341 einen wesentlichen Teil ihres Kerngeschäfts, wie Vermögensverwaltung, versicherungsmathematische Berechnungen, Rechnungslegung und Datenmanagement, an Dienstleister auslagern, einen wachsamen, aber verhältnismäßigen Ansatz verfolgen.

(22) Die Schwellenwerte und Taxonomien für die Meldung von IKT-Vorfällen unterscheiden sich auf nationaler Ebene erheblich. Auch wenn durch die einschlägigen Arbeiten der durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates (11) eingerichteten Agentur der Europäischen Union für Cybersicherheit (ENISA) und der Kooperationsgruppe gemäß der Richtlinie (EU) 2022/2555 eine gemeinsame Grundlage geschaffen werden kann, bestehen für die übrigen Finanzunternehmen nach wie vor unterschiedliche Ansätze bei der Festlegung der Schwellenwerte und der Verwendung von Taxonomien bzw. können diese entstehen. Aufgrund dieser Unterschiede müssen Finanzunternehmen eine Vielzahl von Anforderungen erfüllen, insbesondere wenn sie in mehreren Mitgliedstaaten tätig sind und zu einer Finanzgruppe gehören. Darüber hinaus können solche Unterschiede die Schaffung weiterer einheitlicher oder zentralisierter Unionsmechanismen behindern, die den Meldeprozess beschleunigen und einen schnellen und reibungslosen Informationsaustausch zwischen den zuständigen Behörden unterstützen, der für die Bewältigung des IKT-Risikos im Falle groß angelegter Angriffe mit potenziell systemischen Folgen von entscheidender Bedeutung ist.

(23) Um den Verwaltungsaufwand und potenziell doppelte Meldepflichten für bestimmte Finanzunternehmen zu verringern, sollte die Verpflichtung zur Meldung von Vorfällen gemäß der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates (12) nicht mehr für Zahlungsdienstleister gelten, die in den Anwendungsbereich dieser Verordnung fallen. Folglich sollten Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der genannten Richtlinie ab dem Datum der Anwendung dieser Verordnung alle operationellen oder sicherheitsrelevanten Zahlungsvorfälle, die zuvor gemäß der genannten Richtlinie gemeldet wurden, gemäß dieser Verordnung melden, unabhängig davon, ob diese Vorfälle IKT-bezogen sind.

(24) Um die zuständigen Behörden in die Lage zu versetzen, ihre Aufsichtsaufgaben zu erfüllen, indem sie sich einen vollständigen Überblick über Art, Häufigkeit, Bedeutung und Auswirkungen von IKT-Vorfällen verschaffen, und um den Informationsaustausch zwischen den einschlägigen Behörden, einschließlich der Strafverfolgungs- und Abwicklungsbehörden, zu verbessern, sollte in dieser Verordnung eine solide Regelung für die Meldung von IKT-Vorfällen festgelegt werden, wobei die einschlägigen Anforderungen die derzeitigen Lücken im Finanzdienstleistungsrecht schließen und bestehende Überschneidungen und Doppelarbeit beseitigen, um die Kosten zu verringern. Es ist von grundlegender Bedeutung, die Regelung für die Meldung von IKT-Vorfällen zu harmonisieren, indem alle Finanzunternehmen verpflichtet werden, ihren zuständigen Behörden über einen einzigen, gestrafften Rahmen zu berichten, wie in dieser Verordnung dargelegt. Darüber hinaus sollten die ESA die Befugnis erhalten, weitere relevante Elemente des Rahmens für die Meldung von IKT-Vorfällen festzulegen, wie z. B. Taxonomie, Zeitrahmen, Datensätze, Vorlagen und geltende Schwellenwerte. Um die vollständige Übereinstimmung mit der Richtlinie (EU) 2022/2555 zu gewährleisten, sollte es Finanzunternehmen gestattet sein, der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen zu melden, wenn sie der Auffassung sind, dass die Cyber-BedrohungCyber-Bedrohung bezeichnet alle potenziellen Umstände, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen beschädigen, stören oder anderweitig beeinträchtigen könnten - Definition gemäß Artikel 2 Nummer 8 der Verordnung (EU) 2019/881 für das Finanzsystem, die Dienstleistungsnutzer oder die Kunden von Bedeutung ist.

(25) In bestimmten Teilsektoren des Finanzsektors wurden Anforderungen für die Prüfung der digitalen Ausfallsicherheit entwickelt, deren Rahmen nicht immer vollständig aufeinander abgestimmt sind. Dies führt zu einer potenziellen Verdoppelung der Kosten für grenzüberschreitend tätige Finanzunternehmen und macht die gegenseitige Anerkennung der Ergebnisse von Prüfungen der digitalen operationellen Belastbarkeit kompliziert, was wiederum zu einer Fragmentierung des Binnenmarkts führen kann.

(26) Wenn keine IKT-Tests vorgeschrieben sind, bleiben außerdem Schwachstellen unentdeckt und führen dazu, dass ein Finanzunternehmen einem IKT-Risiko ausgesetzt wird, was letztlich ein höheres Risiko für die Stabilität und Integrität des Finanzsektors darstellt. Ohne ein Eingreifen der Union wären die Tests zur digitalen operativen Belastbarkeit weiterhin uneinheitlich und es würde ein System der gegenseitigen Anerkennung der IKT-Testergebnisse in den verschiedenen Rechtsordnungen fehlen. Da es zudem unwahrscheinlich ist, dass andere Teilsektoren des Finanzsektors Testsysteme in nennenswertem Umfang einführen würden, würden sie die potenziellen Vorteile eines Testrahmens nicht nutzen, was die Aufdeckung von IKT-Schwachstellen und -Risiken sowie die Prüfung der Verteidigungsfähigkeiten und der Geschäftskontinuität angeht, die zur Stärkung des Vertrauens von Kunden, Lieferanten und Geschäftspartnern beitragen. Um diese Überschneidungen, Abweichungen und Lücken zu beseitigen, ist es notwendig, Regeln für ein koordiniertes Testsystem festzulegen und dadurch die gegenseitige Anerkennung fortgeschrittener Tests für Finanzunternehmen zu erleichtern, die die in dieser Verordnung festgelegten Kriterien erfüllen.

(27) Die Abhängigkeit der Finanzunternehmen von der Nutzung von IKT-Diensten ist zum Teil darauf zurückzuführen, dass sie sich an eine aufkommende wettbewerbsfähige digitale globale Wirtschaft anpassen, ihre Geschäftseffizienz steigern und die Nachfrage der Verbraucher befriedigen müssen. Art und Umfang dieses Rückgriffs haben sich in den letzten Jahren ständig weiterentwickelt, was zu Kostensenkungen bei der Finanzintermediation, zur Geschäftsausweitung und zur Skalierbarkeit beim Einsatz von Finanztätigkeiten geführt hat, während gleichzeitig eine breite Palette von IKT-Werkzeugen zur Verwaltung komplexer interner Prozesse angeboten wird.

(28) Die umfassende Inanspruchnahme von IKT-Dienstleistungen zeigt sich in komplexen vertraglichen Vereinbarungen, bei denen Finanzunternehmen häufig Schwierigkeiten haben, Vertragsbedingungen auszuhandeln, die auf die Aufsichtsstandards oder andere regulatorische Anforderungen, denen sie unterliegen, zugeschnitten sind, oder bestimmte Rechte wie Zugangs- oder Prüfungsrechte durchzusetzen, selbst wenn diese in ihren vertraglichen Vereinbarungen verankert sind. Darüber hinaus sehen viele dieser vertraglichen Vereinbarungen keine ausreichenden Sicherheitsvorkehrungen vor, die eine umfassende Überwachung der Prozesse der Unterauftragsvergabe ermöglichen, so dass das Finanzinstitut nicht in der Lage ist, die damit verbundenen Risiken zu bewerten. Da IKT-Drittdienstleister häufig standardisierte Dienstleistungen für verschiedene Arten von Kunden erbringen, werden solche vertraglichen Vereinbarungen zudem nicht immer angemessen auf die individuellen oder spezifischen Bedürfnisse der Akteure der Finanzbranche abgestimmt.

(29) Auch wenn das Finanzdienstleistungsrecht der Union bestimmte allgemeine Regeln für das Outsourcing enthält, ist die Überwachung der vertraglichen Dimension nicht vollständig im Unionsrecht verankert. In Ermangelung klarer und maßgeschneiderter Unionsnormen für die mit IKT-Drittanbietern geschlossenen vertraglichen Vereinbarungen wird die externe Quelle von IKT-Risiken nicht umfassend behandelt. Folglich ist es notwendig, bestimmte Grundprinzipien für das Management des IKT-Drittrisikos durch Finanzunternehmen festzulegen, die von besonderer Bedeutung sind, wenn Finanzunternehmen zur Unterstützung ihrer kritischen oder wichtigen Funktionen auf IKT-Drittdienstleister zurückgreifen. Diese Grundsätze sollten durch eine Reihe grundlegender vertraglicher Rechte in Bezug auf verschiedene Elemente bei der Erfüllung und Beendigung vertraglicher Vereinbarungen ergänzt werden, um bestimmte Mindestgarantien zu bieten, damit die Finanzunternehmen besser in der Lage sind, alle IKT-Risiken, die auf der Ebene von Drittdienstleistern entstehen, wirksam zu überwachen. Diese Grundsätze ergänzen das für die Auslagerung geltende sektorale Recht.

(30) Derzeit ist ein gewisser Mangel an Homogenität und Konvergenz bei der Überwachung des IKT-Drittrisikos und der IKT-Drittabhängigkeiten festzustellen. Trotz der Bemühungen, das Thema Auslagerung anzugehen, wie z. B. die EBA-Leitlinien zur Auslagerung von 2019 und die ESMA-Leitlinien zur Auslagerung an Cloud-Dienstleister von 2021, wird die umfassendere Frage der Bekämpfung des Systemrisikos, das durch die Exposition des Finanzsektors gegenüber einer begrenzten Anzahl kritischer IKT-Drittdienstleister ausgelöst werden kann, im Unionsrecht nicht ausreichend behandelt. Das Fehlen von Vorschriften auf Unionsebene wird durch das Fehlen nationaler Vorschriften für Mandate und Instrumente verschärft, die es den Finanzaufsichtsbehörden ermöglichen, ein gutes Verständnis der IKT-Drittanbieterabhängigkeiten zu erlangen und die Risiken, die sich aus der Konzentration von IKT-Drittanbieterabhängigkeiten ergeben, angemessen zu überwachen.

(31) In Anbetracht des potenziellen Systemrisikos, das sich aus den zunehmenden Auslagerungspraktiken und der Konzentration von IKT-Drittanbietern ergibt, und in Anbetracht der Tatsache, dass die nationalen Mechanismen den Finanzaufsichtsbehörden nur unzureichende Instrumente zur Quantifizierung, Qualifizierung und Behebung der Folgen von IKT-Risiken bei kritischen IKT-Drittanbietern an die Hand geben, muss ein geeigneter Aufsichtsrahmen geschaffen werden, der eine kontinuierliche Überwachung der Tätigkeiten von IKT-Drittanbietern ermöglicht, die für Finanzunternehmen kritische IKT-Drittanbieter sind, und gleichzeitig gewährleistet, dass die Vertraulichkeit und Sicherheit von Kunden, die keine Finanzunternehmen sind, gewahrt wird. Die gruppeninterne Erbringung von IKT-Dienstleistungen ist zwar mit spezifischen Risiken und Vorteilen verbunden, sollte aber nicht automatisch als weniger risikoreich angesehen werden als die Erbringung von IKT-Dienstleistungen durch Anbieter außerhalb einer Finanzgruppe und sollte daher demselben Regulierungsrahmen unterliegen. Werden IKT-Dienstleistungen jedoch innerhalb derselben Finanzgruppe erbracht, haben die Finanzunternehmen möglicherweise eine stärkere Kontrolle über die gruppeninternen Anbieter, was bei der Gesamtrisikobewertung berücksichtigt werden sollte.

(32) Da die IKT-Risiken immer komplexer und ausgefeilter werden, hängen gute Maßnahmen zur Erkennung und Verhütung von IKT-Risiken in hohem Maße davon ab, dass die Finanzinstitute regelmäßig Informationen über Bedrohungen und Schwachstellen austauschen. Der Informationsaustausch trägt dazu bei, das Bewusstsein für Cyber-Bedrohungen zu schärfen. Dies wiederum verbessert die Fähigkeit der Finanzinstitute, zu verhindern, dass sich Cyber-Bedrohungen zu echten IKT-bezogenen Vorfällen entwickeln, und ermöglicht es den Finanzinstituten, die Auswirkungen von IKT-bezogenen Vorfällen wirksamer einzudämmen und sich schneller zu erholen. In Ermangelung von Leitlinien auf Unionsebene scheinen mehrere Faktoren einen solchen Informationsaustausch zu behindern, insbesondere die Unsicherheit über seine Vereinbarkeit mit Datenschutz-, Kartell- und Haftungsvorschriften.

(33) Darüber hinaus führen Zweifel an der Art der Informationen, die mit anderen Marktteilnehmern oder mit Nicht-Aufsichtsbehörden (wie der ENISA für analytische Zwecke oder Europol für Strafverfolgungszwecke) ausgetauscht werden können, dazu, dass nützliche Informationen zurückgehalten werden. Aus diesem Grund sind Umfang und Qualität des Informationsaustauschs derzeit noch begrenzt und fragmentiert, wobei der relevante Austausch zumeist auf lokaler Ebene (durch nationale Initiativen) erfolgt und es keine kohärenten unionsweiten Regelungen für den Informationsaustausch gibt, die auf die Bedürfnisse eines integrierten Finanzsystems zugeschnitten sind. Es ist daher wichtig, diese Kommunikationskanäle zu stärken.

(34) Die Finanzunternehmen sollten ermutigt werden, untereinander Informationen und Erkenntnisse über Cyber-Bedrohungen auszutauschen und ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, um ihre Fähigkeiten zur angemessenen Bewertung, Überwachung, Abwehr von und Reaktion auf Cyber-Bedrohungen zu verbessern, indem sie sich an Vereinbarungen über den Informationsaustausch beteiligen. Daher müssen auf Unionsebene Mechanismen für freiwillige Vereinbarungen zum Informationsaustausch geschaffen werden, die, wenn sie in einem vertrauenswürdigen Umfeld durchgeführt werden, der Finanzbranche dabei helfen würden, Cyber-Bedrohungen vorzubeugen und gemeinsam auf sie zu reagieren, indem sie die Ausbreitung von IKT-Risiken rasch begrenzen und eine mögliche Ansteckung über die Finanzkanäle verhindern. Diese Mechanismen sollten mit den geltenden wettbewerbsrechtlichen Vorschriften der Union, die in der Mitteilung der Kommission vom 14. Januar 2011 mit dem Titel "Leitlinien zur Anwendbarkeit von Artikel 101 des Vertrags über die Arbeitsweise der Europäischen Union auf Vereinbarungen über horizontale Zusammenarbeit" dargelegt sind, sowie mit den Datenschutzvorschriften der Union, insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (13), in Einklang stehen. Sie sollten auf der Grundlage einer oder mehrerer der in Artikel 6 der genannten Verordnung festgelegten Rechtsgrundlagen erfolgen, wie etwa im Zusammenhang mit der Verarbeitung personenbezogener Daten, die zur Wahrung des berechtigten Interesses des für die Verarbeitung Verantwortlichen oder eines Dritten gemäß Artikel 6 Absatz 1 Buchstabe f der genannten Verordnung erforderlich ist, sowie im Rahmen der Verarbeitung personenbezogener Daten, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt, oder die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde, wie in Artikel 6 Absatz 1 Buchstaben c und e der genannten Verordnung vorgesehen.

(35) Um ein hohes Maß an digitaler operativer Widerstandsfähigkeit für den gesamten Finanzsektor aufrechtzuerhalten und gleichzeitig mit den technologischen Entwicklungen Schritt zu halten, sollte diese Verordnung auf Risiken eingehen, die sich aus allen Arten von IKT-Diensten ergeben. Zu diesem Zweck sollte die Definition von IKT-Dienstleistungen im Rahmen dieser Verordnung weit gefasst werden und digitale und datentechnische Dienstleistungen umfassen, die über IKT-Systeme für einen oder mehrere interne oder externe Nutzer fortlaufend erbracht werden. Diese Definition sollte beispielsweise so genannte "Over-the-Top"-Dienste einschließen, die unter die Kategorie der elektronischen Kommunikationsdienste fallen. Sie sollte nur die begrenzte Kategorie der herkömmlichen analogen Telefondienste ausschließen, die als Public Switched Telephone Network (PSTN)-Dienste, Festnetzdienste, Plain Old Telephone Service (POTS) oder Festnetztelefondienste bezeichnet werden.

(36) Ungeachtet des in dieser Verordnung vorgesehenen breiten Geltungsbereichs sollte bei der Anwendung der Vorschriften für die digitale operative Belastbarkeit den erheblichen Unterschieden zwischen den Finanzunternehmen in Bezug auf ihre Größe und ihr Gesamtrisikoprofil Rechnung getragen werden. Grundsätzlich sollten die Finanzunternehmen bei der Verteilung der Ressourcen und Kapazitäten für die Umsetzung des IKT-Risikomanagementrahmens ihren IKT-bezogenen Bedarf mit ihrer Größe und ihrem Gesamtrisikoprofil sowie mit der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte in Einklang bringen, während die zuständigen Behörden den Ansatz für diese Verteilung weiterhin bewerten und überprüfen sollten.

(37) Die in Artikel 33 Absatz 1 der Richtlinie (EU) 2015/2366 genannten Anbieter von Kontoinformationsdiensten sind ausdrücklich in den Anwendungsbereich dieser Verordnung einbezogen, wobei die besondere Art ihrer Tätigkeiten und die daraus resultierenden Risiken berücksichtigt werden. Darüber hinaus werden E-Geld-Institute und Zahlungsinstitute, die gemäß Artikel 9 Absatz 1 der Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates (14) und Artikel 32 Absatz 1 der Richtlinie (EU) 2015/2366 ausgenommen sind, in den Anwendungsbereich dieser Verordnung aufgenommen, auch wenn sie keine Zulassung gemäß der Richtlinie 2009/110/EG zur Ausgabe von E-Geld oder keine Zulassung gemäß der Richtlinie (EU) 2015/2366 zur Erbringung und Ausführung von Zahlungsdiensten erhalten haben. Postscheckämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates (15) sind jedoch vom Anwendungsbereich dieser Verordnung ausgenommen. Die zuständige Behörde für Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgenommen sind, für E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgenommen sind, und für Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der Richtlinie (EU) 2015/2366 sollte die gemäß Artikel 22 der Richtlinie (EU) 2015/2366 benannte zuständige Behörde sein.

(38) Da größere Finanzunternehmen möglicherweise über umfangreichere Ressourcen verfügen und rasch Mittel für die Entwicklung von Governance-Strukturen und die Einführung verschiedener Unternehmensstrategien einsetzen können, sollten nur Finanzunternehmen, die keine Kleinstunternehmen im Sinne dieser Verordnung sind, verpflichtet werden, komplexere Governance-Regelungen einzuführen. Solche Unternehmen sind insbesondere besser in der Lage, spezielle Managementfunktionen für die Überwachung von Vereinbarungen mit IKT-Drittanbietern oder für das Krisenmanagement einzurichten, ihr IKT-Risikomanagement nach dem Modell der drei Verteidigungslinien zu organisieren oder ein internes Risikomanagement- und Kontrollmodell einzurichten und ihren IKT-Risikomanagementrahmen internen Prüfungen zu unterziehen.

(39) Für einige Finanzunternehmen gelten Ausnahmeregelungen oder sie unterliegen einem sehr lockeren Regulierungsrahmen im Rahmen des einschlägigen sektorspezifischen Unionsrechts. Zu diesen Finanzunternehmen gehören Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU des Europäischen Parlaments und des Rates (16), Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates (17) und Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt nicht mehr als 15 Versorgungsanwärtern betreiben. In Anbetracht dieser Ausnahmen wäre es nicht verhältnismäßig, solche Finanzunternehmen in den Anwendungsbereich dieser Verordnung aufzunehmen. Darüber hinaus trägt diese Verordnung den Besonderheiten der Struktur des Marktes für Versicherungsvermittlung Rechnung, so dass Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler mit Hilfsfunktion, die als Kleinstunternehmen oder als kleine oder mittlere Unternehmen eingestuft werden, nicht unter diese Verordnung fallen sollten.

(40) Da die in Artikel 2 Absatz 5 Nummern 4 bis 23 der Richtlinie 2013/36/EU genannten Einrichtungen vom Anwendungsbereich der genannten Richtlinie ausgenommen sind, sollten die Mitgliedstaaten folglich die Möglichkeit haben, solche Einrichtungen, die in ihrem jeweiligen Hoheitsgebiet ansässig sind, von der Anwendung dieser Verordnung auszunehmen.

(41) Um diese Verordnung an den Anwendungsbereich der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates (18) anzugleichen, ist es ebenfalls angebracht, die in den Artikeln 2 und 3 jener Richtlinie genannten natürlichen und juristischen Personen, die Wertpapierdienstleistungen erbringen dürfen, ohne eine Zulassung gemäß der Richtlinie 2014/65/EU einholen zu müssen, vom Anwendungsbereich dieser Verordnung auszunehmen. Artikel 2 der Richtlinie 2014/65/EU schließt jedoch auch Einrichtungen vom Anwendungsbereich der genannten Richtlinie aus, die für die Zwecke dieser Verordnung als Finanzinstitute gelten, wie etwa Zentralverwahrer, Organismen für gemeinsame Anlagen oder Versicherungs- und Rückversicherungsunternehmen. Der Ausschluss der in den Artikeln 2 und 3 der genannten Richtlinie genannten Personen und Einrichtungen vom Anwendungsbereich dieser Verordnung sollte diese Zentralverwahrer, Organismen für gemeinsame Anlagen oder Versicherungs- und Rückversicherungsunternehmen nicht einschließen.

(42) Nach dem sektorspezifischen Unionsrecht gelten für einige Finanzunternehmen aus Gründen, die mit ihrer Größe oder den von ihnen erbrachten Dienstleistungen zusammenhängen, weniger strenge Anforderungen oder Ausnahmen. Zu dieser Kategorie von Finanzunternehmen gehören kleine und nicht miteinander verbundene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung, die unter den in Artikel 5 der Richtlinie (EU) 2016/2341 festgelegten Bedingungen von dem betreffenden Mitgliedstaat vom Anwendungsbereich dieser Richtlinie ausgenommen werden können und Altersversorgungssysteme betreiben, die insgesamt nicht mehr als 100 Versorgungsanwärter haben, sowie Einrichtungen, die gemäß der Richtlinie 2013/36/EU ausgenommen sind. Daher ist es im Einklang mit dem Grundsatz der Verhältnismäßigkeit und zur Wahrung des Geistes des sektorspezifischen Unionsrechts angemessen, auch diese Finanzunternehmen einem vereinfachten IKT-Risikomanagementrahmen im Rahmen dieser Verordnung zu unterwerfen. Der verhältnismäßige Charakter des IKT-Risikomanagementrahmens für diese Finanzunternehmen sollte durch die von den ESA zu entwickelnden technischen Regulierungsstandards nicht verändert werden. Darüber hinaus ist es im Einklang mit dem Grundsatz der Verhältnismäßigkeit angemessen, auch Zahlungsinstitute im Sinne von Artikel 32 Absatz 1 der Richtlinie (EU) 2015/2366 und E-Geld-Institute im Sinne von Artikel 9 der Richtlinie 2009/110/EG, die gemäß den nationalen Rechtsvorschriften zur Umsetzung dieser Rechtsakte der Union ausgenommen sind, einem vereinfachten Rahmen für das IKT-Risikomanagement gemäß dieser Verordnung zu unterwerfen, während Zahlungsinstitute und E-Geld-Institute, die nicht gemäß ihren jeweiligen nationalen Rechtsvorschriften zur Umsetzung des sektoralen Unionsrechts ausgenommen wurden, den allgemeinen Rahmen dieser Verordnung einhalten sollten.

(43) Ebenso sollten Finanzunternehmen, die als Kleinstunternehmen gelten oder dem vereinfachten Rahmen für das IKT-Risikomanagement gemäß dieser Verordnung unterliegen, nicht verpflichtet sein, eine Funktion zur Überwachung ihrer mit IKT-Drittanbietern getroffenen Vereinbarungen über die Nutzung von IKT-Dienstleistungen einzurichten oder ein Mitglied der Geschäftsleitung zu benennen, das für die Überwachung des damit verbundenen Risikos und der einschlägigen Dokumentation verantwortlich ist; die Verantwortung für das Management und die Überwachung der IKT-Risiken einer Kontrollfunktion zu übertragen und ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicherzustellen, um Interessenkonflikte zu vermeiden; den IKT-Risikomanagement-Rahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen; den IKT-Risikomanagement-Rahmen regelmäßig der Innenrevision zu unterziehen; nach größeren Änderungen in ihrem Unternehmen eingehende Bewertungen durchzuführen Netzwerk und InformationssystemNetzwerk und Informationssystem (a) ein elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2018/1972; b) ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, von denen eines oder mehrere nach einem Programm eine automatische Verarbeitung digitaler Daten durchführen; oder c) digitale Daten, die von den unter den Buchstaben a und b erfassten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) IKT-Infrastrukturen und -Prozesse; regelmäßige Durchführung von Risikoanalysen für IKT-Altsysteme; Überprüfung der Umsetzung der IKT-Reaktions- und Wiederherstellungspläne durch unabhängige interne Prüfer; Einrichtung einer Krisenmanagementfunktion, Ausweitung der Tests von Betriebskontinuitäts-, Reaktions- und Wiederherstellungsplänen zur Erfassung von Umschaltszenarien zwischen der primären IKT-Infrastruktur und redundanten Einrichtungen; Übermittlung einer Schätzung der jährlichen Gesamtkosten und -verluste, die durch größere IKT-bezogene Vorfälle verursacht werden, an die zuständigen Behörden auf deren Anfrage; Aufrechterhaltung redundanter IKT-Kapazitäten; den zuständigen nationalen Behörden die Änderungen mitzuteilen, die sie im Anschluss an Überprüfungen von IKT-bezogenen Vorfällen vorgenommen haben; relevante technologische Entwicklungen kontinuierlich zu überwachen, ein umfassendes Programm zur Prüfung der digitalen operativen Belastbarkeit als integralen Bestandteil des in dieser Verordnung vorgesehenen Rahmens für das IKT-Risikomanagement einzurichten oder eine Strategie für IKT-Drittrisiken festzulegen und regelmäßig zu überprüfen. Darüber hinaus sollten Kleinstunternehmen nur verpflichtet sein, die Notwendigkeit der Aufrechterhaltung solcher redundanter IKT-Kapazitäten auf der Grundlage ihres Risikoprofils zu bewerten. Kleinstunternehmen sollten von einer flexibleren Regelung in Bezug auf Testprogramme für die digitale operative Belastbarkeit profitieren. Bei der Prüfung der Art und Häufigkeit der durchzuführenden Tests sollten sie das Ziel der Aufrechterhaltung einer hohen digitalen Betriebsresilienz, die verfügbaren Ressourcen und ihr Gesamtrisikoprofil angemessen abwägen. Kleinstunternehmen und Finanzunternehmen, die dem vereinfachten Rahmen für das IKT-Risikomanagement gemäß dieser Verordnung unterliegen, sollten von der Verpflichtung ausgenommen werden, fortgeschrittene Tests von IKT-Werkzeugen, -Systemen und -Verfahren auf der Grundlage von bedrohungsorientierten Penetrationstests (TLPT) durchzuführen, da nur Finanzunternehmen, die die in dieser Verordnung festgelegten Kriterien erfüllen, zur Durchführung solcher Tests verpflichtet sein sollten. In Anbetracht ihrer begrenzten Fähigkeiten sollten Kleinstunternehmen mit dem IKT-Drittdienstleister vereinbaren können, die Rechte des Finanzunternehmens auf Zugang, Inspektion und Prüfung an einen vom IKT-Drittdienstleister zu benennenden unabhängigen Dritten zu delegieren, vorausgesetzt, das Finanzunternehmen kann jederzeit alle relevanten Informationen und Zusicherungen über die Leistung des IKT-Drittdienstleisters von dem jeweiligen unabhängigen Dritten verlangen.

(44) Da nur diejenigen Finanzunternehmen, die für die Zwecke der fortgeschrittenen digitalen Resilienztests ermittelt wurden, zur Durchführung bedrohungsorientierter Penetrationstests verpflichtet werden sollten, sollten die mit der Durchführung solcher Tests verbundenen Verwaltungsverfahren und finanziellen Kosten von einem kleinen Prozentsatz der Finanzunternehmen getragen werden.

(45) Um eine vollständige Angleichung und Gesamtkohärenz zwischen den Geschäftsstrategien der Finanzunternehmen einerseits und der Durchführung des IKT-Risikomanagements andererseits zu gewährleisten, sollte von den Leitungsorganen der Finanzunternehmen verlangt werden, dass sie eine zentrale und aktive Rolle bei der Steuerung und Anpassung des IKT-Risikomanagementrahmens und der Gesamtstrategie für die digitale operationelle Resilienz spielen. Der von den Leitungsorganen zu verfolgende Ansatz sollte sich nicht nur auf die Mittel zur Gewährleistung der Widerstandsfähigkeit der IKT-Systeme konzentrieren, sondern auch Menschen und Prozesse durch eine Reihe von Maßnahmen einbeziehen, die auf jeder Unternehmensebene und bei allen Mitarbeitern ein starkes Bewusstsein für Cyber-Risiken und eine Verpflichtung zur Einhaltung einer strengen Cyber-Hygiene auf allen Ebenen fördern. Die letztendliche Verantwortung des Leitungsorgans für das IKT-Risikomanagement eines Finanzunternehmens sollte ein übergreifender Grundsatz dieses umfassenden Ansatzes sein, der sich auch in der kontinuierlichen Beteiligung des Leitungsorgans an der Kontrolle der Überwachung des IKT-Risikomanagements niederschlägt.

(46) Darüber hinaus geht der Grundsatz der uneingeschränkten und letztendlichen Verantwortung des Leitungsorgans für das Management des IKT-Risikos des Finanzunternehmens mit der Notwendigkeit einher, ein Niveau an IKT-bezogenen Investitionen und ein Gesamtbudget für das Finanzunternehmen sicherzustellen, das es dem Finanzunternehmen ermöglicht, ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

(47) Auf der Grundlage einschlägiger internationaler, nationaler und branchenspezifischer bewährter Praktiken, Leitlinien, Empfehlungen und Ansätze für das Management von Cyberrisiken fördert diese Verordnung eine Reihe von Grundsätzen, die die Gesamtstruktur des IKT-Risikomanagements erleichtern. Solange die von den Finanzinstituten eingerichteten Hauptkapazitäten den verschiedenen Funktionen des IKT-Risikomanagements (Identifizierung, Schutz und Prävention, Aufdeckung, Reaktion und Wiederherstellung, Lernen und Weiterentwicklung sowie Kommunikation) gemäß dieser Verordnung entsprechen, sollte es den Finanzinstituten folglich freistehen, IKT-Risikomanagementmodelle zu verwenden, die anders gestaltet oder kategorisiert sind.

(48) Um mit der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft Schritt zu halten, sollten die Finanzunternehmen aktualisierte IKT-Systeme unterhalten, die zuverlässig und fähig sind, nicht nur die Verarbeitung der für ihre Dienstleistungen erforderlichen Daten zu gewährleisten, sondern auch eine ausreichende technologische Widerstandsfähigkeit sicherzustellen, damit sie mit zusätzlichem Verarbeitungsbedarf aufgrund angespannter Marktbedingungen oder anderer widriger Umstände angemessen umgehen können.

(49) Effiziente Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung des Betriebs sind notwendig, damit Finanzunternehmen IKT-bezogene Vorfälle, insbesondere Cyberangriffe, umgehend und schnell beheben können, indem sie den Schaden begrenzen und der Wiederaufnahme der Tätigkeiten und den Wiederherstellungsmaßnahmen im Einklang mit ihren Sicherungsstrategien Vorrang einräumen. Eine solche Wiederaufnahme sollte jedoch in keiner Weise die Integrität und Sicherheit des Netzes und der Informationssysteme oder die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten gefährden.

(50) Diese Verordnung erlaubt es den Finanzunternehmen zwar, ihre Ziele für die Wiederherstellungszeit und den Wiederherstellungspunkt flexibel zu bestimmen und diese Ziele unter voller Berücksichtigung der Art und der Kritikalität der betreffenden Funktionen und etwaiger spezifischer geschäftlicher Erfordernisse festzulegen, sie sollte sie jedoch verpflichten, bei der Festlegung dieser Ziele eine Bewertung der potenziellen Gesamtauswirkungen auf die Markteffizienz vorzunehmen.

(51) Die Verursacher von Cyberangriffen streben in der Regel nach finanziellen Gewinnen direkt an der Quelle und setzen damit Finanzunternehmen erheblichen Konsequenzen aus. Um zu verhindern, dass IKT-Systeme ihre Integrität verlieren oder nicht mehr verfügbar sind, und um somit Datenschutzverletzungen und Schäden an der physischen IKT-Infrastruktur zu vermeiden, sollte die Meldung größerer IKT-bezogener Vorfälle durch Finanzunternehmen erheblich verbessert und gestrafft werden. Die Meldung von IKT-Vorfällen sollte harmonisiert werden, indem für alle Finanzunternehmen die Verpflichtung eingeführt wird, direkt an die jeweils zuständigen Behörden zu berichten. Unterliegt ein Finanzunternehmen der Aufsicht durch mehr als eine zuständige nationale Behörde, sollten die Mitgliedstaaten eine einzige zuständige Behörde als Adressaten für diese Meldungen benennen. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 des Rates (19) als bedeutend eingestuft werden, sollten diese Meldungen an die nationalen zuständigen Behörden übermitteln, die sie anschließend an die Europäische Zentralbank (EZB) weiterleiten sollten.

(52) Die direkte Berichterstattung sollte es den Finanzaufsichtsbehörden ermöglichen, sofortigen Zugang zu Informationen über größere IKT-bezogene Vorfälle zu erhalten. Die Finanzaufsichtsbehörden sollten ihrerseits Einzelheiten über größere IKT-Vorfälle an öffentliche Behörden außerhalb des Finanzsektors weitergeben (z. B. an die zuständigen Behörden und die einheitlichen Ansprechpartner gemäß der Richtlinie (EU) 2022/2555, an die nationalen Datenschutzbehörden und an die Strafverfolgungsbehörden bei größeren IKT-Vorfällen strafrechtlicher Natur), um diese Behörden besser für solche Vorfälle zu sensibilisieren und - im Falle von CSIRTs - die unverzügliche Unterstützung von Finanzunternehmen zu erleichtern. Die Mitgliedstaaten sollten darüber hinaus festlegen können, dass Finanzunternehmen selbst solche Informationen an Behörden außerhalb des Finanzdienstleistungsbereichs weitergeben sollten. Diese Informationsflüsse sollten es den Finanzunternehmen ermöglichen, rasch von allen relevanten technischen Beiträgen, Ratschlägen zu Abhilfemaßnahmen und anschließenden Folgemaßnahmen dieser Behörden zu profitieren. Die Informationen über größere IKT-bezogene Vorfälle sollten gegenseitig kanalisiert werden: Die Finanzaufsichtsbehörden sollten dem Finanzunternehmen alle notwendigen Rückmeldungen oder Hinweise geben, während die ESAs anonymisierte Daten über Cyber-Bedrohungen und -Schwachstellen im Zusammenhang mit einem Vorfall austauschen sollten, um eine umfassendere kollektive Verteidigung zu unterstützen.

(53) Zwar sollten alle Finanzunternehmen zur Meldung von Vorfällen verpflichtet sein, doch dürfte diese Anforderung nicht alle in gleicher Weise betreffen. Tatsächlich sollten die einschlägigen Wesentlichkeitsschwellen sowie die Meldefristen im Rahmen von delegierten Rechtsakten auf der Grundlage der von den ESA zu entwickelnden technischen Regulierungsstandards gebührend angepasst werden, um nur größere IKT-bezogene Vorfälle zu erfassen. Darüber hinaus sollten die Besonderheiten von Finanzunternehmen bei der Festlegung von Fristen für die Meldepflichten berücksichtigt werden.

(54) Diese Verordnung sollte Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute verpflichten, alle operationellen oder sicherheitsrelevanten Vorfälle im Zahlungsverkehr - die zuvor gemäß der Richtlinie (EU) 2015/2366 gemeldet wurden - zu melden, unabhängig von der Art des Vorfalls im Bereich der IKT.

(55) Die ESA sollten damit beauftragt werden, die Durchführbarkeit und die Bedingungen für eine mögliche Zentralisierung der Meldungen von IKT-Vorfällen auf Unionsebene zu prüfen. Eine solche Zentralisierung könnte darin bestehen, dass eine einzige EU-Drehscheibe für die Meldung größerer IKT-bezogener Vorfälle entweder direkt einschlägige Meldungen entgegennimmt und die zuständigen nationalen Behörden automatisch benachrichtigt oder aber die von den zuständigen nationalen Behörden übermittelten einschlägigen Meldungen lediglich zentralisiert und damit eine Koordinierungsfunktion erfüllt. Die ESA sollten damit beauftragt werden, in Absprache mit der EZB und der ENISA einen gemeinsamen Bericht zu erstellen, in dem die Durchführbarkeit der Einrichtung eines einzigen EU-Zentrums untersucht wird.

(56) Um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen, sollten die Finanzunternehmen im Einklang mit den einschlägigen internationalen Standards (z. B. den G7-Grundelementen für bedrohungsgesteuerte Penetrationstests) und den in der Union angewandten Rahmenwerken wie TIBER-EU ihre IKT-Systeme und Mitarbeiter mit IKT-bezogenen Zuständigkeiten regelmäßig auf die Wirksamkeit ihrer Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten testen, um potenzielle IKT-Schwachstellen aufzudecken und zu beseitigen. Um den Unterschieden Rechnung zu tragen, die zwischen und innerhalb der verschiedenen Teilsektoren des Finanzsektors in Bezug auf den Stand der Vorbereitungen der Finanzunternehmen auf dem Gebiet der Cybersicherheit bestehen, sollten die Tests eine breite Palette von Instrumenten und Maßnahmen umfassen, die von der Bewertung grundlegender Anforderungen (z. B. Bewertungen von Schwachstellen und Scans, Open-Source-Analysen, Bewertungen der Netzsicherheit, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scannen von Softwarelösungen, Überprüfungen des Quellcodes, wo dies möglich ist, szenariobasierte Tests, Kompatibilitätstests, Leistungstests oder End-to-End-Tests) bis hin zu fortgeschritteneren Tests mit Hilfe von TLPT reichen. Solche fortgeschrittenen Tests sollten nur von Finanzunternehmen verlangt werden, die aus IKT-Sicht reif genug sind, um sie vernünftig durchführen zu können. Die in dieser Verordnung geforderten Tests der digitalen operationellen Belastbarkeit sollten daher für diejenigen Finanzunternehmen, die die in dieser Verordnung festgelegten Kriterien erfüllen (z. B. große, systemrelevante und IKT-reife Kreditinstitute, Börsen, Zentralverwahrer und zentrale Gegenparteien), anspruchsvoller sein als für andere Finanzunternehmen. Gleichzeitig sollte die Prüfung der digitalen operationellen Belastbarkeit mittels TLPT für Finanzunternehmen, die in zentralen Teilsektoren des Finanzdienstleistungssektors tätig sind und eine systemische Rolle spielen (z. B. Zahlungsverkehr, Banken sowie Clearing und Abrechnung), relevanter sein und für andere Teilsektoren (z. B. Vermögensverwalter und Ratingagenturen) weniger relevant.

(57) Finanzunternehmen, die grenzüberschreitend tätig sind und von der Niederlassungsfreiheit oder der Dienstleistungsfreiheit in der Union Gebrauch machen, sollten in ihrem Herkunftsmitgliedstaat ein einziges Paket fortgeschrittener Testanforderungen (d. h. TLPT) erfüllen, das die IKT-Infrastrukturen in allen Rechtsordnungen, in denen die grenzüberschreitend tätige Finanzgruppe in der Union tätig ist, einschließen sollte, so dass solchen grenzüberschreitend tätigen Finanzgruppen die damit verbundenen IKT-Testkosten nur in einer Rechtsordnung entstehen.

(58) Um das von bestimmten zuständigen Behörden bereits erworbene Fachwissen zu nutzen, insbesondere im Hinblick auf die Umsetzung des TIBER-EU-Rahmens, sollte diese Verordnung den Mitgliedstaaten die Möglichkeit geben, eine einzige Behörde zu benennen, die im Finanzsektor auf nationaler Ebene für alle TLPT-Angelegenheiten zuständig ist, oder zuständige Behörden, die in Ermangelung einer solchen Benennung die Wahrnehmung von Aufgaben im Zusammenhang mit dem TLPT an eine andere zuständige nationale Finanzbehörde delegieren können.

(59) Da diese Verordnung den Finanzunternehmen nicht vorschreibt, alle kritischen oder wichtigen Funktionen in einem einzigen bedrohungsorientierten Penetrationstest abzudecken, sollte es den Finanzunternehmen freistehen zu bestimmen, welche und wie viele kritische oder wichtige Funktionen in den Umfang eines solchen Tests einbezogen werden sollen.

(60) Pooltests im Sinne dieser Verordnung - die die Teilnahme mehrerer Finanzinstitute an einem TLPT beinhalten und für die ein IKT-Drittdienstleister direkt vertragliche Vereinbarungen mit einem externen Tester treffen kann - sollten nur dann zulässig sein, wenn die Qualität oder Sicherheit der Dienstleistungen, die der IKT-Drittdienstleister für Kunden erbringt, bei denen es sich um Unternehmen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen, oder die Vertraulichkeit der mit diesen Dienstleistungen verbundenen Daten voraussichtlich beeinträchtigt werden. Für Pooltests sollten auch Schutzmaßnahmen gelten (Leitung durch ein benanntes Finanzinstitut, Kalibrierung der Anzahl der teilnehmenden Finanzinstitute), um für die beteiligten Finanzinstitute ein strenges Testverfahren zu gewährleisten, das den Zielen des TLPT gemäß dieser Verordnung entspricht.

(61) Um die auf Unternehmensebene verfügbaren internen Ressourcen zu nutzen, sollte diese Verordnung den Einsatz interner Tester für die Durchführung von TLPT erlauben, vorausgesetzt, es liegt eine aufsichtliche Genehmigung vor, es bestehen keine Interessenkonflikte und der Einsatz interner und externer Tester wechselt regelmäßig (alle drei Tests), wobei der Anbieter der Bedrohungsdaten im TLPT stets ein Externer des Finanzunternehmens sein muss. Die Verantwortung für die Durchführung des TLPT sollte vollständig bei der Finanzinstitution verbleiben. Die von den Behörden ausgestellten Bescheinigungen sollten ausschließlich der gegenseitigen Anerkennung dienen und keine Folgemaßnahmen ausschließen, die erforderlich sind, um das IKT-Risiko, dem das Finanzinstitut ausgesetzt ist, zu bewältigen, noch sollten sie als aufsichtliche Bestätigung der IKT-Risikomanagement- und -minderungsfähigkeiten eines Finanzinstituts angesehen werden.

(62) Um eine solide Überwachung des IKT-Drittrisikos im Finanzsektor zu gewährleisten, ist es erforderlich, eine Reihe prinzipiengestützter Regeln festzulegen, die den Finanzunternehmen als Richtschnur für die Überwachung des Risikos dienen, das sich im Zusammenhang mit Funktionen ergibt, die an IKT-Drittdienstleister ausgelagert werden, insbesondere bei IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, sowie generell im Zusammenhang mit allen IKT-Drittabhängigkeiten.

(63) Um der Komplexität der verschiedenen IKT-Risikoquellen gerecht zu werden und gleichzeitig der Vielzahl und Vielfalt der Anbieter technologischer Lösungen, die eine reibungslose Erbringung von Finanzdienstleistungen ermöglichen, Rechnung zu tragen, sollte diese Verordnung ein breites Spektrum von IKT-Drittanbietern abdecken, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Anbietern von Rechenzentrumsdienstleistungen. Da die Finanzunternehmen alle Arten von Risiken wirksam und kohärent ermitteln und steuern sollten, auch im Zusammenhang mit IKT-Dienstleistungen, die innerhalb einer Finanzgruppe beschafft werden, sollte klargestellt werden, dass Unternehmen, die Teil einer Finanzgruppe sind und IKT-Dienstleistungen überwiegend für ihr Mutterunternehmen oder für Tochterunternehmen oder Zweigniederlassungen ihres Mutterunternehmens erbringen, sowie Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne dieser Verordnung gelten sollten. Schließlich sollten in Anbetracht des sich entwickelnden Zahlungsdienstemarktes, der zunehmend von komplexen technischen Lösungen abhängt, und angesichts neu entstehender Arten von Zahlungsdiensten und zahlungsbezogener Lösungen auch die Teilnehmer des Ökosystems der Zahlungsdienste, die Zahlungsverarbeitungstätigkeiten erbringen oder Zahlungsinfrastrukturen betreiben, als IKT-Drittdienstleister im Sinne dieser Verordnung gelten, mit Ausnahme von Zentralbanken, wenn sie Zahlungs- oder Wertpapierabwicklungssysteme betreiben, und von Behörden, wenn sie IKT-bezogene Dienste im Rahmen der Erfüllung staatlicher Aufgaben erbringen.

(64) Ein Finanzunternehmen sollte jederzeit in vollem Umfang für die Einhaltung seiner in dieser Verordnung festgelegten Verpflichtungen verantwortlich sein. Die Finanzunternehmen sollten bei der Überwachung von Risiken, die auf der Ebene der IKT-Drittdienstleister entstehen, einen angemessenen Ansatz verfolgen, indem sie die Art, den Umfang, die Komplexität und die Bedeutung ihrer IKT-bezogenen Abhängigkeiten, die Kritikalität oder die Bedeutung der Dienstleistungen, Prozesse oder Funktionen, die Gegenstand der vertraglichen Vereinbarungen sind, gebührend berücksichtigen und letztlich auf der Grundlage einer sorgfältigen Bewertung aller potenziellen Auswirkungen auf die Kontinuität und Qualität der Finanzdienstleistungen auf Einzel- und gegebenenfalls auf Gruppenebene vorgehen.

(65) Die Durchführung einer solchen Überwachung sollte einem strategischen Ansatz für das IKT-Drittrisiko folgen, der durch die Annahme einer speziellen IKT-Drittrisikostrategie durch das Leitungsorgan des Finanzinstituts formalisiert wird und auf einer kontinuierlichen Überprüfung aller IKT-Drittabhängigkeiten beruht. Um das Bewusstsein der Aufsichtsbehörden für IKT-Abhängigkeiten von Dritten zu schärfen und um die Arbeit im Kontext des durch diese Verordnung geschaffenen Aufsichtsrahmens weiter zu unterstützen, sollten alle Finanzunternehmen verpflichtet werden, ein Informationsregister mit allen vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die von IKT-Drittanbietern erbracht werden, zu führen. Die Finanzaufsichtsbehörden sollten in der Lage sein, das vollständige Register oder bestimmte Abschnitte davon anzufordern und so wesentliche Informationen zu erhalten, um ein umfassenderes Verständnis der IKT-Abhängigkeiten von Finanzunternehmen zu erlangen.

(66) Dem förmlichen Abschluss vertraglicher Vereinbarungen sollte eine gründliche Analyse vor Vertragsabschluss vorausgehen, die sich insbesondere auf Elemente wie die Kritikalität oder Bedeutung der durch den geplanten IKT-Vertrag unterstützten Dienstleistungen, die erforderlichen aufsichtsrechtlichen Genehmigungen oder sonstigen Bedingungen, das mögliche Konzentrationsrisiko sowie die Anwendung der gebotenen Sorgfalt bei der Auswahl und Bewertung von IKT-Drittdienstleistern und die Bewertung potenzieller Interessenkonflikte konzentriert. Bei vertraglichen Vereinbarungen, die kritische oder wichtige Funktionen betreffen, sollten die Finanzunternehmen darauf achten, dass die IKT-Drittdienstleister die neuesten und höchsten Informationssicherheitsstandards anwenden. Die Beendigung vertraglicher Vereinbarungen könnte zumindest durch eine Reihe von Umständen veranlasst werden, die auf Defizite auf der Ebene des IKT-Drittdienstleisters hinweisen, insbesondere auf erhebliche Verstöße gegen Gesetze oder Vertragsbedingungen, auf Umstände, die eine potenzielle Änderung der Erfüllung der in den vertraglichen Vereinbarungen vorgesehenen Funktionen erkennen lassen, auf Anzeichen für Schwächen des IKT-Drittdienstleisters in seinem allgemeinen IKT-Risikomanagement oder auf Umstände, die darauf hindeuten, dass die jeweils zuständige Behörde nicht in der Lage ist, das Finanzinstitut wirksam zu beaufsichtigen.

(67) Um den systemischen Auswirkungen des Konzentrationsrisikos bei IKT-Drittanbietern entgegenzuwirken, fördert diese Verordnung eine ausgewogene Lösung, indem sie einen flexiblen und schrittweisen Ansatz für dieses Konzentrationsrisiko vorsieht, da die Auferlegung starrer Obergrenzen oder strenger Beschränkungen die Geschäftstätigkeit behindern und die Vertragsfreiheit einschränken könnte. Die Finanzunternehmen sollten ihre geplanten vertraglichen Vereinbarungen gründlich prüfen, um die Wahrscheinlichkeit des Auftretens eines solchen Risikos zu ermitteln, unter anderem durch eingehende Analysen von Unterauftragsvereinbarungen, insbesondere wenn diese mit in einem Drittland ansässigen IKT-Drittdienstleistern geschlossen werden. Zum gegenwärtigen Zeitpunkt und im Hinblick auf ein angemessenes Gleichgewicht zwischen dem Gebot der Wahrung der Vertragsfreiheit und dem der Gewährleistung der Finanzstabilität wird es nicht als angemessen erachtet, Regeln für strenge Obergrenzen und Begrenzungen für IKT-Drittrisiken festzulegen. Im Zusammenhang mit dem Aufsichtsrahmen sollte ein gemäß dieser Verordnung ernannter federführender Überwacher in Bezug auf kritische IKT-Drittdienstleister besonders darauf achten, das Ausmaß der Interdependenzen vollständig zu erfassen, spezifische Fälle zu ermitteln, in denen ein hoher Konzentrationsgrad kritischer IKT-Drittdienstleister in der Union die Stabilität und Integrität des Finanzsystems der Union gefährden könnte, und einen Dialog mit kritischen IKT-Drittdienstleistern zu führen, wenn ein solches spezifisches Risiko festgestellt wird.

(68) Um die Fähigkeit eines IKT-Drittdienstleisters zur sicheren Erbringung von Dienstleistungen für ein Finanzinstitut ohne nachteilige Auswirkungen auf die digitale Belastbarkeit des Finanzinstituts regelmäßig zu bewerten und zu überwachen, sollten mehrere wesentliche Vertragselemente mit IKT-Drittdienstleistern harmonisiert werden. Eine solche Harmonisierung sollte Mindestbereiche abdecken, die für eine umfassende Überwachung der Risiken, die von dem IKT-Drittdienstleister ausgehen könnten, durch das Finanzinstitut entscheidend sind, und zwar unter dem Gesichtspunkt, dass ein Finanzinstitut seine digitale Widerstandsfähigkeit sicherstellen muss, da es in hohem Maße von der Stabilität, Funktionalität, Verfügbarkeit und Sicherheit der erhaltenen IKT-Dienstleistungen abhängig ist.

(69) Bei der Neuaushandlung vertraglicher Vereinbarungen zur Angleichung an die Anforderungen dieser Verordnung sollten Finanzunternehmen und IKT-Drittdienstleister sicherstellen, dass die wichtigsten Vertragsbestimmungen dieser Verordnung abgedeckt sind.

(70) Die in dieser Verordnung enthaltene Definition der "kritischen oder wichtigen Funktion" umfasst die "kritischen Funktionen" im Sinne von Artikel 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU des Europäischen Parlaments und des Rates (20). Dementsprechend sind Funktionen, die gemäß der Richtlinie 2014/59/EU als kritisch gelten, in der Definition der kritischen Funktionen im Sinne dieser Verordnung enthalten.

(71) Unabhängig von der Kritikalität oder Bedeutung der von den IKT-Dienstleistungen unterstützten Funktion sollten die vertraglichen Vereinbarungen insbesondere eine vollständige Beschreibung der Funktionen und Dienstleistungen, der Orte, an denen diese Funktionen erbracht werden und an denen Daten verarbeitet werden sollen, sowie eine Beschreibung der Leistungsstufen vorsehen. Weitere wesentliche Elemente, die es einem Finanzinstitut ermöglichen, das IKT-Drittparteirisiko zu überwachen, sind: Vertragsbestimmungen, in denen festgelegt wird, wie der IKT-Drittdienstleister die Zugänglichkeit, die Verfügbarkeit, die Integrität, die Sicherheit und den Schutz personenbezogener Daten gewährleistet, Bestimmungen, in denen die entsprechenden Garantien für den Zugang, die Wiederherstellung und die Rückgabe von Daten im Falle der Insolvenz, der Auflösung oder der Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters festgelegt sind, sowie Bestimmungen, die den IKT-Drittdienstleister verpflichten, bei IKT-Störungen im Zusammenhang mit den erbrachten Dienstleistungen Hilfe zu leisten, und zwar ohne zusätzliche Kosten oder zu im Voraus festgelegten Kosten; Bestimmungen über die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit mit den zuständigen Behörden und den Abwicklungsbehörden des Finanzunternehmens; und Bestimmungen über Kündigungsrechte und entsprechende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen, die den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden entsprechen.

(72) Zusätzlich zu diesen vertraglichen Bestimmungen und um sicherzustellen, dass die Finanzunternehmen die volle Kontrolle über alle Entwicklungen auf der Ebene Dritter behalten, die ihre IKT-Sicherheit beeinträchtigen könnten, sollten die Verträge über die Erbringung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auch Folgendes vorsehen die Spezifizierung der vollständigen Leistungsbeschreibungen mit präzisen quantitativen und qualitativen Leistungszielen, um ohne unangemessene Verzögerung angemessene Korrekturmaßnahmen zu ermöglichen, wenn die vereinbarten Leistungsniveaus nicht erreicht werden; die entsprechenden Mitteilungsfristen und Berichterstattungspflichten des IKT-Drittdienstleisters im Falle von Entwicklungen mit potenziell wesentlichen Auswirkungen auf die Fähigkeit des IKT-Drittdienstleisters, seine jeweiligen IKT-Dienstleistungen wirksam zu erbringen; eine Anforderung an den IKT-Drittdienstleister, Notfallpläne für den Geschäftsbetrieb umzusetzen und zu testen sowie über IKT-Sicherheitsmaßnahmen, -instrumente und -strategien zu verfügen, die eine sichere Erbringung von Dienstleistungen ermöglichen, und sich an dem vom Finanzinstitut durchgeführten TLPT zu beteiligen und uneingeschränkt mitzuarbeiten.

(73) Verträge über die Erbringung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, sollten auch Bestimmungen enthalten, die das Recht auf Zugang, Inspektion und Prüfung durch das Finanzinstitut oder einen beauftragten Dritten sowie das Recht, Kopien anzufertigen, als entscheidende Instrumente für die laufende Überwachung der Leistung des IKT-Drittdienstleisters durch das Finanzinstitut vorsehen, verbunden mit der uneingeschränkten Zusammenarbeit des Dienstleisters bei Inspektionen. Ebenso sollte die zuständige Behörde des Finanzinstituts das Recht haben, den IKT-Drittdienstleister auf der Grundlage von Mitteilungen zu inspizieren und zu prüfen, wobei der Schutz vertraulicher Informationen zu gewährleisten ist.

(74) Solche vertraglichen Vereinbarungen sollten auch spezielle Ausstiegsstrategien vorsehen, um insbesondere verbindliche Übergangsfristen zu ermöglichen, während derer IKT-Drittdienstleister die betreffenden Dienstleistungen weiterhin erbringen sollten, um das Risiko von Störungen auf der Ebene des Finanzinstituts zu verringern, oder um dem Finanzinstitut die Möglichkeit zu geben, tatsächlich auf andere IKT-Drittdienstleister umzusteigen oder alternativ zu internen Lösungen überzugehen, die der Komplexität der erbrachten Dienstleistungen entsprechen IKT-DienstleistungIKT-Dienstleistung bezeichnet eine Dienstleistung, die ganz oder überwiegend in der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht - Definition gemäß Artikel 2 Nummer 13 der Verordnung (EU) 2019/881. Darüber hinaus sollten Finanzunternehmen, die in den Anwendungsbereich der Richtlinie 2014/59/EU fallen, sicherstellen, dass die einschlägigen Verträge über IKT-Dienstleistungen robust und im Falle einer Abwicklung dieser Finanzunternehmen vollständig durchsetzbar sind. Im Einklang mit den Erwartungen der Abwicklungsbehörden sollten diese Finanzunternehmen daher sicherstellen, dass die einschlägigen Verträge für IKT-Dienstleistungen abwicklungssicher sind. Solange sie ihren Zahlungsverpflichtungen nachkommen, sollten diese Finanzinstitute unter anderem sicherstellen, dass die einschlägigen Verträge für IKT-Dienstleistungen Klauseln enthalten, die eine Kündigung, eine Aussetzung oder eine Änderung aufgrund einer Umstrukturierung oder Abwicklung ausschließen.

(75) Darüber hinaus könnte die freiwillige Verwendung von Standardvertragsklauseln, die von Behörden oder Unionsorganen entwickelt wurden, insbesondere die Verwendung von Vertragsklauseln, die von der Kommission für Cloud-Computing-Dienste entwickelt wurden, den Finanzunternehmen und IKT-Drittdienstleistern weiteren Komfort bieten, indem sie ihr Maß an Rechtssicherheit in Bezug auf die Nutzung von Cloud-Computing-Diensten im Finanzsektor in voller Übereinstimmung mit den im Unionsrecht für Finanzdienstleistungen festgelegten Anforderungen und Erwartungen erhöht. Die Entwicklung von Standardvertragsklauseln baut auf Maßnahmen auf, die bereits im Fintech-Aktionsplan 2018 vorgesehen sind, in dem die Kommission ihre Absicht ankündigte, die Entwicklung von Standardvertragsklauseln für die Nutzung von Cloud-Computing-Diensten, die von Finanzunternehmen ausgelagert werden, zu fördern und zu erleichtern, wobei sie sich auf die sektorübergreifenden Bemühungen der Interessenträger von Cloud-Computing-Diensten stützt, die die Kommission mit Hilfe der Beteiligung des Finanzsektors erleichtert hat.

(76) Um die Konvergenz und die Effizienz der Aufsichtsansätze beim Umgang mit dem IKT-Drittrisiko im Finanzsektor zu fördern und die digitale operationelle Widerstandsfähigkeit von Finanzunternehmen zu stärken, die bei der Erbringung von IKT-Dienstleistungen, die die Erbringung von Finanzdienstleistungen unterstützen, auf kritische IKT-Drittdienstleister angewiesen sind, und damit zur Wahrung der Stabilität des Finanzsystems der Union und der Integrität des Binnenmarkts für Finanzdienstleistungen beizutragen, sollten kritische IKT-Drittdienstleister einem Aufsichtsrahmen der Union unterliegen. Die Einrichtung des Aufsichtsrahmens ist zwar durch den Mehrwert eines Tätigwerdens auf Unionsebene und durch die inhärente Rolle und die Besonderheiten der Nutzung von IKT-Dienstleistungen bei der Erbringung von Finanzdienstleistungen gerechtfertigt, doch sollte gleichzeitig daran erinnert werden, dass diese Lösung nur im Zusammenhang mit dieser Verordnung geeignet erscheint, die sich speziell mit der digitalen operationellen Widerstandsfähigkeit im Finanzsektor befasst. Ein solcher Aufsichtsrahmen sollte jedoch nicht als neues Modell für die Aufsicht der Union in anderen Bereichen der Finanzdienstleistungen und -tätigkeiten angesehen werden.

(77) Der Überwachungsrahmen sollte nur für kritische IKT-Drittdienstleister gelten. Daher sollte es einen Benennungsmechanismus geben, der dem Ausmaß und der Art der Abhängigkeit des Finanzsektors von solchen IKT-Drittdienstleistern Rechnung trägt. Dieser Mechanismus sollte eine Reihe quantitativer und qualitativer Kriterien zur Festlegung der Kritikalitätsparameter als Grundlage für die Aufnahme in den Aufsichtsrahmen umfassen. Um die Genauigkeit dieser Bewertung zu gewährleisten, sollten diese Kriterien, unabhängig von der Unternehmensstruktur des IKT-Drittdienstleisters, im Falle eines IKT-Drittdienstleisters, der Teil eines größeren Konzerns ist, die gesamte Konzernstruktur des IKT-Drittdienstleisters berücksichtigen. Einerseits sollten kritische IKT-Drittdienstleister, die nicht automatisch aufgrund der Anwendung dieser Kriterien benannt werden, die Möglichkeit haben, sich dem Überwachungsrahmen auf freiwilliger Basis anzuschließen, andererseits sollten IKT-Drittdienstleister, die bereits einem Überwachungsmechanismus unterliegen, der die Erfüllung der Aufgaben des Europäischen Systems der Zentralbanken gemäß Artikel 127 Absatz 2 AEUV unterstützt, ausgenommen werden.

(78) In ähnlicher Weise sollten Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, zwar zur Kategorie der IKT-Drittdienstleister im Sinne dieser Verordnung gehören, aber ebenfalls vom Aufsichtsrahmen ausgenommen werden, da sie bereits den durch das einschlägige Finanzdienstleistungsrecht der Union festgelegten Aufsichtsmechanismen unterliegen. Gegebenenfalls sollten die zuständigen Behörden im Rahmen ihrer Aufsichtstätigkeit dem IKT-Risiko Rechnung tragen, das Finanzunternehmen, die IKT-Dienstleistungen erbringen, für Finanzunternehmen darstellen. Aufgrund der bestehenden Risikoüberwachungsmechanismen auf Gruppenebene sollte dieselbe Ausnahmeregelung auch für IKT-Drittdienstleister eingeführt werden, die ihre Dienstleistungen überwiegend für die Unternehmen ihrer eigenen Gruppe erbringen. IKT-Drittdienstleister, die IKT-Dienstleistungen ausschließlich in einem Mitgliedstaat für Finanzunternehmen erbringen, die nur in diesem Mitgliedstaat tätig sind, sollten aufgrund ihrer begrenzten Tätigkeiten und der fehlenden grenzüberschreitenden Auswirkungen ebenfalls von dem Benennungsverfahren ausgenommen werden.

(79) Der digitale Wandel bei den Finanzdienstleistungen hat zu einer beispiellosen Nutzung von und Abhängigkeit von IKT-Diensten geführt. Da die Erbringung von Finanzdienstleistungen ohne die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Diensten undenkbar geworden ist, ist das Finanzökosystem der Union von bestimmten IKT-Diensten, die von IKT-Dienstleistern erbracht werden, untrennbar mit abhängig geworden. Einige dieser Anbieter, die bei der Entwicklung und Anwendung IKT-gestützter Technologien innovativ sind, spielen eine wichtige Rolle bei der Erbringung von Finanzdienstleistungen oder sind in die Wertschöpfungskette der Finanzdienstleistungen integriert. Damit sind sie für die Stabilität und Integrität des Finanzsystems der Union von entscheidender Bedeutung. Diese weit verbreitete Abhängigkeit von Dienstleistungen, die von kritischen IKT-Drittanbietern erbracht werden, in Verbindung mit der gegenseitigen Abhängigkeit der Informationssysteme verschiedener Marktteilnehmer stellen ein unmittelbares und potenziell schwerwiegendes Risiko für das Finanzdienstleistungssystem der Union und für die Kontinuität der Erbringung von Finanzdienstleistungen dar, wenn kritische IKT-Drittanbieter von Betriebsstörungen oder größeren Cybervorfällen betroffen wären. Cyber-Vorfälle haben die besondere Fähigkeit, sich zu vervielfachen und sich im gesamten Finanzsystem wesentlich schneller auszubreiten als andere Arten von Risiken, die im Finanzsektor beobachtet werden, und können sich sektorübergreifend und über geografische Grenzen hinweg ausbreiten. Sie haben das Potenzial, sich zu einer systemischen Krise zu entwickeln, in der das Vertrauen in das Finanzsystem aufgrund der Störung von Funktionen, die die Realwirtschaft unterstützen, untergraben wurde, oder zu erheblichen finanziellen Verlusten, die ein Ausmaß erreichen, dem das Finanzsystem nicht mehr standhalten kann oder das den Einsatz schwerer Schockabsorptionsmaßnahmen erfordert. Um zu verhindern, dass diese Szenarien eintreten und damit die finanzielle Stabilität und Integrität der Union gefährden, ist es von entscheidender Bedeutung, für die Konvergenz der Aufsichtspraktiken in Bezug auf das IKT-Drittrisiko im Finanzbereich zu sorgen, insbesondere durch neue Vorschriften, die die Aufsicht der Union über kritische IKT-Drittdienstleister ermöglichen.

(80) Der Aufsichtsrahmen hängt weitgehend vom Grad der Zusammenarbeit zwischen dem Lead Overseer und dem kritischen IKT-Drittdienstleister ab, der für Finanzunternehmen Dienstleistungen erbringt, die sich auf die Erbringung von Finanzdienstleistungen auswirken. Eine erfolgreiche Aufsicht setzt unter anderem voraus, dass der Lead Overseer in der Lage ist, Überwachungsmissionen und Inspektionen wirksam durchzuführen, um die von den kritischen IKT-Drittdienstleistern angewandten Regeln, Kontrollen und Verfahren zu bewerten und die potenziellen kumulativen Auswirkungen ihrer Tätigkeiten auf die Finanzstabilität und die Integrität des Finanzsystems zu beurteilen. Gleichzeitig ist es von entscheidender Bedeutung, dass kritische IKT-Drittdienstleister die Empfehlungen des Lead Overseers befolgen und dessen Bedenken ausräumen. Da eine mangelnde Kooperation eines kritischen IKT-Drittdienstleisters, der Dienstleistungen erbringt, die sich auf die Erbringung von Finanzdienstleistungen auswirken, wie z. B. die Verweigerung des Zugangs zu seinen Räumlichkeiten oder der Übermittlung von Informationen, den Lead Overseer letztlich seiner wesentlichen Instrumente zur Bewertung des Risikos von IKT-Drittdienstleistern berauben würde und sich nachteilig auf die Finanzstabilität und die Integrität des Finanzsystems auswirken könnte, ist es notwendig, auch eine angemessene Sanktionsregelung vorzusehen.

(81) Vor diesem Hintergrund sollte die Notwendigkeit für den federführenden Überwacher, Zwangsgelder zu verhängen, um kritische IKT-Drittanbieter zur Einhaltung der in dieser Verordnung festgelegten Transparenz- und Zugangsverpflichtungen zu zwingen, nicht durch Schwierigkeiten bei der Durchsetzung dieser Zwangsgelder in Bezug auf kritische IKT-Drittanbieter mit Sitz in Drittländern gefährdet werden. Um die Durchsetzbarkeit solcher Sanktionen zu gewährleisten und eine rasche Einführung von Verfahren zur Wahrung der Verteidigungsrechte der kritischen IKT-Drittdienstleister im Rahmen des Benennungsverfahrens und der Abgabe von Empfehlungen zu ermöglichen, sollten diese kritischen IKT-Drittdienstleister, die Dienstleistungen für Finanzunternehmen erbringen, die sich auf die Erbringung von Finanzdienstleistungen auswirken, verpflichtet werden, eine angemessene Geschäftspräsenz in der Union aufrechtzuerhalten. Aufgrund der Art der Aufsicht und des Fehlens vergleichbarer Regelungen in anderen Rechtsordnungen gibt es keine geeigneten alternativen Mechanismen, die dieses Ziel durch eine wirksame Zusammenarbeit mit Finanzaufsichtsbehörden in Drittländern in Bezug auf die Überwachung der Auswirkungen digitaler operationeller Risiken gewährleisten, die von systemrelevanten IKT-Drittdienstleistern ausgehen, die als kritische IKT-Drittdienstleister mit Sitz in Drittländern gelten. Damit ein in einem Drittland niedergelassener IKT-Drittdienstleister, der gemäß dieser Verordnung als kritisch eingestuft wurde, weiterhin IKT-Dienstleistungen für Finanzunternehmen in der Union erbringen kann, sollte er daher innerhalb von zwölf Monaten nach dieser Einstufung alle erforderlichen Vorkehrungen treffen, um seine Eingliederung in der Union durch die Gründung einer Tochtergesellschaft im Sinne des gesamten Besitzstands der Union, insbesondere der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates (21), zu gewährleisten.

(82) Die Anforderung, eine Tochtergesellschaft in der Union zu gründen, sollte den kritischen IKT-Drittdienstleister nicht daran hindern, IKT-Dienste und die damit verbundene technische Unterstützung von Einrichtungen und Infrastrukturen außerhalb der Union aus zu erbringen. Mit dieser Verordnung wird keine Verpflichtung zur Datenlokalisierung auferlegt, da sie nicht vorschreibt, dass die Datenspeicherung oder -verarbeitung in der Union erfolgen muss.

(83) Drittanbieter kritischer IKT-Dienste sollten in der Lage sein, IKT-Dienste von jedem Ort der Welt aus zu erbringen, nicht notwendigerweise oder nicht nur von in der Union gelegenen Räumlichkeiten aus. Die Aufsichtstätigkeiten sollten zunächst in Räumlichkeiten in der Union und durch Interaktion mit in der Union ansässigen Einrichtungen, einschließlich der von kritischen IKT-Drittdienstleistern gemäß dieser Verordnung gegründeten Tochtergesellschaften, durchgeführt werden. Solche Maßnahmen innerhalb der Union könnten jedoch nicht ausreichen, um dem federführenden Überwacher die vollständige und wirksame Wahrnehmung seiner Aufgaben im Rahmen dieser Verordnung zu ermöglichen. Der federführende Überwacher sollte daher auch in der Lage sein, seine einschlägigen Aufsichtsbefugnisse in Drittländern auszuüben. Die Ausübung dieser Befugnisse in Drittländern sollte es dem federführenden Überwacher ermöglichen, die Einrichtungen zu prüfen, von denen aus die IKT-Dienste oder die technischen Unterstützungsdienste von dem kritischen IKT-Drittdienstleister tatsächlich erbracht oder verwaltet werden, und sollte dem federführenden Überwacher ein umfassendes und operatives Verständnis des IKT-Risikomanagements des kritischen IKT-Drittdienstleisters vermitteln. Die Möglichkeit für den federführenden Überwacher, als Agentur der Union Befugnisse außerhalb des Gebiets der Union auszuüben, sollte durch einschlägige Bedingungen, insbesondere die Zustimmung des betreffenden kritischen IKT-Drittdienstleisters, ordnungsgemäß eingerahmt sein. Ebenso sollten die zuständigen Behörden des Drittlandes über die Ausübung der Tätigkeiten des federführenden Überprüfers in ihrem eigenen Hoheitsgebiet unterrichtet sein und keine Einwände dagegen erheben. Im Interesse einer effizienten Durchführung und unbeschadet der jeweiligen Zuständigkeiten der Organe der Union und der Mitgliedstaaten müssen diese Befugnisse jedoch auch in vollem Umfang durch den Abschluss von Vereinbarungen über die Verwaltungszusammenarbeit mit den zuständigen Behörden des betreffenden Drittlandes verankert werden. Diese Verordnung sollte es den ESA daher ermöglichen, Vereinbarungen über die Verwaltungszusammenarbeit mit den zuständigen Behörden von Drittländern zu schließen, die ansonsten keine rechtlichen Verpflichtungen gegenüber der Union und ihren Mitgliedstaaten begründen sollten.

(84) Um die Kommunikation mit dem federführenden Überwacher zu erleichtern und eine angemessene Vertretung zu gewährleisten, sollten kritische IKT-Drittdienstleister, die einer Gruppe angehören, eine juristische Person als Koordinierungsstelle benennen.

(85) Der Aufsichtsrahmen sollte die Zuständigkeit der Mitgliedstaaten für die Durchführung eigener Aufsichts- oder Überwachungsmissionen in Bezug auf IKT-Drittanbieter, die nach dieser Verordnung nicht als kritisch eingestuft werden, die aber auf nationaler Ebene als wichtig angesehen werden, unberührt lassen.

(86) Um die vielschichtige institutionelle Architektur im Finanzdienstleistungsbereich zu nutzen, sollte der Gemeinsame Ausschuss der ESA im Einklang mit seinen Aufgaben im Bereich der Cybersicherheit weiterhin eine sektorübergreifende Gesamtkoordinierung in Bezug auf alle IKT-Risiken gewährleisten. Er sollte von einem neuen Unterausschuss (dem "Aufsichtsforum") unterstützt werden, der Vorarbeiten sowohl für die an kritische IKT-Drittdienstleister gerichteten Einzelbeschlüsse als auch für die Abgabe kollektiver Empfehlungen leistet, insbesondere in Bezug auf das Benchmarking der Aufsichtsprogramme für kritische IKT-Drittdienstleister und die Ermittlung bewährter Verfahren für den Umgang mit IKT-Klumpenrisiken.

(87) Um sicherzustellen, dass kritische IKT-Drittdienstleister auf Unionsebene angemessen und wirksam beaufsichtigt werden, sieht diese Verordnung vor, dass eine der drei ESA als federführende Aufsichtsbehörde benannt werden kann. Die individuelle Zuweisung eines kritischen IKT-Drittdienstleisters an eine der drei ESA sollte auf der Grundlage einer Bewertung der überwiegenden Zahl der Finanzunternehmen erfolgen, die in den Finanzbranchen tätig sind, für die diese ESA zuständig ist. Dieser Ansatz sollte zu einer ausgewogenen Aufteilung der Aufgaben und Zuständigkeiten zwischen den drei ESA im Rahmen der Ausübung der Aufsichtsfunktionen führen und die in jeder der drei ESA verfügbaren Humanressourcen und technischen Fachkenntnisse optimal nutzen.

(88) Die federführenden Überwacher sollten mit den notwendigen Befugnissen ausgestattet werden, um Untersuchungen durchzuführen, Inspektionen vor Ort und außerhalb der Räumlichkeiten und Standorte kritischer IKT-Drittdienstleister vorzunehmen und vollständige und aktuelle Informationen einzuholen. Diese Befugnisse sollten den Lead Overseer in die Lage versetzen, einen echten Einblick in die Art, das Ausmaß und die Auswirkungen des von IKT-Drittanbietern ausgehenden Risikos für Finanzunternehmen und letztlich für das Finanzsystem der Union zu gewinnen. Die Beauftragung der ESA mit der federführenden Aufsicht ist eine Voraussetzung für das Verständnis und die Bewältigung der systemischen Dimension des IKT-Risikos im Finanzbereich. Die Auswirkungen kritischer IKT-Drittdienstleister auf den Finanzsektor der Union und die potenziellen Probleme, die durch das damit verbundene IKT-Konzentrationsrisiko verursacht werden, erfordern einen kollektiven Ansatz auf Unionsebene. Die gleichzeitige Durchführung mehrerer Prüfungen und Zugriffsrechte, die von zahlreichen zuständigen Behörden getrennt und ohne oder mit nur geringer Koordinierung untereinander durchgeführt werden, würde die Finanzaufsichtsbehörden daran hindern, sich einen vollständigen und umfassenden Überblick über das IKT-Drittrisiko in der Union zu verschaffen, und für kritische IKT-Drittdienstleister zu Redundanz, Belastung und Komplexität führen, wenn sie zahlreichen Überwachungs- und Inspektionsanfragen ausgesetzt sind.

(89) Aufgrund der erheblichen Auswirkungen der Einstufung als kritisch sollte diese Verordnung sicherstellen, dass die Rechte kritischer IKT-Drittanbieter während der gesamten Umsetzung des Aufsichtsrahmens gewahrt werden. Bevor sie als kritisch eingestuft werden, sollten solche Anbieter beispielsweise das Recht haben, dem federführenden Überwacher eine begründete Erklärung vorzulegen, die alle für die Bewertung ihrer Einstufung relevanten Informationen enthält. Da der federführende Überwacher befugt sein sollte, Empfehlungen zu IKT-Risikofragen und geeigneten Abhilfemaßnahmen vorzulegen, wozu auch die Befugnis gehört, bestimmte vertragliche Vereinbarungen abzulehnen, die sich letztlich auf die Stabilität des Finanzunternehmens oder des Finanzsystems auswirken, sollten kritische IKT-Drittdienstleister auch die Möglichkeit haben, vor der endgültigen Festlegung dieser Empfehlungen Erläuterungen zu den erwarteten Auswirkungen der in den Empfehlungen vorgesehenen Lösungen auf Kunden vorzulegen, bei denen es sich um Unternehmen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen, und Lösungen zur Risikominderung zu formulieren. Anbieter kritischer IKT-Dienste, die mit den Empfehlungen nicht einverstanden sind, sollten eine begründete Erklärung ihrer Absicht abgeben, die Empfehlung nicht zu unterstützen. Wird eine solche begründete Erklärung nicht vorgelegt oder wird sie als unzureichend erachtet, sollte der federführende Überwacher eine öffentliche Bekanntmachung veröffentlichen, in der der Sachverhalt der Nichteinhaltung zusammenfassend beschrieben wird.

(90) Die zuständigen Behörden sollten die Aufgabe, die tatsächliche Einhaltung der Empfehlungen des Lead Overseers zu überprüfen, ordnungsgemäß in ihre Aufgaben im Zusammenhang mit der Beaufsichtigung von Finanzunternehmen aufnehmen. Die zuständigen Behörden sollten in der Lage sein, von den Finanzunternehmen zu verlangen, dass sie zusätzliche Maßnahmen zur Behebung der in den Empfehlungen des federführenden Überprüfers genannten Risiken ergreifen, und sollten zu gegebener Zeit entsprechende Mitteilungen machen. Richtet der federführende Überprüfer seine Empfehlungen an kritische IKT-Drittdienstleister, die gemäß der Richtlinie (EU) 2022/2555 beaufsichtigt werden, sollten die zuständigen Behörden die Möglichkeit haben, auf freiwilliger Basis und vor der Annahme zusätzlicher Maßnahmen die gemäß der genannten Richtlinie zuständigen Behörden zu konsultieren, um einen koordinierten Ansatz im Umgang mit den betreffenden kritischen IKT-Drittdienstleistern zu fördern.

(91) Die Ausübung der Aufsicht sollte sich an drei operativen Grundsätzen orientieren, die sicherstellen sollen: (a) enge Koordinierung zwischen den ESA in ihrer Rolle als federführende Aufsichtsbehörden durch ein gemeinsames Aufsichtsnetz (JON), (b) Kohärenz mit dem durch die Richtlinie (EU) 2022/2555 geschaffenen Rahmen (durch eine freiwillige Konsultation der Stellen im Rahmen dieser Richtlinie zur Vermeidung von Überschneidungen bei Maßnahmen, die auf kritische IKT-Drittdienstleister abzielen) und (c) Anwendung der Sorgfaltspflicht zur Minimierung des potenziellen Risikos einer Unterbrechung von Diensten, die kritische IKT-Drittdienstleister für Kunden erbringen, bei denen es sich um Einrichtungen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen.

(92) Der Aufsichtsrahmen sollte die Anforderung an die Finanzunternehmen, die mit der Inanspruchnahme von IKT-Drittanbietern verbundenen Risiken selbst zu managen, einschließlich ihrer Verpflichtung zur laufenden Überwachung der mit kritischen IKT-Drittanbietern geschlossenen vertraglichen Vereinbarungen, weder ersetzen noch in irgendeiner Weise an deren Stelle treten. Ebenso wenig sollte der Aufsichtsrahmen die volle Verantwortung der Finanzunternehmen für die Einhaltung und Erfüllung aller in dieser Verordnung und im einschlägigen Finanzdienstleistungsrecht festgelegten rechtlichen Verpflichtungen berühren.

(93) Um Doppelarbeit und Überschneidungen zu vermeiden, sollten die zuständigen Behörden keine eigenen Maßnahmen zur Überwachung der Risiken des kritischen IKT-Drittanbieters ergreifen und sich in dieser Hinsicht auf die Bewertung des jeweiligen federführenden Aufsichtsorgans verlassen. Alle Maßnahmen sollten in jedem Fall im Voraus mit dem federführenden Überwacher im Zusammenhang mit der Wahrnehmung der Aufgaben des Überwachungsrahmens koordiniert und vereinbart werden.

(94) Zur Förderung der Konvergenz auf internationaler Ebene in Bezug auf die Anwendung bewährter Verfahren bei der Überprüfung und Überwachung des digitalen Risikomanagements von IKT-Drittanbietern sollten die ESA ermutigt werden, Kooperationsvereinbarungen mit den einschlägigen Aufsichts- und Regulierungsbehörden von Drittländern zu schließen.

(95) Um die spezifischen Kompetenzen, technischen Fähigkeiten und das Fachwissen der auf Betriebs- und IKT-Risiken spezialisierten Mitarbeiter der zuständigen Behörden, der drei ESA und - auf freiwilliger Basis - der zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2555 zu nutzen, sollte der federführende Überwacher auf die nationalen Aufsichtskapazitäten und -kenntnisse zurückgreifen und spezielle Prüfungsteams für jeden kritischen IKT-Drittdienstleister einrichten, die multidisziplinäre Teams zur Unterstützung der Vorbereitung und Durchführung von Aufsichtstätigkeiten, einschließlich allgemeiner Ermittlungen und Inspektionen bei kritischen IKT-Drittdienstleistern, sowie für alle erforderlichen Folgemaßnahmen zusammenführen.

(96) Während die Kosten, die sich aus den Aufsichtsaufgaben ergeben, vollständig aus den Gebühren finanziert würden, die von Anbietern kritischer IKT-Dienste erhoben werden, dürften den ESA jedoch vor Beginn des Aufsichtsrahmens Kosten für die Einführung spezieller IKT-Systeme zur Unterstützung der bevorstehenden Aufsicht entstehen, da spezielle IKT-Systeme zuvor entwickelt und eingeführt werden müssen. Diese Verordnung sieht daher ein hybrides Finanzierungsmodell vor, bei dem der Aufsichtsrahmen als solcher vollständig gebührenfinanziert wäre, während die Entwicklung der IKT-Systeme der ESA aus den Beiträgen der Union und der zuständigen nationalen Behörden finanziert würde.

(97) Die zuständigen Behörden sollten über alle erforderlichen Aufsichts-, Ermittlungs- und Sanktionsbefugnisse verfügen, um die ordnungsgemäße Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung zu gewährleisten. Sie sollten grundsätzlich Bekanntmachungen über die von ihnen verhängten Verwaltungssanktionen veröffentlichen. Da Finanzunternehmen und IKT-Drittdienstleister in verschiedenen Mitgliedstaaten niedergelassen sein und von verschiedenen zuständigen Behörden beaufsichtigt werden können, sollte die Anwendung dieser Verordnung zum einen durch eine enge Zusammenarbeit zwischen den jeweils zuständigen Behörden, einschließlich der EZB im Hinblick auf die ihr durch die Verordnung (EU) Nr. 1024/2013 des Rates übertragenen spezifischen Aufgaben, und zum anderen durch eine Konsultation mit den ESA durch den gegenseitigen Austausch von Informationen und die Gewährung von Unterstützung im Rahmen der einschlägigen Aufsichtstätigkeiten erleichtert werden.

(98) Um die Kriterien für die Einstufung von IKT-Drittdienstleistern als kritisch weiter zu quantifizieren und zu qualifizieren und die Aufsichtsgebühren zu harmonisieren, sollte der Kommission die Befugnis zum Erlass von Rechtsakten gemäß Artikel 290 AEUV übertragen werden, um diese Verordnung zu ergänzen, indem die systemischen Auswirkungen, die ein Ausfall oder eine Betriebsstörung eines IKT-Drittdienstleisters auf die Finanzinstitute haben könnte, für die er IKT-Dienstleistungen erbringt, weiter spezifiziert werden, die Anzahl der global systemrelevanten Institute (G-SIIs) oder anderer systemrelevanter Institute (O-SIIs), die auf den betreffenden IKT-Drittdienstleister angewiesen sind, die Anzahl der auf einem bestimmten Markt tätigen IKT-Drittdienstleister, die Kosten für die Migration von Daten und IKT-Arbeitslasten zu anderen IKT-Drittdienstleistern sowie die Höhe der Aufsichtsgebühren und die Art und Weise, in der sie zu zahlen sind. Es ist von besonderer Bedeutung, dass die Kommission bei ihren vorbereitenden Arbeiten angemessene Konsultationen, auch auf Expertenebene, durchführt und dass diese Konsultationen im Einklang mit den Grundsätzen der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (22) durchgeführt werden. Um insbesondere eine gleichberechtigte Beteiligung an der Ausarbeitung delegierter Rechtsakte zu gewährleisten, sollten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit erhalten wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen sollten systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission haben, die mit der Ausarbeitung delegierter Rechtsakte befasst sind.

(99) Technische Regulierungsstandards sollten die konsequente Harmonisierung der in dieser Verordnung festgelegten Anforderungen gewährleisten. In ihrer Rolle als Einrichtungen mit hochspezialisiertem Fachwissen sollten die ESA Entwürfe technischer Regulierungsstandards, die keine politischen Entscheidungen beinhalten, zur Vorlage bei der Kommission ausarbeiten. Technische Regulierungsstandards sollten in den Bereichen IKT-Risikomanagement, Meldung größerer IKT-bezogener Vorfälle, Tests sowie in Bezug auf die wichtigsten Anforderungen für eine solide Überwachung des IKT-Drittrisikos entwickelt werden. Die Kommission und die ESA sollten sicherstellen, dass diese Standards und Anforderungen von allen Finanzunternehmen in einer Weise angewendet werden können, die ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte angemessen ist. Der Kommission sollte die Befugnis übertragen werden, diese technischen Regulierungsstandards mittels delegierter Rechtsakte gemäß Artikel 290 AEUV und im Einklang mit den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen.

(100) Zur Erleichterung der Vergleichbarkeit von Berichten über größere IKT-bezogene Vorfälle und größere betriebliche oder sicherheitsrelevante Zahlungsvorfälle sowie zur Gewährleistung der Transparenz in Bezug auf vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden, sollten die ESA Entwürfe technischer Durchführungsstandards entwickeln, in denen standardisierte Vorlagen, Formulare und Verfahren für Finanzunternehmen zur Meldung eines größeren IKT-bezogenen Vorfalls und eines größeren betrieblichen oder sicherheitsrelevanten Zahlungsvorfalls sowie standardisierte Vorlagen für das Informationsregister festgelegt werden. Bei der Entwicklung dieser Standards sollten die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte berücksichtigen. Der Kommission sollte die Befugnis übertragen werden, diese technischen Durchführungsstandards mittels Durchführungsrechtsakten gemäß Artikel 291 AEUV und im Einklang mit Artikel 15 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu erlassen.

(101) Da in den Verordnungen (EG) Nr. 1060/2009 (23), (EU) Nr. 648/2012 (24), (EU) Nr. 600/2014 (25) und (EU) Nr. 909/2014 (26) des Europäischen Parlaments und des Rates bereits weitere Anforderungen durch delegierte Rechtsakte und Durchführungsrechtsakte auf der Grundlage technischer Regulierungs- und Durchführungsstandards festgelegt wurden, sollten die ESA entweder einzeln oder gemeinsam über den Gemeinsamen Ausschuss beauftragt werden, der Kommission technische Regulierungs- und Durchführungsstandards zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten vorzulegen, mit denen bestehende IKT-Risikomanagementvorschriften übernommen und aktualisiert werden.

(102) Da diese Verordnung zusammen mit der Richtlinie (EU) 2022/2556 des Europäischen Parlaments und des Rates (27) eine Konsolidierung der Bestimmungen zum IKT-Risikomanagement in mehreren Verordnungen und Richtlinien des Besitzstands der Union im Bereich der Finanzdienstleistungen, einschließlich der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 sowie der Verordnung (EU) 2016/1011 des Europäischen Parlaments und des Rates (28), sollten diese Verordnungen geändert werden, um klarzustellen, dass die anwendbaren IKT-Risikobestimmungen in der vorliegenden Verordnung festgelegt sind, damit die vollständige Kohärenz gewährleistet ist.

(103) Folglich sollte der Anwendungsbereich der einschlägigen Artikel über das operationelle Risiko, auf die sich die Ermächtigungen in den Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 beziehen, die den Erlass von delegierten Rechtsakten und Durchführungsrechtsakten vorschreiben, eingegrenzt werden, um alle Bestimmungen, die die Aspekte der digitalen operationellen Belastbarkeit abdecken und heute Teil dieser Verordnungen sind, in die vorliegende Verordnung zu übernehmen.

(104) Das potenzielle systemische Cyberrisiko, das mit der Nutzung von IKT-Infrastrukturen verbunden ist, die den Betrieb von Zahlungssystemen und die Erbringung von Zahlungsverarbeitungstätigkeiten ermöglichen, sollte auf Unionsebene durch harmonisierte Vorschriften zur digitalen Widerstandsfähigkeit gebührend berücksichtigt werden. Zu diesem Zweck sollte die Kommission zügig prüfen, ob der Anwendungsbereich dieser Verordnung überprüft werden muss, und diese Überprüfung mit dem Ergebnis der im Rahmen der Richtlinie (EU) 2015/2366 vorgesehenen umfassenden Überprüfung abstimmen. Zahlreiche groß angelegte Angriffe in den letzten zehn Jahren haben gezeigt, wie sehr die Zahlungssysteme Cyber-Bedrohungen ausgesetzt sind. Als Kernstück der Zahlungsdienstleistungskette und mit starken Verbindungen zum gesamten Finanzsystem haben Zahlungssysteme und Zahlungsverarbeitungstätigkeiten eine entscheidende Bedeutung für das Funktionieren der Finanzmärkte in der Union erlangt. Cyberangriffe auf solche Systeme können zu schwerwiegenden Störungen des Geschäftsbetriebs führen, die sich direkt auf wichtige wirtschaftliche Funktionen wie die Erleichterung des Zahlungsverkehrs und indirekt auf damit verbundene wirtschaftliche Prozesse auswirken. Bis eine harmonisierte Regelung und die Beaufsichtigung der Betreiber von Zahlungssystemen und Verarbeitungsunternehmen auf Unionsebene eingeführt sind, können sich die Mitgliedstaaten im Hinblick auf die Anwendung ähnlicher Marktpraktiken an den in dieser Verordnung festgelegten Anforderungen an die digitale operationelle Widerstandsfähigkeit orientieren, wenn sie Vorschriften auf Betreiber von Zahlungssystemen und Verarbeitungsunternehmen anwenden, die in ihrem eigenen Rechtsraum beaufsichtigt werden.

(105) Da das Ziel dieser Verordnung, nämlich ein hohes Maß an digitaler operativer Widerstandsfähigkeit für beaufsichtigte Finanzunternehmen zu erreichen, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden kann, weil es die Harmonisierung verschiedener Vorschriften des Unionsrechts und des nationalen Rechts erfordert, sondern vielmehr wegen seines Umfangs und seiner Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Erreichung dieses Ziels erforderliche Maß hinaus.

(106) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (29) konsultiert und gab am 10. Mai 2021 eine Stellungnahme ab (30),

HABEN DIESE VERORDNUNG ANGENOMMEN: