Aktualisiert 18/09/2024
In Kraft

Fassung vom: 06/02/2018
Änderungen
ESMA50/157/2403
Veröffentlicht: 18/12/2020
Art. 9
ESMA50/164/3342
Veröffentlicht: 03/06/2020
Art. 9
ESMA50/164/4285
Veröffentlicht: 10/05/2021
Art. 9
ESMA50/164/5210
Veröffentlicht: 01/09/2022
Art. 9
Suche im Rechtsakt
MiFID II ToolDelegierte Verordnung 2017/571
Artikel 9

Artikel 9 - Sicherheit

Artikel 9

Sicherheit

(1)  Ein Datenbereitstellungsdienst muss Verfahren und Systeme für die physische und elektronische Sicherheit einführen, die darauf abzielen, dass

a) seine IT-Systeme vor Missbrauch oder einem unbefugten Zugriff geschützt sind,

b) die Risiken eines Angriffs auf die Informationssysteme gemäß der Definition nach Artikel 2 Buchstabe a der Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates ( 1 ) minimiert werden,

c) eine unbefugte Offenlegung von vertraulichen Informationen verhindert wird, und dass

d) die Sicherheit und die Integrität der Daten gewährleistet ist.

(2)  Wenn eine Wertpapierfirma („meldepflichtige Firma“) einen Dritten („vorlegende Firma“) damit beauftragt, in ihrem Namen einem ARM Informationen vorzulegen, muss ein ARM über Verfahren und Systeme verfügen, um zu gewährleisten, dass die vorlegende Firma keinen Zugriff auf sonstige Informationen oder Informationen über die meldepflichtige Firma hat, die dem ARM von der meldepflichtigen Firma vorgelegt wurden und die von der meldepflichtigen Firma möglicherweise direkt oder über eine sonstige vorlegende Firma an den ARM geschickt wurden.

(3)  Ein Datenbereitstellungsdienst muss Maßnahmen und Systeme einführen, um unverzüglich die in Absatz 1 aufgeführten Risiken zu identifizieren und zu handhaben.

(4)  Im Falle von Verstößen gegen die Maßnahmen zur physischen und elektronischen Sicherheit gemäß Absatz 1, Absatz 2 und Absatz 3 muss der Datenbereitstellungsdienst unverzüglich:

a) die zuständigen Behörden seines Herkunftsmitgliedstaats unterrichten und diesen einen Vorfallbericht zukommen lassen, in dem die Art des Zwischenfalls, die ergriffenen Maßnahmen zur Beseitigung des Zwischenfalls und die Initiativen dargestellt werden, um ähnliche Zwischenfälle zu vermeiden, und

b) seine Kunden unterrichten, die von einem solchen Sicherheitsproblem betroffen sind.

(5)  Ein ARM hat die in Absatz 4 Buchstabe a genannte Unterrichtung auch gegenüber anderen zuständigen Behörden vorzunehmen, denen er Geschäftsmeldungen vorlegt.

( 1 ) Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8).