Artikel 7
Geschäftsfortführung im Krisenfall und Notfallsysteme
(1) Ein Datenbereitstellungsdienst nutzt Systeme und Einrichtungen, die geeignet und stabil genug sind, um die Kontinuität und Regelmäßigkeit der erbrachten Dienstleistungen gemäß der Richtlinie 2014/65/EU zu gewährleisten.
(2) Ein Datenbereitstellungsdienst führt regelmäßig, zumindest einmal jährlich, Prüfungen durch, wobei seine technische Infrastruktur und die damit verbundenen Strategien und Verfahren, einschließlich der Notfallvorkehrungen, bewertet werden. Ein Datenbereitstellungsdienst beseitigt sämtliche bei dieser Prüfung erkannten Mängel.
(3) Ein Datenbereitstellungsdienst verfügt über wirksame Notfallvorkehrungen, um Störungen zu beseitigen, einschließlich:
a) der Verfahren, die für die Dienstleistungen des Datenbereitstellungsdienstes kritisch sind, einschließlich Eskalationsverfahren, entsprechender ausgelagerter Tätigkeiten oder Abhängigkeit von externen Dienstleistern;
b) spezifischer Notfallvorkehrungen, die eine angemessene Palette möglicher kurz- und mittelfristiger Szenarien umfassen, einschließlich Systemausfälle, Naturkatastrophen, Kommunikationsstörungen, Verlust von wichtigen Mitarbeitern und der Unfähigkeit, die gewöhnlichen Räumlichkeiten zu nutzen;
c) doppelter Hardware-Komponenten, die eine automatische Umschaltung auf eine Notfallinfrastruktur ermöglichen, einschließlich Netzwerkkonnektivität und Kommunikationskanälen;
d) einer Sicherheitskopie von geschäftskritischen Daten und aktuellen Informationen der erforderlichen Kontakte, um die Kommunikation beim Datenbereitstellungsdienst und mit Kunden zu gewährleisten;
e) der Verfahren für die Verlagerung von Datenbereitstellungsleistungen zu einem Reservestandort und die Erbringung von Datenbereitstellungsdienstleistungen von diesem Standort aus;
f) der angestrebten maximalen Wiederherstellungszeit bei kritischen Aufgaben, die bei genehmigten Veröffentlichungssystemen (APA) und Bereitstellern konsolidierter Datenticker (CTP) so kurz wie möglich und in keinem Fall länger als sechs Stunden und bei genehmigten Meldemechanismen (ARM) bis zum Ende des darauffolgenden Geschäftstags dauern sollte;
g) Schulung der Angestellten im Umgang mit Maßnahmen zur Geschäftsfortführung im Krisenfall und den Rollen der einzelnen Personen, einschließlich Personal für spezifische Sicherheitsvorkehrungen, um unmittelbar auf eine Störung bei den Dienstleistungen reagieren zu können.
(4) Ein Datenbereitstellungsdienst muss ein Programm für regelmäßige Tests, Prüfungen und, sofern erforderlich, die Änderung von Maßnahmen zur Geschäftsfortführung im Krisenfall einführen.
(5) Ein Datenbereitstellungsdienst muss etwaige Störungen bei den Dienstleistungen oder Verbindungsprobleme sowie den Zeitraum bis zur Wiederaufnahme eines geregelten Betriebs auf seiner Internetseite veröffentlichen und die zuständigen Behörden seines Herkunftsmitgliedstaats und die Kunden diesbezüglich unmittelbar in Kenntnis setzen.
(6) Der ARM hat die in Absatz 5 genannten Unterrichtungen auch gegenüber zuständigen Behörden vorzunehmen, denen er Geschäftsmeldungen vorlegt.