Artikel 10
Schwachstellen- und Patch-Management
(1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Schwachstellen-Management.
(2) Die in Absatz 1 genannten Verfahren für das Schwachstellen-Management sorgen dafür, dass
|
a) |
relevante und vertrauenswürdige Informationsressourcen ermittelt und aktualisiert werden, um für Schwachstellen zu sensibilisieren und das Bewusstsein dafür aufrechtzuerhalten, |
|
b) |
die Durchführung automatisierter Schwachstellenbewertungen und -scans bei IKT-Assets gewährleistet und dabei sichergestellt wird, dass deren Häufigkeit und Umfang der im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung und dem Gesamtrisikoprofil des IKT-Assets entsprechen, |
|
c) |
überprüft wird, ob
|
|
d) |
nachverfolgt wird, wie Folgendes verwendet wird:
|
|
e) |
Verfahren für die verantwortungsvolle Offenlegung von Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit festgelegt werden, |
|
f) |
die Einführung von Patches und anderen Abhilfemaßnahmen priorisiert wird, um die ermittelten Schwachstellen zu beheben, |
|
g) |
die Behebung von Schwachstellen überwacht und geprüft wird, |
|
h) |
eine Aufzeichnung aller festgestellten Schwachstellen, die IKT-Systeme betreffen, und die Überwachung der Behebung dieser Schwachstellen verlangt werden. |
Für die Zwecke von Buchstabe b führen die Finanzunternehmen die automatisierten Schwachstellenbewertungen und -scans für IKT-Assets bei IKT-Assets, die kritische oder wichtige Funktionen unterstützen, mindestens einmal wöchentlich durch.
Für die Zwecke von Buchstabe c fordern die Finanzunternehmen IKT-Drittdienstleister auf, die einschlägigen Schwachstellen zu untersuchen, die Ursachen zu ermitteln und geeignete Abhilfemaßnahmen zu ergreifen.
Für die Zwecke von Buchstabe d überwachen die Finanzunternehmen, gegebenenfalls in Zusammenarbeit mit dem IKT-Drittdienstleister, die aktuelle Version der Bibliotheken Dritter sowie mögliche Aktualisierungen. Was gebrauchsfertige (Standard-)IKT-Assets oder Komponenten von IKT-Assets betrifft, die für die Ausführung von IKT-Dienstleistungen erworben und verwendet werden, die keine kritischen oder wichtigen Funktionen unterstützen, wird die Nutzung von Bibliotheken Dritter, einschließlich Open-Source-Bibliotheken, von den Finanzunternehmen soweit wie möglich nachverfolgt.
Für die Zwecke von Buchstabe f berücksichtigen die Finanzunternehmen die Kritikalität der Schwachstelle, die im Einklang mit Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegte Klassifizierung sowie das Risikoprofil der IKT-Assets, die von den ermittelten Schwachstellen betroffen sind.
(3) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Verfahren für das Patch-Management.
(4) Die in Absatz 3 genannten Verfahren für das Patch-Management dienen dazu,
|
a) |
soweit möglich verfügbare Software- und Hardware-Patches und -Aktualisierungen mithilfe automatisierter Tools zu ermitteln und zu bewerten; |
|
b) |
Notfallverfahren für das Patching und die Aktualisierung von IKT-Assets zu ermitteln; |
|
c) |
Software- und Hardware-Patches und die Aktualisierungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii zu testen und einzuführen; |
|
d) |
Fristen für die Installation von Software- und Hardware-Patches und von Aktualisierungen zu setzen sowie Eskalationsverfahren für den Fall festzulegen, dass diese Fristen nicht eingehalten werden können. |