{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"praambel","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/de\/richtlinie-4\/praambel\/","title":{"rendered":"Pr\u00e4ambel"},"content":{"rendered":"
\n

DES EUROP\u00c4ISCHEN PARLAMENTS UND DES RATES<\/h2>\n\n\n\n
gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union, insbesondere auf Artikel 114,
gest\u00fctzt auf den Vorschlag der Europ\u00e4ischen Kommission,
nach \u00dcbermittlung des Entwurfs des Rechtsakts an die nationalen Parlamente,
gest\u00fctzt auf die Stellungnahme des Europ\u00e4ischen Wirtschafts- und Sozialausschusses,
gest\u00fctzt auf die Stellungnahme des Ausschusses der Regionen,
Er handelt nach dem ordentlichen Gesetzgebungsverfahren,<\/div>\n<\/div>\n\n\n\n

in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n

vom 14. Dezember 2022<\/p>\n\n\n\n

\u00fcber die digitale operative Widerstandsf\u00e4higkeit des Finanzsektors und zur \u00c4nderung der Verordnungen (EG) Nr. 1060\/2009, (EU) Nr. 648\/2012, (EU) Nr. 600\/2014, (EU) Nr. 909\/2014 und (EU) 2016\/1011<\/p>\n\n\n\n

(Text mit Bedeutung f\u00fcr den EWR)<\/p>\n\n\n\n

DAS EUROP\u00c4ISCHE PARLAMENT UND DER RAT DER EUROP\u00c4ISCHEN UNION,<\/p>\n\n\n\n

gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europ\u00e4ischen Kommission, nach \u00dcbermittlung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme der Europ\u00e4ischen Zentralbank (1), nach Stellungnahme des Europ\u00e4ischen Wirtschafts- und Sozialausschusses (2), gem\u00e4\u00df dem ordentlichen Gesetzgebungsverfahren (3), in Erw\u00e4gung ziehen,<\/p>\n\n\n\n

in Erw\u00e4gung nachstehender Gr\u00fcnde:<\/p>\n\n\n\n

(1) Im digitalen Zeitalter unterst\u00fctzt die Informations- und Kommunikationstechnologie (IKT) komplexe Systeme, die f\u00fcr allt\u00e4gliche Aktivit\u00e4ten genutzt werden. Sie h\u00e4lt unsere Volkswirtschaften in Schl\u00fcsselsektoren, einschlie\u00dflich des Finanzsektors, am Laufen und verbessert das Funktionieren des Binnenmarktes. Die zunehmende Digitalisierung und Vernetzung verst\u00e4rken auch die IKT RisikoRisiko<\/span> Bezeichnet das Potenzial f\u00fcr Verluste oder St\u00f6rungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausma\u00df eines solchen Verlusts oder einer solchen St\u00f6rung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedr\u00fcckt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span>Dadurch werden die Gesellschaft als Ganzes und das Finanzsystem im Besonderen anf\u00e4lliger f\u00fcr Cyber-Bedrohungen oder IKT-St\u00f6rungen. W\u00e4hrend die allgegenw\u00e4rtige Nutzung von IKT-Systemen und die starke Digitalisierung und Konnektivit\u00e4t heute zu den Hauptmerkmalen der T\u00e4tigkeit der Finanzinstitute in der Union geh\u00f6ren, muss ihre digitale Widerstandsf\u00e4higkeit noch besser ber\u00fccksichtigt und in ihren breiteren operativen Rahmen integriert werden.<\/p>\n\n\n\n

(2) Der Einsatz von IKT hat in den letzten Jahrzehnten eine zentrale Rolle bei der Erbringung von Finanzdienstleistungen gespielt, so dass sie inzwischen f\u00fcr die typischen t\u00e4glichen Funktionen aller Finanzunternehmen von entscheidender Bedeutung sind. Die Digitalisierung erstreckt sich beispielsweise auf den Zahlungsverkehr, der zunehmend von Bargeld und Papier auf digitale L\u00f6sungen umgestellt wird, sowie auf das Clearing und die Abrechnung von Wertpapieren, den elektronischen und algorithmischen Handel, Kredit- und Finanzierungsgesch\u00e4fte, Peer-to-Peer-Finanzierung, Kreditw\u00fcrdigkeitspr\u00fcfung, Forderungsmanagement und Back-Office-T\u00e4tigkeiten. Auch der Versicherungssektor hat sich durch den Einsatz von IKT ver\u00e4ndert, von der Entstehung von Versicherungsvermittlern, die ihre Dienstleistungen online anbieten und mit InsurTech arbeiten, bis hin zum digitalen Underwriting von Versicherungen. Das Finanzwesen ist nicht nur im gesamten Sektor weitgehend digital geworden, sondern die Digitalisierung hat auch die Verflechtungen und Abh\u00e4ngigkeiten innerhalb des Finanzsektors und mit Drittanbietern von Infrastruktur und Dienstleistungen vertieft.<\/p>\n\n\n\n

(3) Der Europ\u00e4ische Ausschuss f\u00fcr Systemrisiken (European Systemic Risk Board, ESRB) hat in einem Bericht \u00fcber systemische Cyberrisiken im Jahr 2020 bekr\u00e4ftigt, dass die bestehende starke Verflechtung von Finanzunternehmen, Finanzm\u00e4rkten und Finanzmarktinfrastrukturen und insbesondere die gegenseitigen Abh\u00e4ngigkeiten ihrer IKT-Systeme ein systemisches Risiko darstellen k\u00f6nnten SchwachstelleSchwachstelle<\/span> Bezeichnet eine Schw\u00e4che, Anf\u00e4lligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden k\u00f6nnen. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> weil sich lokalisierte Cyber-Vorf\u00e4lle schnell von einem der rund 22 000 Finanzunternehmen der Union auf das gesamte Finanzsystem ausbreiten k\u00f6nnen, ohne dass geografische Grenzen eine Rolle spielen. Schwerwiegende IKT-Verst\u00f6\u00dfe im Finanzsektor betreffen nicht nur isolierte Finanzunternehmen. Sie ebnen auch den Weg f\u00fcr die Ausbreitung \u00f6rtlich begrenzter Schwachstellen \u00fcber die finanziellen \u00dcbertragungskan\u00e4le und k\u00f6nnen negative Folgen f\u00fcr die Stabilit\u00e4t des Finanzsystems der Union haben, wie z. B. Liquidit\u00e4tsengp\u00e4sse und einen allgemeinen Verlust des Vertrauens in die Finanzm\u00e4rkte.<\/p>\n\n\n\n

(4) In den letzten Jahren hat das IKT-Risiko die Aufmerksamkeit der internationalen, europ\u00e4ischen und nationalen politischen Entscheidungstr\u00e4ger, Regulierungsbeh\u00f6rden und StandardStandard<\/span> Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder st\u00e4ndigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt:\r(a) \"internationale Norm\" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) \"europ\u00e4ische Norm\" eine Norm, die von einer europ\u00e4ischen Normungsorganisation angenommen wurde; c) \"harmonisierte Norm\" eine europ\u00e4ische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) \"nationale Norm\" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025\/2012 des Europ\u00e4ischen Parlaments und des Rates.<\/span><\/span><\/span>-Gremien in dem Versuch, die digitale Widerstandsf\u00e4higkeit zu verbessern, Standards festzulegen und die Regulierungs- und Aufsichtsarbeit zu koordinieren. Auf internationaler Ebene zielen der Basler Ausschuss f\u00fcr Bankenaufsicht, der Ausschuss f\u00fcr Zahlungsverkehr und Marktinfrastrukturen, der Rat f\u00fcr Finanzstabilit\u00e4t, das Institut f\u00fcr Finanzstabilit\u00e4t sowie die G7 und die G20 darauf ab, den zust\u00e4ndigen Beh\u00f6rden und Marktteilnehmern in den verschiedenen Rechtsordnungen Instrumente an die Hand zu geben, um die Widerstandsf\u00e4higkeit ihrer Finanzsysteme zu st\u00e4rken. Diese Arbeit wurde auch durch die Notwendigkeit vorangetrieben, das IKT-Risiko im Kontext eines stark vernetzten globalen Finanzsystems geb\u00fchrend zu ber\u00fccksichtigen und eine gr\u00f6\u00dfere Koh\u00e4renz der einschl\u00e4gigen bew\u00e4hrten Verfahren anzustreben.<\/p>\n\n\n\n

(5) Trotz gezielter politischer und gesetzgeberischer Initiativen auf Unionsebene und auf nationaler Ebene stellt das IKT-Risiko nach wie vor eine Herausforderung f\u00fcr die operative Widerstandsf\u00e4higkeit, Leistungsf\u00e4higkeit und Stabilit\u00e4t des Finanzsystems der Union dar. Die Reformen, die auf die Finanzkrise von 2008 folgten, st\u00e4rkten in erster Linie die finanzielle Widerstandsf\u00e4higkeit des Finanzsektors der Union und zielten darauf ab, die Wettbewerbsf\u00e4higkeit und Stabilit\u00e4t der Union aus wirtschaftlicher und aufsichtsrechtlicher Sicht sowie im Hinblick auf das Marktverhalten zu sichern. Obwohl die IKT-Sicherheit und die digitale Widerstandsf\u00e4higkeit Teil des operationellen Risikos sind, standen sie weniger im Mittelpunkt der Regulierungsagenda nach der Finanzkrise und wurden nur in einigen Bereichen der Finanzdienstleistungspolitik und der Regulierungslandschaft der Union bzw. nur in einigen wenigen Mitgliedstaaten entwickelt.<\/p>\n\n\n\n

(6) In ihrer Mitteilung vom 8. M\u00e4rz 2018 mit dem Titel \"FinTech-Aktionsplan: F\u00fcr einen wettbewerbsf\u00e4higeren und innovativeren europ\u00e4ischen Finanzsektor\" hob die Kommission hervor, dass es von gr\u00f6\u00dfter Bedeutung ist, den Finanzsektor der Union widerstandsf\u00e4higer zu machen, auch in operativer Hinsicht, um seine technologische Sicherheit und sein reibungsloses Funktionieren zu gew\u00e4hrleisten, seine rasche Wiederherstellung nach IKT-Verletzungen und -Vorf\u00e4llen sicherzustellen und letztlich die wirksame und reibungslose Erbringung von Finanzdienstleistungen in der gesamten Union, auch in Stresssituationen, zu erm\u00f6glichen und gleichzeitig das Vertrauen der Verbraucher und des Marktes zu erhalten.<\/p>\n\n\n\n

(7) Im April 2019 haben die durch die Verordnung (EU) Nr. 1093\/2010 des Europ\u00e4ischen Parlaments und des Rates (4) eingerichtete Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Bankenaufsichtsbeh\u00f6rde) (EBA), die durch die Verordnung (EU) Nr. 1094\/2010 des Europ\u00e4ischen Parlaments und des Rates (5) eingerichtete Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Aufsichtsbeh\u00f6rde f\u00fcr das Versicherungswesen und die betriebliche Altersversorgung) (EIOPA) und die Europ\u00e4ische Aufsichtsbeh\u00f6rde (Europ\u00e4ische Wertpapier- und Marktaufsichtsbeh\u00f6rde), (\"ESMA\"), die durch die Verordnung (EU) Nr. 1095\/2010 des Europ\u00e4ischen Parlaments und des Rates (6) eingerichtet wurde (zusammen als \"Europ\u00e4ische Aufsichtsbeh\u00f6rden\" oder \"ESAs\" bezeichnet), haben gemeinsam eine technische Beratung herausgegeben, in der ein koh\u00e4renter Ansatz f\u00fcr IKT-Risiken im Finanzbereich gefordert und empfohlen wird, die digitale operative Widerstandsf\u00e4higkeit der Finanzdienstleistungsbranche durch eine sektorspezifische Initiative der Union in angemessener Weise zu st\u00e4rken.<\/p>\n\n\n\n

(8) Der Finanzsektor der Union wird durch ein einheitliches Regelwerk reguliert und unterliegt einem europ\u00e4ischen System der Finanzaufsicht. Dennoch sind die Bestimmungen \u00fcber die digitale operationelle Widerstandsf\u00e4higkeit und die IKT-Sicherheit noch nicht vollst\u00e4ndig oder durchg\u00e4ngig harmonisiert, obwohl die digitale operationelle Widerstandsf\u00e4higkeit f\u00fcr die Gew\u00e4hrleistung der Finanzstabilit\u00e4t und der Marktintegrit\u00e4t im digitalen Zeitalter von entscheidender Bedeutung ist und nicht weniger wichtig ist als z. B. gemeinsame aufsichtsrechtliche oder Marktverhaltensstandards. Das einheitliche Regelwerk und das Aufsichtssystem sollten daher so weiterentwickelt werden, dass sie auch die digitale operationelle Widerstandsf\u00e4higkeit abdecken, indem die Mandate der zust\u00e4ndigen Beh\u00f6rden gest\u00e4rkt werden, damit sie das IKT-Risikomanagement im Finanzsektor \u00fcberwachen k\u00f6nnen, um die Integrit\u00e4t und Effizienz des Binnenmarktes zu sch\u00fctzen und sein ordnungsgem\u00e4\u00dfes Funktionieren zu erleichtern.<\/p>\n\n\n\n

(9) Unterschiedliche Rechtsvorschriften und uneinheitliche nationale Regulierungs- oder Aufsichtsans\u00e4tze in Bezug auf das IKT-Risiko f\u00fchren zu Hindernissen f\u00fcr das Funktionieren des Binnenmarktes f\u00fcr Finanzdienstleistungen und behindern die reibungslose Aus\u00fcbung der Niederlassungsfreiheit und die Erbringung von Dienstleistungen f\u00fcr grenz\u00fcberschreitend t\u00e4tige Finanzunternehmen. Auch der Wettbewerb zwischen Finanzunternehmen der gleichen Art, die in verschiedenen Mitgliedstaaten t\u00e4tig sind, k\u00f6nnte verzerrt werden. Dies gilt insbesondere f\u00fcr Bereiche, in denen die Harmonisierung auf Unionsebene sehr begrenzt ist, wie z. B. bei der Pr\u00fcfung der digitalen operationellen Belastbarkeit, oder nicht vorhanden ist, wie z. B. bei der \u00dcberwachung des IKT-Drittrisikos. Unterschiede, die sich aus den auf nationaler Ebene geplanten Entwicklungen ergeben, k\u00f6nnten weitere Hindernisse f\u00fcr das Funktionieren des Binnenmarkts zum Nachteil der Marktteilnehmer und der Finanzstabilit\u00e4t schaffen.<\/p>\n\n\n\n

(10) Da die Bestimmungen \u00fcber IKT-Risiken bisher nur teilweise auf Unionsebene behandelt wurden, gibt es L\u00fccken oder \u00dcberschneidungen in wichtigen Bereichen, wie z.B. bei den IKT-bezogenen VorfallVorfall<\/span> Bezeichnet ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder \u00fcber sie zug\u00e4nglichen Dienste beeintr\u00e4chtigt. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Berichterstattung und Pr\u00fcfung der digitalen operationellen Belastbarkeit sowie Unstimmigkeiten infolge sich abzeichnender divergierender nationaler Vorschriften oder einer kostenineffizienten Anwendung sich \u00fcberschneidender Vorschriften. Dies ist besonders nachteilig f\u00fcr einen IKT-intensiven Nutzer wie den Finanzsektor, da technologische Risiken keine Grenzen kennen und der Finanzsektor seine Dienstleistungen in gro\u00dfem Umfang grenz\u00fcberschreitend innerhalb und au\u00dferhalb der Union erbringt. Einzelne Finanzunternehmen, die grenz\u00fcberschreitend t\u00e4tig sind oder \u00fcber mehrere Zulassungen verf\u00fcgen (z. B. ein Finanzinstitut UnternehmenEntit\u00e4t<\/span> bezeichnet eine nat\u00fcrliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegr\u00fcndet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten aus\u00fcben kann. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> k\u00f6nnen eine Zulassung f\u00fcr Banken, Wertpapierfirmen und Zahlungsinstitute haben, die jeweils von einer anderen zust\u00e4ndigen Beh\u00f6rde in einem oder mehreren Mitgliedstaaten erteilt wird), stehen vor operativen Herausforderungen bei der Bew\u00e4ltigung von IKT-Risiken und der Abmilderung negativer Auswirkungen von IKT-Vorf\u00e4llen auf eigene Faust und auf koh\u00e4rente, kosteneffiziente Weise.<\/p>\n\n\n\n

(11) Da das einheitliche Regelwerk nicht von einem umfassenden IKT- oder Betriebsrisikorahmen begleitet wurde, ist eine weitere Harmonisierung der wichtigsten Anforderungen an die digitale operationelle Widerstandsf\u00e4higkeit aller Finanzunternehmen erforderlich. Die Entwicklung von IKT-Kapazit\u00e4ten und der allgemeinen Widerstandsf\u00e4higkeit von Finanzunternehmen auf der Grundlage dieser zentralen Anforderungen im Hinblick auf die \u00dcberwindung von Betriebsausf\u00e4llen w\u00fcrde dazu beitragen, die Stabilit\u00e4t und Integrit\u00e4t der Finanzm\u00e4rkte in der Union zu erhalten und somit ein hohes Ma\u00df an Anleger- und Verbraucherschutz in der Union zu gew\u00e4hrleisten. Da diese Verordnung zum reibungslosen Funktionieren des Binnenmarkts beitragen soll, sollte sie sich auf die Bestimmungen des Artikels 114 des Vertrags \u00fcber die Arbeitsweise der Europ\u00e4ischen Union (AEUV) in der Auslegung gem\u00e4\u00df der st\u00e4ndigen Rechtsprechung des Gerichtshofs der Europ\u00e4ischen Union (Gerichtshof) st\u00fctzen.<\/p>\n\n\n\n

(12) Diese Verordnung zielt darauf ab, die Anforderungen an das IKT-Risiko als Teil der Anforderungen an das operationelle Risiko zu konsolidieren und zu verbessern, die bisher in verschiedenen Rechtsakten der Union getrennt behandelt wurden. Diese Rechtsakte deckten zwar die Hauptkategorien des Finanzrisikos ab (z. B. Kreditrisiko, Marktrisiko, Gegenparteiausfallrisiko und Liquidit\u00e4tsrisiko, Marktverhaltensrisiko), deckten aber zum Zeitpunkt ihrer Annahme nicht alle Komponenten der operationellen Belastbarkeit umfassend ab. Bei der Weiterentwicklung der Vorschriften f\u00fcr das operationelle Risiko in diesen Rechtsakten der Union wurde h\u00e4ufig ein traditioneller quantitativer Risikoansatz bevorzugt (d. h. die Festlegung einer Eigenkapitalanforderung zur Deckung des IKT-Risikos), statt gezielter qualitativer Vorschriften f\u00fcr den Schutz, die Erkennung, die Eind\u00e4mmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorf\u00e4llen oder f\u00fcr die Berichterstattung und digitale Testm\u00f6glichkeiten. Diese Rechtsakte dienten in erster Linie dazu, wesentliche Vorschriften zur Aufsicht, zur Marktintegrit\u00e4t oder zum Verhalten abzudecken und zu aktualisieren. Durch die Konsolidierung und Aktualisierung der verschiedenen Vorschriften zum IKT-Risiko sollten erstmals alle Bestimmungen, die sich mit dem digitalen Risiko im Finanzsektor befassen, auf koh\u00e4rente Weise in einem einzigen Rechtsakt zusammengef\u00fchrt werden. Daher schlie\u00dft diese Verordnung die L\u00fccken oder behebt Unstimmigkeiten in einigen der fr\u00fcheren Rechtsakte, auch in Bezug auf die darin verwendete Terminologie, und bezieht sich ausdr\u00fccklich auf IKT-Risiken durch gezielte Vorschriften \u00fcber IKT-Risikomanagementkapazit\u00e4ten, Meldung von Vorf\u00e4llen, Pr\u00fcfung der operativen Belastbarkeit und \u00dcberwachung von IKT-Drittrisiken. Diese Verordnung sollte daher auch das Bewusstsein f\u00fcr IKT-Risiken sch\u00e4rfen und anerkennen, dass IKT-Vorf\u00e4lle und ein Mangel an operativer Widerstandsf\u00e4higkeit die Solidit\u00e4t von Finanzunternehmen gef\u00e4hrden k\u00f6nnen.<\/p>\n\n\n\n

(13) Finanzunternehmen sollten beim Umgang mit IKT-Risiken unter Ber\u00fccksichtigung ihrer Gr\u00f6\u00dfe und ihres Gesamtrisikoprofils sowie der Art, des Umfangs und der Komplexit\u00e4t ihrer Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte denselben Ansatz und dieselben prinzipienbasierten Regeln verfolgen. Eine einheitliche Vorgehensweise tr\u00e4gt dazu bei, das Vertrauen in das Finanzsystem zu st\u00e4rken und seine Stabilit\u00e4t zu erhalten, insbesondere in Zeiten, in denen eine hohe Abh\u00e4ngigkeit von IKT-Systemen, -Plattformen und -Infrastrukturen besteht, was mit einem erh\u00f6hten digitalen Risiko verbunden ist. Die Einhaltung einer grundlegenden Cyber-Hygiene sollte auch verhindern, dass der Wirtschaft hohe Kosten auferlegt werden, indem die Auswirkungen und Kosten von IKT-St\u00f6rungen minimiert werden.<\/p>\n\n\n\n

(14) Eine Verordnung tr\u00e4gt dazu bei, die regulatorische Komplexit\u00e4t zu verringern, die aufsichtliche Konvergenz zu f\u00f6rdern und die Rechtssicherheit zu erh\u00f6hen, und sie tr\u00e4gt auch dazu bei, die Befolgungskosten zu begrenzen, insbesondere f\u00fcr grenz\u00fcberschreitend t\u00e4tige Finanzunternehmen, und Wettbewerbsverzerrungen zu verringern. Daher ist die Wahl einer Verordnung zur Schaffung eines gemeinsamen Rahmens f\u00fcr die digitale operationelle Widerstandsf\u00e4higkeit von Finanzunternehmen der geeignetste Weg, um eine einheitliche und koh\u00e4rente Anwendung aller Komponenten des IKT-Risikomanagements durch den Finanzsektor der Union zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(15) Die Richtlinie (EU) 2016\/1148 des Europ\u00e4ischen Parlaments und des Rates (7) war die erste horizontale CybersicherheitCybersecurity<\/span> \"Cybersicherheit\" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a>\r\r\"Cybersicherheit\" bezeichnet die T\u00e4tigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu sch\u00fctzen; - Definition gem\u00e4\u00df Artikel 2 Nummer 1 der Verordnung (EU) 2019\/881;<\/span><\/span><\/span> auf Unionsebene erlassener Rahmen, der auch f\u00fcr drei Arten von Finanzunternehmen gilt, n\u00e4mlich Kreditinstitute, Handelspl\u00e4tze und zentrale Gegenparteien. Da die Richtlinie (EU) 2016\/1148 jedoch einen Mechanismus zur Identifizierung von Betreibern wesentlicher Dienste auf nationaler Ebene vorsieht, wurden in der Praxis nur bestimmte Kreditinstitute, Handelspl\u00e4tze und zentrale Gegenparteien, die von den Mitgliedstaaten identifiziert wurden, in den Anwendungsbereich der Richtlinie aufgenommen und m\u00fcssen daher die in der Richtlinie festgelegten Anforderungen an die IKT-Sicherheit und die Meldung von Vorf\u00e4llen erf\u00fcllen. Die Richtlinie (EU) 2022\/2555 des Europ\u00e4ischen Parlaments und des Rates (8) legt ein einheitliches Kriterium f\u00fcr die Bestimmung der Unternehmen fest, die in den Anwendungsbereich der Richtlinie fallen (Gr\u00f6\u00dfenkappungsregel), wobei die drei Arten von Finanzunternehmen ebenfalls in den Anwendungsbereich der Richtlinie fallen.<\/p>\n\n\n\n

(16) Da diese Verordnung jedoch den Grad der Harmonisierung der verschiedenen Komponenten der digitalen Widerstandsf\u00e4higkeit erh\u00f6ht, indem sie Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-bezogenen Vorf\u00e4llen einf\u00fchrt, die im Vergleich zu den im geltenden Finanzdienstleistungsrecht der Union festgelegten Anforderungen strenger sind, stellt dieses h\u00f6here Niveau auch im Vergleich zu den in der Richtlinie (EU) 2022\/2555 festgelegten Anforderungen eine st\u00e4rkere Harmonisierung dar. Folglich stellt diese Verordnung lex specialis im Hinblick auf die Richtlinie (EU) 2022\/2555 dar. Gleichzeitig ist es von entscheidender Bedeutung, eine enge Beziehung zwischen dem Finanzsektor und dem horizontalen Cybersicherheitsrahmen der Union, wie er derzeit in der Richtlinie (EU) 2022\/2555 festgelegt ist, aufrechtzuerhalten, um die Koh\u00e4renz mit den von den Mitgliedstaaten angenommenen Cybersicherheitsstrategien zu gew\u00e4hrleisten und es den Finanzaufsichtsbeh\u00f6rden zu erm\u00f6glichen, von Cybervorf\u00e4llen Kenntnis zu erlangen, die andere unter diese Richtlinie fallende Sektoren betreffen.<\/p>\n\n\n\n

(17) Gem\u00e4\u00df Artikel 4 Absatz 2 des Vertrags \u00fcber die Europ\u00e4ische Union und unbeschadet der gerichtlichen \u00dcberpr\u00fcfung durch den Gerichtshof sollte diese Verordnung die Zust\u00e4ndigkeit der Mitgliedstaaten in Bezug auf wesentliche staatliche Aufgaben im Bereich der \u00f6ffentlichen Sicherheit, der Verteidigung und des Schutzes der nationalen Sicherheit, z. B. in Bezug auf die Weitergabe von Informationen, die dem Schutz der nationalen Sicherheit zuwiderlaufen w\u00fcrden, nicht ber\u00fchren.<\/p>\n\n\n\n

(18) Um sektor\u00fcbergreifendes Lernen zu erm\u00f6glichen und die Erfahrungen anderer Sektoren bei der Bew\u00e4ltigung von Cyberbedrohungen wirksam zu nutzen, sollten die in der Richtlinie (EU) 2022\/2555 genannten Finanzinstitute Teil des \"\u00d6kosystems\" der genannten Richtlinie bleiben (z. B. Kooperationsgruppe und Computer Security Incident Response Teams (CSIRTs)) Die ESAs und die zust\u00e4ndigen nationalen Beh\u00f6rden sollten in der Lage sein, an den strategischen Grundsatzdiskussionen und den technischen Arbeiten der Kooperationsgruppe im Rahmen der genannten Richtlinie teilzunehmen und Informationen auszutauschen und weiter mit den gem\u00e4\u00df der genannten Richtlinie benannten oder eingerichteten einheitlichen Ansprechpartnern zusammenzuarbeiten. Die im Rahmen dieser Verordnung zust\u00e4ndigen Beh\u00f6rden sollten auch die CSIRTs konsultieren und mit ihnen zusammenarbeiten. Die zust\u00e4ndigen Beh\u00f6rden sollten auch in der Lage sein, die gem\u00e4\u00df der Richtlinie (EU) 2022\/2555 benannten oder eingerichteten zust\u00e4ndigen Beh\u00f6rden um fachliche Beratung zu ersuchen und Kooperationsvereinbarungen zu treffen, um wirksame und reaktionsschnelle Koordinierungsmechanismen zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(19) Da die digitale Widerstandsf\u00e4higkeit und die physische Widerstandsf\u00e4higkeit von Finanzunternehmen eng miteinander verkn\u00fcpft sind, ist in dieser Verordnung und in der Richtlinie (EU) 2022\/2557 des Europ\u00e4ischen Parlaments und des Rates (9) ein koh\u00e4renter Ansatz in Bezug auf die Widerstandsf\u00e4higkeit kritischer Unternehmen erforderlich. Da die physische Widerstandsf\u00e4higkeit von Finanzunternehmen durch die in dieser Verordnung geregelten IKT-Risikomanagement- und Berichterstattungspflichten umfassend behandelt wird, sollten die in den Kapiteln III und IV der Richtlinie (EU) 2022\/2557 festgelegten Pflichten nicht f\u00fcr Finanzunternehmen gelten, die in den Anwendungsbereich jener Richtlinie fallen.<\/p>\n\n\n\n

(20) Cloud Computing-DienstCloud Computing-Dienst<\/span> Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen erm\u00f6glicht, auch wenn diese Ressourcen \u00fcber mehrere Standorte verteilt sind. Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> Anbieter sind eine Kategorie digitaler Infrastrukturen, die unter die Richtlinie (EU) 2022\/2555 fallen. Der mit dieser Verordnung geschaffene Aufsichtsrahmen der Union (\"Aufsichtsrahmen\") gilt f\u00fcr alle kritischen IKT-Drittdienstleister, einschlie\u00dflich Cloud-Computing-Dienstleister, die IKT-Dienste f\u00fcr Finanzunternehmen erbringen, und sollte als Erg\u00e4nzung zu der gem\u00e4\u00df der Richtlinie (EU) 2022\/2555 durchgef\u00fchrten Aufsicht betrachtet werden. Dar\u00fcber hinaus sollte der mit dieser Verordnung geschaffene Aufsichtsrahmen f\u00fcr Anbieter von Cloud-Computing-Diensten gelten, wenn es keinen horizontalen Rahmen der Union zur Einrichtung einer digitalen Aufsichtsbeh\u00f6rde gibt.<\/p>\n\n\n\n

(21) Um die IKT-Risiken vollst\u00e4ndig unter Kontrolle zu halten, m\u00fcssen die Finanzunternehmen \u00fcber umfassende Kapazit\u00e4ten f\u00fcr ein starkes und wirksames IKT-Risikomanagement sowie \u00fcber spezifische Mechanismen und Strategien f\u00fcr den Umgang mit allen IKT-bezogenen Vorf\u00e4llen und f\u00fcr die Meldung gr\u00f6\u00dferer IKT-bezogener Vorf\u00e4lle verf\u00fcgen. Ebenso sollten die Finanzunternehmen \u00fcber Strategien f\u00fcr die Pr\u00fcfung von IKT-Systemen, -Kontrollen und -Prozessen sowie f\u00fcr das Management von IKT-Drittrisiken verf\u00fcgen. Die Grundanforderungen an die digitale operative Widerstandsf\u00e4higkeit von Finanzunternehmen sollten erh\u00f6ht werden, wobei auch eine verh\u00e4ltnism\u00e4\u00dfige Anwendung der Anforderungen f\u00fcr bestimmte Finanzunternehmen, insbesondere Kleinstunternehmen, sowie f\u00fcr Finanzunternehmen, die einem vereinfachten IKT-Risikomanagementrahmen unterliegen, m\u00f6glich sein sollte. Zur Erleichterung einer effizienten Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung, die verh\u00e4ltnism\u00e4\u00dfig ist und der Notwendigkeit einer Verringerung des Verwaltungsaufwands f\u00fcr die zust\u00e4ndigen Beh\u00f6rden Rechnung tr\u00e4gt, sollten die einschl\u00e4gigen nationalen Aufsichtsregelungen in Bezug auf solche Finanzunternehmen deren Gr\u00f6\u00dfe und Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexit\u00e4t ihrer Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte ber\u00fccksichtigen, auch wenn die in Artikel 5 der Richtlinie (EU) 2016\/2341 des Europ\u00e4ischen Parlaments und des Rates (10) festgelegten einschl\u00e4gigen Schwellenwerte \u00fcberschritten werden. Insbesondere sollte sich die Aufsichtst\u00e4tigkeit in erster Linie auf die Notwendigkeit konzentrieren, schwerwiegende Risiken im Zusammenhang mit dem IKT-Risikomanagement eines bestimmten Unternehmens anzugehen.<\/p>\n\n\n\n

Die zust\u00e4ndigen Beh\u00f6rden sollten auch bei der Beaufsichtigung von Einrichtungen der betrieblichen Altersversorgung, die gem\u00e4\u00df Artikel 31 der Richtlinie (EU) 2016\/2341 einen wesentlichen Teil ihres Kerngesch\u00e4fts, wie Verm\u00f6gensverwaltung, versicherungsmathematische Berechnungen, Rechnungslegung und Datenmanagement, an Dienstleister auslagern, einen wachsamen, aber verh\u00e4ltnism\u00e4\u00dfigen Ansatz verfolgen.<\/p>\n\n\n\n

(22) Die Schwellenwerte und Taxonomien f\u00fcr die Meldung von IKT-Vorf\u00e4llen unterscheiden sich auf nationaler Ebene erheblich. Auch wenn durch die einschl\u00e4gigen Arbeiten der durch die Verordnung (EU) 2019\/881 des Europ\u00e4ischen Parlaments und des Rates (11) eingerichteten Agentur der Europ\u00e4ischen Union f\u00fcr Cybersicherheit (ENISA) und der Kooperationsgruppe gem\u00e4\u00df der Richtlinie (EU) 2022\/2555 eine gemeinsame Grundlage geschaffen werden kann, bestehen f\u00fcr die \u00fcbrigen Finanzunternehmen nach wie vor unterschiedliche Ans\u00e4tze bei der Festlegung der Schwellenwerte und der Verwendung von Taxonomien bzw. k\u00f6nnen diese entstehen. Aufgrund dieser Unterschiede m\u00fcssen Finanzunternehmen eine Vielzahl von Anforderungen erf\u00fcllen, insbesondere wenn sie in mehreren Mitgliedstaaten t\u00e4tig sind und zu einer Finanzgruppe geh\u00f6ren. Dar\u00fcber hinaus k\u00f6nnen solche Unterschiede die Schaffung weiterer einheitlicher oder zentralisierter Unionsmechanismen behindern, die den Meldeprozess beschleunigen und einen schnellen und reibungslosen Informationsaustausch zwischen den zust\u00e4ndigen Beh\u00f6rden unterst\u00fctzen, der f\u00fcr die Bew\u00e4ltigung des IKT-Risikos im Falle gro\u00df angelegter Angriffe mit potenziell systemischen Folgen von entscheidender Bedeutung ist.<\/p>\n\n\n\n

(23) Um den Verwaltungsaufwand und potenziell doppelte Meldepflichten f\u00fcr bestimmte Finanzunternehmen zu verringern, sollte die Verpflichtung zur Meldung von Vorf\u00e4llen gem\u00e4\u00df der Richtlinie (EU) 2015\/2366 des Europ\u00e4ischen Parlaments und des Rates (12) nicht mehr f\u00fcr Zahlungsdienstleister gelten, die in den Anwendungsbereich dieser Verordnung fallen. Folglich sollten Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der genannten Richtlinie ab dem Datum der Anwendung dieser Verordnung alle operationellen oder sicherheitsrelevanten Zahlungsvorf\u00e4lle, die zuvor gem\u00e4\u00df der genannten Richtlinie gemeldet wurden, gem\u00e4\u00df dieser Verordnung melden, unabh\u00e4ngig davon, ob diese Vorf\u00e4lle IKT-bezogen sind.<\/p>\n\n\n\n

(24) Um die zust\u00e4ndigen Beh\u00f6rden in die Lage zu versetzen, ihre Aufsichtsaufgaben zu erf\u00fcllen, indem sie sich einen vollst\u00e4ndigen \u00dcberblick \u00fcber Art, H\u00e4ufigkeit, Bedeutung und Auswirkungen von IKT-Vorf\u00e4llen verschaffen, und um den Informationsaustausch zwischen den einschl\u00e4gigen Beh\u00f6rden, einschlie\u00dflich der Strafverfolgungs- und Abwicklungsbeh\u00f6rden, zu verbessern, sollte in dieser Verordnung eine solide Regelung f\u00fcr die Meldung von IKT-Vorf\u00e4llen festgelegt werden, wobei die einschl\u00e4gigen Anforderungen die derzeitigen L\u00fccken im Finanzdienstleistungsrecht schlie\u00dfen und bestehende \u00dcberschneidungen und Doppelarbeit beseitigen, um die Kosten zu verringern. Es ist von grundlegender Bedeutung, die Regelung f\u00fcr die Meldung von IKT-Vorf\u00e4llen zu harmonisieren, indem alle Finanzunternehmen verpflichtet werden, ihren zust\u00e4ndigen Beh\u00f6rden \u00fcber einen einzigen, gestrafften Rahmen zu berichten, wie in dieser Verordnung dargelegt. Dar\u00fcber hinaus sollten die ESA die Befugnis erhalten, weitere relevante Elemente des Rahmens f\u00fcr die Meldung von IKT-Vorf\u00e4llen festzulegen, wie z. B. Taxonomie, Zeitrahmen, Datens\u00e4tze, Vorlagen und geltende Schwellenwerte. Um die vollst\u00e4ndige \u00dcbereinstimmung mit der Richtlinie (EU) 2022\/2555 zu gew\u00e4hrleisten, sollte es Finanzunternehmen gestattet sein, der jeweils zust\u00e4ndigen Beh\u00f6rde auf freiwilliger Basis erhebliche Cyberbedrohungen zu melden, wenn sie der Auffassung sind, dass die Cyber-BedrohungCyber-Bedrohung<\/span> bezeichnet alle potenziellen Umst\u00e4nde, Ereignisse oder Handlungen, die Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Personen besch\u00e4digen, st\u00f6ren oder anderweitig beeintr\u00e4chtigen k\u00f6nnten - Definition gem\u00e4\u00df Artikel 2 Nummer 8 der Verordnung (EU) 2019\/881<\/span><\/span><\/span> f\u00fcr das Finanzsystem, die Dienstleistungsnutzer oder die Kunden von Bedeutung ist.<\/p>\n\n\n\n

(25) In bestimmten Teilsektoren des Finanzsektors wurden Anforderungen f\u00fcr die Pr\u00fcfung der digitalen Ausfallsicherheit entwickelt, deren Rahmen nicht immer vollst\u00e4ndig aufeinander abgestimmt sind. Dies f\u00fchrt zu einer potenziellen Verdoppelung der Kosten f\u00fcr grenz\u00fcberschreitend t\u00e4tige Finanzunternehmen und macht die gegenseitige Anerkennung der Ergebnisse von Pr\u00fcfungen der digitalen operationellen Belastbarkeit kompliziert, was wiederum zu einer Fragmentierung des Binnenmarkts f\u00fchren kann.<\/p>\n\n\n\n

(26) Wenn keine IKT-Tests vorgeschrieben sind, bleiben au\u00dferdem Schwachstellen unentdeckt und f\u00fchren dazu, dass ein Finanzunternehmen einem IKT-Risiko ausgesetzt wird, was letztlich ein h\u00f6heres Risiko f\u00fcr die Stabilit\u00e4t und Integrit\u00e4t des Finanzsektors darstellt. Ohne ein Eingreifen der Union w\u00e4ren die Tests zur digitalen operativen Belastbarkeit weiterhin uneinheitlich und es w\u00fcrde ein System der gegenseitigen Anerkennung der IKT-Testergebnisse in den verschiedenen Rechtsordnungen fehlen. Da es zudem unwahrscheinlich ist, dass andere Teilsektoren des Finanzsektors Testsysteme in nennenswertem Umfang einf\u00fchren w\u00fcrden, w\u00fcrden sie die potenziellen Vorteile eines Testrahmens nicht nutzen, was die Aufdeckung von IKT-Schwachstellen und -Risiken sowie die Pr\u00fcfung der Verteidigungsf\u00e4higkeiten und der Gesch\u00e4ftskontinuit\u00e4t angeht, die zur St\u00e4rkung des Vertrauens von Kunden, Lieferanten und Gesch\u00e4ftspartnern beitragen. Um diese \u00dcberschneidungen, Abweichungen und L\u00fccken zu beseitigen, ist es notwendig, Regeln f\u00fcr ein koordiniertes Testsystem festzulegen und dadurch die gegenseitige Anerkennung fortgeschrittener Tests f\u00fcr Finanzunternehmen zu erleichtern, die die in dieser Verordnung festgelegten Kriterien erf\u00fcllen.<\/p>\n\n\n\n

(27) Die Abh\u00e4ngigkeit der Finanzunternehmen von der Nutzung von IKT-Diensten ist zum Teil darauf zur\u00fcckzuf\u00fchren, dass sie sich an eine aufkommende wettbewerbsf\u00e4hige digitale globale Wirtschaft anpassen, ihre Gesch\u00e4ftseffizienz steigern und die Nachfrage der Verbraucher befriedigen m\u00fcssen. Art und Umfang dieses R\u00fcckgriffs haben sich in den letzten Jahren st\u00e4ndig weiterentwickelt, was zu Kostensenkungen bei der Finanzintermediation, zur Gesch\u00e4ftsausweitung und zur Skalierbarkeit beim Einsatz von Finanzt\u00e4tigkeiten gef\u00fchrt hat, w\u00e4hrend gleichzeitig eine breite Palette von IKT-Werkzeugen zur Verwaltung komplexer interner Prozesse angeboten wird.<\/p>\n\n\n\n

(28) Die umfassende Inanspruchnahme von IKT-Dienstleistungen zeigt sich in komplexen vertraglichen Vereinbarungen, bei denen Finanzunternehmen h\u00e4ufig Schwierigkeiten haben, Vertragsbedingungen auszuhandeln, die auf die Aufsichtsstandards oder andere regulatorische Anforderungen, denen sie unterliegen, zugeschnitten sind, oder bestimmte Rechte wie Zugangs- oder Pr\u00fcfungsrechte durchzusetzen, selbst wenn diese in ihren vertraglichen Vereinbarungen verankert sind. Dar\u00fcber hinaus sehen viele dieser vertraglichen Vereinbarungen keine ausreichenden Sicherheitsvorkehrungen vor, die eine umfassende \u00dcberwachung der Prozesse der Unterauftragsvergabe erm\u00f6glichen, so dass das Finanzinstitut nicht in der Lage ist, die damit verbundenen Risiken zu bewerten. Da IKT-Drittdienstleister h\u00e4ufig standardisierte Dienstleistungen f\u00fcr verschiedene Arten von Kunden erbringen, werden solche vertraglichen Vereinbarungen zudem nicht immer angemessen auf die individuellen oder spezifischen Bed\u00fcrfnisse der Akteure der Finanzbranche abgestimmt.<\/p>\n\n\n\n

(29) Auch wenn das Finanzdienstleistungsrecht der Union bestimmte allgemeine Regeln f\u00fcr das Outsourcing enth\u00e4lt, ist die \u00dcberwachung der vertraglichen Dimension nicht vollst\u00e4ndig im Unionsrecht verankert. In Ermangelung klarer und ma\u00dfgeschneiderter Unionsnormen f\u00fcr die mit IKT-Drittanbietern geschlossenen vertraglichen Vereinbarungen wird die externe Quelle von IKT-Risiken nicht umfassend behandelt. Folglich ist es notwendig, bestimmte Grundprinzipien f\u00fcr das Management des IKT-Drittrisikos durch Finanzunternehmen festzulegen, die von besonderer Bedeutung sind, wenn Finanzunternehmen zur Unterst\u00fctzung ihrer kritischen oder wichtigen Funktionen auf IKT-Drittdienstleister zur\u00fcckgreifen. Diese Grunds\u00e4tze sollten durch eine Reihe grundlegender vertraglicher Rechte in Bezug auf verschiedene Elemente bei der Erf\u00fcllung und Beendigung vertraglicher Vereinbarungen erg\u00e4nzt werden, um bestimmte Mindestgarantien zu bieten, damit die Finanzunternehmen besser in der Lage sind, alle IKT-Risiken, die auf der Ebene von Drittdienstleistern entstehen, wirksam zu \u00fcberwachen. Diese Grunds\u00e4tze erg\u00e4nzen das f\u00fcr die Auslagerung geltende sektorale Recht.<\/p>\n\n\n\n

(30) Derzeit ist ein gewisser Mangel an Homogenit\u00e4t und Konvergenz bei der \u00dcberwachung des IKT-Drittrisikos und der IKT-Drittabh\u00e4ngigkeiten festzustellen. Trotz der Bem\u00fchungen, das Thema Auslagerung anzugehen, wie z. B. die EBA-Leitlinien zur Auslagerung von 2019 und die ESMA-Leitlinien zur Auslagerung an Cloud-Dienstleister von 2021, wird die umfassendere Frage der Bek\u00e4mpfung des Systemrisikos, das durch die Exposition des Finanzsektors gegen\u00fcber einer begrenzten Anzahl kritischer IKT-Drittdienstleister ausgel\u00f6st werden kann, im Unionsrecht nicht ausreichend behandelt. Das Fehlen von Vorschriften auf Unionsebene wird durch das Fehlen nationaler Vorschriften f\u00fcr Mandate und Instrumente versch\u00e4rft, die es den Finanzaufsichtsbeh\u00f6rden erm\u00f6glichen, ein gutes Verst\u00e4ndnis der IKT-Drittanbieterabh\u00e4ngigkeiten zu erlangen und die Risiken, die sich aus der Konzentration von IKT-Drittanbieterabh\u00e4ngigkeiten ergeben, angemessen zu \u00fcberwachen.<\/p>\n\n\n\n

(31) In Anbetracht des potenziellen Systemrisikos, das sich aus den zunehmenden Auslagerungspraktiken und der Konzentration von IKT-Drittanbietern ergibt, und in Anbetracht der Tatsache, dass die nationalen Mechanismen den Finanzaufsichtsbeh\u00f6rden nur unzureichende Instrumente zur Quantifizierung, Qualifizierung und Behebung der Folgen von IKT-Risiken bei kritischen IKT-Drittanbietern an die Hand geben, muss ein geeigneter Aufsichtsrahmen geschaffen werden, der eine kontinuierliche \u00dcberwachung der T\u00e4tigkeiten von IKT-Drittanbietern erm\u00f6glicht, die f\u00fcr Finanzunternehmen kritische IKT-Drittanbieter sind, und gleichzeitig gew\u00e4hrleistet, dass die Vertraulichkeit und Sicherheit von Kunden, die keine Finanzunternehmen sind, gewahrt wird. Die gruppeninterne Erbringung von IKT-Dienstleistungen ist zwar mit spezifischen Risiken und Vorteilen verbunden, sollte aber nicht automatisch als weniger risikoreich angesehen werden als die Erbringung von IKT-Dienstleistungen durch Anbieter au\u00dferhalb einer Finanzgruppe und sollte daher demselben Regulierungsrahmen unterliegen. Werden IKT-Dienstleistungen jedoch innerhalb derselben Finanzgruppe erbracht, haben die Finanzunternehmen m\u00f6glicherweise eine st\u00e4rkere Kontrolle \u00fcber die gruppeninternen Anbieter, was bei der Gesamtrisikobewertung ber\u00fccksichtigt werden sollte.<\/p>\n\n\n\n

(32) Da die IKT-Risiken immer komplexer und ausgefeilter werden, h\u00e4ngen gute Ma\u00dfnahmen zur Erkennung und Verh\u00fctung von IKT-Risiken in hohem Ma\u00dfe davon ab, dass die Finanzinstitute regelm\u00e4\u00dfig Informationen \u00fcber Bedrohungen und Schwachstellen austauschen. Der Informationsaustausch tr\u00e4gt dazu bei, das Bewusstsein f\u00fcr Cyber-Bedrohungen zu sch\u00e4rfen. Dies wiederum verbessert die F\u00e4higkeit der Finanzinstitute, zu verhindern, dass sich Cyber-Bedrohungen zu echten IKT-bezogenen Vorf\u00e4llen entwickeln, und erm\u00f6glicht es den Finanzinstituten, die Auswirkungen von IKT-bezogenen Vorf\u00e4llen wirksamer einzud\u00e4mmen und sich schneller zu erholen. In Ermangelung von Leitlinien auf Unionsebene scheinen mehrere Faktoren einen solchen Informationsaustausch zu behindern, insbesondere die Unsicherheit \u00fcber seine Vereinbarkeit mit Datenschutz-, Kartell- und Haftungsvorschriften.<\/p>\n\n\n\n

(33) Dar\u00fcber hinaus f\u00fchren Zweifel an der Art der Informationen, die mit anderen Marktteilnehmern oder mit Nicht-Aufsichtsbeh\u00f6rden (wie der ENISA f\u00fcr analytische Zwecke oder Europol f\u00fcr Strafverfolgungszwecke) ausgetauscht werden k\u00f6nnen, dazu, dass n\u00fctzliche Informationen zur\u00fcckgehalten werden. Aus diesem Grund sind Umfang und Qualit\u00e4t des Informationsaustauschs derzeit noch begrenzt und fragmentiert, wobei der relevante Austausch zumeist auf lokaler Ebene (durch nationale Initiativen) erfolgt und es keine koh\u00e4renten unionsweiten Regelungen f\u00fcr den Informationsaustausch gibt, die auf die Bed\u00fcrfnisse eines integrierten Finanzsystems zugeschnitten sind. Es ist daher wichtig, diese Kommunikationskan\u00e4le zu st\u00e4rken.<\/p>\n\n\n\n

(34) Die Finanzunternehmen sollten ermutigt werden, untereinander Informationen und Erkenntnisse \u00fcber Cyber-Bedrohungen auszutauschen und ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, um ihre F\u00e4higkeiten zur angemessenen Bewertung, \u00dcberwachung, Abwehr von und Reaktion auf Cyber-Bedrohungen zu verbessern, indem sie sich an Vereinbarungen \u00fcber den Informationsaustausch beteiligen. Daher m\u00fcssen auf Unionsebene Mechanismen f\u00fcr freiwillige Vereinbarungen zum Informationsaustausch geschaffen werden, die, wenn sie in einem vertrauensw\u00fcrdigen Umfeld durchgef\u00fchrt werden, der Finanzbranche dabei helfen w\u00fcrden, Cyber-Bedrohungen vorzubeugen und gemeinsam auf sie zu reagieren, indem sie die Ausbreitung von IKT-Risiken rasch begrenzen und eine m\u00f6gliche Ansteckung \u00fcber die Finanzkan\u00e4le verhindern. Diese Mechanismen sollten mit den geltenden wettbewerbsrechtlichen Vorschriften der Union, die in der Mitteilung der Kommission vom 14. Januar 2011 mit dem Titel \"Leitlinien zur Anwendbarkeit von Artikel 101 des Vertrags \u00fcber die Arbeitsweise der Europ\u00e4ischen Union auf Vereinbarungen \u00fcber horizontale Zusammenarbeit\" dargelegt sind, sowie mit den Datenschutzvorschriften der Union, insbesondere der Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates (13), in Einklang stehen. Sie sollten auf der Grundlage einer oder mehrerer der in Artikel 6 der genannten Verordnung festgelegten Rechtsgrundlagen erfolgen, wie etwa im Zusammenhang mit der Verarbeitung personenbezogener Daten, die zur Wahrung des berechtigten Interesses des f\u00fcr die Verarbeitung Verantwortlichen oder eines Dritten gem\u00e4\u00df Artikel 6 Absatz 1 Buchstabe f der genannten Verordnung erforderlich ist, sowie im Rahmen der Verarbeitung personenbezogener Daten, die zur Erf\u00fcllung einer rechtlichen Verpflichtung erforderlich ist, der der f\u00fcr die Verarbeitung Verantwortliche unterliegt, oder die f\u00fcr die Wahrnehmung einer Aufgabe erforderlich ist, die im \u00f6ffentlichen Interesse liegt oder in Aus\u00fcbung \u00f6ffentlicher Gewalt erfolgt, die dem f\u00fcr die Verarbeitung Verantwortlichen \u00fcbertragen wurde, wie in Artikel 6 Absatz 1 Buchstaben c und e der genannten Verordnung vorgesehen.<\/p>\n\n\n\n

(35) Um ein hohes Ma\u00df an digitaler operativer Widerstandsf\u00e4higkeit f\u00fcr den gesamten Finanzsektor aufrechtzuerhalten und gleichzeitig mit den technologischen Entwicklungen Schritt zu halten, sollte diese Verordnung auf Risiken eingehen, die sich aus allen Arten von IKT-Diensten ergeben. Zu diesem Zweck sollte die Definition von IKT-Dienstleistungen im Rahmen dieser Verordnung weit gefasst werden und digitale und datentechnische Dienstleistungen umfassen, die \u00fcber IKT-Systeme f\u00fcr einen oder mehrere interne oder externe Nutzer fortlaufend erbracht werden. Diese Definition sollte beispielsweise so genannte \"Over-the-Top\"-Dienste einschlie\u00dfen, die unter die Kategorie der elektronischen Kommunikationsdienste fallen. Sie sollte nur die begrenzte Kategorie der herk\u00f6mmlichen analogen Telefondienste ausschlie\u00dfen, die als Public Switched Telephone Network (PSTN)-Dienste, Festnetzdienste, Plain Old Telephone Service (POTS) oder Festnetztelefondienste bezeichnet werden.<\/p>\n\n\n\n

(36) Ungeachtet des in dieser Verordnung vorgesehenen breiten Geltungsbereichs sollte bei der Anwendung der Vorschriften f\u00fcr die digitale operative Belastbarkeit den erheblichen Unterschieden zwischen den Finanzunternehmen in Bezug auf ihre Gr\u00f6\u00dfe und ihr Gesamtrisikoprofil Rechnung getragen werden. Grunds\u00e4tzlich sollten die Finanzunternehmen bei der Verteilung der Ressourcen und Kapazit\u00e4ten f\u00fcr die Umsetzung des IKT-Risikomanagementrahmens ihren IKT-bezogenen Bedarf mit ihrer Gr\u00f6\u00dfe und ihrem Gesamtrisikoprofil sowie mit der Art, dem Umfang und der Komplexit\u00e4t ihrer Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte in Einklang bringen, w\u00e4hrend die zust\u00e4ndigen Beh\u00f6rden den Ansatz f\u00fcr diese Verteilung weiterhin bewerten und \u00fcberpr\u00fcfen sollten.<\/p>\n\n\n\n

(37) Die in Artikel 33 Absatz 1 der Richtlinie (EU) 2015\/2366 genannten Anbieter von Kontoinformationsdiensten sind ausdr\u00fccklich in den Anwendungsbereich dieser Verordnung einbezogen, wobei die besondere Art ihrer T\u00e4tigkeiten und die daraus resultierenden Risiken ber\u00fccksichtigt werden. Dar\u00fcber hinaus werden E-Geld-Institute und Zahlungsinstitute, die gem\u00e4\u00df Artikel 9 Absatz 1 der Richtlinie 2009\/110\/EG des Europ\u00e4ischen Parlaments und des Rates (14) und Artikel 32 Absatz 1 der Richtlinie (EU) 2015\/2366 ausgenommen sind, in den Anwendungsbereich dieser Verordnung aufgenommen, auch wenn sie keine Zulassung gem\u00e4\u00df der Richtlinie 2009\/110\/EG zur Ausgabe von E-Geld oder keine Zulassung gem\u00e4\u00df der Richtlinie (EU) 2015\/2366 zur Erbringung und Ausf\u00fchrung von Zahlungsdiensten erhalten haben. Postscheck\u00e4mter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013\/36\/EU des Europ\u00e4ischen Parlaments und des Rates (15) sind jedoch vom Anwendungsbereich dieser Verordnung ausgenommen. Die zust\u00e4ndige Beh\u00f6rde f\u00fcr Zahlungsinstitute, die gem\u00e4\u00df der Richtlinie (EU) 2015\/2366 ausgenommen sind, f\u00fcr E-Geld-Institute, die gem\u00e4\u00df der Richtlinie 2009\/110\/EG ausgenommen sind, und f\u00fcr Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der Richtlinie (EU) 2015\/2366 sollte die gem\u00e4\u00df Artikel 22 der Richtlinie (EU) 2015\/2366 benannte zust\u00e4ndige Beh\u00f6rde sein.<\/p>\n\n\n\n

(38) Da gr\u00f6\u00dfere Finanzunternehmen m\u00f6glicherweise \u00fcber umfangreichere Ressourcen verf\u00fcgen und rasch Mittel f\u00fcr die Entwicklung von Governance-Strukturen und die Einf\u00fchrung verschiedener Unternehmensstrategien einsetzen k\u00f6nnen, sollten nur Finanzunternehmen, die keine Kleinstunternehmen im Sinne dieser Verordnung sind, verpflichtet werden, komplexere Governance-Regelungen einzuf\u00fchren. Solche Unternehmen sind insbesondere besser in der Lage, spezielle Managementfunktionen f\u00fcr die \u00dcberwachung von Vereinbarungen mit IKT-Drittanbietern oder f\u00fcr das Krisenmanagement einzurichten, ihr IKT-Risikomanagement nach dem Modell der drei Verteidigungslinien zu organisieren oder ein internes Risikomanagement- und Kontrollmodell einzurichten und ihren IKT-Risikomanagementrahmen internen Pr\u00fcfungen zu unterziehen.<\/p>\n\n\n\n

(39) F\u00fcr einige Finanzunternehmen gelten Ausnahmeregelungen oder sie unterliegen einem sehr lockeren Regulierungsrahmen im Rahmen des einschl\u00e4gigen sektorspezifischen Unionsrechts. Zu diesen Finanzunternehmen geh\u00f6ren Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011\/61\/EU des Europ\u00e4ischen Parlaments und des Rates (16), Versicherungs- und R\u00fcckversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009\/138\/EG des Europ\u00e4ischen Parlaments und des Rates (17) und Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt nicht mehr als 15 Versorgungsanw\u00e4rtern betreiben. In Anbetracht dieser Ausnahmen w\u00e4re es nicht verh\u00e4ltnism\u00e4\u00dfig, solche Finanzunternehmen in den Anwendungsbereich dieser Verordnung aufzunehmen. Dar\u00fcber hinaus tr\u00e4gt diese Verordnung den Besonderheiten der Struktur des Marktes f\u00fcr Versicherungsvermittlung Rechnung, so dass Versicherungsvermittler, R\u00fcckversicherungsvermittler und Versicherungsvermittler mit Hilfsfunktion, die als Kleinstunternehmen oder als kleine oder mittlere Unternehmen eingestuft werden, nicht unter diese Verordnung fallen sollten.<\/p>\n\n\n\n

(40) Da die in Artikel 2 Absatz 5 Nummern 4 bis 23 der Richtlinie 2013\/36\/EU genannten Einrichtungen vom Anwendungsbereich der genannten Richtlinie ausgenommen sind, sollten die Mitgliedstaaten folglich die M\u00f6glichkeit haben, solche Einrichtungen, die in ihrem jeweiligen Hoheitsgebiet ans\u00e4ssig sind, von der Anwendung dieser Verordnung auszunehmen.<\/p>\n\n\n\n

(41) Um diese Verordnung an den Anwendungsbereich der Richtlinie 2014\/65\/EU des Europ\u00e4ischen Parlaments und des Rates (18) anzugleichen, ist es ebenfalls angebracht, die in den Artikeln 2 und 3 jener Richtlinie genannten nat\u00fcrlichen und juristischen Personen, die Wertpapierdienstleistungen erbringen d\u00fcrfen, ohne eine Zulassung gem\u00e4\u00df der Richtlinie 2014\/65\/EU einholen zu m\u00fcssen, vom Anwendungsbereich dieser Verordnung auszunehmen. Artikel 2 der Richtlinie 2014\/65\/EU schlie\u00dft jedoch auch Einrichtungen vom Anwendungsbereich der genannten Richtlinie aus, die f\u00fcr die Zwecke dieser Verordnung als Finanzinstitute gelten, wie etwa Zentralverwahrer, Organismen f\u00fcr gemeinsame Anlagen oder Versicherungs- und R\u00fcckversicherungsunternehmen. Der Ausschluss der in den Artikeln 2 und 3 der genannten Richtlinie genannten Personen und Einrichtungen vom Anwendungsbereich dieser Verordnung sollte diese Zentralverwahrer, Organismen f\u00fcr gemeinsame Anlagen oder Versicherungs- und R\u00fcckversicherungsunternehmen nicht einschlie\u00dfen.<\/p>\n\n\n\n

(42) Nach dem sektorspezifischen Unionsrecht gelten f\u00fcr einige Finanzunternehmen aus Gr\u00fcnden, die mit ihrer Gr\u00f6\u00dfe oder den von ihnen erbrachten Dienstleistungen zusammenh\u00e4ngen, weniger strenge Anforderungen oder Ausnahmen. Zu dieser Kategorie von Finanzunternehmen geh\u00f6ren kleine und nicht miteinander verbundene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung, die unter den in Artikel 5 der Richtlinie (EU) 2016\/2341 festgelegten Bedingungen von dem betreffenden Mitgliedstaat vom Anwendungsbereich dieser Richtlinie ausgenommen werden k\u00f6nnen und Altersversorgungssysteme betreiben, die insgesamt nicht mehr als 100 Versorgungsanw\u00e4rter haben, sowie Einrichtungen, die gem\u00e4\u00df der Richtlinie 2013\/36\/EU ausgenommen sind. Daher ist es im Einklang mit dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit und zur Wahrung des Geistes des sektorspezifischen Unionsrechts angemessen, auch diese Finanzunternehmen einem vereinfachten IKT-Risikomanagementrahmen im Rahmen dieser Verordnung zu unterwerfen. Der verh\u00e4ltnism\u00e4\u00dfige Charakter des IKT-Risikomanagementrahmens f\u00fcr diese Finanzunternehmen sollte durch die von den ESA zu entwickelnden technischen Regulierungsstandards nicht ver\u00e4ndert werden. Dar\u00fcber hinaus ist es im Einklang mit dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit angemessen, auch Zahlungsinstitute im Sinne von Artikel 32 Absatz 1 der Richtlinie (EU) 2015\/2366 und E-Geld-Institute im Sinne von Artikel 9 der Richtlinie 2009\/110\/EG, die gem\u00e4\u00df den nationalen Rechtsvorschriften zur Umsetzung dieser Rechtsakte der Union ausgenommen sind, einem vereinfachten Rahmen f\u00fcr das IKT-Risikomanagement gem\u00e4\u00df dieser Verordnung zu unterwerfen, w\u00e4hrend Zahlungsinstitute und E-Geld-Institute, die nicht gem\u00e4\u00df ihren jeweiligen nationalen Rechtsvorschriften zur Umsetzung des sektoralen Unionsrechts ausgenommen wurden, den allgemeinen Rahmen dieser Verordnung einhalten sollten.<\/p>\n\n\n\n

(43) Ebenso sollten Finanzunternehmen, die als Kleinstunternehmen gelten oder dem vereinfachten Rahmen f\u00fcr das IKT-Risikomanagement gem\u00e4\u00df dieser Verordnung unterliegen, nicht verpflichtet sein, eine Funktion zur \u00dcberwachung ihrer mit IKT-Drittanbietern getroffenen Vereinbarungen \u00fcber die Nutzung von IKT-Dienstleistungen einzurichten oder ein Mitglied der Gesch\u00e4ftsleitung zu benennen, das f\u00fcr die \u00dcberwachung des damit verbundenen Risikos und der einschl\u00e4gigen Dokumentation verantwortlich ist; die Verantwortung f\u00fcr das Management und die \u00dcberwachung der IKT-Risiken einer Kontrollfunktion zu \u00fcbertragen und ein angemessenes Ma\u00df an Unabh\u00e4ngigkeit dieser Kontrollfunktion sicherzustellen, um Interessenkonflikte zu vermeiden; den IKT-Risikomanagement-Rahmen mindestens einmal j\u00e4hrlich zu dokumentieren und zu \u00fcberpr\u00fcfen; den IKT-Risikomanagement-Rahmen regelm\u00e4\u00dfig der Innenrevision zu unterziehen; nach gr\u00f6\u00dferen \u00c4nderungen in ihrem Unternehmen eingehende Bewertungen durchzuf\u00fchren Netzwerk und InformationssystemNetzwerk und Informationssystem<\/span> (a) ein elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2018\/1972; b) ein Ger\u00e4t oder eine Gruppe miteinander verbundener oder zusammenh\u00e4ngender Ger\u00e4te, von denen eines oder mehrere nach einem Programm eine automatische Verarbeitung digitaler Daten durchf\u00fchren; oder c) digitale Daten, die von den unter den Buchstaben a und b erfassten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder \u00fcbertragen werden; - Definition gem\u00e4\u00df Artikel 6 der Richtlinie (EU) 2022\/2555 (NIS2-Richtlinie)<\/a><\/span><\/span><\/span> IKT-Infrastrukturen und -Prozesse; regelm\u00e4\u00dfige Durchf\u00fchrung von Risikoanalysen f\u00fcr IKT-Altsysteme; \u00dcberpr\u00fcfung der Umsetzung der IKT-Reaktions- und Wiederherstellungspl\u00e4ne durch unabh\u00e4ngige interne Pr\u00fcfer; Einrichtung einer Krisenmanagementfunktion, Ausweitung der Tests von Betriebskontinuit\u00e4ts-, Reaktions- und Wiederherstellungspl\u00e4nen zur Erfassung von Umschaltszenarien zwischen der prim\u00e4ren IKT-Infrastruktur und redundanten Einrichtungen; \u00dcbermittlung einer Sch\u00e4tzung der j\u00e4hrlichen Gesamtkosten und -verluste, die durch gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle verursacht werden, an die zust\u00e4ndigen Beh\u00f6rden auf deren Anfrage; Aufrechterhaltung redundanter IKT-Kapazit\u00e4ten; den zust\u00e4ndigen nationalen Beh\u00f6rden die \u00c4nderungen mitzuteilen, die sie im Anschluss an \u00dcberpr\u00fcfungen von IKT-bezogenen Vorf\u00e4llen vorgenommen haben; relevante technologische Entwicklungen kontinuierlich zu \u00fcberwachen, ein umfassendes Programm zur Pr\u00fcfung der digitalen operativen Belastbarkeit als integralen Bestandteil des in dieser Verordnung vorgesehenen Rahmens f\u00fcr das IKT-Risikomanagement einzurichten oder eine Strategie f\u00fcr IKT-Drittrisiken festzulegen und regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen. Dar\u00fcber hinaus sollten Kleinstunternehmen nur verpflichtet sein, die Notwendigkeit der Aufrechterhaltung solcher redundanter IKT-Kapazit\u00e4ten auf der Grundlage ihres Risikoprofils zu bewerten. Kleinstunternehmen sollten von einer flexibleren Regelung in Bezug auf Testprogramme f\u00fcr die digitale operative Belastbarkeit profitieren. Bei der Pr\u00fcfung der Art und H\u00e4ufigkeit der durchzuf\u00fchrenden Tests sollten sie das Ziel der Aufrechterhaltung einer hohen digitalen Betriebsresilienz, die verf\u00fcgbaren Ressourcen und ihr Gesamtrisikoprofil angemessen abw\u00e4gen. Kleinstunternehmen und Finanzunternehmen, die dem vereinfachten Rahmen f\u00fcr das IKT-Risikomanagement gem\u00e4\u00df dieser Verordnung unterliegen, sollten von der Verpflichtung ausgenommen werden, fortgeschrittene Tests von IKT-Werkzeugen, -Systemen und -Verfahren auf der Grundlage von bedrohungsorientierten Penetrationstests (TLPT) durchzuf\u00fchren, da nur Finanzunternehmen, die die in dieser Verordnung festgelegten Kriterien erf\u00fcllen, zur Durchf\u00fchrung solcher Tests verpflichtet sein sollten. In Anbetracht ihrer begrenzten F\u00e4higkeiten sollten Kleinstunternehmen mit dem IKT-Drittdienstleister vereinbaren k\u00f6nnen, die Rechte des Finanzunternehmens auf Zugang, Inspektion und Pr\u00fcfung an einen vom IKT-Drittdienstleister zu benennenden unabh\u00e4ngigen Dritten zu delegieren, vorausgesetzt, das Finanzunternehmen kann jederzeit alle relevanten Informationen und Zusicherungen \u00fcber die Leistung des IKT-Drittdienstleisters von dem jeweiligen unabh\u00e4ngigen Dritten verlangen.<\/p>\n\n\n\n

(44) Da nur diejenigen Finanzunternehmen, die f\u00fcr die Zwecke der fortgeschrittenen digitalen Resilienztests ermittelt wurden, zur Durchf\u00fchrung bedrohungsorientierter Penetrationstests verpflichtet werden sollten, sollten die mit der Durchf\u00fchrung solcher Tests verbundenen Verwaltungsverfahren und finanziellen Kosten von einem kleinen Prozentsatz der Finanzunternehmen getragen werden.<\/p>\n\n\n\n

(45) Um eine vollst\u00e4ndige Angleichung und Gesamtkoh\u00e4renz zwischen den Gesch\u00e4ftsstrategien der Finanzunternehmen einerseits und der Durchf\u00fchrung des IKT-Risikomanagements andererseits zu gew\u00e4hrleisten, sollte von den Leitungsorganen der Finanzunternehmen verlangt werden, dass sie eine zentrale und aktive Rolle bei der Steuerung und Anpassung des IKT-Risikomanagementrahmens und der Gesamtstrategie f\u00fcr die digitale operationelle Resilienz spielen. Der von den Leitungsorganen zu verfolgende Ansatz sollte sich nicht nur auf die Mittel zur Gew\u00e4hrleistung der Widerstandsf\u00e4higkeit der IKT-Systeme konzentrieren, sondern auch Menschen und Prozesse durch eine Reihe von Ma\u00dfnahmen einbeziehen, die auf jeder Unternehmensebene und bei allen Mitarbeitern ein starkes Bewusstsein f\u00fcr Cyber-Risiken und eine Verpflichtung zur Einhaltung einer strengen Cyber-Hygiene auf allen Ebenen f\u00f6rdern. Die letztendliche Verantwortung des Leitungsorgans f\u00fcr das IKT-Risikomanagement eines Finanzunternehmens sollte ein \u00fcbergreifender Grundsatz dieses umfassenden Ansatzes sein, der sich auch in der kontinuierlichen Beteiligung des Leitungsorgans an der Kontrolle der \u00dcberwachung des IKT-Risikomanagements niederschl\u00e4gt.<\/p>\n\n\n\n

(46) Dar\u00fcber hinaus geht der Grundsatz der uneingeschr\u00e4nkten und letztendlichen Verantwortung des Leitungsorgans f\u00fcr das Management des IKT-Risikos des Finanzunternehmens mit der Notwendigkeit einher, ein Niveau an IKT-bezogenen Investitionen und ein Gesamtbudget f\u00fcr das Finanzunternehmen sicherzustellen, das es dem Finanzunternehmen erm\u00f6glicht, ein hohes Ma\u00df an digitaler operativer Widerstandsf\u00e4higkeit zu erreichen.<\/p>\n\n\n\n

(47) Auf der Grundlage einschl\u00e4giger internationaler, nationaler und branchenspezifischer bew\u00e4hrter Praktiken, Leitlinien, Empfehlungen und Ans\u00e4tze f\u00fcr das Management von Cyberrisiken f\u00f6rdert diese Verordnung eine Reihe von Grunds\u00e4tzen, die die Gesamtstruktur des IKT-Risikomanagements erleichtern. Solange die von den Finanzinstituten eingerichteten Hauptkapazit\u00e4ten den verschiedenen Funktionen des IKT-Risikomanagements (Identifizierung, Schutz und Pr\u00e4vention, Aufdeckung, Reaktion und Wiederherstellung, Lernen und Weiterentwicklung sowie Kommunikation) gem\u00e4\u00df dieser Verordnung entsprechen, sollte es den Finanzinstituten folglich freistehen, IKT-Risikomanagementmodelle zu verwenden, die anders gestaltet oder kategorisiert sind.<\/p>\n\n\n\n

(48) Um mit der sich st\u00e4ndig weiterentwickelnden Cyber-Bedrohungslandschaft Schritt zu halten, sollten die Finanzunternehmen aktualisierte IKT-Systeme unterhalten, die zuverl\u00e4ssig und f\u00e4hig sind, nicht nur die Verarbeitung der f\u00fcr ihre Dienstleistungen erforderlichen Daten zu gew\u00e4hrleisten, sondern auch eine ausreichende technologische Widerstandsf\u00e4higkeit sicherzustellen, damit sie mit zus\u00e4tzlichem Verarbeitungsbedarf aufgrund angespannter Marktbedingungen oder anderer widriger Umst\u00e4nde angemessen umgehen k\u00f6nnen.<\/p>\n\n\n\n

(49) Effiziente Pl\u00e4ne zur Aufrechterhaltung des Gesch\u00e4ftsbetriebs und zur Wiederherstellung des Betriebs sind notwendig, damit Finanzunternehmen IKT-bezogene Vorf\u00e4lle, insbesondere Cyberangriffe, umgehend und schnell beheben k\u00f6nnen, indem sie den Schaden begrenzen und der Wiederaufnahme der T\u00e4tigkeiten und den Wiederherstellungsma\u00dfnahmen im Einklang mit ihren Sicherungsstrategien Vorrang einr\u00e4umen. Eine solche Wiederaufnahme sollte jedoch in keiner Weise die Integrit\u00e4t und Sicherheit des Netzes und der Informationssysteme oder die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit von Daten gef\u00e4hrden.<\/p>\n\n\n\n

(50) Diese Verordnung erlaubt es den Finanzunternehmen zwar, ihre Ziele f\u00fcr die Wiederherstellungszeit und den Wiederherstellungspunkt flexibel zu bestimmen und diese Ziele unter voller Ber\u00fccksichtigung der Art und der Kritikalit\u00e4t der betreffenden Funktionen und etwaiger spezifischer gesch\u00e4ftlicher Erfordernisse festzulegen, sie sollte sie jedoch verpflichten, bei der Festlegung dieser Ziele eine Bewertung der potenziellen Gesamtauswirkungen auf die Markteffizienz vorzunehmen.<\/p>\n\n\n\n

(51) Die Verursacher von Cyberangriffen streben in der Regel nach finanziellen Gewinnen direkt an der Quelle und setzen damit Finanzunternehmen erheblichen Konsequenzen aus. Um zu verhindern, dass IKT-Systeme ihre Integrit\u00e4t verlieren oder nicht mehr verf\u00fcgbar sind, und um somit Datenschutzverletzungen und Sch\u00e4den an der physischen IKT-Infrastruktur zu vermeiden, sollte die Meldung gr\u00f6\u00dferer IKT-bezogener Vorf\u00e4lle durch Finanzunternehmen erheblich verbessert und gestrafft werden. Die Meldung von IKT-Vorf\u00e4llen sollte harmonisiert werden, indem f\u00fcr alle Finanzunternehmen die Verpflichtung eingef\u00fchrt wird, direkt an die jeweils zust\u00e4ndigen Beh\u00f6rden zu berichten. Unterliegt ein Finanzunternehmen der Aufsicht durch mehr als eine zust\u00e4ndige nationale Beh\u00f6rde, sollten die Mitgliedstaaten eine einzige zust\u00e4ndige Beh\u00f6rde als Adressaten f\u00fcr diese Meldungen benennen. Kreditinstitute, die gem\u00e4\u00df Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024\/2013 des Rates (19) als bedeutend eingestuft werden, sollten diese Meldungen an die nationalen zust\u00e4ndigen Beh\u00f6rden \u00fcbermitteln, die sie anschlie\u00dfend an die Europ\u00e4ische Zentralbank (EZB) weiterleiten sollten.<\/p>\n\n\n\n

(52) Die direkte Berichterstattung sollte es den Finanzaufsichtsbeh\u00f6rden erm\u00f6glichen, sofortigen Zugang zu Informationen \u00fcber gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle zu erhalten. Die Finanzaufsichtsbeh\u00f6rden sollten ihrerseits Einzelheiten \u00fcber gr\u00f6\u00dfere IKT-Vorf\u00e4lle an \u00f6ffentliche Beh\u00f6rden au\u00dferhalb des Finanzsektors weitergeben (z. B. an die zust\u00e4ndigen Beh\u00f6rden und die einheitlichen Ansprechpartner gem\u00e4\u00df der Richtlinie (EU) 2022\/2555, an die nationalen Datenschutzbeh\u00f6rden und an die Strafverfolgungsbeh\u00f6rden bei gr\u00f6\u00dferen IKT-Vorf\u00e4llen strafrechtlicher Natur), um diese Beh\u00f6rden besser f\u00fcr solche Vorf\u00e4lle zu sensibilisieren und - im Falle von CSIRTs - die unverz\u00fcgliche Unterst\u00fctzung von Finanzunternehmen zu erleichtern. Die Mitgliedstaaten sollten dar\u00fcber hinaus festlegen k\u00f6nnen, dass Finanzunternehmen selbst solche Informationen an Beh\u00f6rden au\u00dferhalb des Finanzdienstleistungsbereichs weitergeben sollten. Diese Informationsfl\u00fcsse sollten es den Finanzunternehmen erm\u00f6glichen, rasch von allen relevanten technischen Beitr\u00e4gen, Ratschl\u00e4gen zu Abhilfema\u00dfnahmen und anschlie\u00dfenden Folgema\u00dfnahmen dieser Beh\u00f6rden zu profitieren. Die Informationen \u00fcber gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle sollten gegenseitig kanalisiert werden: Die Finanzaufsichtsbeh\u00f6rden sollten dem Finanzunternehmen alle notwendigen R\u00fcckmeldungen oder Hinweise geben, w\u00e4hrend die ESAs anonymisierte Daten \u00fcber Cyber-Bedrohungen und -Schwachstellen im Zusammenhang mit einem Vorfall austauschen sollten, um eine umfassendere kollektive Verteidigung zu unterst\u00fctzen.<\/p>\n\n\n\n

(53) Zwar sollten alle Finanzunternehmen zur Meldung von Vorf\u00e4llen verpflichtet sein, doch d\u00fcrfte diese Anforderung nicht alle in gleicher Weise betreffen. Tats\u00e4chlich sollten die einschl\u00e4gigen Wesentlichkeitsschwellen sowie die Meldefristen im Rahmen von delegierten Rechtsakten auf der Grundlage der von den ESA zu entwickelnden technischen Regulierungsstandards geb\u00fchrend angepasst werden, um nur gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle zu erfassen. Dar\u00fcber hinaus sollten die Besonderheiten von Finanzunternehmen bei der Festlegung von Fristen f\u00fcr die Meldepflichten ber\u00fccksichtigt werden.<\/p>\n\n\n\n

(54) Diese Verordnung sollte Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute verpflichten, alle operationellen oder sicherheitsrelevanten Vorf\u00e4lle im Zahlungsverkehr - die zuvor gem\u00e4\u00df der Richtlinie (EU) 2015\/2366 gemeldet wurden - zu melden, unabh\u00e4ngig von der Art des Vorfalls im Bereich der IKT.<\/p>\n\n\n\n

(55) Die ESA sollten damit beauftragt werden, die Durchf\u00fchrbarkeit und die Bedingungen f\u00fcr eine m\u00f6gliche Zentralisierung der Meldungen von IKT-Vorf\u00e4llen auf Unionsebene zu pr\u00fcfen. Eine solche Zentralisierung k\u00f6nnte darin bestehen, dass eine einzige EU-Drehscheibe f\u00fcr die Meldung gr\u00f6\u00dferer IKT-bezogener Vorf\u00e4lle entweder direkt einschl\u00e4gige Meldungen entgegennimmt und die zust\u00e4ndigen nationalen Beh\u00f6rden automatisch benachrichtigt oder aber die von den zust\u00e4ndigen nationalen Beh\u00f6rden \u00fcbermittelten einschl\u00e4gigen Meldungen lediglich zentralisiert und damit eine Koordinierungsfunktion erf\u00fcllt. Die ESA sollten damit beauftragt werden, in Absprache mit der EZB und der ENISA einen gemeinsamen Bericht zu erstellen, in dem die Durchf\u00fchrbarkeit der Einrichtung eines einzigen EU-Zentrums untersucht wird.<\/p>\n\n\n\n

(56) Um ein hohes Ma\u00df an digitaler operativer Widerstandsf\u00e4higkeit zu erreichen, sollten die Finanzunternehmen im Einklang mit den einschl\u00e4gigen internationalen Standards (z. B. den G7-Grundelementen f\u00fcr bedrohungsgesteuerte Penetrationstests) und den in der Union angewandten Rahmenwerken wie TIBER-EU ihre IKT-Systeme und Mitarbeiter mit IKT-bezogenen Zust\u00e4ndigkeiten regelm\u00e4\u00dfig auf die Wirksamkeit ihrer Pr\u00e4ventions-, Erkennungs-, Reaktions- und Wiederherstellungsf\u00e4higkeiten testen, um potenzielle IKT-Schwachstellen aufzudecken und zu beseitigen. Um den Unterschieden Rechnung zu tragen, die zwischen und innerhalb der verschiedenen Teilsektoren des Finanzsektors in Bezug auf den Stand der Vorbereitungen der Finanzunternehmen auf dem Gebiet der Cybersicherheit bestehen, sollten die Tests eine breite Palette von Instrumenten und Ma\u00dfnahmen umfassen, die von der Bewertung grundlegender Anforderungen (z. B. Bewertungen von Schwachstellen und Scans, Open-Source-Analysen, Bewertungen der Netzsicherheit, L\u00fcckenanalysen, \u00dcberpr\u00fcfungen der physischen Sicherheit, Frageb\u00f6gen und Scannen von Softwarel\u00f6sungen, \u00dcberpr\u00fcfungen des Quellcodes, wo dies m\u00f6glich ist, szenariobasierte Tests, Kompatibilit\u00e4tstests, Leistungstests oder End-to-End-Tests) bis hin zu fortgeschritteneren Tests mit Hilfe von TLPT reichen. Solche fortgeschrittenen Tests sollten nur von Finanzunternehmen verlangt werden, die aus IKT-Sicht reif genug sind, um sie vern\u00fcnftig durchf\u00fchren zu k\u00f6nnen. Die in dieser Verordnung geforderten Tests der digitalen operationellen Belastbarkeit sollten daher f\u00fcr diejenigen Finanzunternehmen, die die in dieser Verordnung festgelegten Kriterien erf\u00fcllen (z. B. gro\u00dfe, systemrelevante und IKT-reife Kreditinstitute, B\u00f6rsen, Zentralverwahrer und zentrale Gegenparteien), anspruchsvoller sein als f\u00fcr andere Finanzunternehmen. Gleichzeitig sollte die Pr\u00fcfung der digitalen operationellen Belastbarkeit mittels TLPT f\u00fcr Finanzunternehmen, die in zentralen Teilsektoren des Finanzdienstleistungssektors t\u00e4tig sind und eine systemische Rolle spielen (z. B. Zahlungsverkehr, Banken sowie Clearing und Abrechnung), relevanter sein und f\u00fcr andere Teilsektoren (z. B. Verm\u00f6gensverwalter und Ratingagenturen) weniger relevant.<\/p>\n\n\n\n

(57) Finanzunternehmen, die grenz\u00fcberschreitend t\u00e4tig sind und von der Niederlassungsfreiheit oder der Dienstleistungsfreiheit in der Union Gebrauch machen, sollten in ihrem Herkunftsmitgliedstaat ein einziges Paket fortgeschrittener Testanforderungen (d. h. TLPT) erf\u00fcllen, das die IKT-Infrastrukturen in allen Rechtsordnungen, in denen die grenz\u00fcberschreitend t\u00e4tige Finanzgruppe in der Union t\u00e4tig ist, einschlie\u00dfen sollte, so dass solchen grenz\u00fcberschreitend t\u00e4tigen Finanzgruppen die damit verbundenen IKT-Testkosten nur in einer Rechtsordnung entstehen.<\/p>\n\n\n\n

(58) Um das von bestimmten zust\u00e4ndigen Beh\u00f6rden bereits erworbene Fachwissen zu nutzen, insbesondere im Hinblick auf die Umsetzung des TIBER-EU-Rahmens, sollte diese Verordnung den Mitgliedstaaten die M\u00f6glichkeit geben, eine einzige Beh\u00f6rde zu benennen, die im Finanzsektor auf nationaler Ebene f\u00fcr alle TLPT-Angelegenheiten zust\u00e4ndig ist, oder zust\u00e4ndige Beh\u00f6rden, die in Ermangelung einer solchen Benennung die Wahrnehmung von Aufgaben im Zusammenhang mit dem TLPT an eine andere zust\u00e4ndige nationale Finanzbeh\u00f6rde delegieren k\u00f6nnen.<\/p>\n\n\n\n

(59) Da diese Verordnung den Finanzunternehmen nicht vorschreibt, alle kritischen oder wichtigen Funktionen in einem einzigen bedrohungsorientierten Penetrationstest abzudecken, sollte es den Finanzunternehmen freistehen zu bestimmen, welche und wie viele kritische oder wichtige Funktionen in den Umfang eines solchen Tests einbezogen werden sollen.<\/p>\n\n\n\n

(60) Pooltests im Sinne dieser Verordnung - die die Teilnahme mehrerer Finanzinstitute an einem TLPT beinhalten und f\u00fcr die ein IKT-Drittdienstleister direkt vertragliche Vereinbarungen mit einem externen Tester treffen kann - sollten nur dann zul\u00e4ssig sein, wenn die Qualit\u00e4t oder Sicherheit der Dienstleistungen, die der IKT-Drittdienstleister f\u00fcr Kunden erbringt, bei denen es sich um Unternehmen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen, oder die Vertraulichkeit der mit diesen Dienstleistungen verbundenen Daten voraussichtlich beeintr\u00e4chtigt werden. F\u00fcr Pooltests sollten auch Schutzma\u00dfnahmen gelten (Leitung durch ein benanntes Finanzinstitut, Kalibrierung der Anzahl der teilnehmenden Finanzinstitute), um f\u00fcr die beteiligten Finanzinstitute ein strenges Testverfahren zu gew\u00e4hrleisten, das den Zielen des TLPT gem\u00e4\u00df dieser Verordnung entspricht.<\/p>\n\n\n\n

(61) Um die auf Unternehmensebene verf\u00fcgbaren internen Ressourcen zu nutzen, sollte diese Verordnung den Einsatz interner Tester f\u00fcr die Durchf\u00fchrung von TLPT erlauben, vorausgesetzt, es liegt eine aufsichtliche Genehmigung vor, es bestehen keine Interessenkonflikte und der Einsatz interner und externer Tester wechselt regelm\u00e4\u00dfig (alle drei Tests), wobei der Anbieter der Bedrohungsdaten im TLPT stets ein Externer des Finanzunternehmens sein muss. Die Verantwortung f\u00fcr die Durchf\u00fchrung des TLPT sollte vollst\u00e4ndig bei der Finanzinstitution verbleiben. Die von den Beh\u00f6rden ausgestellten Bescheinigungen sollten ausschlie\u00dflich der gegenseitigen Anerkennung dienen und keine Folgema\u00dfnahmen ausschlie\u00dfen, die erforderlich sind, um das IKT-Risiko, dem das Finanzinstitut ausgesetzt ist, zu bew\u00e4ltigen, noch sollten sie als aufsichtliche Best\u00e4tigung der IKT-Risikomanagement- und -minderungsf\u00e4higkeiten eines Finanzinstituts angesehen werden.<\/p>\n\n\n\n

(62) Um eine solide \u00dcberwachung des IKT-Drittrisikos im Finanzsektor zu gew\u00e4hrleisten, ist es erforderlich, eine Reihe prinzipiengest\u00fctzter Regeln festzulegen, die den Finanzunternehmen als Richtschnur f\u00fcr die \u00dcberwachung des Risikos dienen, das sich im Zusammenhang mit Funktionen ergibt, die an IKT-Drittdienstleister ausgelagert werden, insbesondere bei IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterst\u00fctzen, sowie generell im Zusammenhang mit allen IKT-Drittabh\u00e4ngigkeiten.<\/p>\n\n\n\n

(63) Um der Komplexit\u00e4t der verschiedenen IKT-Risikoquellen gerecht zu werden und gleichzeitig der Vielzahl und Vielfalt der Anbieter technologischer L\u00f6sungen, die eine reibungslose Erbringung von Finanzdienstleistungen erm\u00f6glichen, Rechnung zu tragen, sollte diese Verordnung ein breites Spektrum von IKT-Drittanbietern abdecken, einschlie\u00dflich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Anbietern von Rechenzentrumsdienstleistungen. Da die Finanzunternehmen alle Arten von Risiken wirksam und koh\u00e4rent ermitteln und steuern sollten, auch im Zusammenhang mit IKT-Dienstleistungen, die innerhalb einer Finanzgruppe beschafft werden, sollte klargestellt werden, dass Unternehmen, die Teil einer Finanzgruppe sind und IKT-Dienstleistungen \u00fcberwiegend f\u00fcr ihr Mutterunternehmen oder f\u00fcr Tochterunternehmen oder Zweigniederlassungen ihres Mutterunternehmens erbringen, sowie Finanzunternehmen, die IKT-Dienstleistungen f\u00fcr andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne dieser Verordnung gelten sollten. Schlie\u00dflich sollten in Anbetracht des sich entwickelnden Zahlungsdienstemarktes, der zunehmend von komplexen technischen L\u00f6sungen abh\u00e4ngt, und angesichts neu entstehender Arten von Zahlungsdiensten und zahlungsbezogener L\u00f6sungen auch die Teilnehmer des \u00d6kosystems der Zahlungsdienste, die Zahlungsverarbeitungst\u00e4tigkeiten erbringen oder Zahlungsinfrastrukturen betreiben, als IKT-Drittdienstleister im Sinne dieser Verordnung gelten, mit Ausnahme von Zentralbanken, wenn sie Zahlungs- oder Wertpapierabwicklungssysteme betreiben, und von Beh\u00f6rden, wenn sie IKT-bezogene Dienste im Rahmen der Erf\u00fcllung staatlicher Aufgaben erbringen.<\/p>\n\n\n\n

(64) Ein Finanzunternehmen sollte jederzeit in vollem Umfang f\u00fcr die Einhaltung seiner in dieser Verordnung festgelegten Verpflichtungen verantwortlich sein. Die Finanzunternehmen sollten bei der \u00dcberwachung von Risiken, die auf der Ebene der IKT-Drittdienstleister entstehen, einen angemessenen Ansatz verfolgen, indem sie die Art, den Umfang, die Komplexit\u00e4t und die Bedeutung ihrer IKT-bezogenen Abh\u00e4ngigkeiten, die Kritikalit\u00e4t oder die Bedeutung der Dienstleistungen, Prozesse oder Funktionen, die Gegenstand der vertraglichen Vereinbarungen sind, geb\u00fchrend ber\u00fccksichtigen und letztlich auf der Grundlage einer sorgf\u00e4ltigen Bewertung aller potenziellen Auswirkungen auf die Kontinuit\u00e4t und Qualit\u00e4t der Finanzdienstleistungen auf Einzel- und gegebenenfalls auf Gruppenebene vorgehen.<\/p>\n\n\n\n

(65) Die Durchf\u00fchrung einer solchen \u00dcberwachung sollte einem strategischen Ansatz f\u00fcr das IKT-Drittrisiko folgen, der durch die Annahme einer speziellen IKT-Drittrisikostrategie durch das Leitungsorgan des Finanzinstituts formalisiert wird und auf einer kontinuierlichen \u00dcberpr\u00fcfung aller IKT-Drittabh\u00e4ngigkeiten beruht. Um das Bewusstsein der Aufsichtsbeh\u00f6rden f\u00fcr IKT-Abh\u00e4ngigkeiten von Dritten zu sch\u00e4rfen und um die Arbeit im Kontext des durch diese Verordnung geschaffenen Aufsichtsrahmens weiter zu unterst\u00fctzen, sollten alle Finanzunternehmen verpflichtet werden, ein Informationsregister mit allen vertraglichen Vereinbarungen \u00fcber die Nutzung von IKT-Diensten, die von IKT-Drittanbietern erbracht werden, zu f\u00fchren. Die Finanzaufsichtsbeh\u00f6rden sollten in der Lage sein, das vollst\u00e4ndige Register oder bestimmte Abschnitte davon anzufordern und so wesentliche Informationen zu erhalten, um ein umfassenderes Verst\u00e4ndnis der IKT-Abh\u00e4ngigkeiten von Finanzunternehmen zu erlangen.<\/p>\n\n\n\n

(66) Dem f\u00f6rmlichen Abschluss vertraglicher Vereinbarungen sollte eine gr\u00fcndliche Analyse vor Vertragsabschluss vorausgehen, die sich insbesondere auf Elemente wie die Kritikalit\u00e4t oder Bedeutung der durch den geplanten IKT-Vertrag unterst\u00fctzten Dienstleistungen, die erforderlichen aufsichtsrechtlichen Genehmigungen oder sonstigen Bedingungen, das m\u00f6gliche Konzentrationsrisiko sowie die Anwendung der gebotenen Sorgfalt bei der Auswahl und Bewertung von IKT-Drittdienstleistern und die Bewertung potenzieller Interessenkonflikte konzentriert. Bei vertraglichen Vereinbarungen, die kritische oder wichtige Funktionen betreffen, sollten die Finanzunternehmen darauf achten, dass die IKT-Drittdienstleister die neuesten und h\u00f6chsten Informationssicherheitsstandards anwenden. Die Beendigung vertraglicher Vereinbarungen k\u00f6nnte zumindest durch eine Reihe von Umst\u00e4nden veranlasst werden, die auf Defizite auf der Ebene des IKT-Drittdienstleisters hinweisen, insbesondere auf erhebliche Verst\u00f6\u00dfe gegen Gesetze oder Vertragsbedingungen, auf Umst\u00e4nde, die eine potenzielle \u00c4nderung der Erf\u00fcllung der in den vertraglichen Vereinbarungen vorgesehenen Funktionen erkennen lassen, auf Anzeichen f\u00fcr Schw\u00e4chen des IKT-Drittdienstleisters in seinem allgemeinen IKT-Risikomanagement oder auf Umst\u00e4nde, die darauf hindeuten, dass die jeweils zust\u00e4ndige Beh\u00f6rde nicht in der Lage ist, das Finanzinstitut wirksam zu beaufsichtigen.<\/p>\n\n\n\n

(67) Um den systemischen Auswirkungen des Konzentrationsrisikos bei IKT-Drittanbietern entgegenzuwirken, f\u00f6rdert diese Verordnung eine ausgewogene L\u00f6sung, indem sie einen flexiblen und schrittweisen Ansatz f\u00fcr dieses Konzentrationsrisiko vorsieht, da die Auferlegung starrer Obergrenzen oder strenger Beschr\u00e4nkungen die Gesch\u00e4ftst\u00e4tigkeit behindern und die Vertragsfreiheit einschr\u00e4nken k\u00f6nnte. Die Finanzunternehmen sollten ihre geplanten vertraglichen Vereinbarungen gr\u00fcndlich pr\u00fcfen, um die Wahrscheinlichkeit des Auftretens eines solchen Risikos zu ermitteln, unter anderem durch eingehende Analysen von Unterauftragsvereinbarungen, insbesondere wenn diese mit in einem Drittland ans\u00e4ssigen IKT-Drittdienstleistern geschlossen werden. Zum gegenw\u00e4rtigen Zeitpunkt und im Hinblick auf ein angemessenes Gleichgewicht zwischen dem Gebot der Wahrung der Vertragsfreiheit und dem der Gew\u00e4hrleistung der Finanzstabilit\u00e4t wird es nicht als angemessen erachtet, Regeln f\u00fcr strenge Obergrenzen und Begrenzungen f\u00fcr IKT-Drittrisiken festzulegen. Im Zusammenhang mit dem Aufsichtsrahmen sollte ein gem\u00e4\u00df dieser Verordnung ernannter federf\u00fchrender \u00dcberwacher in Bezug auf kritische IKT-Drittdienstleister besonders darauf achten, das Ausma\u00df der Interdependenzen vollst\u00e4ndig zu erfassen, spezifische F\u00e4lle zu ermitteln, in denen ein hoher Konzentrationsgrad kritischer IKT-Drittdienstleister in der Union die Stabilit\u00e4t und Integrit\u00e4t des Finanzsystems der Union gef\u00e4hrden k\u00f6nnte, und einen Dialog mit kritischen IKT-Drittdienstleistern zu f\u00fchren, wenn ein solches spezifisches Risiko festgestellt wird.<\/p>\n\n\n\n

(68) Um die F\u00e4higkeit eines IKT-Drittdienstleisters zur sicheren Erbringung von Dienstleistungen f\u00fcr ein Finanzinstitut ohne nachteilige Auswirkungen auf die digitale Belastbarkeit des Finanzinstituts regelm\u00e4\u00dfig zu bewerten und zu \u00fcberwachen, sollten mehrere wesentliche Vertragselemente mit IKT-Drittdienstleistern harmonisiert werden. Eine solche Harmonisierung sollte Mindestbereiche abdecken, die f\u00fcr eine umfassende \u00dcberwachung der Risiken, die von dem IKT-Drittdienstleister ausgehen k\u00f6nnten, durch das Finanzinstitut entscheidend sind, und zwar unter dem Gesichtspunkt, dass ein Finanzinstitut seine digitale Widerstandsf\u00e4higkeit sicherstellen muss, da es in hohem Ma\u00dfe von der Stabilit\u00e4t, Funktionalit\u00e4t, Verf\u00fcgbarkeit und Sicherheit der erhaltenen IKT-Dienstleistungen abh\u00e4ngig ist.<\/p>\n\n\n\n

(69) Bei der Neuaushandlung vertraglicher Vereinbarungen zur Angleichung an die Anforderungen dieser Verordnung sollten Finanzunternehmen und IKT-Drittdienstleister sicherstellen, dass die wichtigsten Vertragsbestimmungen dieser Verordnung abgedeckt sind.<\/p>\n\n\n\n

(70) Die in dieser Verordnung enthaltene Definition der \"kritischen oder wichtigen Funktion\" umfasst die \"kritischen Funktionen\" im Sinne von Artikel 2 Absatz 1 Nummer 35 der Richtlinie 2014\/59\/EU des Europ\u00e4ischen Parlaments und des Rates (20). Dementsprechend sind Funktionen, die gem\u00e4\u00df der Richtlinie 2014\/59\/EU als kritisch gelten, in der Definition der kritischen Funktionen im Sinne dieser Verordnung enthalten.<\/p>\n\n\n\n

(71) Unabh\u00e4ngig von der Kritikalit\u00e4t oder Bedeutung der von den IKT-Dienstleistungen unterst\u00fctzten Funktion sollten die vertraglichen Vereinbarungen insbesondere eine vollst\u00e4ndige Beschreibung der Funktionen und Dienstleistungen, der Orte, an denen diese Funktionen erbracht werden und an denen Daten verarbeitet werden sollen, sowie eine Beschreibung der Leistungsstufen vorsehen. Weitere wesentliche Elemente, die es einem Finanzinstitut erm\u00f6glichen, das IKT-Drittparteirisiko zu \u00fcberwachen, sind: Vertragsbestimmungen, in denen festgelegt wird, wie der IKT-Drittdienstleister die Zug\u00e4nglichkeit, die Verf\u00fcgbarkeit, die Integrit\u00e4t, die Sicherheit und den Schutz personenbezogener Daten gew\u00e4hrleistet, Bestimmungen, in denen die entsprechenden Garantien f\u00fcr den Zugang, die Wiederherstellung und die R\u00fcckgabe von Daten im Falle der Insolvenz, der Aufl\u00f6sung oder der Einstellung der Gesch\u00e4ftst\u00e4tigkeit des IKT-Drittdienstleisters festgelegt sind, sowie Bestimmungen, die den IKT-Drittdienstleister verpflichten, bei IKT-St\u00f6rungen im Zusammenhang mit den erbrachten Dienstleistungen Hilfe zu leisten, und zwar ohne zus\u00e4tzliche Kosten oder zu im Voraus festgelegten Kosten; Bestimmungen \u00fcber die Verpflichtung des IKT-Drittdienstleisters zur uneingeschr\u00e4nkten Zusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden und den Abwicklungsbeh\u00f6rden des Finanzunternehmens; und Bestimmungen \u00fcber K\u00fcndigungsrechte und entsprechende Mindestk\u00fcndigungsfristen f\u00fcr die Beendigung der vertraglichen Vereinbarungen, die den Erwartungen der zust\u00e4ndigen Beh\u00f6rden und der Abwicklungsbeh\u00f6rden entsprechen.<\/p>\n\n\n\n

(72) Zus\u00e4tzlich zu diesen vertraglichen Bestimmungen und um sicherzustellen, dass die Finanzunternehmen die volle Kontrolle \u00fcber alle Entwicklungen auf der Ebene Dritter behalten, die ihre IKT-Sicherheit beeintr\u00e4chtigen k\u00f6nnten, sollten die Vertr\u00e4ge \u00fcber die Erbringung von IKT-Dienstleistungen zur Unterst\u00fctzung kritischer oder wichtiger Funktionen auch Folgendes vorsehen die Spezifizierung der vollst\u00e4ndigen Leistungsbeschreibungen mit pr\u00e4zisen quantitativen und qualitativen Leistungszielen, um ohne unangemessene Verz\u00f6gerung angemessene Korrekturma\u00dfnahmen zu erm\u00f6glichen, wenn die vereinbarten Leistungsniveaus nicht erreicht werden; die entsprechenden Mitteilungsfristen und Berichterstattungspflichten des IKT-Drittdienstleisters im Falle von Entwicklungen mit potenziell wesentlichen Auswirkungen auf die F\u00e4higkeit des IKT-Drittdienstleisters, seine jeweiligen IKT-Dienstleistungen wirksam zu erbringen; eine Anforderung an den IKT-Drittdienstleister, Notfallpl\u00e4ne f\u00fcr den Gesch\u00e4ftsbetrieb umzusetzen und zu testen sowie \u00fcber IKT-Sicherheitsma\u00dfnahmen, -instrumente und -strategien zu verf\u00fcgen, die eine sichere Erbringung von Dienstleistungen erm\u00f6glichen, und sich an dem vom Finanzinstitut durchgef\u00fchrten TLPT zu beteiligen und uneingeschr\u00e4nkt mitzuarbeiten.<\/p>\n\n\n\n

(73) Vertr\u00e4ge \u00fcber die Erbringung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterst\u00fctzen, sollten auch Bestimmungen enthalten, die das Recht auf Zugang, Inspektion und Pr\u00fcfung durch das Finanzinstitut oder einen beauftragten Dritten sowie das Recht, Kopien anzufertigen, als entscheidende Instrumente f\u00fcr die laufende \u00dcberwachung der Leistung des IKT-Drittdienstleisters durch das Finanzinstitut vorsehen, verbunden mit der uneingeschr\u00e4nkten Zusammenarbeit des Dienstleisters bei Inspektionen. Ebenso sollte die zust\u00e4ndige Beh\u00f6rde des Finanzinstituts das Recht haben, den IKT-Drittdienstleister auf der Grundlage von Mitteilungen zu inspizieren und zu pr\u00fcfen, wobei der Schutz vertraulicher Informationen zu gew\u00e4hrleisten ist.<\/p>\n\n\n\n

(74) Solche vertraglichen Vereinbarungen sollten auch spezielle Ausstiegsstrategien vorsehen, um insbesondere verbindliche \u00dcbergangsfristen zu erm\u00f6glichen, w\u00e4hrend derer IKT-Drittdienstleister die betreffenden Dienstleistungen weiterhin erbringen sollten, um das Risiko von St\u00f6rungen auf der Ebene des Finanzinstituts zu verringern, oder um dem Finanzinstitut die M\u00f6glichkeit zu geben, tats\u00e4chlich auf andere IKT-Drittdienstleister umzusteigen oder alternativ zu internen L\u00f6sungen \u00fcberzugehen, die der Komplexit\u00e4t der erbrachten Dienstleistungen entsprechen IKT-DienstleistungIKT-Dienstleistung<\/span> bezeichnet eine Dienstleistung, die ganz oder \u00fcberwiegend in der \u00dcbertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht - Definition gem\u00e4\u00df Artikel 2 Nummer 13 der Verordnung (EU) 2019\/881<\/span><\/span><\/span>. Dar\u00fcber hinaus sollten Finanzunternehmen, die in den Anwendungsbereich der Richtlinie 2014\/59\/EU fallen, sicherstellen, dass die einschl\u00e4gigen Vertr\u00e4ge \u00fcber IKT-Dienstleistungen robust und im Falle einer Abwicklung dieser Finanzunternehmen vollst\u00e4ndig durchsetzbar sind. Im Einklang mit den Erwartungen der Abwicklungsbeh\u00f6rden sollten diese Finanzunternehmen daher sicherstellen, dass die einschl\u00e4gigen Vertr\u00e4ge f\u00fcr IKT-Dienstleistungen abwicklungssicher sind. Solange sie ihren Zahlungsverpflichtungen nachkommen, sollten diese Finanzinstitute unter anderem sicherstellen, dass die einschl\u00e4gigen Vertr\u00e4ge f\u00fcr IKT-Dienstleistungen Klauseln enthalten, die eine K\u00fcndigung, eine Aussetzung oder eine \u00c4nderung aufgrund einer Umstrukturierung oder Abwicklung ausschlie\u00dfen.<\/p>\n\n\n\n

(75) Dar\u00fcber hinaus k\u00f6nnte die freiwillige Verwendung von Standardvertragsklauseln, die von Beh\u00f6rden oder Unionsorganen entwickelt wurden, insbesondere die Verwendung von Vertragsklauseln, die von der Kommission f\u00fcr Cloud-Computing-Dienste entwickelt wurden, den Finanzunternehmen und IKT-Drittdienstleistern weiteren Komfort bieten, indem sie ihr Ma\u00df an Rechtssicherheit in Bezug auf die Nutzung von Cloud-Computing-Diensten im Finanzsektor in voller \u00dcbereinstimmung mit den im Unionsrecht f\u00fcr Finanzdienstleistungen festgelegten Anforderungen und Erwartungen erh\u00f6ht. Die Entwicklung von Standardvertragsklauseln baut auf Ma\u00dfnahmen auf, die bereits im Fintech-Aktionsplan 2018 vorgesehen sind, in dem die Kommission ihre Absicht ank\u00fcndigte, die Entwicklung von Standardvertragsklauseln f\u00fcr die Nutzung von Cloud-Computing-Diensten, die von Finanzunternehmen ausgelagert werden, zu f\u00f6rdern und zu erleichtern, wobei sie sich auf die sektor\u00fcbergreifenden Bem\u00fchungen der Interessentr\u00e4ger von Cloud-Computing-Diensten st\u00fctzt, die die Kommission mit Hilfe der Beteiligung des Finanzsektors erleichtert hat.<\/p>\n\n\n\n

(76) Um die Konvergenz und die Effizienz der Aufsichtsans\u00e4tze beim Umgang mit dem IKT-Drittrisiko im Finanzsektor zu f\u00f6rdern und die digitale operationelle Widerstandsf\u00e4higkeit von Finanzunternehmen zu st\u00e4rken, die bei der Erbringung von IKT-Dienstleistungen, die die Erbringung von Finanzdienstleistungen unterst\u00fctzen, auf kritische IKT-Drittdienstleister angewiesen sind, und damit zur Wahrung der Stabilit\u00e4t des Finanzsystems der Union und der Integrit\u00e4t des Binnenmarkts f\u00fcr Finanzdienstleistungen beizutragen, sollten kritische IKT-Drittdienstleister einem Aufsichtsrahmen der Union unterliegen. Die Einrichtung des Aufsichtsrahmens ist zwar durch den Mehrwert eines T\u00e4tigwerdens auf Unionsebene und durch die inh\u00e4rente Rolle und die Besonderheiten der Nutzung von IKT-Dienstleistungen bei der Erbringung von Finanzdienstleistungen gerechtfertigt, doch sollte gleichzeitig daran erinnert werden, dass diese L\u00f6sung nur im Zusammenhang mit dieser Verordnung geeignet erscheint, die sich speziell mit der digitalen operationellen Widerstandsf\u00e4higkeit im Finanzsektor befasst. Ein solcher Aufsichtsrahmen sollte jedoch nicht als neues Modell f\u00fcr die Aufsicht der Union in anderen Bereichen der Finanzdienstleistungen und -t\u00e4tigkeiten angesehen werden.<\/p>\n\n\n\n

(77) Der \u00dcberwachungsrahmen sollte nur f\u00fcr kritische IKT-Drittdienstleister gelten. Daher sollte es einen Benennungsmechanismus geben, der dem Ausma\u00df und der Art der Abh\u00e4ngigkeit des Finanzsektors von solchen IKT-Drittdienstleistern Rechnung tr\u00e4gt. Dieser Mechanismus sollte eine Reihe quantitativer und qualitativer Kriterien zur Festlegung der Kritikalit\u00e4tsparameter als Grundlage f\u00fcr die Aufnahme in den Aufsichtsrahmen umfassen. Um die Genauigkeit dieser Bewertung zu gew\u00e4hrleisten, sollten diese Kriterien, unabh\u00e4ngig von der Unternehmensstruktur des IKT-Drittdienstleisters, im Falle eines IKT-Drittdienstleisters, der Teil eines gr\u00f6\u00dferen Konzerns ist, die gesamte Konzernstruktur des IKT-Drittdienstleisters ber\u00fccksichtigen. Einerseits sollten kritische IKT-Drittdienstleister, die nicht automatisch aufgrund der Anwendung dieser Kriterien benannt werden, die M\u00f6glichkeit haben, sich dem \u00dcberwachungsrahmen auf freiwilliger Basis anzuschlie\u00dfen, andererseits sollten IKT-Drittdienstleister, die bereits einem \u00dcberwachungsmechanismus unterliegen, der die Erf\u00fcllung der Aufgaben des Europ\u00e4ischen Systems der Zentralbanken gem\u00e4\u00df Artikel 127 Absatz 2 AEUV unterst\u00fctzt, ausgenommen werden.<\/p>\n\n\n\n

(78) In \u00e4hnlicher Weise sollten Finanzunternehmen, die IKT-Dienstleistungen f\u00fcr andere Finanzunternehmen erbringen, zwar zur Kategorie der IKT-Drittdienstleister im Sinne dieser Verordnung geh\u00f6ren, aber ebenfalls vom Aufsichtsrahmen ausgenommen werden, da sie bereits den durch das einschl\u00e4gige Finanzdienstleistungsrecht der Union festgelegten Aufsichtsmechanismen unterliegen. Gegebenenfalls sollten die zust\u00e4ndigen Beh\u00f6rden im Rahmen ihrer Aufsichtst\u00e4tigkeit dem IKT-Risiko Rechnung tragen, das Finanzunternehmen, die IKT-Dienstleistungen erbringen, f\u00fcr Finanzunternehmen darstellen. Aufgrund der bestehenden Risiko\u00fcberwachungsmechanismen auf Gruppenebene sollte dieselbe Ausnahmeregelung auch f\u00fcr IKT-Drittdienstleister eingef\u00fchrt werden, die ihre Dienstleistungen \u00fcberwiegend f\u00fcr die Unternehmen ihrer eigenen Gruppe erbringen. IKT-Drittdienstleister, die IKT-Dienstleistungen ausschlie\u00dflich in einem Mitgliedstaat f\u00fcr Finanzunternehmen erbringen, die nur in diesem Mitgliedstaat t\u00e4tig sind, sollten aufgrund ihrer begrenzten T\u00e4tigkeiten und der fehlenden grenz\u00fcberschreitenden Auswirkungen ebenfalls von dem Benennungsverfahren ausgenommen werden.<\/p>\n\n\n\n

(79) Der digitale Wandel bei den Finanzdienstleistungen hat zu einer beispiellosen Nutzung von und Abh\u00e4ngigkeit von IKT-Diensten gef\u00fchrt. Da die Erbringung von Finanzdienstleistungen ohne die Nutzung von Cloud-Computing-Diensten, Softwarel\u00f6sungen und datenbezogenen Diensten undenkbar geworden ist, ist das Finanz\u00f6kosystem der Union von bestimmten IKT-Diensten, die von IKT-Dienstleistern erbracht werden, untrennbar mit abh\u00e4ngig geworden. Einige dieser Anbieter, die bei der Entwicklung und Anwendung IKT-gest\u00fctzter Technologien innovativ sind, spielen eine wichtige Rolle bei der Erbringung von Finanzdienstleistungen oder sind in die Wertsch\u00f6pfungskette der Finanzdienstleistungen integriert. Damit sind sie f\u00fcr die Stabilit\u00e4t und Integrit\u00e4t des Finanzsystems der Union von entscheidender Bedeutung. Diese weit verbreitete Abh\u00e4ngigkeit von Dienstleistungen, die von kritischen IKT-Drittanbietern erbracht werden, in Verbindung mit der gegenseitigen Abh\u00e4ngigkeit der Informationssysteme verschiedener Marktteilnehmer stellen ein unmittelbares und potenziell schwerwiegendes Risiko f\u00fcr das Finanzdienstleistungssystem der Union und f\u00fcr die Kontinuit\u00e4t der Erbringung von Finanzdienstleistungen dar, wenn kritische IKT-Drittanbieter von Betriebsst\u00f6rungen oder gr\u00f6\u00dferen Cybervorf\u00e4llen betroffen w\u00e4ren. Cyber-Vorf\u00e4lle haben die besondere F\u00e4higkeit, sich zu vervielfachen und sich im gesamten Finanzsystem wesentlich schneller auszubreiten als andere Arten von Risiken, die im Finanzsektor beobachtet werden, und k\u00f6nnen sich sektor\u00fcbergreifend und \u00fcber geografische Grenzen hinweg ausbreiten. Sie haben das Potenzial, sich zu einer systemischen Krise zu entwickeln, in der das Vertrauen in das Finanzsystem aufgrund der St\u00f6rung von Funktionen, die die Realwirtschaft unterst\u00fctzen, untergraben wurde, oder zu erheblichen finanziellen Verlusten, die ein Ausma\u00df erreichen, dem das Finanzsystem nicht mehr standhalten kann oder das den Einsatz schwerer Schockabsorptionsma\u00dfnahmen erfordert. Um zu verhindern, dass diese Szenarien eintreten und damit die finanzielle Stabilit\u00e4t und Integrit\u00e4t der Union gef\u00e4hrden, ist es von entscheidender Bedeutung, f\u00fcr die Konvergenz der Aufsichtspraktiken in Bezug auf das IKT-Drittrisiko im Finanzbereich zu sorgen, insbesondere durch neue Vorschriften, die die Aufsicht der Union \u00fcber kritische IKT-Drittdienstleister erm\u00f6glichen.<\/p>\n\n\n\n

(80) Der Aufsichtsrahmen h\u00e4ngt weitgehend vom Grad der Zusammenarbeit zwischen dem Lead Overseer und dem kritischen IKT-Drittdienstleister ab, der f\u00fcr Finanzunternehmen Dienstleistungen erbringt, die sich auf die Erbringung von Finanzdienstleistungen auswirken. Eine erfolgreiche Aufsicht setzt unter anderem voraus, dass der Lead Overseer in der Lage ist, \u00dcberwachungsmissionen und Inspektionen wirksam durchzuf\u00fchren, um die von den kritischen IKT-Drittdienstleistern angewandten Regeln, Kontrollen und Verfahren zu bewerten und die potenziellen kumulativen Auswirkungen ihrer T\u00e4tigkeiten auf die Finanzstabilit\u00e4t und die Integrit\u00e4t des Finanzsystems zu beurteilen. Gleichzeitig ist es von entscheidender Bedeutung, dass kritische IKT-Drittdienstleister die Empfehlungen des Lead Overseers befolgen und dessen Bedenken ausr\u00e4umen. Da eine mangelnde Kooperation eines kritischen IKT-Drittdienstleisters, der Dienstleistungen erbringt, die sich auf die Erbringung von Finanzdienstleistungen auswirken, wie z. B. die Verweigerung des Zugangs zu seinen R\u00e4umlichkeiten oder der \u00dcbermittlung von Informationen, den Lead Overseer letztlich seiner wesentlichen Instrumente zur Bewertung des Risikos von IKT-Drittdienstleistern berauben w\u00fcrde und sich nachteilig auf die Finanzstabilit\u00e4t und die Integrit\u00e4t des Finanzsystems auswirken k\u00f6nnte, ist es notwendig, auch eine angemessene Sanktionsregelung vorzusehen.<\/p>\n\n\n\n

(81) Vor diesem Hintergrund sollte die Notwendigkeit f\u00fcr den federf\u00fchrenden \u00dcberwacher, Zwangsgelder zu verh\u00e4ngen, um kritische IKT-Drittanbieter zur Einhaltung der in dieser Verordnung festgelegten Transparenz- und Zugangsverpflichtungen zu zwingen, nicht durch Schwierigkeiten bei der Durchsetzung dieser Zwangsgelder in Bezug auf kritische IKT-Drittanbieter mit Sitz in Drittl\u00e4ndern gef\u00e4hrdet werden. Um die Durchsetzbarkeit solcher Sanktionen zu gew\u00e4hrleisten und eine rasche Einf\u00fchrung von Verfahren zur Wahrung der Verteidigungsrechte der kritischen IKT-Drittdienstleister im Rahmen des Benennungsverfahrens und der Abgabe von Empfehlungen zu erm\u00f6glichen, sollten diese kritischen IKT-Drittdienstleister, die Dienstleistungen f\u00fcr Finanzunternehmen erbringen, die sich auf die Erbringung von Finanzdienstleistungen auswirken, verpflichtet werden, eine angemessene Gesch\u00e4ftspr\u00e4senz in der Union aufrechtzuerhalten. Aufgrund der Art der Aufsicht und des Fehlens vergleichbarer Regelungen in anderen Rechtsordnungen gibt es keine geeigneten alternativen Mechanismen, die dieses Ziel durch eine wirksame Zusammenarbeit mit Finanzaufsichtsbeh\u00f6rden in Drittl\u00e4ndern in Bezug auf die \u00dcberwachung der Auswirkungen digitaler operationeller Risiken gew\u00e4hrleisten, die von systemrelevanten IKT-Drittdienstleistern ausgehen, die als kritische IKT-Drittdienstleister mit Sitz in Drittl\u00e4ndern gelten. Damit ein in einem Drittland niedergelassener IKT-Drittdienstleister, der gem\u00e4\u00df dieser Verordnung als kritisch eingestuft wurde, weiterhin IKT-Dienstleistungen f\u00fcr Finanzunternehmen in der Union erbringen kann, sollte er daher innerhalb von zw\u00f6lf Monaten nach dieser Einstufung alle erforderlichen Vorkehrungen treffen, um seine Eingliederung in der Union durch die Gr\u00fcndung einer Tochtergesellschaft im Sinne des gesamten Besitzstands der Union, insbesondere der Richtlinie 2013\/34\/EU des Europ\u00e4ischen Parlaments und des Rates (21), zu gew\u00e4hrleisten.<\/p>\n\n\n\n

(82) Die Anforderung, eine Tochtergesellschaft in der Union zu gr\u00fcnden, sollte den kritischen IKT-Drittdienstleister nicht daran hindern, IKT-Dienste und die damit verbundene technische Unterst\u00fctzung von Einrichtungen und Infrastrukturen au\u00dferhalb der Union aus zu erbringen. Mit dieser Verordnung wird keine Verpflichtung zur Datenlokalisierung auferlegt, da sie nicht vorschreibt, dass die Datenspeicherung oder -verarbeitung in der Union erfolgen muss.<\/p>\n\n\n\n

(83) Drittanbieter kritischer IKT-Dienste sollten in der Lage sein, IKT-Dienste von jedem Ort der Welt aus zu erbringen, nicht notwendigerweise oder nicht nur von in der Union gelegenen R\u00e4umlichkeiten aus. Die Aufsichtst\u00e4tigkeiten sollten zun\u00e4chst in R\u00e4umlichkeiten in der Union und durch Interaktion mit in der Union ans\u00e4ssigen Einrichtungen, einschlie\u00dflich der von kritischen IKT-Drittdienstleistern gem\u00e4\u00df dieser Verordnung gegr\u00fcndeten Tochtergesellschaften, durchgef\u00fchrt werden. Solche Ma\u00dfnahmen innerhalb der Union k\u00f6nnten jedoch nicht ausreichen, um dem federf\u00fchrenden \u00dcberwacher die vollst\u00e4ndige und wirksame Wahrnehmung seiner Aufgaben im Rahmen dieser Verordnung zu erm\u00f6glichen. Der federf\u00fchrende \u00dcberwacher sollte daher auch in der Lage sein, seine einschl\u00e4gigen Aufsichtsbefugnisse in Drittl\u00e4ndern auszu\u00fcben. Die Aus\u00fcbung dieser Befugnisse in Drittl\u00e4ndern sollte es dem federf\u00fchrenden \u00dcberwacher erm\u00f6glichen, die Einrichtungen zu pr\u00fcfen, von denen aus die IKT-Dienste oder die technischen Unterst\u00fctzungsdienste von dem kritischen IKT-Drittdienstleister tats\u00e4chlich erbracht oder verwaltet werden, und sollte dem federf\u00fchrenden \u00dcberwacher ein umfassendes und operatives Verst\u00e4ndnis des IKT-Risikomanagements des kritischen IKT-Drittdienstleisters vermitteln. Die M\u00f6glichkeit f\u00fcr den federf\u00fchrenden \u00dcberwacher, als Agentur der Union Befugnisse au\u00dferhalb des Gebiets der Union auszu\u00fcben, sollte durch einschl\u00e4gige Bedingungen, insbesondere die Zustimmung des betreffenden kritischen IKT-Drittdienstleisters, ordnungsgem\u00e4\u00df eingerahmt sein. Ebenso sollten die zust\u00e4ndigen Beh\u00f6rden des Drittlandes \u00fcber die Aus\u00fcbung der T\u00e4tigkeiten des federf\u00fchrenden \u00dcberpr\u00fcfers in ihrem eigenen Hoheitsgebiet unterrichtet sein und keine Einw\u00e4nde dagegen erheben. Im Interesse einer effizienten Durchf\u00fchrung und unbeschadet der jeweiligen Zust\u00e4ndigkeiten der Organe der Union und der Mitgliedstaaten m\u00fcssen diese Befugnisse jedoch auch in vollem Umfang durch den Abschluss von Vereinbarungen \u00fcber die Verwaltungszusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden des betreffenden Drittlandes verankert werden. Diese Verordnung sollte es den ESA daher erm\u00f6glichen, Vereinbarungen \u00fcber die Verwaltungszusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden von Drittl\u00e4ndern zu schlie\u00dfen, die ansonsten keine rechtlichen Verpflichtungen gegen\u00fcber der Union und ihren Mitgliedstaaten begr\u00fcnden sollten.<\/p>\n\n\n\n

(84) Um die Kommunikation mit dem federf\u00fchrenden \u00dcberwacher zu erleichtern und eine angemessene Vertretung zu gew\u00e4hrleisten, sollten kritische IKT-Drittdienstleister, die einer Gruppe angeh\u00f6ren, eine juristische Person als Koordinierungsstelle benennen.<\/p>\n\n\n\n

(85) Der Aufsichtsrahmen sollte die Zust\u00e4ndigkeit der Mitgliedstaaten f\u00fcr die Durchf\u00fchrung eigener Aufsichts- oder \u00dcberwachungsmissionen in Bezug auf IKT-Drittanbieter, die nach dieser Verordnung nicht als kritisch eingestuft werden, die aber auf nationaler Ebene als wichtig angesehen werden, unber\u00fchrt lassen.<\/p>\n\n\n\n

(86) Um die vielschichtige institutionelle Architektur im Finanzdienstleistungsbereich zu nutzen, sollte der Gemeinsame Ausschuss der ESA im Einklang mit seinen Aufgaben im Bereich der Cybersicherheit weiterhin eine sektor\u00fcbergreifende Gesamtkoordinierung in Bezug auf alle IKT-Risiken gew\u00e4hrleisten. Er sollte von einem neuen Unterausschuss (dem \"Aufsichtsforum\") unterst\u00fctzt werden, der Vorarbeiten sowohl f\u00fcr die an kritische IKT-Drittdienstleister gerichteten Einzelbeschl\u00fcsse als auch f\u00fcr die Abgabe kollektiver Empfehlungen leistet, insbesondere in Bezug auf das Benchmarking der Aufsichtsprogramme f\u00fcr kritische IKT-Drittdienstleister und die Ermittlung bew\u00e4hrter Verfahren f\u00fcr den Umgang mit IKT-Klumpenrisiken.<\/p>\n\n\n\n

(87) Um sicherzustellen, dass kritische IKT-Drittdienstleister auf Unionsebene angemessen und wirksam beaufsichtigt werden, sieht diese Verordnung vor, dass eine der drei ESA als federf\u00fchrende Aufsichtsbeh\u00f6rde benannt werden kann. Die individuelle Zuweisung eines kritischen IKT-Drittdienstleisters an eine der drei ESA sollte auf der Grundlage einer Bewertung der \u00fcberwiegenden Zahl der Finanzunternehmen erfolgen, die in den Finanzbranchen t\u00e4tig sind, f\u00fcr die diese ESA zust\u00e4ndig ist. Dieser Ansatz sollte zu einer ausgewogenen Aufteilung der Aufgaben und Zust\u00e4ndigkeiten zwischen den drei ESA im Rahmen der Aus\u00fcbung der Aufsichtsfunktionen f\u00fchren und die in jeder der drei ESA verf\u00fcgbaren Humanressourcen und technischen Fachkenntnisse optimal nutzen.<\/p>\n\n\n\n

(88) Die federf\u00fchrenden \u00dcberwacher sollten mit den notwendigen Befugnissen ausgestattet werden, um Untersuchungen durchzuf\u00fchren, Inspektionen vor Ort und au\u00dferhalb der R\u00e4umlichkeiten und Standorte kritischer IKT-Drittdienstleister vorzunehmen und vollst\u00e4ndige und aktuelle Informationen einzuholen. Diese Befugnisse sollten den Lead Overseer in die Lage versetzen, einen echten Einblick in die Art, das Ausma\u00df und die Auswirkungen des von IKT-Drittanbietern ausgehenden Risikos f\u00fcr Finanzunternehmen und letztlich f\u00fcr das Finanzsystem der Union zu gewinnen. Die Beauftragung der ESA mit der federf\u00fchrenden Aufsicht ist eine Voraussetzung f\u00fcr das Verst\u00e4ndnis und die Bew\u00e4ltigung der systemischen Dimension des IKT-Risikos im Finanzbereich. Die Auswirkungen kritischer IKT-Drittdienstleister auf den Finanzsektor der Union und die potenziellen Probleme, die durch das damit verbundene IKT-Konzentrationsrisiko verursacht werden, erfordern einen kollektiven Ansatz auf Unionsebene. Die gleichzeitige Durchf\u00fchrung mehrerer Pr\u00fcfungen und Zugriffsrechte, die von zahlreichen zust\u00e4ndigen Beh\u00f6rden getrennt und ohne oder mit nur geringer Koordinierung untereinander durchgef\u00fchrt werden, w\u00fcrde die Finanzaufsichtsbeh\u00f6rden daran hindern, sich einen vollst\u00e4ndigen und umfassenden \u00dcberblick \u00fcber das IKT-Drittrisiko in der Union zu verschaffen, und f\u00fcr kritische IKT-Drittdienstleister zu Redundanz, Belastung und Komplexit\u00e4t f\u00fchren, wenn sie zahlreichen \u00dcberwachungs- und Inspektionsanfragen ausgesetzt sind.<\/p>\n\n\n\n

(89) Aufgrund der erheblichen Auswirkungen der Einstufung als kritisch sollte diese Verordnung sicherstellen, dass die Rechte kritischer IKT-Drittanbieter w\u00e4hrend der gesamten Umsetzung des Aufsichtsrahmens gewahrt werden. Bevor sie als kritisch eingestuft werden, sollten solche Anbieter beispielsweise das Recht haben, dem federf\u00fchrenden \u00dcberwacher eine begr\u00fcndete Erkl\u00e4rung vorzulegen, die alle f\u00fcr die Bewertung ihrer Einstufung relevanten Informationen enth\u00e4lt. Da der federf\u00fchrende \u00dcberwacher befugt sein sollte, Empfehlungen zu IKT-Risikofragen und geeigneten Abhilfema\u00dfnahmen vorzulegen, wozu auch die Befugnis geh\u00f6rt, bestimmte vertragliche Vereinbarungen abzulehnen, die sich letztlich auf die Stabilit\u00e4t des Finanzunternehmens oder des Finanzsystems auswirken, sollten kritische IKT-Drittdienstleister auch die M\u00f6glichkeit haben, vor der endg\u00fcltigen Festlegung dieser Empfehlungen Erl\u00e4uterungen zu den erwarteten Auswirkungen der in den Empfehlungen vorgesehenen L\u00f6sungen auf Kunden vorzulegen, bei denen es sich um Unternehmen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen, und L\u00f6sungen zur Risikominderung zu formulieren. Anbieter kritischer IKT-Dienste, die mit den Empfehlungen nicht einverstanden sind, sollten eine begr\u00fcndete Erkl\u00e4rung ihrer Absicht abgeben, die Empfehlung nicht zu unterst\u00fctzen. Wird eine solche begr\u00fcndete Erkl\u00e4rung nicht vorgelegt oder wird sie als unzureichend erachtet, sollte der federf\u00fchrende \u00dcberwacher eine \u00f6ffentliche Bekanntmachung ver\u00f6ffentlichen, in der der Sachverhalt der Nichteinhaltung zusammenfassend beschrieben wird.<\/p>\n\n\n\n

(90) Die zust\u00e4ndigen Beh\u00f6rden sollten die Aufgabe, die tats\u00e4chliche Einhaltung der Empfehlungen des Lead Overseers zu \u00fcberpr\u00fcfen, ordnungsgem\u00e4\u00df in ihre Aufgaben im Zusammenhang mit der Beaufsichtigung von Finanzunternehmen aufnehmen. Die zust\u00e4ndigen Beh\u00f6rden sollten in der Lage sein, von den Finanzunternehmen zu verlangen, dass sie zus\u00e4tzliche Ma\u00dfnahmen zur Behebung der in den Empfehlungen des federf\u00fchrenden \u00dcberpr\u00fcfers genannten Risiken ergreifen, und sollten zu gegebener Zeit entsprechende Mitteilungen machen. Richtet der federf\u00fchrende \u00dcberpr\u00fcfer seine Empfehlungen an kritische IKT-Drittdienstleister, die gem\u00e4\u00df der Richtlinie (EU) 2022\/2555 beaufsichtigt werden, sollten die zust\u00e4ndigen Beh\u00f6rden die M\u00f6glichkeit haben, auf freiwilliger Basis und vor der Annahme zus\u00e4tzlicher Ma\u00dfnahmen die gem\u00e4\u00df der genannten Richtlinie zust\u00e4ndigen Beh\u00f6rden zu konsultieren, um einen koordinierten Ansatz im Umgang mit den betreffenden kritischen IKT-Drittdienstleistern zu f\u00f6rdern.<\/p>\n\n\n\n

(91) Die Aus\u00fcbung der Aufsicht sollte sich an drei operativen Grunds\u00e4tzen orientieren, die sicherstellen sollen: (a) enge Koordinierung zwischen den ESA in ihrer Rolle als federf\u00fchrende Aufsichtsbeh\u00f6rden durch ein gemeinsames Aufsichtsnetz (JON), (b) Koh\u00e4renz mit dem durch die Richtlinie (EU) 2022\/2555 geschaffenen Rahmen (durch eine freiwillige Konsultation der Stellen im Rahmen dieser Richtlinie zur Vermeidung von \u00dcberschneidungen bei Ma\u00dfnahmen, die auf kritische IKT-Drittdienstleister abzielen) und (c) Anwendung der Sorgfaltspflicht zur Minimierung des potenziellen Risikos einer Unterbrechung von Diensten, die kritische IKT-Drittdienstleister f\u00fcr Kunden erbringen, bei denen es sich um Einrichtungen handelt, die nicht in den Anwendungsbereich dieser Verordnung fallen.<\/p>\n\n\n\n

(92) Der Aufsichtsrahmen sollte die Anforderung an die Finanzunternehmen, die mit der Inanspruchnahme von IKT-Drittanbietern verbundenen Risiken selbst zu managen, einschlie\u00dflich ihrer Verpflichtung zur laufenden \u00dcberwachung der mit kritischen IKT-Drittanbietern geschlossenen vertraglichen Vereinbarungen, weder ersetzen noch in irgendeiner Weise an deren Stelle treten. Ebenso wenig sollte der Aufsichtsrahmen die volle Verantwortung der Finanzunternehmen f\u00fcr die Einhaltung und Erf\u00fcllung aller in dieser Verordnung und im einschl\u00e4gigen Finanzdienstleistungsrecht festgelegten rechtlichen Verpflichtungen ber\u00fchren.<\/p>\n\n\n\n

(93) Um Doppelarbeit und \u00dcberschneidungen zu vermeiden, sollten die zust\u00e4ndigen Beh\u00f6rden keine eigenen Ma\u00dfnahmen zur \u00dcberwachung der Risiken des kritischen IKT-Drittanbieters ergreifen und sich in dieser Hinsicht auf die Bewertung des jeweiligen federf\u00fchrenden Aufsichtsorgans verlassen. Alle Ma\u00dfnahmen sollten in jedem Fall im Voraus mit dem federf\u00fchrenden \u00dcberwacher im Zusammenhang mit der Wahrnehmung der Aufgaben des \u00dcberwachungsrahmens koordiniert und vereinbart werden.<\/p>\n\n\n\n

(94) Zur F\u00f6rderung der Konvergenz auf internationaler Ebene in Bezug auf die Anwendung bew\u00e4hrter Verfahren bei der \u00dcberpr\u00fcfung und \u00dcberwachung des digitalen Risikomanagements von IKT-Drittanbietern sollten die ESA ermutigt werden, Kooperationsvereinbarungen mit den einschl\u00e4gigen Aufsichts- und Regulierungsbeh\u00f6rden von Drittl\u00e4ndern zu schlie\u00dfen.<\/p>\n\n\n\n

(95) Um die spezifischen Kompetenzen, technischen F\u00e4higkeiten und das Fachwissen der auf Betriebs- und IKT-Risiken spezialisierten Mitarbeiter der zust\u00e4ndigen Beh\u00f6rden, der drei ESA und - auf freiwilliger Basis - der zust\u00e4ndigen Beh\u00f6rden im Rahmen der Richtlinie (EU) 2022\/2555 zu nutzen, sollte der federf\u00fchrende \u00dcberwacher auf die nationalen Aufsichtskapazit\u00e4ten und -kenntnisse zur\u00fcckgreifen und spezielle Pr\u00fcfungsteams f\u00fcr jeden kritischen IKT-Drittdienstleister einrichten, die multidisziplin\u00e4re Teams zur Unterst\u00fctzung der Vorbereitung und Durchf\u00fchrung von Aufsichtst\u00e4tigkeiten, einschlie\u00dflich allgemeiner Ermittlungen und Inspektionen bei kritischen IKT-Drittdienstleistern, sowie f\u00fcr alle erforderlichen Folgema\u00dfnahmen zusammenf\u00fchren.<\/p>\n\n\n\n

(96) W\u00e4hrend die Kosten, die sich aus den Aufsichtsaufgaben ergeben, vollst\u00e4ndig aus den Geb\u00fchren finanziert w\u00fcrden, die von Anbietern kritischer IKT-Dienste erhoben werden, d\u00fcrften den ESA jedoch vor Beginn des Aufsichtsrahmens Kosten f\u00fcr die Einf\u00fchrung spezieller IKT-Systeme zur Unterst\u00fctzung der bevorstehenden Aufsicht entstehen, da spezielle IKT-Systeme zuvor entwickelt und eingef\u00fchrt werden m\u00fcssen. Diese Verordnung sieht daher ein hybrides Finanzierungsmodell vor, bei dem der Aufsichtsrahmen als solcher vollst\u00e4ndig geb\u00fchrenfinanziert w\u00e4re, w\u00e4hrend die Entwicklung der IKT-Systeme der ESA aus den Beitr\u00e4gen der Union und der zust\u00e4ndigen nationalen Beh\u00f6rden finanziert w\u00fcrde.<\/p>\n\n\n\n

(97) Die zust\u00e4ndigen Beh\u00f6rden sollten \u00fcber alle erforderlichen Aufsichts-, Ermittlungs- und Sanktionsbefugnisse verf\u00fcgen, um die ordnungsgem\u00e4\u00dfe Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung zu gew\u00e4hrleisten. Sie sollten grunds\u00e4tzlich Bekanntmachungen \u00fcber die von ihnen verh\u00e4ngten Verwaltungssanktionen ver\u00f6ffentlichen. Da Finanzunternehmen und IKT-Drittdienstleister in verschiedenen Mitgliedstaaten niedergelassen sein und von verschiedenen zust\u00e4ndigen Beh\u00f6rden beaufsichtigt werden k\u00f6nnen, sollte die Anwendung dieser Verordnung zum einen durch eine enge Zusammenarbeit zwischen den jeweils zust\u00e4ndigen Beh\u00f6rden, einschlie\u00dflich der EZB im Hinblick auf die ihr durch die Verordnung (EU) Nr. 1024\/2013 des Rates \u00fcbertragenen spezifischen Aufgaben, und zum anderen durch eine Konsultation mit den ESA durch den gegenseitigen Austausch von Informationen und die Gew\u00e4hrung von Unterst\u00fctzung im Rahmen der einschl\u00e4gigen Aufsichtst\u00e4tigkeiten erleichtert werden.<\/p>\n\n\n\n

(98) Um die Kriterien f\u00fcr die Einstufung von IKT-Drittdienstleistern als kritisch weiter zu quantifizieren und zu qualifizieren und die Aufsichtsgeb\u00fchren zu harmonisieren, sollte der Kommission die Befugnis zum Erlass von Rechtsakten gem\u00e4\u00df Artikel 290 AEUV \u00fcbertragen werden, um diese Verordnung zu erg\u00e4nzen, indem die systemischen Auswirkungen, die ein Ausfall oder eine Betriebsst\u00f6rung eines IKT-Drittdienstleisters auf die Finanzinstitute haben k\u00f6nnte, f\u00fcr die er IKT-Dienstleistungen erbringt, weiter spezifiziert werden, die Anzahl der global systemrelevanten Institute (G-SIIs) oder anderer systemrelevanter Institute (O-SIIs), die auf den betreffenden IKT-Drittdienstleister angewiesen sind, die Anzahl der auf einem bestimmten Markt t\u00e4tigen IKT-Drittdienstleister, die Kosten f\u00fcr die Migration von Daten und IKT-Arbeitslasten zu anderen IKT-Drittdienstleistern sowie die H\u00f6he der Aufsichtsgeb\u00fchren und die Art und Weise, in der sie zu zahlen sind. Es ist von besonderer Bedeutung, dass die Kommission bei ihren vorbereitenden Arbeiten angemessene Konsultationen, auch auf Expertenebene, durchf\u00fchrt und dass diese Konsultationen im Einklang mit den Grunds\u00e4tzen der Interinstitutionellen Vereinbarung vom 13. April 2016 \u00fcber bessere Rechtsetzung (22) durchgef\u00fchrt werden. Um insbesondere eine gleichberechtigte Beteiligung an der Ausarbeitung delegierter Rechtsakte zu gew\u00e4hrleisten, sollten das Europ\u00e4ische Parlament und der Rat alle Dokumente zur gleichen Zeit erhalten wie die Sachverst\u00e4ndigen der Mitgliedstaaten, und ihre Sachverst\u00e4ndigen sollten systematisch Zugang zu den Sitzungen der Sachverst\u00e4ndigengruppen der Kommission haben, die mit der Ausarbeitung delegierter Rechtsakte befasst sind.<\/p>\n\n\n\n

(99) Technische Regulierungsstandards sollten die konsequente Harmonisierung der in dieser Verordnung festgelegten Anforderungen gew\u00e4hrleisten. In ihrer Rolle als Einrichtungen mit hochspezialisiertem Fachwissen sollten die ESA Entw\u00fcrfe technischer Regulierungsstandards, die keine politischen Entscheidungen beinhalten, zur Vorlage bei der Kommission ausarbeiten. Technische Regulierungsstandards sollten in den Bereichen IKT-Risikomanagement, Meldung gr\u00f6\u00dferer IKT-bezogener Vorf\u00e4lle, Tests sowie in Bezug auf die wichtigsten Anforderungen f\u00fcr eine solide \u00dcberwachung des IKT-Drittrisikos entwickelt werden. Die Kommission und die ESA sollten sicherstellen, dass diese Standards und Anforderungen von allen Finanzunternehmen in einer Weise angewendet werden k\u00f6nnen, die ihrer Gr\u00f6\u00dfe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexit\u00e4t ihrer Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte angemessen ist. Der Kommission sollte die Befugnis \u00fcbertragen werden, diese technischen Regulierungsstandards mittels delegierter Rechtsakte gem\u00e4\u00df Artikel 290 AEUV und im Einklang mit den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093\/2010, (EU) Nr. 1094\/2010 und (EU) Nr. 1095\/2010 zu erlassen.<\/p>\n\n\n\n

(100) Zur Erleichterung der Vergleichbarkeit von Berichten \u00fcber gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle und gr\u00f6\u00dfere betriebliche oder sicherheitsrelevante Zahlungsvorf\u00e4lle sowie zur Gew\u00e4hrleistung der Transparenz in Bezug auf vertragliche Vereinbarungen \u00fcber die Nutzung von IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden, sollten die ESA Entw\u00fcrfe technischer Durchf\u00fchrungsstandards entwickeln, in denen standardisierte Vorlagen, Formulare und Verfahren f\u00fcr Finanzunternehmen zur Meldung eines gr\u00f6\u00dferen IKT-bezogenen Vorfalls und eines gr\u00f6\u00dferen betrieblichen oder sicherheitsrelevanten Zahlungsvorfalls sowie standardisierte Vorlagen f\u00fcr das Informationsregister festgelegt werden. Bei der Entwicklung dieser Standards sollten die ESA die Gr\u00f6\u00dfe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexit\u00e4t seiner Dienstleistungen, T\u00e4tigkeiten und Gesch\u00e4fte ber\u00fccksichtigen. Der Kommission sollte die Befugnis \u00fcbertragen werden, diese technischen Durchf\u00fchrungsstandards mittels Durchf\u00fchrungsrechtsakten gem\u00e4\u00df Artikel 291 AEUV und im Einklang mit Artikel 15 der Verordnungen (EU) Nr. 1093\/2010, (EU) Nr. 1094\/2010 und (EU) Nr. 1095\/2010 zu erlassen.<\/p>\n\n\n\n

(101) Da in den Verordnungen (EG) Nr. 1060\/2009 (23), (EU) Nr. 648\/2012 (24), (EU) Nr. 600\/2014 (25) und (EU) Nr. 909\/2014 (26) des Europ\u00e4ischen Parlaments und des Rates bereits weitere Anforderungen durch delegierte Rechtsakte und Durchf\u00fchrungsrechtsakte auf der Grundlage technischer Regulierungs- und Durchf\u00fchrungsstandards festgelegt wurden, sollten die ESA entweder einzeln oder gemeinsam \u00fcber den Gemeinsamen Ausschuss beauftragt werden, der Kommission technische Regulierungs- und Durchf\u00fchrungsstandards zum Erlass von delegierten Rechtsakten und Durchf\u00fchrungsrechtsakten vorzulegen, mit denen bestehende IKT-Risikomanagementvorschriften \u00fcbernommen und aktualisiert werden.<\/p>\n\n\n\n

(102) Da diese Verordnung zusammen mit der Richtlinie (EU) 2022\/2556 des Europ\u00e4ischen Parlaments und des Rates (27) eine Konsolidierung der Bestimmungen zum IKT-Risikomanagement in mehreren Verordnungen und Richtlinien des Besitzstands der Union im Bereich der Finanzdienstleistungen, einschlie\u00dflich der Verordnungen (EG) Nr. 1060\/2009, (EU) Nr. 648\/2012, (EU) Nr. 600\/2014 und (EU) Nr. 909\/2014 sowie der Verordnung (EU) 2016\/1011 des Europ\u00e4ischen Parlaments und des Rates (28), sollten diese Verordnungen ge\u00e4ndert werden, um klarzustellen, dass die anwendbaren IKT-Risikobestimmungen in der vorliegenden Verordnung festgelegt sind, damit die vollst\u00e4ndige Koh\u00e4renz gew\u00e4hrleistet ist.<\/p>\n\n\n\n

(103) Folglich sollte der Anwendungsbereich der einschl\u00e4gigen Artikel \u00fcber das operationelle Risiko, auf die sich die Erm\u00e4chtigungen in den Verordnungen (EG) Nr. 1060\/2009, (EU) Nr. 648\/2012, (EU) Nr. 600\/2014, (EU) Nr. 909\/2014 und (EU) 2016\/1011 beziehen, die den Erlass von delegierten Rechtsakten und Durchf\u00fchrungsrechtsakten vorschreiben, eingegrenzt werden, um alle Bestimmungen, die die Aspekte der digitalen operationellen Belastbarkeit abdecken und heute Teil dieser Verordnungen sind, in die vorliegende Verordnung zu \u00fcbernehmen.<\/p>\n\n\n\n

(104) Das potenzielle systemische Cyberrisiko, das mit der Nutzung von IKT-Infrastrukturen verbunden ist, die den Betrieb von Zahlungssystemen und die Erbringung von Zahlungsverarbeitungst\u00e4tigkeiten erm\u00f6glichen, sollte auf Unionsebene durch harmonisierte Vorschriften zur digitalen Widerstandsf\u00e4higkeit geb\u00fchrend ber\u00fccksichtigt werden. Zu diesem Zweck sollte die Kommission z\u00fcgig pr\u00fcfen, ob der Anwendungsbereich dieser Verordnung \u00fcberpr\u00fcft werden muss, und diese \u00dcberpr\u00fcfung mit dem Ergebnis der im Rahmen der Richtlinie (EU) 2015\/2366 vorgesehenen umfassenden \u00dcberpr\u00fcfung abstimmen. Zahlreiche gro\u00df angelegte Angriffe in den letzten zehn Jahren haben gezeigt, wie sehr die Zahlungssysteme Cyber-Bedrohungen ausgesetzt sind. Als Kernst\u00fcck der Zahlungsdienstleistungskette und mit starken Verbindungen zum gesamten Finanzsystem haben Zahlungssysteme und Zahlungsverarbeitungst\u00e4tigkeiten eine entscheidende Bedeutung f\u00fcr das Funktionieren der Finanzm\u00e4rkte in der Union erlangt. Cyberangriffe auf solche Systeme k\u00f6nnen zu schwerwiegenden St\u00f6rungen des Gesch\u00e4ftsbetriebs f\u00fchren, die sich direkt auf wichtige wirtschaftliche Funktionen wie die Erleichterung des Zahlungsverkehrs und indirekt auf damit verbundene wirtschaftliche Prozesse auswirken. Bis eine harmonisierte Regelung und die Beaufsichtigung der Betreiber von Zahlungssystemen und Verarbeitungsunternehmen auf Unionsebene eingef\u00fchrt sind, k\u00f6nnen sich die Mitgliedstaaten im Hinblick auf die Anwendung \u00e4hnlicher Marktpraktiken an den in dieser Verordnung festgelegten Anforderungen an die digitale operationelle Widerstandsf\u00e4higkeit orientieren, wenn sie Vorschriften auf Betreiber von Zahlungssystemen und Verarbeitungsunternehmen anwenden, die in ihrem eigenen Rechtsraum beaufsichtigt werden.<\/p>\n\n\n\n

(105) Da das Ziel dieser Verordnung, n\u00e4mlich ein hohes Ma\u00df an digitaler operativer Widerstandsf\u00e4higkeit f\u00fcr beaufsichtigte Finanzunternehmen zu erreichen, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden kann, weil es die Harmonisierung verschiedener Vorschriften des Unionsrechts und des nationalen Rechts erfordert, sondern vielmehr wegen seines Umfangs und seiner Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags \u00fcber die Europ\u00e4ische Union niedergelegten Subsidiarit\u00e4tsprinzip t\u00e4tig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit geht diese Verordnung nicht \u00fcber das f\u00fcr die Erreichung dieses Ziels erforderliche Ma\u00df hinaus.<\/p>\n\n\n\n

(106) Der Europ\u00e4ische Datenschutzbeauftragte wurde gem\u00e4\u00df Artikel 42 Absatz 1 der Verordnung (EU) 2018\/1725 des Europ\u00e4ischen Parlaments und des Rates (29) konsultiert und gab am 10. Mai 2021 eine Stellungnahme ab (30),<\/p>\n\n\n\n

HABEN DIESE VERORDNUNG ANGENOMMEN:<\/p>","protected":false},"excerpt":{"rendered":"

in Erw\u00e4gung nachstehender Gr\u00fcnde: vom 14. Dezember 2022 \u00fcber die digitale operative Widerstandsf\u00e4higkeit des Finanzsektors und zur \u00c4nderung der Verordnungen (EG) Nr. 1060\/2009, (EU) Nr. 648\/2012, (EU) Nr. 600\/2014, (EU) Nr. 909\/2014 und (EU) 2016\/1011 (Text von Bedeutung f\u00fcr den EWR) DAS EUROP\u00c4ISCHE PARLAMENT UND DER RAT DER EUROP\u00c4ISCHEN UNION, gest\u00fctzt auf den Vertrag \u00fcber die Arbeitsweise der Europ\u00e4ischen Union [...]<\/p>","protected":false},"author":1,"featured_media":0,"parent":1133,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-1134","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"Das angezeigte Beitragsbild sollte mindestens 200x200 px gro\u00df sein, damit Facebook und andere Social-Media-Websites es \u00fcbernehmen.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/de\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"Benutzername","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["abgelenkt","abgesturzt","absolut","abstossend","aburd","abweisen","adaquat","aggressiv","ahnungslos","akkurat","alarmierend","alarmiert","albtraum","all-inclusive","allererste","allererster","allererstes","alleswisser","am schlechtesten","am wichtigsten","angewidert","angriff","angsteinflossend","angstlich","animiert","ankundigung","anonym","anpassbar","anspruchslos","anstossig","antagonistisch","apokalypse","applaus","argumentativ","arm","armageddon","arrogant","atemberaubend","attacke","attraktiv","aufdeckend","aufgebracht","aufgedeckt","aufgeregt","aufheiternd","aufregend","aufregende","aufregenden","aufregung","aufstachelnd","aufstandisch","aufsteigend","auftreibend","augenoffnend","ausgelassen","ausgeruht","ausgespielt","ausgewahlt","ausgewuhlt","ausnutzen","aussergewohnlich","autark","authentisch","autoritat","backdoor","badass","beangstigend","bedenklich","bedingungslos","bedrohen","bedroht","beforderung","befreit","befriedigend","befriedigt","begehren","begeistern","begeistert","begeisterung","beherzt","behind the scenes","beichte","beleidigung","belohnung","bemerkenswert","beneiden","bequem","beruhmt","beschadigen","beschamend","beschmutzt","beschuldigen","beschutzen","besitz","bessesen","bestatigen","bestatigt","beste","bestimmt","bestrafen","betrug","betrugen","bewahrt","bewiesen","bewiesenermassen","bewusst","bezahlbar","bezaubernd","bizarre","bleich","blendend","blut","blutbad","blutig","bombe","bonanza","bonus","bosartig","bose","boshaft","brilliant","brodelnd","brutal","budget","bullshit","bully","bunt","bunte","bunten","case study","cash","challenge","challgene","chaos","cheat-sheet","clever","content","cool","courage","dankbar","daruber redet keiner","deadline","definitiv","dekadent","demoralisierend","demut","desillusioniert","detailiert","diagnose","die wahrheit","direkt","disastros","discount","dokument","dollar","dominieren","doppelt","download","dreckig","dreifach","dreistigkeit","dringend","dringlichkeit","dumm","dummkopf","dummlich","durchbruch","duselig","dynamik","echt","effektiv","effizient","ehrlich","eier","eifersuchtig","eifrig","eindeutig","eindrucksvoll","eine stufe besser","einfach","einfachheit","einfallsreich","eingebildet","eingeschrankt","eingesperrt","einmalig","einsam","eintauchen","einzigartig","eisern","eliminieren","elite","empathie","empfehle","empfehlen","endeffekt","energie","energisch","enorm","entdecken","entfesselt","entfremdet","enthullen","enthullung","enthusiastisch","entmachtet","entsetzlich","entspannt","entzuckend","entzunden","epidemisch","episch","erbarmlich","erfolg","erfolgreich","erfolgsbilanz","erfreut","erfullen","erfullt","ergebnisse","ergreifen","erhaben","erheben","erhohen","erledigt","ermachtigt","ermudet","ernmutigt","ernsthaft","erobern","erroten","errungenschaft","erschaffen","erschrocken","ersehnen","ersparnisse","erstattbar","erstatten","erstaunlich","erste","ertrinken","essentiell","ethisch","euphorisch","exakt","exklusiv","exklusivitat","exkuisit","experte","explodieren","explosiv","exposed","extrem","exzellent","fahig","fahigkeiten","fail","falle","fantasie","fantastischen","farbenfroh","farbenfrohe","faszinierend","faszinierende","faul","faux pas","faux","fehler","feindselig","feldstudie","fesselnd","festlich","festmahl","festplatte","final","flirt","fluchtling","flussig","fokus","fokussiert","folter","formel","frech","freebie","frei","freiheit","freudig","friedlich","frohlich","frohlichkeit","frustriert","fundamental","fur immer","furchtbar","furchtlos","gangster","garantiert","geblendet","geehrt","gefahr","gefahrlich","gefangen","gefangnis","gefeuert","gegensatzlich","gehassig","geheimnis","geheimnisse","geil","geisseln","geist","geistesgestort","gelassen","geld zuruck","geld","genial","gepackt","gerade angekommen","gerissen","geschenk","geschmuggelt","geschutzt","gestandnis","gestandnisse","gestopft","gestresst","gesucht","gesund","getauscht","getestet","getotet","gewaltig","gewalttatig","gewidmet","gewinnspiel","gier","gierig","gift","giftig","gigantisch","giveaway","glamourose","glanzend","glaube","glaubwurdig","gleichmassig","glittering","glitzernde","gluckselig","golden","grandios","grandiose","grandiosen","grandioses","grauenhaft","grausamkeit","grinsen","groesste","gross","grossartig","grossartig","grossartige","grossartigen","grossartiger","grossartiges","grosse","grossen","grosste","grosszugig","grotesk","grube","grundlegend","gruselig","gunstig","hack","hamisch","hammer","handelsgeheimnis","hartnackig","hass","heilig","heimlich","heisshunger","heisshungrig","heiter","held","hell","herablassend","herausfordernd","herausforderung","herausvorderung","herrlichen","herrschend","hervorragend","herz","herzbrechend","herzerwahrmend","heute","hightech","hilflosigkeit","hilfreich","hilfsbereit","himmlisch","hinterhaltig","hoax","hocheffektiv","hochnasig","hochste","hoffnung","hoffnungsvoll","holle","holocaust","horror","how to","humor","hungrige","hurrikan","hypnotisch","hypnotisierend","idiot","idiotisch","illegal","immer","informativ","inhalt","inkompetent","innovativ","insider","inspirierend","inspiriert","intelligent","intensiv","interessant","interessante","invasion","investment","ist da","jackpot","jederzeit kundigen","jetzt","jubilant","jumpstart","jung","kadaver","kampf","katapult","katastrophe","kaufen","kein risiko","keine verpflichtung","kickstart","kindisch","kitschig","klaglich","klar","knast","kollabieren","kollosal","komfortabel","komisch","kompetitiv","komplett","kompromiss","komsich","konstruktiv","kontrollierend","kontrollverlust","kooperativ","kopie","korrupt","kostenlos","kraftlos","kraftvoll","krankhaft","kreativ","kreative","kriese","kritisch","kruppel","lachen","lacherlich","lahm","last minute","lauernd","lebendig","lebenslanglich","lecken","lecker","legendar","legitim","leiche","leicht","leiden","leider","leise","letzte chance","letzte","leuchtend","liberal","licht","liebe","liebenswurdig","liebevoll","life-changing","limitiert","lohnend","loser","losung","lugen","lugend","lukrativ","lust","lustig","lustige","lustigsten","luxorios","magisch","mainstream","mammut","manipulativ","massiv","masterclass","meditierend","meiseter","meistverkauft","meltdown","millionen","mind-blowing","minderwertig","minimalist","missbrauch","misstrauisch","mittelmassig","mittig","modern","moderne","moglichkeiten","monetarisieren","monumental","mord","motiviert","muhelos","muhevoll","mull","mut","mutig","nachmachen","nachteile","nackt","nagel","naiv","natural","nazi","neid","nervos","neu","niedertrachtig","niemals","notfall","notiert","nutzlich","nutzlos","offensichtlich","offiziel","offnen","ohne hintergedanken","ok","okay","okonomisch","on-demand","opfer","optimistisch","overnight","packend","panik","panzer","paralisiert","pas","passioniert","pause","payback","peinlich","perfekt","perplex","perskeptive","pessimistisch","pfund","piranha","pleite","plotzlich","pochend","polarisierend","popular","portfolio","praktisch","preis","prestige","privat","privatsphare","priviligiert","problem","produktiv","professionell","profit","profitabel","provokativ","provozierend","prozess","psychologisch","qual","qualen","qualitat","rabatt","rache","rachsuchtig","raffiniert","rasend","rat","rau","recherche","reduziert","reflektieren","regeln","reich","reiche","reichtum","relaxed","report","responsive","revolutionar","riesig","risiko","riskant","riskieren","rotzfrech","rowdy","ruckrat","ruckschlag","rucksichtlos","ruhig","ruiniert","sabotiert","sadistisch","sale","sarkastisch","scam","schabig","schadigend","schadlich","schamlos","schatz","schicksal","schlachten","schlafen","schlag","schlau","schlimm","schmerzhaft","schmerzlos","schmuggel","schnell","schnellstart","schokierend","schonheit","schrecklich","schreien","schritt fur schritt","schuld","schuldlos","schwach","schwarm","schwarzmarkt","schwerkraft","schwinden","sechsstellig","sehenswerte","selbsthass","selten","sensationell","sex","sexy","sicher","sicherheit","sicherlich","sieg","sill","simpel","sinnlich","sinnlos","skandal","skandalos","skill","sklave","sneak-peek","snob","sofort gespart","sofort","sollte","sonnig","sonnige","sonnigen","sorgen","sorgfaltig","sorglos","spannend","sparen","sparsam","spass","spassig","spektakular","speziell","spielen","spoiler","spontan","spotlight","stabil","stark","start","stoisch","stolz","stop","strahlend","strangulieren","strategie","studien","stumperhaft","stur","sunden","sundigend","super","superb","survival","tapfer","tauschend","teaser","technologie","terror","terrorist","teuer","tief","tiefgreifend","tierisch","tod","todlich","toll","tolle","toller","tortur","tot","tote","toten","totend","toxisch","tragisch","tragodie","transfomieren","transparenz","trauma","traumatisiert","traurigkeit","trend","tricks","trigger","triumpf","trocken","trotz","trugerisch","tweaks","tyrann","ubel","uberfordert","uberkommen","uberleben","uberlegen","uberraschend","uberrascht","uberraschung","uberwaltigend","uberwinden","ultimativ","umfassend","umstritten","umwerfend","unatorisiert","unaufhaltbar","unausgelasted","unbedacht","unbeliebt","unbeschwert","unbewusst","undercover","undokumentiert","unehrlich","unentschlossen","unerwartet","unfahig","ungeduldig","ungedult","ungehort","ungemutlich","ungerechtfertigt","ungesehen","ungetrubt","ungewohnlich","ungezogen","unglaublich","unglaubliches","uninteressiert","unkontrollierbar","unkonventionell","unlimitiert","unpenetrierbar","unschuldig","unsicher","unstabil","unter verschluss","untergrund","unterhaltsam","unterstutz","unterstutzend","unubertroffen","unvergesslich","unverneinbar","unvoreingenommen","unwiderstehlich","unwirtlich","unzensiert","unzuverlassig","up-selling","vaporisieren","verangstigt","verantwortlich","verargert","verarscht","verbessert","verbluffend","verblufft","verboten","verbreiten","verdachtig","verdammt","verdeckt","vereinfacht","verfuhrend","vergebend","vergessen","vergleich","verhauen","verifizieren","verkommen","verlegen","verletzbar","verletzt","verlockend","verloren","vermasselt","vermeiden","vermogen","vernichten","vernichtend","vernunftig","veroffentlichung","verpassen","verraterisch","verruckt","versagen","verschwitzt","versichert","verspielt","versprechend","versteckt","vertrauenswurdig","vertraulich","vertraumt","verurteilend","verwunderlich","verwundet","verzaubernd","verzweifelt","vierfach","vogelfrei","vollig","vollstandig","vorsicht","vorstellungskraft","vorteil","wachstum","wagemutig","wahnsinn","wahnsinnig","wahrhaftig","wahrheit","wahrheitsgemass","wahrscheinlich","warnung","was dir keiner sagt","wehleidig","welt","wenig bekannt","wert","wertvoll","wichtig","widerlich","wiedererkannt","wild","wilde","wilden","willensstarke","wirr","wohltatigkeit","wortlich","wunder","wunderbar","wunderbaren","wunderschon","wutend","zeichen","zeitig","zen","zensiert","zerschlagen","zerschmetternd","zerstorend","zertifiziert","zielorientiert","zischend","zischt","zocken","zogernd","zugeben","zuruckgehalten","zuruckgelassen","zuruckweisen","zusatzlich","zutaten","zuverlassig","zwangsernahrt","zweifelnd","zwickend","zwingend","einfache","einfachen","einfaches","einfacher","simple","simplen","simples","simpler","besten","bestes","bester","beste","bestbewertet","bestbewerteten","bestbewertete","bestbewerteter","bestbewertetes","\u00fcberraschende","\u00fcberraschenden","\u00fcberraschendes","\u00fcberraschender","hilfreiche","hilfreiches","hilfreichen","hilfreicher","f\u00f6rdern","unterst\u00fctzen","helfen","spielerisch","spannende","spannendes","spannenden","spannender","gro\u00dfartige","gro\u00dfartiges","gro\u00dfartigen","gro\u00dfartiger","ideal","ideales","idealen","idealer","faszinierend","faszinierendes","faszinierenden","faszinierender","wichtig","wichtige","wichtiges","wichtigen","wichtiger","sicher","sichere","sicheres","sicheren","sicherer","umfassende","umfassendes","umfassenden","umfassender","ultimative","ultimatives","ultimativen","ultimativer","einzigartige","einzigartiges","einzigartigen","einzigartiger"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2\\u00C4]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OE":"[\\u00D6]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","UE":"[\\u00DC]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3\\u00E4]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oe":"[\\u00f6]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","ue":"[\\u00FC]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/de","objectID":1134,"objectType":"post","locale":"de","localeFull":"de_DE","overlayImages":{"play":{"name":"Wiedergabezeichen","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"GIF-Symbol","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Fde&r=https%3A%2F%2Fnis2resources.eu%2Fde%2Fwp-json%2Fwp%2Fv2%2Fpages%2F1134%2F%3Fnonce%3D505e72af77&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Upgraden","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["abgelenkt","abgesturzt","absolut","abstossend","aburd","abweisen","adaquat","aggressiv","ahnungslos","akkurat","alarmierend","alarmiert","albtraum","all-inclusive","allererste","allererster","allererstes","alleswisser","am schlechtesten","am wichtigsten","angewidert","angriff","angsteinflossend","angstlich","animiert","ankundigung","anonym","anpassbar","anspruchslos","anstossig","antagonistisch","apokalypse","applaus","argumentativ","arm","armageddon","arrogant","atemberaubend","attacke","attraktiv","aufdeckend","aufgebracht","aufgedeckt","aufgeregt","aufheiternd","aufregend","aufregende","aufregenden","aufregung","aufstachelnd","aufstandisch","aufsteigend","auftreibend","augenoffnend","ausgelassen","ausgeruht","ausgespielt","ausgewahlt","ausgewuhlt","ausnutzen","aussergewohnlich","autark","authentisch","autoritat","backdoor","badass","beangstigend","bedenklich","bedingungslos","bedrohen","bedroht","beforderung","befreit","befriedigend","befriedigt","begehren","begeistern","begeistert","begeisterung","beherzt","behind the scenes","beichte","beleidigung","belohnung","bemerkenswert","beneiden","bequem","beruhmt","beschadigen","beschamend","beschmutzt","beschuldigen","beschutzen","besitz","bessesen","bestatigen","bestatigt","beste","bestimmt","bestrafen","betrug","betrugen","bewahrt","bewiesen","bewiesenermassen","bewusst","bezahlbar","bezaubernd","bizarre","bleich","blendend","blut","blutbad","blutig","bombe","bonanza","bonus","bosartig","bose","boshaft","brilliant","brodelnd","brutal","budget","bullshit","bully","bunt","bunte","bunten","case study","cash","challenge","challgene","chaos","cheat-sheet","clever","content","cool","courage","dankbar","daruber redet keiner","deadline","definitiv","dekadent","demoralisierend","demut","desillusioniert","detailiert","diagnose","die wahrheit","direkt","disastros","discount","dokument","dollar","dominieren","doppelt","download","dreckig","dreifach","dreistigkeit","dringend","dringlichkeit","dumm","dummkopf","dummlich","durchbruch","duselig","dynamik","echt","effektiv","effizient","ehrlich","eier","eifersuchtig","eifrig","eindeutig","eindrucksvoll","eine stufe besser","einfach","einfachheit","einfallsreich","eingebildet","eingeschrankt","eingesperrt","einmalig","einsam","eintauchen","einzigartig","eisern","eliminieren","elite","empathie","empfehle","empfehlen","endeffekt","energie","energisch","enorm","entdecken","entfesselt","entfremdet","enthullen","enthullung","enthusiastisch","entmachtet","entsetzlich","entspannt","entzuckend","entzunden","epidemisch","episch","erbarmlich","erfolg","erfolgreich","erfolgsbilanz","erfreut","erfullen","erfullt","ergebnisse","ergreifen","erhaben","erheben","erhohen","erledigt","ermachtigt","ermudet","ernmutigt","ernsthaft","erobern","erroten","errungenschaft","erschaffen","erschrocken","ersehnen","ersparnisse","erstattbar","erstatten","erstaunlich","erste","ertrinken","essentiell","ethisch","euphorisch","exakt","exklusiv","exklusivitat","exkuisit","experte","explodieren","explosiv","exposed","extrem","exzellent","fahig","fahigkeiten","fail","falle","fantasie","fantastischen","farbenfroh","farbenfrohe","faszinierend","faszinierende","faul","faux pas","faux","fehler","feindselig","feldstudie","fesselnd","festlich","festmahl","festplatte","final","flirt","fluchtling","flussig","fokus","fokussiert","folter","formel","frech","freebie","frei","freiheit","freudig","friedlich","frohlich","frohlichkeit","frustriert","fundamental","fur immer","furchtbar","furchtlos","gangster","garantiert","geblendet","geehrt","gefahr","gefahrlich","gefangen","gefangnis","gefeuert","gegensatzlich","gehassig","geheimnis","geheimnisse","geil","geisseln","geist","geistesgestort","gelassen","geld zuruck","geld","genial","gepackt","gerade angekommen","gerissen","geschenk","geschmuggelt","geschutzt","gestandnis","gestandnisse","gestopft","gestresst","gesucht","gesund","getauscht","getestet","getotet","gewaltig","gewalttatig","gewidmet","gewinnspiel","gier","gierig","gift","giftig","gigantisch","giveaway","glamourose","glanzend","glaube","glaubwurdig","gleichmassig","glittering","glitzernde","gluckselig","golden","grandios","grandiose","grandiosen","grandioses","grauenhaft","grausamkeit","grinsen","groesste","gross","grossartig","grossartig","grossartige","grossartigen","grossartiger","grossartiges","grosse","grossen","grosste","grosszugig","grotesk","grube","grundlegend","gruselig","gunstig","hack","hamisch","hammer","handelsgeheimnis","hartnackig","hass","heilig","heimlich","heisshunger","heisshungrig","heiter","held","hell","herablassend","herausfordernd","herausforderung","herausvorderung","herrlichen","herrschend","hervorragend","herz","herzbrechend","herzerwahrmend","heute","hightech","hilflosigkeit","hilfreich","hilfsbereit","himmlisch","hinterhaltig","hoax","hocheffektiv","hochnasig","hochste","hoffnung","hoffnungsvoll","holle","holocaust","horror","how to","humor","hungrige","hurrikan","hypnotisch","hypnotisierend","idiot","idiotisch","illegal","immer","informativ","inhalt","inkompetent","innovativ","insider","inspirierend","inspiriert","intelligent","intensiv","interessant","interessante","invasion","investment","ist da","jackpot","jederzeit kundigen","jetzt","jubilant","jumpstart","jung","kadaver","kampf","katapult","katastrophe","kaufen","kein risiko","keine verpflichtung","kickstart","kindisch","kitschig","klaglich","klar","knast","kollabieren","kollosal","komfortabel","komisch","kompetitiv","komplett","kompromiss","komsich","konstruktiv","kontrollierend","kontrollverlust","kooperativ","kopie","korrupt","kostenlos","kraftlos","kraftvoll","krankhaft","kreativ","kreative","kriese","kritisch","kruppel","lachen","lacherlich","lahm","last minute","lauernd","lebendig","lebenslanglich","lecken","lecker","legendar","legitim","leiche","leicht","leiden","leider","leise","letzte chance","letzte","leuchtend","liberal","licht","liebe","liebenswurdig","liebevoll","life-changing","limitiert","lohnend","loser","losung","lugen","lugend","lukrativ","lust","lustig","lustige","lustigsten","luxorios","magisch","mainstream","mammut","manipulativ","massiv","masterclass","meditierend","meiseter","meistverkauft","meltdown","millionen","mind-blowing","minderwertig","minimalist","missbrauch","misstrauisch","mittelmassig","mittig","modern","moderne","moglichkeiten","monetarisieren","monumental","mord","motiviert","muhelos","muhevoll","mull","mut","mutig","nachmachen","nachteile","nackt","nagel","naiv","natural","nazi","neid","nervos","neu","niedertrachtig","niemals","notfall","notiert","nutzlich","nutzlos","offensichtlich","offiziel","offnen","ohne hintergedanken","ok","okay","okonomisch","on-demand","opfer","optimistisch","overnight","packend","panik","panzer","paralisiert","pas","passioniert","pause","payback","peinlich","perfekt","perplex","perskeptive","pessimistisch","pfund","piranha","pleite","plotzlich","pochend","polarisierend","popular","portfolio","praktisch","preis","prestige","privat","privatsphare","priviligiert","problem","produktiv","professionell","profit","profitabel","provokativ","provozierend","prozess","psychologisch","qual","qualen","qualitat","rabatt","rache","rachsuchtig","raffiniert","rasend","rat","rau","recherche","reduziert","reflektieren","regeln","reich","reiche","reichtum","relaxed","report","responsive","revolutionar","riesig","risiko","riskant","riskieren","rotzfrech","rowdy","ruckrat","ruckschlag","rucksichtlos","ruhig","ruiniert","sabotiert","sadistisch","sale","sarkastisch","scam","schabig","schadigend","schadlich","schamlos","schatz","schicksal","schlachten","schlafen","schlag","schlau","schlimm","schmerzhaft","schmerzlos","schmuggel","schnell","schnellstart","schokierend","schonheit","schrecklich","schreien","schritt fur schritt","schuld","schuldlos","schwach","schwarm","schwarzmarkt","schwerkraft","schwinden","sechsstellig","sehenswerte","selbsthass","selten","sensationell","sex","sexy","sicher","sicherheit","sicherlich","sieg","sill","simpel","sinnlich","sinnlos","skandal","skandalos","skill","sklave","sneak-peek","snob","sofort gespart","sofort","sollte","sonnig","sonnige","sonnigen","sorgen","sorgfaltig","sorglos","spannend","sparen","sparsam","spass","spassig","spektakular","speziell","spielen","spoiler","spontan","spotlight","stabil","stark","start","stoisch","stolz","stop","strahlend","strangulieren","strategie","studien","stumperhaft","stur","sunden","sundigend","super","superb","survival","tapfer","tauschend","teaser","technologie","terror","terrorist","teuer","tief","tiefgreifend","tierisch","tod","todlich","toll","tolle","toller","tortur","tot","tote","toten","totend","toxisch","tragisch","tragodie","transfomieren","transparenz","trauma","traumatisiert","traurigkeit","trend","tricks","trigger","triumpf","trocken","trotz","trugerisch","tweaks","tyrann","ubel","uberfordert","uberkommen","uberleben","uberlegen","uberraschend","uberrascht","uberraschung","uberwaltigend","uberwinden","ultimativ","umfassend","umstritten","umwerfend","unatorisiert","unaufhaltbar","unausgelasted","unbedacht","unbeliebt","unbeschwert","unbewusst","undercover","undokumentiert","unehrlich","unentschlossen","unerwartet","unfahig","ungeduldig","ungedult","ungehort","ungemutlich","ungerechtfertigt","ungesehen","ungetrubt","ungewohnlich","ungezogen","unglaublich","unglaubliches","uninteressiert","unkontrollierbar","unkonventionell","unlimitiert","unpenetrierbar","unschuldig","unsicher","unstabil","unter verschluss","untergrund","unterhaltsam","unterstutz","unterstutzend","unubertroffen","unvergesslich","unverneinbar","unvoreingenommen","unwiderstehlich","unwirtlich","unzensiert","unzuverlassig","up-selling","vaporisieren","verangstigt","verantwortlich","verargert","verarscht","verbessert","verbluffend","verblufft","verboten","verbreiten","verdachtig","verdammt","verdeckt","vereinfacht","verfuhrend","vergebend","vergessen","vergleich","verhauen","verifizieren","verkommen","verlegen","verletzbar","verletzt","verlockend","verloren","vermasselt","vermeiden","vermogen","vernichten","vernichtend","vernunftig","veroffentlichung","verpassen","verraterisch","verruckt","versagen","verschwitzt","versichert","verspielt","versprechend","versteckt","vertrauenswurdig","vertraulich","vertraumt","verurteilend","verwunderlich","verwundet","verzaubernd","verzweifelt","vierfach","vogelfrei","vollig","vollstandig","vorsicht","vorstellungskraft","vorteil","wachstum","wagemutig","wahnsinn","wahnsinnig","wahrhaftig","wahrheit","wahrheitsgemass","wahrscheinlich","warnung","was dir keiner sagt","wehleidig","welt","wenig bekannt","wert","wertvoll","wichtig","widerlich","wiedererkannt","wild","wilde","wilden","willensstarke","wirr","wohltatigkeit","wortlich","wunder","wunderbar","wunderbaren","wunderschon","wutend","zeichen","zeitig","zen","zensiert","zerschlagen","zerschmetternd","zerstorend","zertifiziert","zielorientiert","zischend","zischt","zocken","zogernd","zugeben","zuruckgehalten","zuruckgelassen","zuruckweisen","zusatzlich","zutaten","zuverlassig","zwangsernahrt","zweifelnd","zwickend","zwingend","einfache","einfachen","einfaches","einfacher","simple","simplen","simples","simpler","besten","bestes","bester","beste","bestbewertet","bestbewerteten","bestbewertete","bestbewerteter","bestbewertetes","\u00fcberraschende","\u00fcberraschenden","\u00fcberraschendes","\u00fcberraschender","hilfreiche","hilfreiches","hilfreichen","hilfreicher","f\u00f6rdern","unterst\u00fctzen","helfen","spielerisch","spannende","spannendes","spannenden","spannender","gro\u00dfartige","gro\u00dfartiges","gro\u00dfartigen","gro\u00dfartiger","ideal","ideales","idealen","idealer","faszinierend","faszinierendes","faszinierenden","faszinierender","wichtig","wichtige","wichtiges","wichtigen","wichtiger","sicher","sichere","sicheres","sicheren","sicherer","umfassende","umfassendes","umfassenden","umfassender","ultimative","ultimatives","ultimativen","ultimativer","einzigartige","einzigartiges","einzigartigen","einzigartiger"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1134\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/pages\/1133"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/de\/wp-json\/wp\/v2\/media?parent=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}