Aktualisiert 11/05/2025
In Kraft

Ursprungsrechtsakt
Änderungen
Suche im Rechtsakt
MiCAR ToolDelegierte Verordnung 2025/305
Artikel 9

Artikel 9 - Delegierte Verordnung 2025/305

Artikel 9

IKT-Systeme und damit verbundene Sicherheitsvorkehrungen

Für die Zwecke von Artikel 62 Absatz 2 Buchstabe j der Verordnung (EU) 2023/1114 übermitteln Antragsteller der zuständigen Behörde folgende Informationen:

a)

technische Dokumentation der IKT-Systeme, der DLT-Infrastruktur, auf die gegebenenfalls zurückgegriffen wird, und der Sicherheitsvorkehrungen, einschließlich einer Beschreibung der Vorkehrungen und der eingesetzten IKT-Ressourcen und des eingesetzten Personals, die zur Einhaltung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (9) getroffen wurden, wie nachfolgend erläutert:

i)

eine Beschreibung, wie der Antragsteller als Teil seines Gesamtrisikomanagementsystems einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen sicherstellt, einschließlich einer ausführlichen Beschreibung der IKT-Systeme, -Protokolle und -Instrumente und der Art und Weise, wie die Verfahren, Strategien und Systeme des Antragstellers zum Schutz der Sicherheit, Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten den Vorschriften der Verordnungen (EU) 2022/2554 und (EU) 2016/679 entsprechen;

ii)

eine Aufstellung der IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und vom Antragsteller entwickelt oder gewartet werden, und der IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und von Drittdienstleistern erbracht werden, eine Beschreibung der entsprechenden vertraglichen Vereinbarungen (Identität und geografischer Standort der Dienstleister, Beschreibung der ausgelagerten Tätigkeiten oder IKT-Dienstleistungen mit ihren wichtigsten Merkmalen, Kopie der vertraglichen Vereinbarungen) und wie diese Vereinbarungen Artikel 73 der Verordnung (EU) 2023/1114 und Kapitel V der Verordnung (EU) 2022/2554 entsprechen;

iii)

eine Beschreibung der Verfahren, Strategien, Vorkehrungen und Systeme des Antragstellers für die Sicherheit und das Management von Sicherheitsvorfällen;

b)

falls verfügbar, eine Beschreibung einer Cybersicherheitsprüfung, die von einem externen Cybersicherheitsprüfer mit ausreichender Erfahrung gemäß der Delegierten Verordnung der Kommission zur Festlegung technischer Standards nach Artikel 26 Absatz 11 Unterabsatz 4 der Verordnung (EU) 2022/2554 durchgeführt wurde und idealerweise die folgenden Prüfungen oder Tests abdeckt:

i)

Vorkehrungen für die organisatorische Cybersicherheit, die physische Sicherheit und den Lebenszyklus einer sicheren Softwareentwicklung;

ii)

Bewertungen und Scans von Schwachstellen sowie Bewertungen der Netzwerksicherheit;

iii)

Konfigurationsüberprüfungen von IKT-Assets, die kritische und wichtige Funktionen im Sinne des Artikels 3 Nummer 22 der Verordnung (EU) 2022/2554 unterstützen;

iv)

Penetrationstests im Sinne von Artikel 3 Nummer 17 der Verordnung (EU) 2022/2554 für IKT-Assets, die kritische und wichtige Funktionen unterstützen, und zwar in Übereinstimmung mit allen folgenden Prüftestansätzen:

(1)

Black-Box: Dem Prüfer liegen keine anderen Informationen als die IP-Adressen und URL vor, die mit dem Prüfobjekt in Verbindung stehen. Dieser Phase geht in der Regel die Ermittlung von Informationen und die Identifizierung des Zielobjekts voraus, indem DNS-Dienste (Domain Name System) abgefragt werden, nach offenen Ports gesucht wird, Filtersysteme ausfindig gemacht werden usw.;

(2)

Grey-Box-Phase: Die Prüfer verfügen über die Kenntnisse eines Standardbenutzers des Informationssystems (rechtmäßige Authentifizierung, „Standard“-Arbeitsplatz usw.). Die Kennungen können zu verschiedenen Benutzerprofilen gehören, damit unterschiedliche Berechtigungsstufen getestet werden können;

(3)

White-Box-Phase: Die Prüfer verfügen vor Beginn der Analyse über so viele technische Informationen wie möglich (Architektur, Quellcode, Telefonkontakte, Kennungen usw.) und haben zudem Zugang zu technischen Kontakten, die mit dem Zielobjekt in Verbindung stehen;

v)

wenn der Antragsteller intelligente Verträge verwendet und/oder entwickelt, eine Überprüfung des Quellcodes dieser Verträge auf Cybersicherheit;

c)

eine Beschreibung der durchgeführten Prüfungen der IKT-Systeme, sofern vorhanden, einschließlich genutzter DLT-Infrastruktur und Sicherheitsvorkehrungen;

d)

eine nicht fachsprachliche Beschreibung der unter den Buchstaben a und b genannten einschlägigen Informationen.

(9)  Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).