Artikel 3
Überprüfung der Sicherheitsmaßnahmen
(1)
Die Umsetzung der in Artikel 1 genannten Sicherheitsmaßnahmen wird dokumentiert, regelmäßig getestet, bewertet und von Prüfern mit Fachwissen auf dem Gebiet der IT-Sicherheit und des Zahlungsverkehrs, die innerhalb des Zahlungsdienstleisters oder von diesem operativ unabhängig sind, gemäß dem geltenden Rechtsrahmen des Zahlungsdienstleisters geprüft.
(2)
Die Zeiträume zwischen den nach Absatz 1 durchzuführenden Prüfungen werden gemäß dem für den Zahlungsdienstleister geltenden maßgeblichen Rechnungslegungs- und Abschlussprüfungsrahmenwerk festgelegt.
Für Zahlungsdienstleister, die die Ausnahme nach Artikel 18 in Anspruch nehmen, wird mindestens einmal jährlich eine Prüfung der Methodik, des Modells und der gemeldeten Betrugsraten durchgeführt. Der diese Prüfung vornehmende Prüfer verfügt über Fachwissen auf dem Gebiet der IT-Sicherheit und des Zahlungsverkehrs und ist innerhalb des Zahlungsdienstleisters oder von diesem operativ unabhängig. Diese Prüfung wird im ersten Jahr der Inanspruchnahme der Ausnahme nach Artikel 18 sowie im Anschluss daran mindestens alle drei Jahre — oder auf Verlangen der zuständigen Behörde häufiger — von einem unabhängigen, qualifizierten externen Prüfer durchgeführt.
(3)
Als Ergebnis dieser Prüfung werden eine Bewertung und ein Bericht erstellt, aus denen hervorgeht, ob die Sicherheitsmaßnahmen des Zahlungsdienstleisters die in dieser Verordnung dargelegten Anforderungen erfüllen.
Der Gesamtbericht wird den zuständigen Behörden auf Verlangen zur Verfügung gestellt.