Artikel 70
System und Rahmen für das Risikomanagement operationeller Risiken
1. Im Rahmen der Strategien, Verfahren und Systeme nach Artikel 47 verfügt ein Zentralverwahrer über gut dokumentierte Rahmenbestimmungen für das Risikomanagement operationeller Risiken mit eindeutig zugewiesenen Rollen und Aufgaben. Ein Zentralverwahrer verfügt über geeignete IT-Systeme, Strategien, Verfahren und Kontrollen für die Ermittlung, Messung, Überwachung, Meldung und Abschwächung operationeller Risiken.
2. Das Leitungsorgan und die Geschäftsleitung eines Zentralverwahrers legen den Rahmen für das Risikomanagement operationeller Risiken nach Absatz 1 fest, setzen diesen um und überwachen ihn, identifizieren alle operationellen Risiken, denen ein Zentralverwahrer ausgesetzt ist, und beobachten die relevanten Daten über operationelle Risiken, einschließlich aller Fälle, in denen ein wesentlicher Datenverlust stattgefunden hat.
3. Ein Zentralverwahrer definiert und dokumentiert klare Ziele für die operationelle Verlässlichkeit, einschließlich Ziele für die operationelle Leistung und verbindliche Ziele für den Leistungsumfang seiner Dienstleistungen und Wertpapierliefer- und abrechnungssysteme. Er verfügt über Strategien und Verfahren für die Erreichung dieser Ziele.
4. Ein Zentralverwahrer stellt sicher, dass seine Ziele für die operationelle Leistung und den Leistungsumfang nach Absatz 3 sowohl qualitative als auch quantitative Messungen der operationellen Leistung umfassen.
5. Ein Zentralverwahrer überwacht und bewertet regelmäßig, ob seine festgelegten Ziele und Zielsetzungen für den Leistungsumfang erfüllt werden.
6. Ein Zentralverwahrer verfügt über Regeln und Verfahren, durch die sichergestellt wird, dass die Leistung seines Sicherheitssystems regelmäßig der Geschäftsleitung, den Mitgliedern des Leistungsorgans, relevanten Ausschüssen des Leistungsorgans, den Nutzerausschüssen und der zuständigen Behörde gemeldet wird.
7. Ein Zentralverwahrer prüft regelmäßig seine operationellen Ziele, um neue technische und betriebswirtschaftliche Entwicklungen einzubeziehen.
8. Die Rahmenbestimmungen für das Risikomanagement operationeller Risiken eines Zentralverwahrers beinhalten Prozesse für das Änderungs- und Projektmanagement, um auftretende operationelle Risiken in Verbindung mit Änderungen des Geschäftsbetriebs, der Strategien, Verfahren und Kontrollen des Zentralverwahrers abzuschwächen.
9. Die Rahmenbestimmungen für das Risikomanagement operationeller Risiken eines Zentralverwahrers beinhalten einen umfassenden Rahmen für die physische Sicherheit und die Datensicherheit, um die Risiken zu beherrschen, die dem Zentralverwahrer aufgrund von Angriffen, einschließlich Cyberangriffen, Eindringen und Naturkatastrophen entstehen. Dieser umfassende Rahmen ermöglicht es dem Zentralverwahrer, die ihm zur Verfügung stehenden Informationen vor nicht autorisiertem Zugriff zu schützen, die Richtigkeit und Integrität der Daten sicherzustellen und die Verfügbarkeit der von ihm erbrachten Dienstleistungen aufrechtzuerhalten.
10. Ein Zentralverwahrer verfügt über geeignete Verfahren im Bereich Personal, um qualifizierte Mitarbeiter anzustellen, zu schulen und zu halten und die Auswirkungen von Personalwechseln und Abhängigkeit von Mitarbeitern in Schlüsselpositionen zu reduzieren.