Bezeichnung/Link zum Rechtstext

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011

Link zum Rechtstext

Verordnung (EU) 2022/2554

Kerninhalte

Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden in dieser Verordnung einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, wie folgt festgelegt:
-> auf Finanzunternehmen anwendbare Anforderungen in Bezug auf:
--> Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT);
--> Meldung schwerwiegender IKT-bezogener Vorfälle und — auf freiwilliger Basis — erheblicher Cyberbedrohungen an die zuständigen Behörden;
--> Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch Finanzunternehmen an die zuständigen Behörden;
--> Tests der digitalen operationalen Resilienz;
--> Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;
--> Maßnahmen für das solide Management des IKT-Drittparteienrisikos;

-> Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;
-> Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;
-> Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.

In Bezug auf Finanzunternehmen, die gemäß den nationalen Vorschriften zur Umsetzung der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Unternehmen ermittelt wurden, gilt diese Verordnung als sektorspezifischer Rechtsakt der Union.