Artikel 17 | DORA | Verordnung 2022/2554

Artikel 17 - Prozess für die Behandlung IKT-bezogener Vorfälle

Artikel 17

Prozess für die Behandlung IKT-bezogener Vorfälle

(1) Finanzunternehmen bestimmen einen Prozess für die Behandlung IKT-bezogener Vorfälle, richten diese ein und wenden sie an, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden.

(2) Finanzunternehmen erfassen alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen. Finanzunternehmen richten angemessene Verfahren und Prozesse ein, um die kohärente und integrierte Überwachung, Handhabung und Weiterverfolgung IKT-bezogener Vorfälle zu gewährleisten, um sicherzustellen, dass Ursachen ermittelt, dokumentiert und angegangen werden, um das Auftreten solcher Vorfälle zu verhindern.

(3) Durch den in Absatz 1 genannten Prozess für die Behandlung IKT-bezogener Vorfälle

a)	werden Frühwarnindikatoren eingesetzt;

b)	werden Verfahren zur Ermittlung, Nachverfolgung, Protokollierung, Kategorisierung und Klassifizierung IKT-bezogener Vorfälle entsprechend ihrer Priorität und Schwere und entsprechend der Kritikalität der betroffenen Dienste entsprechend den in Artikel 18 Absatz 1 genannten Kriterien eingerichtet;

c)	werden Funktionen und Zuständigkeiten zugewiesen, die bei verschiedenen Arten von IKT-bezogenen Vorfällen und -Szenarien aktiviert werden müssen;

werden gemäß Artikel 14 Pläne für die Kommunikation mit Personal, externen Interessenträgern und Medien sowie für die Benachrichtigung von Kunden, für interne Eskalationsverfahren, einschließlich IKT-bezogener Kundenbeschwerden, und für die Bereitstellung von Informationen an andere Finanzunternehmen, die als Gegenparteien fungieren, ausgearbeitet, je nach Sachlage;

wird sichergestellt, dass zumindest schwerwiegende IKT-bezogene Vorfälle der zuständigen höheren Führungsebene gemeldet werden und die Geschäftsleitung informiert wird, wobei die Auswirkungen und Gegenmaßnahmen und zusätzliche Kontrollen erläutert werden, die infolge dieser IKT-bezogenen Vorfälle einzurichten sind;

f)	werden Verfahren für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen eingerichtet, um Auswirkungen zu mindern und sicherzustellen, dass die Dienste zeitnah verfügbar und sicher werden.

Inhaltsverzeichnis

Erwägungsgründe

KAPITEL I - Allgemeine Bestimmungen (Artikel 1-4)

KAPITEL II - IKT-Risikomanagement (Artikel 5-16)

KAPITEL III - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Artikel 17-23)Artikel 17 - Prozess für die Behandlung IKT-bezogener Vorfälle Artikel 18 - Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen RTSQ&A Artikel 19 - Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen ITSRTSQ&A Artikel 20 - Harmonisierung von Inhalt und Vorlagen von Meldungen ITSRTS Artikel 21 - Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle Artikel 22 - Rückmeldungen von Aufsichtsbehörden Artikel 23 - Zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen

KAPITEL IV - Testen der digitalen operationalen Resilienz (Artikel 24-27)

KAPITEL V - Management des IKT-Drittparteienrisikos (Artikel 28-44)

KAPITEL VI - Vereinbarungen über den Austausch von Informationen (Artikel 45)

KAPITEL VII - Zuständige Behörden (Artikel 46-56)

KAPITEL VIII - Delegierte Rechtsakte (Artikel 57)

KAPITEL IX - Übergangs- und Schlussbestimmungen (Artikel 58-64)

Metadaten

Level 2 Rechtsakte

Verknüpfte Dokumente

Artikel 17 - Prozess für die Behandlung IKT-bezogener Vorfälle

Inhaltsverzeichnis