(1)   Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten, dokumentieren und implementieren im Zusammenhang mit dem vereinfachten IKT-Risikomanagementrahmen eine Informationssicherheitsleitlinie. Diese Informationssicherheitsleitlinie enthält die übergeordneten Grundsätze und Regeln zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und der von diesen Finanzunternehmen erbrachten Dienstleistungen.

(2)   Auf der Grundlage ihrer in Absatz 1 genannten Informationssicherheitsleitlinie legen die in Absatz 1 genannten Finanzunternehmen IKT-Sicherheitsmaßnahmen zur Minderung ihres IKT-Risikos fest und setzen diese um, einschließlich Risikominderungsmaßnahmen, die von IKT-Drittdienstleistern umgesetzt werden.

Die IKT-Sicherheitsmaßnahmen müssen alle in den Artikeln 30 bis 38 genannten Maßnahmen umfassen.