Artikel 17
IKT-Änderungsmanagement
(1) Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sehen die Finanzunternehmen in den in Artikel 9 Absatz 4 Buchstabe e der Verordnung (EU) 2022/2554 genannten IKT-Änderungsmanagementverfahren für alle Änderungen an Software, Hardware, Firmware-Komponenten, Systemen oder Sicherheitsparametern alles Folgende vor:
|
a) |
eine Überprüfung, ob die IKT-Sicherheitsanforderungen erfüllt sind, |
|
b) |
Mechanismen, die gewährleisten, dass die Funktionen, die Änderungen genehmigen, und die Funktionen, die für die Beantragung und Umsetzung dieser Änderungen zuständig sind, unabhängig sind, |
|
c) |
eine klare Beschreibung der Aufgaben und Zuständigkeiten, um zu gewährleisten, dass
|
|
d) |
die Dokumentation und Kommunikation der Änderungen im Detail, wozu u. a. Folgendes zählt:
|
|
e) |
die Angabe von Ausweichverfahren und -zuständigkeiten, einschließlich Verfahren und Zuständigkeiten für den Abbruch von Änderungen oder die Wiederherstellung, wenn Änderungen nicht erfolgreich implementiert wurden, |
|
f) |
Verfahren, Protokolle und Tools für den Umgang mit Notfalländerungen, die angemessene Schutzvorkehrungen vorsehen, |
|
g) |
Verfahren zur Dokumentation, Neubewertung, Bewertung und Genehmigung von Notfalländerungen, nachdem diese vorgenommen wurden, einschließlich Ausweichlösungen und Patches, |
|
h) |
Angabe der potenziellen Auswirkungen einer Änderung auf bestehende IKT-Sicherheitsmaßnahmen und Bewertung, ob eine solche Änderung zusätzliche IKT-Sicherheitsmaßnahmen erfordert. |
(2) Wenn zentrale Gegenparteien und Zentralverwahrer an ihren IKT-Systemen erhebliche Änderungen vorgenommen haben, unterziehen sie diese strengen Tests unter Simulation von Stressbedingungen.
Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgenden Parteien ein:
|
a) |
Clearingmitglieder und Kunden, |
|
b) |
interoperable zentrale Gegenparteien, |
|
c) |
andere interessierte Parteien. |
Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgende Parteien ein:
|
a) |
Nutzer, |
|
b) |
kritische Versorgungsbetriebe und kritische Dienstleister, |
|
c) |
andere Zentralverwahrer, |
|
d) |
andere Marktinfrastrukturen, |
|
e) |
alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer IKT-Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden. |