|
Informationskategorie
|
Wesentliche Informationen
|
|
Allgemeine Angaben
|
|
—
|
Name des kritischen IKT-Drittdienstleisters.
|
|
—
|
Rechtsträgerkennung des kritischen IKT-Drittdienstleisters.
|
|
—
|
Name der Kontaktperson und Kontaktdaten des kritischen IKT-Drittdienstleisters.
|
|
—
|
Datum der Übermittlung der Vorlage.
|
|
|
Überblick über die Vereinbarungen über die Unterauftragsvergabe
|
|
—
|
Erfassung der Vereinbarungen über die Unterauftragsvergabe, einschließlich einer kurzen Beschreibung des Zwecks und des Umfangs des Vertragsverhältnisses mit Unterauftragnehmern (einschließlich Angaben zum Grad der Kritikalität oder zur Bedeutung der Vereinbarungen über die Unterauftragsvergabe für den kritischen IKT-Drittdienstleister).
|
|
—
|
Spezifikation und Beschreibung der Arten von IKT-Dienstleistungen, die an Unterauftragnehmer vergeben werden, und ihrer Bedeutung für die IKT-Dienstleistungen, die für Finanzunternehmen erbracht werden, nach Maßgabe der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards.
|
|
|
Angaben zu Unterauftragnehmern
|
|
—
|
Name und Angaben zur juristischen Person (einschließlich Rechtsträgerkennung) für jeden einzelnen Unterauftragnehmer.
|
|
—
|
Kontaktdaten der Mitarbeiter, die in der Verwaltungsstruktur des kritischen IKT-Drittdienstleisters für die einzelnen Unteraufträge zuständig sind.
|
|
—
|
Überblick für jeden einzelnen Unterauftragnehmer über die Fachkenntnisse, die Erfahrung und die Qualifikationen im Zusammenhang mit den in Auftrag gegebenen IKT-Dienstleistungen.
|
|
|
Beschreibung der von Unterauftragnehmern erbrachten Dienstleistungen
|
|
—
|
Detaillierte Beschreibung der einzelnen IKT-Dienstleistungen, die von den einzelnen Unterauftragnehmern erbracht werden.
|
|
—
|
Aufschlüsselung der Zuständigkeiten und Aufgaben, die Unterauftragnehmern übertragen werden, durch Angabe der verschiedenen Aufgaben in den verschiedenen Phasen der IKT-Prozesse.
|
|
—
|
Informationen über den Umfang des Zugangs von Unterauftragnehmern zu personenbezogenen oder anderweitig sensiblen Daten oder Systemen bei der Erbringung von IKT-Dienstleistungen für Finanzunternehmen.
|
|
—
|
Informationen über die Standorte, von denen aus die Unterauftragnehmer ihre Dienstleistungen erbringen, und über die Maßnahmen, die zur Bewältigung von Risiken, die mit außerhalb der Union erbrachten Dienstleistungen einhergehen, ergriffen wurden.
|
|
|
Governance und Überwachung der Unterauftragsvergabe
|
|
—
|
Beschreibung des bestehenden Vertrags- und Governance-Rahmens für die Verwaltung von Unteraufträgen, einschließlich Klauseln für die Einschränkung der Nutzung sensibler Daten.
|
|
—
|
Erläuterung der Verfahren für die Auswahl, Beauftragung und Überwachung von Unterauftragnehmern.
|
|
—
|
Überblick über Leistungsparameter, Dienstgüteziele und -vereinbarungen sowie zentrale Leistungsindikatoren, die zur Bewertung der Leistung und zur Überwachung der Zuverlässigkeit des Unterauftragnehmers herangezogen werden.
|
|
|
Risikomanagement und Einhaltung der Vorschriften
|
|
—
|
Bewertung der Risikoprofile des Unterauftragnehmers und der potenziellen Auswirkungen auf die IKT-Dienstleistungen, die für Finanzunternehmen erbracht werden.
|
|
—
|
Erläuterung der Risikominderungsmaßnahmen, die zur Bewältigung von Risiken im Zusammenhang mit der Unterauftragsvergabe umgesetzt wurden.
|
|
—
|
Detaillierte Angaben zur Einhaltung der einschlägigen Vorschriften, einschließlich der Datenschutz- und Branchenstandards, durch den Unterauftragnehmer.
|
|
|
Geschäftsfortführung und Notfallplanung
|
|
—
|
Überblick über die Geschäftsfortführungspläne und die Reaktions- und Wiederherstellungspläne des Unterauftragnehmers.
|
|
—
|
Beschreibung der getroffenen Vorkehrungen, um die Aufrechterhaltung der Dienste im Falle von Störungen oder der Kündigung des Unterauftragnehmers zu gewährleisten.
|
|
—
|
Häufigkeit der von den Unterauftragnehmern durchgeführten Tests der Geschäftsfortführungspläne und der Reaktions- und Wiederherstellungspläne, Datum der letzten Tests in den letzten drei Jahren und Angaben dazu, ob der kritische IKT-Drittdienstleister an diesen Tests beteiligt war.
|
|
|
Berichterstattung
|
|
—
|
Beschreibung der Meldesysteme und der Häufigkeit der Berichterstattung zwischen dem kritischen IKT-Drittdienstleister und seinen Unterauftragnehmern.
|
|
|
Abhilfemaßnahmen und Behandlung von Vorfällen
|
|
—
|
Überblick über die Verfahren für die Behandlung von Sicherheitsvorfällen und -verletzungen oder Verstößen in Verbindung mit dem Unterauftragnehmer.
|
|
|
Zertifizierungen und Audits
|
|
—
|
Informationen über Zertifizierungen, unabhängige Audits oder Bewertungen, die bei Unterauftragnehmern durchgeführt wurden, um ihre Sicherheitskontrollen, Qualitätsstandards oder Einhaltung der Rechtsvorschriften zu validieren.
|
|
—
|
Datum und Häufigkeit der vom kritischen IKT-Drittdienstleister vorgenommenen Audits der Unterauftragnehmer.
|
|