Artikel 12 | Delegierte Verordnung 2024/1774

Artikel 12 - Datenaufzeichnung

Artikel 12

Datenaufzeichnung

(1) Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der Schutzvorkehrungen gegen Eindringen und Missbrauch von Daten Verfahren, Protokolle und Tools für die Datenaufzeichnung.

(2) Die in Absatz 1 genannten Verfahren, Protokolle und Tools für die Datenaufzeichnung umfassen alle folgenden Elemente:

a)	die Ermittlung der aufzuzeichnenden Ereignisse, die Speicherfrist für die Datenaufzeichnungen und die Maßnahmen zur Sicherung und Verarbeitung der Aufzeichnungsdaten unter Berücksichtigung des Zwecks, für den die Datenaufzeichnungen erstellt werden;

b)	die Abstimmung des Detaillierungsgrads der Datenaufzeichnungen auf deren Zweck und Verwendung, um die wirksame Erkennung anomaler Aktivitäten nach Artikel 24 zu ermöglichen;

die Anforderung, Ereignisse aufzuzeichnen, die sämtliche der folgenden Aspekte betreffen:

i)	logische und physische Zugangskontrolle nach Artikel 21 und Identitätsmanagement,

ii)	Kapazitätsmanagement,

iii)	Änderungsmanagement,

iv)	IKT-Vorgänge, einschließlich IKT-Systemaktivitäten,

v)	Netzwerkverkehrsaktivitäten, einschließlich der Leistung der IKT-Netzwerke;

d)	Maßnahmen zum Schutz von Datenaufzeichnungssystemen und -informationen vor Manipulation, Löschung und unbefugtem Zugriff mit Blick auf gespeicherte, übermittelte oder gegebenenfalls gerade verwendete Daten;

e)	Maßnahmen zur Erkennung eines Ausfalls von Datenaufzeichnungssystemen;

f)	unbeschadet etwaiger im Unionsrecht oder nationalen Recht festgelegter anwendbarer rechtlicher Anforderungen die Synchronisierung der Uhren jedes IKT-Systems des Finanzunternehmens auf der Grundlage einer dokumentierten zuverlässigen Referenzzeitquelle.

Für die Zwecke von Buchstabe a legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, dem Grund, weshalb das Ereignis aufgezeichnet wurde, und den Ergebnissen der IKT-Risikobewertung Rechnung.

TITEL I - ALLGEMEINER GRUNDSATZ (Artikel 1)

TITEL II - WEITERE HARMONISIERUNG VON TOOLS, METHODEN, PROZESSEN UND RICHTLINIEN FÜR IKT-RISIKOMANAGEMENT IM EINKLANG MIT ARTIKEL 15 DER VERORDNUNG (EU) 2022/2554 (Artikel 2-27)

KAPITEL I - Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit (Artikel 2-18)

ABSCHNITT 1 (Artikel 2)

ABSCHNITT 2 (Artikel 3)

ABSCHNITT 3 - Management von IKT-Assets (Artikel 4-5)

ABSCHNITT 4 - Verschlüsselung und Kryptografie (Artikel 6-7)

ABSCHNITT 5 - IKT-Betriebssicherheit (Artikel 8-12)Artikel 8 - Richtlinien und Verfahren für IKT-Vorgänge Artikel 9 - Kapazitäts- und Leistungsmanagement Artikel 10 - Schwachstellen- und Patch-Management Artikel 11 - Daten- und Systemsicherheit Artikel 12 - Datenaufzeichnung

Abschnitt 6 - Netzwerksicherheit (Artikel 13-14)

ABSCHNITT 7 - IKT-Projekt- und -Änderungsmanagement (Artikel 15-17)

ABSCHNITT 8 (Artikel 18)

KAPITEL II - Richtlinien für Personalpolitik und Zugangskontrolle (Artikel 19-21)

KAPITEL III - Erkennung IKT-bezogener Vorfälle und Reaktion (Artikel 22-23)

KAPITEL IV - Management der IKT-Geschäftsfortführung (Artikel 24-26)

KAPITEL V - Bericht über die Überprüfung des IKT-Risikomanagementrahmens (Artikel 27)

TITEL III - VEREINFACHTER IKT-RISIKOMANAGEMENTRAHMEN FÜR DIE IN ARTIKEL 16 ABSATZ 1 DER VERORDNUNG (EU) 2022/2554 GENANNTEN FINANZUNTERNEHMEN (Artikel 28-41)

TITEL IV - SCHLUSSBESTIMMUNGEN (Artikel 42)

Metadaten

Verknüpfte Dokumente

Artikel 12 - Datenaufzeichnung

Inhaltsverzeichnis