Artikel 1
Gesamtrisikoprofil und -komplexität
In der Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „Leitlinie“), werden die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art und der Umfang seiner Dienstleistungen, Tätigkeiten und Geschäfte und die Elemente berücksichtigt, durch die sich deren Komplexität erhöht oder verringert, einschließlich der Elemente, die Folgendes betreffen:
|
a) |
die Art der IKT-Dienstleistungen, die Gegenstand der vertraglichen Vereinbarung zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „vertragliche Vereinbarung“), sind; |
|
b) |
den Standort des IKT-Drittdienstleisters oder den Standort seines Mutterunternehmens; |
|
c) |
ob die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von einem IKT-Drittdienstleister in einem Mitgliedstaat oder einem Drittstaat bereitgestellt werden, auch unter Berücksichtigung des Standorts, von dem aus die IKT-Dienstleistungen bereitgestellt werden, und des Standorts, an dem die Daten verarbeitet und gespeichert werden; |
|
d) |
die Art der Daten, die mit dem IKT-Drittdienstleister ausgetauscht werden; |
|
e) |
ob der IKT-Drittdienstleister derselben Gruppe angehört wie das Finanzunternehmen, für das die Dienstleistungen erbracht werden; |
|
f) |
die Nutzung von IKT-Drittdienstleistern, die einer Zulassung, Registrierung oder der Beaufsichtigung oder Überwachung durch eine zuständige Behörde in einem Mitgliedstaat oder dem Überwachungsrahmen nach Kapitel V Abschnitt II der Verordnung (EU) 2022/2554 unterliegen, sowie die Nutzung von IKT-Drittdienstleistern, auf die dies nicht zutrifft; |
|
g) |
die Nutzung von IKT-Drittdienstleistern, die der Zulassung, Registrierung oder der Beaufsichtigung oder Überwachung durch eine Aufsichtsbehörde in einem Drittstaat unterliegen, sowie die Nutzung von IKT-Drittdienstleistern, auf die dies nicht zutrifft; |
|
h) |
ob die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sich auf einen einzigen IKT-Drittdienstleister oder eine kleine Anzahl solcher Dienstleister konzentriert; |
|
i) |
die Übertragbarkeit der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auf einen anderen IKT-Drittdienstleister, auch aufgrund technologischer Besonderheiten; |
|
j) |
die potenziellen Auswirkungen von Störungen bei der Bereitstellung der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auf die Kontinuität der Tätigkeiten des Finanzunternehmens und auf die Verfügbarkeit seiner Dienstleistungen. |