Aktualisiert 14/03/2025
In Kraft

Ursprungsrechtsakt
Änderungen
Suche im Rechtsakt
MiCAR ToolDelegierte Verordnung 2025/303
Artikel 4

Artikel 4 - Delegierte Verordnung 2025/303

Artikel 4

IKT-Systeme und damit verbundene Sicherheitsvorkehrungen

Für die Zwecke von Artikel 60 Absatz 7 Buchstabe c der Verordnung (EU) 2023/1114 übermittelt der mitteilende Rechtsträger der zuständigen Behörde folgende Informationen:

a)

technische Dokumentation der IKT-Systeme, der DLT-Infrastruktur, auf die gegebenenfalls zurückgegriffen wird, und der Sicherheitsvorkehrungen, einschließlich einer Beschreibung der Vorkehrungen und der eingesetzten IKT-Ressourcen und des eingesetzten Personals, die zur Einhaltung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (8) getroffen wurden, einschließlich folgender Angaben:

i)

einer Beschreibung, wie der mitteilende Rechtsträger als Teil seines Gesamtrisikomanagementsystems einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen sicherstellt, einschließlich einer ausführlichen Beschreibung der IKT-Systeme, -Protokolle und -Instrumente und der Art und Weise, wie die Verfahren, Strategien und Systeme des mitteilenden Rechtsträgers zum Schutz der Sicherheit, Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten den Vorschriften der Verordnungen (EU) 2022/2554 und (EU) 2016/679 entsprechen;

ii)

einer Aufstellung der IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und von dem mitteilenden Rechtsträger entwickelt oder gewartet werden, sowie derer, die von Drittdienstleistern erbracht werden, und einer Beschreibung dieser vertraglichen Vereinbarungen und deren Umsetzung gemäß Artikel 73 der Verordnung (EU) 2023/1114 und Kapitel V der Verordnung (EU) 2022/2554;

iii)

einer Beschreibung der Verfahren, Strategien, Vorkehrungen und Systeme des mitteilenden Rechtsträgers für die Sicherheit und das Management von Sicherheitsvorfällen;

b)

falls verfügbar, eine Beschreibung einer Cybersicherheitsprüfung, die von einem externen Cybersicherheitsprüfer mit ausreichender Erfahrung gemäß der Delegierten Verordnung der Kommission zur Festlegung technischer Standards nach Artikel 26 Absatz 11 Unterabsatz 4 der Verordnung (EU) 2022/2554 durchgeführt wurde und idealerweise die folgenden Prüfungen oder Tests durch externe unabhängige Parteien abdeckt:

i)

Vorkehrungen für die organisatorische Cybersicherheit, die physische Sicherheit und den Lebenszyklus einer sicheren Softwareentwicklung;

ii)

Bewertungen von Schwachstellen sowie Bewertungen der Netzwerksicherheit;

iii)

Konfigurationsüberprüfungen von IKT-Assets, die kritische und wichtige Funktionen im Sinne des Artikels 3 Nummer 22 der Verordnung (EU) 2022/2554 unterstützen;

iv)

Penetrationstests im Sinne von Artikel 3 Nummer 17 der Verordnung (EU) 2022/2554 für IKT-Assets, die kritische und wichtige Funktionen unterstützen, und zwar in Übereinstimmung mit allen folgenden Prüftestansätzen:

(1)

Black-Box: Dem Prüfer liegen keine anderen Informationen als die IP-Adressen und URL vor, die mit dem Prüfobjekt in Verbindung stehen. Dieser Phase geht in der Regel die Ermittlung von Informationen und die Identifizierung des Zielobjekts voraus, indem DNS-Dienste (Domain Name System) abgefragt werden, nach offenen Ports gesucht wird, Filtersysteme ausfindig gemacht werden;

(2)

Grey-Box-Phase: Die Prüfer verfügen über die Kenntnisse eines Standardbenutzers des Informationssystems (rechtmäßige Authentifizierung, „Standard“-Arbeitsplatz). Die Kennungen können zu verschiedenen Benutzerprofilen gehören, damit unterschiedliche Berechtigungsstufen getestet werden können;

(3)

White-Box-Phase: Die Prüfer verfügen vor Beginn der Analyse über so viele technische Informationen wie möglich (Architektur, Quellcode, Telefonkontakte, Kennungen usw.) und haben zudem Zugang zu technischen Kontakten, die mit dem Zielobjekt in Verbindung stehen;

v)

wenn der mitteilende Rechtsträger intelligente Verträge verwendet und/oder entwickelt, eine Überprüfung des Quellcodes auf die Cybersicherheit dieser Verträge;

c)

eine Beschreibung der durchgeführten Prüfungen der IKT-Systeme, sofern vorhanden, einschließlich genutzter DLT-Infrastruktur und Sicherheitsvorkehrungen;

d)

eine nicht fachsprachliche Beschreibung der unter den Buchstaben a und b genannten einschlägigen Informationen.

(8)  Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).