a)

Informationen über die Vereinbarungen, einschließlich entsprechender Vertragsunterlagen in Kopie, zwischen:

b)

Informationen über die Organisations- und Gruppenstruktur des kritischen IKT-Drittdienstleisters, einschließlich Angaben zu allen Unternehmen derselben Gruppe, die direkt oder indirekt IKT-Dienstleistungen für Finanzunternehmen in der Union erbringen,

c)

Informationen über die Großaktionäre, einschließlich ihrer Struktur und geografischen Verteilung, die den folgenden Kategorien angehören:

d)

Informationen über den Marktanteil des kritischen IKT-Drittdienstleisters für jede Art von Diensten auf den relevanten Märkten, auf denen er tätig ist,

e)

Informationen über die internen Governance-Regelungen des kritischen IKT-Drittdienstleisters, einschließlich der Organisationsstruktur mit den Zuständigkeits- und Rechenschaftspflichten,

f)

die Sitzungsprotokolle des Leitungsorgans des kritischen IKT-Drittdienstleisters und aller anderen relevanten internen Ausschüsse, die in irgendeiner Weise mit Tätigkeiten und Risiken bezüglich IKT-Drittdienstleistungen, die Funktionen von Finanzunternehmen in der Union unterstützen, in Zusammenhang stehen,

g)

Informationen über die IKT-Sicherheit des kritischen IKT-Drittdienstleisters, insbesondere über relevante Strategien, Ziele, Leit- und Richtlinien, Verfahren, Protokolle, Prozesse, Kontrollmaßnahmen zum Schutz sensibler Daten, Zugangskontrollen, Verschlüsselungsverfahren und Pläne für Reaktionsmaßnahmen bei Vorfällen sowie Informationen über die Einhaltung aller einschlägigen Vorschriften und gegebenenfalls nationalen und internationalen Standards,

h)

Informationen über technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes und der Vertraulichkeit von Daten, sowohl bei personenbezogenen als auch nicht personenbezogenen Daten, umgesetzte Kontrollmaßnahmen zum Schutz sensibler Daten, Zugangskontrollen, Verschlüsselungsverfahren, Plan für Reaktionsmaßnahmen bei Datenschutzverletzungen, wenn die Verarbeitung personenbezogener Daten durch den IKT-Drittdienstleister den Rechtsvorschriften von Drittländern unterliegt, auch bei Zugriffsanfragen von Regierungen aus Drittländern, eine Liste der entsprechenden Länder und der geltenden Rechtsvorschriften,

i)

Informationen über die Mechanismen für Datenübertragbarkeit, Übertragbarkeit von Anwendungen und Interoperabilität, die der kritische IKT-Drittdienstleister den Finanzunternehmen der Union anbietet,

j)

Informationen über den Standort der Rechenzentren und IKT-Produktionszentren, die für die Erbringung von Dienstleistungen für Finanzunternehmen genutzt werden, einschließlich einer Liste aller relevanten Räumlichkeiten und Einrichtungen des kritischen IKT-Drittdienstleisters, auch außerhalb der Union,

k)

Informationen über die Erbringung von Dienstleistungen durch den kritischen IKT-Drittdienstleister aus Drittländern, einschließlich Informationen über einschlägige Rechtsvorschriften, die für die vom IKT-Drittdienstleister verarbeiteten personenbezogenen und nicht personenbezogenen Daten gelten,

l)

Informationen über Maßnahmen, die zur Bewältigung von Risiken im Zusammenhang mit der Erbringung von IKT-Dienstleistungen aus Drittländern durch den kritischen IKT-Drittdienstleister und seine Unterauftragnehmer ergriffen wurden,

m)

Informationen über den Risikomanagementrahmen und den Rahmen für die Behandlung von Vorfällen, insbesondere über die Leit- und Richtlinien, Verfahren, Instrumente, Mechanismen und Governance-Regelungen des kritischen IKT-Drittdienstleisters und seiner Unterauftragnehmer, einschließlich der Auflistung und Beschreibung schwerwiegender Vorfälle mit direkten oder indirekten Auswirkungen auf Finanzunternehmen in der Union, die relevante Einzelheiten enthält, anhand derer die Bedeutung des Vorfalls für Finanzunternehmen bestimmt und potenzielle grenzüberschreitende Auswirkungen bewertet werden können,

n)

Informationen über den Rahmen für das Änderungsmanagement, insbesondere über Leit- und Richtlinien, Verfahren und Kontrollen des kritischen IKT-Drittdienstleisters und seiner Unterauftragnehmer,

o)

Informationen über den allgemeinen Reaktions- und Wiederherstellungsrahmen des kritischen IKT-Drittdienstleisters, insbesondere über Geschäftsfortführungspläne und damit zusammenhängende Vereinbarungen und Verfahren, die Lebenszyklusstrategie für die Softwareentwicklung, Reaktions- und Wiederherstellungspläne und damit zusammenhängende Vereinbarungen und Verfahren, sowie Vereinbarungen und Verfahren zum Backup,

p)

Informationen über die Leistungsüberwachung, die Sicherheitsüberwachung und die Verfolgung von Sicherheitsvorfällen, über Meldemechanismen in Bezug auf die Leistungsfähigkeit der Dienste und die Sicherheitsvorfälle sowie über die Einhaltung der Dienstgütevereinbarungen und vereinbarter Dienstgüteziele oder vergleichbarer Vereinbarungen zwischen kritischen IKT-Drittdienstleistern und Finanzunternehmen in der Union,

q)

Informationen über den Rahmen für das IKT-Drittparteienmanagement des kritischen IKT-Drittdienstleisters, insbesondere über Strategien, Leit- und Richtlinien, Verfahren, Prozesse und Kontrollen, mit detaillierten Angaben zur Sorgfalts- und Risikobewertung aller relevanten IKT- und Gegenparteirisiken, die der kritische IKT-Drittdienstleister gegenüber seinen Unterauftragnehmern vor Abschluss einer Vereinbarung und zur Überwachung der Geschäftsbeziehung durchführt,

r)

Auszüge aus den Überwachungs- und Scansystemen des kritischen IKT-Drittdienstleisters und seiner Unterauftragnehmer, die unter anderem die Netzwerk-, Server-, Anwendungs- und Sicherheitsüberwachung, die Schwachstellensuche, die Protokollverwaltung, die Leistungsüberwachung, die Behandlung von Sicherheitsvorfällen sowie Messungen anhand von Zuverlässigkeitszielen, wie etwa den Dienstgütezielen, umfassen,

s)

Auszüge aus Produktions-, Vorproduktions- und Testsystemen oder -anwendungen, die vom kritischen IKT-Drittdienstleister und seinen Unterauftragnehmern genutzt werden, um direkt oder indirekt Dienstleistungen für Finanzunternehmen in der Union zu erbringen,

t)

Konformitätsberichte und verfügbare Prüfungsberichte sowie alle relevanten Feststellungen aus der Überprüfung, auch im Rahmen von Audits, die von nationalen Behörden in der Union und außerhalb der Union durchgeführt werden, wenn Vereinbarungen über die Zusammenarbeit mit den zuständigen Behörden einen solchen Informationsaustausch vorsehen, oder Zertifizierungen, die der kritische IKT-Drittdienstleister oder seine Unterauftragnehmer erlangt haben, einschließlich Berichten interner und externer Revisoren, Zertifizierungen oder Konformitätsbewertungen nach branchenspezifischen Standards; dies umfasst Informationen über alle Arten verfügbarer unabhängiger Tests zur Prüfung der Resilienz der IKT-Systeme des kritischen IKT-Drittdienstleisters, einschließlich aller Arten bedrohungsorientierter Penetrationstests, die vom IKT-Drittdienstleister durchgeführt werden,

u)

Informationen über alle Bewertungen, die vom kritischen IKT-Drittdienstleister oder in seinem Auftrag durchgeführt werden, um die Eignung und Integrität von Personen, die Schlüsselpositionen innerhalb des kritischen IKT-Drittdienstleisters innehaben, zu beurteilen,

v)

Informationen über etwaige Pläne mit Abhilfemaßnahmen zur Umsetzung der Empfehlungen gemäß Artikel 3 und einschlägige Informationen, die die Umsetzung der Abhilfemaßnahmen belegen,

w)

Informationen über für Mitarbeiter angebotene Schulungen und Programme zur Sensibilisierung für IKT-Sicherheit, gegebenenfalls einschließlich Informationen über Investitionen, Ressourcen und Methoden des kritischen IKT-Drittdienstleisters für die Schulung seines Personals im Hinblick auf den Umgang mit sensiblen Finanzdaten und die Wahrung eines hohen Maßes an Sicherheit,

x)

Informationen über die Geschäftstätigkeiten des kritischen IKT-Drittdienstleisters und Abschlüsse, einschließlich Informationen über die für IKT und Sicherheit vorgesehenen Budgetmittel und Ressourcen.