Artikel 35
Daten-, System- und Netzwerksicherheit
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen entwickeln und implementieren im Rahmen ihrer Systeme, Protokolle und Tools Schutzvorrichtungen, die die Sicherheit der Netzwerke gegen Eindringen und den Missbrauch von Daten gewährleisten und die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten wahren. Insbesondere tragen die Finanzunternehmen unter Berücksichtigung der in Artikel 30 Absatz 1 genannten Klassifizierung für alles Folgende Sorge:
|
a) |
Ermittlung und Umsetzung von Maßnahmen zum Schutz von Daten, die gerade verwendet oder übermittelt werden, sowie von Daten, die gespeichert sind; |
|
b) |
Ermittlung und Umsetzung von Sicherheitsmaßnahmen für die Nutzung von Software, Datenträgern, Systemen und Endgeräten, die Daten des Finanzunternehmens übertragen und speichern; |
|
c) |
Ermittlung und Umsetzung von Maßnahmen zur Verhinderung und Aufdeckung unbefugter Verbindungen mit dem Netz des Finanzunternehmens und zur Sicherung des Netzverkehrs zwischen den internen Netzwerken des Finanzunternehmens und dem Internet und anderen externen Verbindungen; |
|
d) |
Ermittlung und Umsetzung von Maßnahmen zur Gewährleistung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten bei Netzwerkübertragungen; |
|
e) |
ein Verfahren zur sicheren Löschung von Daten in den Räumlichkeiten oder von extern gespeicherten Daten, die das Finanzunternehmen nicht mehr erheben oder speichern muss; |
|
f) |
ein Verfahren zur sicheren Entsorgung oder Außerbetriebnahme von Datenspeichern in den Räumlichkeiten oder von extern gelagerten Datenspeichern, die vertrauliche Informationen enthalten; |
|
g) |
Ermittlung und Umsetzung von Maßnahmen, mit denen sichergestellt wird, dass Telearbeit und die Nutzung privater Endgeräte die Fähigkeit des Finanzunternehmens, seine kritischen Tätigkeiten angemessen, rechtzeitig und sicher auszuführen, nicht beeinträchtigen. |