Artikel 77
Business-Impact-Analyse
1. Ein Zentralverwahrer führt eine Business-Impact-Analyse durch, um:
|
a) |
eine Liste mit den Prozessen und Tätigkeiten zu erstellen, die zur Erbringung seiner Dienstleistungen beitragen; |
|
b) |
alle Komponenten seines IT-Systems, die die Prozesse und Tätigkeiten nach Buchstabe a unterstützen, zu ermitteln und ein Verzeichnis über diese sowie über ihre jeweiligen wechselseitigen Abhängigkeiten zu erstellen; |
|
c) |
die qualitativen und quantitativen Auswirkungen eines Notfallsanierungsszenarios in Bezug auf alle Prozesse und Tätigkeiten nach Buchstabe a sowie die Art und Weise zu ermitteln und zu dokumentieren, wie sich die Auswirkungen im Falle einer Störung im Laufe der Zeit verändern; |
|
d) |
die Mindestleistungsumfänge zu definieren und dokumentieren, die aus Sicht der Zentralverwahrernutzer akzeptabel und angemessen sind; |
|
e) |
die Mindestanforderungen an die Ressourcen in Bezug auf das Personal und die Kompetenzen, den Arbeitsplatz und die IT für die Durchführung aller kritischen Funktionen im akzeptablen Mindestleistungsumfang zu ermitteln und dokumentieren. |
2. Ein Zentralverwahrer führt eine Risikoanalyse durch, um zu ermitteln, wie die verschiedenen Szenarien die Fortführung seiner kritischen Tätigkeiten beeinflussen.
3. Ein Zentralverwahrer stellt sicher, dass seine Business-Impact-Analyse und Risikoanalyse alle folgenden Anforderungen erfüllen:
|
a) |
sie werden auf dem aktuellen Stand gehalten; |
|
b) |
sie werden infolge eines wesentlichen Vorfalls oder wesentlicher operationeller Veränderungen und mindestens jährlich überprüft; |
|
c) |
es werden alle relevanten Entwicklungen, auch marktbezogene und informationstechnische Entwicklungen, berücksichtigt. |