Artikel 75
IT-Instrumente
1. Ein Zentralverwahrer stellt sicher, dass seine informationstechnischen Systeme (IT-Systeme) gut dokumentiert sind und dass in ihrem Aufbau die Erfüllung der operationellen Anforderungen des Zentralverwahrers und die Deckung der operationellen Risiken, denen der Zentralverwahrer ausgesetzt ist, berücksichtigt ist.
Die IT-Systeme des Zentralverwahrers
a) |
sind widerstandsfähig, auch bei angespannten Marktbedingungen; |
b) |
verfügen über eine ausreichende Kapazität für die Verarbeitung zusätzlicher Informationen infolge zunehmender Abwicklungsvolumen; |
c) |
erfüllen die Ziele des Zentralverwahrers im Hinblick auf den Leistungsumfang. |
2. Ein Zentralverwahrersystem verfügt über eine ausreichende Kapazität für die Verarbeitung aller Transaktionen vor Ablauf des Tages, selbst wenn eine größere Störung auftritt.
Ein Zentralverwahrer verfügt über Verfahren, um eine ausreichende Kapazität seiner IT-Systeme sicherzustellen, auch im Falle der Einführung neuer Technologien.
3. Ein Zentralverwahrer zieht international anerkannte technische Standards und bewährte Verfahren aus der Branche als Grundlage für seine IT-Systeme heran.
4. Die IT-Systeme eines Zentralverwahrer stellen sicher, dass jegliche dem Zentralverwahrer zur Verfügung stehenden Daten vor Verlust, Abfluss, nicht autorisiertem Zugriff, schlechter Verwaltung, unzureichenden Aufzeichnungen und sonstigen Risiken bei der Verarbeitung geschützt sind.
5. Im Rahmen für die Informationssicherheit eines Zentralverwahrers sind die Mechanismen festgelegt, über die ein Zentralverwahrer verfügt, um Cyberangriffe aufzudecken und zu verhindern. In diesem Rahmen sind außerdem der Plan eines Zentralverwahrers für die Reaktion auf Cyberangriffe festgelegt.
6. Vor der Erstanwendung, nach signifikanten Änderungen und nach dem Auftreten einer größeren operationellen Störung werden die IT-Systeme des Zentralverwahrers stringenten Tests unterzogen, bei denen Stressbedingungen simuliert werden. Ein Zentralverwahrer bezieht bei der Konzeption und der Durchführung dieser Tests folgende Stellen mit ein:
a) |
die Nutzer; |
b) |
die kritischen Versorgungsbetriebe und Dienstleister; |
c) |
andere Zentralverwahrer; |
d) |
sonstige Marktinfrastrukturen; |
e) |
sonstige Institute, mit denen im Rahmen der Strategie für die Geschäftsfortführung wechselseitige Abhängigkeiten ermittelt wurden. |
7. Der Rahmen für die Informationssicherheit umfasst
a) |
Zugangskontrollen zum System; |
b) |
angemessene Schutzvorkehrungen gegen Eindringen und Datenmissbrauch; |
c) |
spezifische Instrumente zur Wahrung der Authentizität und Integrität von Daten, einschließlich Verschlüsselungstechniken; |
d) |
zuverlässige Netzwerke und Verfahren für eine präzise und umgehende Datenübermittlung ohne wesentliche Störungen und |
e) |
Prüfpfade. |
8. Der Zentralverwahrer verfügt über Regelungen für die Auswahl und den Austausch von dritten IT-Dienstleistern, den rechtzeitigen Zugang der Zentralverwahrer zu allen notwendigen Informationen sowie geeignete Kontrollen und Überwachungsinstrumente.
9. Der Zentralverwahrer stellt sicher, dass die IT-Systeme und der Rahmen für die Informationssicherheit in Bezug auf die Kerndienstleistungen mindestens einmal pro Jahr überprüft und bewertet werden. Die Ergebnisse dieser Prüfungen werden dem Leitungsorgan des Zentralverwahrers und der zuständigen Behörde gemeldet.