Artikel 9
Informationstechnische Systeme
(1)
Eine CCP arbeitet ein Konzept für ihre informationstechnischen Systeme aus und gewährleistet, dass diese zuverlässig und sicher sind und die Informationen verarbeiten können, die für ein sicheres und effizientes Funktionieren der Tätigkeiten und Abläufe der CCP erforderlich sind.
Die IT-Architektur ist gut zu dokumentieren. Die Systeme sind darauf ausgelegt, die operativen Erfordernisse der CCP zu erfüllen und die Risiken, denen die CCP ausgesetzt ist, zu bewältigen; sie sind auch unter angespannten Marktbedingungen belastbar und bei Bedarf skalierbar, um zusätzliche Informationen zu verarbeiten. Damit das System im Falle einer wesentlichen Störung alle noch offenen Transaktionen vor Tagesabschluss verarbeiten kann, sieht die CCP einschlägige Verfahren, eine Kapazitätsplanung sowie ausreichende Kapazitätsreserven vor. Die CCP legt Verfahren für die Einführung neuer Technologien fest, die auch klare Pläne für die Rückkehr zum vorherigen Stand enthalten.
(2)
Um bei der Datenverarbeitung ein hohes Maß an Sicherheit sicherzustellen und die Konnektivität mit den Clearingmitgliedern, Kunden und Dienstleistern zu gewährleisten, stützen sich die informationstechnischen Systeme der CCP auf international anerkannte technische Standards und bewährte Verfahren der Branche. Vor der Erstanwendung, nach signifikanten Änderungen und nach dem Auftreten einer wesentlichen Störung werden die Systeme der CCP stringenten Tests unterzogen, bei denen Stressbedingungen simuliert werden. In die Entwicklung und Durchführung dieser Tests werden bei Bedarf Clearingmitglieder und Kunden, interoperable CCP und andere interessierte Parteien eingebunden.
(3)
Eine CCP erhält einen robusten Rahmen für die Informationssicherheit aufrecht, der für eine angemessene Steuerung ihres Informationssicherheitsrisikos sorgt. Der Rahmen umfasst angemessene Mechanismen, Grundsätze und Verfahren, um Informationen vor unbefugter Offenlegung zu schützen, die Genauigkeit und Integrität der Daten sicherzustellen und die Verfügbarkeit der Dienstleistungen der CCP zu garantieren.
(4)
Der Rahmen für die Informationssicherheit umfasst mindestens folgende Merkmale:
a)
Zugangskontrollen zum System;
b)
angemessene Schutzvorkehrungen gegen Eindringen und Datenmissbrauch;
c)
spezifische Instrumente zur Wahrung der Authentizität und Integrität von Daten, einschließlich Verschlüsselungstechniken;
d)
zuverlässige Netzwerke und Verfahren für eine präzise und umgehende Datenübermittlung ohne wesentliche Störungen;
e)
Prüfpfade.
(5)
Die informationstechnischen Systeme und der Rahmen für die Informationssicherheit werden mindestens jährlich überprüft. Hierbei wird eine unabhängige Bewertung vorgenommen. Die Ergebnisse dieser Bewertungen werden dem Leitungsorgan mitgeteilt und der zuständigen Behörde zur Verfügung gestellt.