Artikel 18
Sicherheit und Zugangsbeschränkungen
(Artikel 17 Absatz 1 der Richtlinie 2014/65/EU)
(1) Wertpapierfirmen verfolgen eine IT-Strategie mit festgelegten Zielen und Maßnahmen, die
a) auf die Geschäfts- und Risikostrategie der jeweiligen Wertpapierfirma ebenso abgestimmt ist wie auf ihre operativen Tätigkeiten und die Risiken, denen sie ausgesetzt ist;
b) durch eine zuverlässige IT-Organisation unterstützt wird, die Wartung, Produktivbetrieb und Entwicklung umfasst;
c) den Ansprüchen eines effektiven IT-Sicherheitsmanagements genügt.
(2) Wertpapierfirmen gewährleisten die physische und elektronische Sicherheit durch die Einführung und Instandhaltung geeigneter Vorkehrungen, mit denen das Risiko von Angriffen auf ihre Informationssysteme gemindert wird; hierzu zählt auch ein wirksames Identitäts- und Zugangsmanagement. Solche Vorkehrungen schützen die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten ebenso wie die Zuverlässigkeit und Belastbarkeit der von der Wertpapierfirma verwendeten Informationssysteme.
(3) Im Falle erheblicher Verstöße gegen ihre physischen und elektronischen Sicherheitsvorkehrungen unterrichten Wertpapierfirmen unverzüglich die zuständige Behörde. Sie übermitteln der zuständigen Behörde einen Bericht über den Vorfall, in dem die Art des Vorfalls, die im Anschluss daran ergriffenen Maßnahmen und die Initiativen zur Vermeidung ähnlicher Vorfälle in der Zukunft beschrieben werden.
(4) Wertpapierfirmen führen jährlich Penetrationstests und Schwachstellenanalysen durch, um Cyber-Angriffe zu simulieren.
(5) Wertpapierfirmen stellen sicher, dass sie alle Benutzer identifizieren können, die über wichtige Zugangsrechte zu ihren IT-Systemen verfügen. Wertpapierfirmen begrenzen die Anzahl dieser Benutzer und überwachen ihren Zugang zu den IT-Systemen, um zu jeder Zeit die Rückverfolgbarkeit zu gewährleisten.