Artikel 31
IKT-Risikomanagement
(1)
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen nehmen in ihren vereinfachten IKT-Risikomanagementrahmen alles Folgende auf:
a)
eine Bestimmung der Risikotoleranzschwellen für das IKT-Risiko im Einklang mit der Risikobereitschaft des Finanzunternehmens;
b)
die Ermittlung und Bewertung der IKT-Risiken, denen das Finanzunternehmen ausgesetzt ist;
c)
die Festlegung von Abmilderungsstrategien zumindest für die IKT-Risiken, die jenseits der Risikotoleranzschwellen des Finanzunternehmens liegen;
d)
die Überwachung der Wirksamkeit der unter Buchstabe c genannten Abmilderungsstrategien;
e)
die Ermittlung und Bewertung etwaiger IKT- und Informationssicherheitsrisiken, die sich aus größeren Veränderungen des IKT-Systems oder der IKT-Dienstleistungen, -Prozesse oder -Verfahren sowie aus den Testergebnissen in Bezug auf die IKT-Sicherheit und nach schwerwiegenden IKT-bezogenen Vorfällen ergeben.
(2)
Die in Absatz 1 genannten Finanzunternehmen führen die IKT-Risikobewertung dem IKT-Risikoprofil der Finanzunternehmen entsprechend regelmäßig durch und dokumentieren sie.
(3)
Die in Absatz 1 genannten Finanzunternehmen überwachen fortlaufend Bedrohungen und Schwachstellen, die für ihre kritischen oder wichtigen Funktionen sowie für Informations- und IKT-Assets relevant sind und überprüfen regelmäßig die Risikoszenarien, die sich auf diese kritischen oder wichtigen Funktionen auswirken.
(4)
Die in Absatz 1 genannten Finanzunternehmen legen Alarmschwellen und -kriterien für die Auslösung und Einleitung von Reaktionsprozessen bei IKT-bezogenen Vorfällen fest.