Artikel 4
Von den Finanzunternehmen zu treffende organisatorische Vorkehrungen
(1) Die Finanzunternehmen benennen ein Kontrollteam, das für die laufende Umsetzung des TLPT sowie die Entscheidungen und Maßnahmen des Kontrollteams zuständig ist.
(2) Finanzunternehmen legen organisatorische und verfahrenstechnische Maßnahmen fest, um sicherzustellen, dass
|
a) |
der Zugang zu Informationen über geplante oder laufende TLPT dem Kontrollteam, dem Leitungsorgan, den Testern, dem Anbieter von Bedrohungsanalysen und der TLPT-Behörde nur in dem Maße gewährt wird, in dem die Kenntnis der Informationen notwendig ist, |
|
b) |
das Kontrollteam die Testmanager konsultiert, bevor es ein Mitglied des Blue Teams in einen TLPT einbindet, |
|
c) |
das Kontrollteam informiert wird, wenn ein Mitarbeiter des Finanzunternehmens oder seiner Drittdienstleister den TLPT aufdeckt, im Falle einer Eskalation der sich daraus ergebenden Reaktion auf Vorfälle das Kontrollteam erforderlichenfalls eine solche Eskalation eindämmt, |
|
d) |
Vereinbarungen über die Geheimhaltung des TLPT bestehen, die für die Mitarbeiter des Finanzunternehmens, die Mitarbeiter der betreffenden IKT-Drittdienstleister, Tester und den Anbieter von Bedrohungsanalysen gelten, |
|
e) |
das Kontrollteam den Testmanagern auf Anfrage alle Informationen über den TLPT zur Verfügung stellt, |
|
f) |
sich die am TLPT beteiligten Parteien nach Möglichkeit nur mit Codenamen darauf beziehen. |