(1)   Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen ermitteln und implementieren physische Sicherheitsmaßnahmen, die ausgehend von der Bedrohungslage und entsprechend der in Artikel 30 Absatz 1 der vorliegenden Verordnung genannten Klassifizierung sowie auf Basis des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets konzipiert werden.

(2)   Die in Absatz 1 genannten Maßnahmen schützen die Räumlichkeiten der Finanzunternehmen und, sofern anwendbar, die Rechenzentren von Finanzunternehmen, in denen IKT- und Informationsassets untergebracht sind, vor unbefugtem Zugriff, Angriffen und Unfällen sowie vor Umweltbedrohungen und -gefahren.

(3)   Der Schutz vor Umweltbedrohungen und -gefahren muss der Bedeutung der betreffenden Räumlichkeiten und, sofern anwendbar, der Rechenzentren und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein.