Artikel 16
Beschaffung, Entwicklung und Wartung von IKT-Systemen
(1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen. Diese Richtlinien müssen
|
a) |
Sicherheitskonzepte und Methoden für die Beschaffung, Entwicklung und Wartung von IKT-Systemen enthalten, |
|
b) |
verlangen, dass Folgendes angegeben wird:
|
|
c) |
Maßnahmen vorsehen, mit denen das Risiko einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung, Wartung und Einführung dieser IKT-Systeme in der Produktionsumgebung gemindert wird. |
(2) Die Finanzunternehmen entwickeln, dokumentieren und implementieren für die Tests und die Genehmigung aller IKT-Systeme vor ihrer Nutzung und nach ihrer Wartung gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii ein Verfahren für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen. Der Testumfang muss der Kritikalität der betreffenden Geschäftsprozesse und IKT-Assets angemessen sein. Die Tests müssen so ausgelegt sein, dass überprüft werden kann, ob neue IKT-Systeme ihrer geplanten Bestimmung angemessen sind, was auch die Qualität der intern entwickelten Software einschließt.
Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests neben den in Unterabsatz 1 genannten Anforderungen soweit relevant die folgenden Parteien ein:
|
a) |
Clearingmitglieder und Kunden, |
|
b) |
interoperable zentrale Gegenparteien, |
|
c) |
andere interessierte Parteien. |
Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests neben den in Unterabsatz 1 genannten Anforderungen soweit relevant die folgenden Parteien ein:
|
a) |
Nutzer, |
|
b) |
kritische Versorgungsbetriebe und kritische Dienstleister, |
|
c) |
andere Zentralverwahrer, |
|
d) |
andere Marktinfrastrukturen, |
|
e) |
alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden. |
(3) Im Rahmen des in Absatz 2 genannten Verfahrens sind Quellcodeprüfungen durchzuführen, die sowohl statische als auch dynamische Tests umfassen. Bei diesen Tests muss die Sicherheit internetexponierter Systeme und Anwendungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii getestet werden. Finanzunternehmen müssen
|
a) |
Schwachstellen und Anomalien im Quellcode ermitteln und analysieren, |
|
b) |
einen Aktionsplan festlegen, um diese Schwachstellen und Anomalien zu beheben, |
|
c) |
die Umsetzung dieses Aktionsplans überwachen. |
(4) Im Rahmen des in Absatz 2 genannten Verfahrens muss spätestens zur Integrationsphase die Sicherheit von Softwarepaketen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii getestet werden.
(5) Das in Absatz 2 genannte Verfahren muss Folgendes vorsehen:
|
a) |
in Nichtproduktionsumgebungen dürfen nur anonymisierte, pseudonymisierte oder randomisierte Produktionsdaten gespeichert werden, |
|
b) |
Finanzunternehmen müssen die Integrität und Vertraulichkeit von Daten in Nichtproduktionsumgebungen schützen. |
(6) Abweichend von Absatz 5 kann das in Absatz 2 genannte Verfahren vorsehen, dass Produktionsdaten nur für bestimmte Testanlässe, für begrenzte Zeiträume und nach Genehmigung durch die betreffende Funktion sowie nach Meldung solcher Anlässe an die IKT-Risikomanagement-Funktion gespeichert werden.
(7) Das in Absatz 2 genannte Verfahren muss Kontrollen zum Schutz der Integrität des Quellcodes von IKT-Systemen vorsehen, die intern oder von einem IKT-Drittdienstleister entwickelt und dem Finanzunternehmen von einem IKT-Drittdienstleister geliefert werden.
(8) Das in Absatz 2 genannte Verfahren muss vorsehen, dass proprietäre Software und nach Möglichkeit der Quellcode, der von IKT-Drittdienstleistern bereitgestellt wird oder aus Open-Source-Projekten stammt, vor ihrer Einführung in der Produktionsumgebung gemäß Absatz 3 analysiert und getestet werden.
(9) Die Absätze 1 bis 8 gelten auch für IKT-Systeme, die von nicht bei der IKT-Funktion angesiedelten Nutzern nach einem risikobasierten Ansatz entwickelt oder betrieben werden.