[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"norm-eurlex-dora-art-27-de":3},{"law":4,"norm_id":14,"norm_key":15,"slug":16,"title":17,"chapter":18,"content":19,"enriched_content":20,"hierarchy":21,"neighbors_before":22,"neighbors_after":35,"citing_decisions":48,"is_thin":49},{"abbreviation":5,"title":6,"source_type":7,"jurisdiction":8,"document_kind":9,"language":10,"attribution":11,"version_date":12,"source_url":13},"dora","über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060\u002F2009, (EU) Nr. 648\u002F2012, (EU) Nr. 600\u002F2014, (EU) Nr. 909\u002F2014 und (EU) 2016\u002F1011","eurlex","eu","regulation","de","© Europäische Union, https:\u002F\u002Feur-lex.europa.eu","2024-10-15","https:\u002F\u002Feur-lex.europa.eu\u002Flegal-content\u002FDE\u002FALL\u002F?uri=CELEX:32022R2554",13371129,"Art. 27","art-27","Anforderungen an Tester bezüglich der Durchführung von TLPT","KAPITEL IV Testen der digitalen operationalen Resilienz","(1) Finanzunternehmen ziehen für TLPT nur Tester heran, die a) von höchster Eignung und Ansehen sind; b) über technische und organisatorische Fähigkeiten verfügen und spezifisches Fachwissen in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen; c) von einer Akkreditierungsstelle in einem Mitgliedstaat zertifiziert wurden oder formale Verhaltenskodizes oder ethische Rahmenregelungen einhalten; d) eine unabhängige Gewähr oder einen Auditbericht in Bezug auf das zuverlässige Management von Risiken vorlegen, die mit der Durchführung von TLPT verbunden sind, darunter auch der angemessene Schutz vertraulicher Informationen des Finanzunternehmens und ein Ausgleich der geschäftlichen Risiken des Finanzunternehmens; e) ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit.\n(2) Beim Einsatz interner Tester gewährleisten Finanzunternehmen, dass neben den Anforderungen in Absatz 1 auch folgende Bedingungen erfüllt sind: a) der Einsatz wurde von der jeweils zuständigen Behörde oder von der gemäß Artikel 26 Absätze 9 und 10 benannten einzigen staatlichen Behörde genehmigt; b) die jeweils zuständige Behörde hat überprüft, dass das Finanzunternehmen über ausreichende Ressourcen verfügt und sichergestellt hat, dass während der Konzeptions- und Durchführungsphase der Tests keine Interessenkonflikte entstehen; und c) der Anbieter von Bedrohungsanalysen gehört nicht dem Finanzunternehmen an.\n(3) Finanzunternehmen stellen sicher, dass in Verträgen, die mit externen Testern geschlossen werden, eine ordentliche Handhabung der Ergebnisse von TLPT vorgesehen ist und die diesbezügliche Datenverarbeitung, einschließlich Generierung, Speicherung, Aggregation, Entwurf, Berichterstattung, Weitergabe oder Vernichtung, keine Risiken für das Finanzunternehmen mit sich bringt.","DORA - KAPITEL IV Testen der digitalen operationalen Resilienz - Art. 27 Anforderungen an Tester bezüglich der Durchführung von TLPT\n\n(1) Finanzunternehmen ziehen für TLPT nur Tester heran, die a) von höchster Eignung und Ansehen sind; b) über technische und organisatorische Fähigkeiten verfügen und spezifisches Fachwissen in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen; c) von einer Akkreditierungsstelle in einem Mitgliedstaat zertifiziert wurden oder formale Verhaltenskodizes oder ethische Rahmenregelungen einhalten; d) eine unabhängige Gewähr oder einen Auditbericht in Bezug auf das zuverlässige Management von Risiken vorlegen, die mit der Durchführung von TLPT verbunden sind, darunter auch der angemessene Schutz vertraulicher Informationen des Finanzunternehmens und ein Ausgleich der geschäftlichen Risiken des Finanzunternehmens; e) ordnungsgemäß und vollständig durch einschlägige Berufshaftpflichtversicherungen abgesichert sind, einschließlich einer Versicherung gegen das Risiko von Fehlverhalten und Fahrlässigkeit.\n(2) Beim Einsatz interner Tester gewährleisten Finanzunternehmen, dass neben den Anforderungen in Absatz 1 auch folgende Bedingungen erfüllt sind: a) der Einsatz wurde von der jeweils zuständigen Behörde oder von der gemäß Artikel 26 Absätze 9 und 10 benannten einzigen staatlichen Behörde genehmigt; b) die jeweils zuständige Behörde hat überprüft, dass das Finanzunternehmen über ausreichende Ressourcen verfügt und sichergestellt hat, dass während der Konzeptions- und Durchführungsphase der Tests keine Interessenkonflikte entstehen; und c) der Anbieter von Bedrohungsanalysen gehört nicht dem Finanzunternehmen an.\n(3) Finanzunternehmen stellen sicher, dass in Verträgen, die mit externen Testern geschlossen werden, eine ordentliche Handhabung der Ergebnisse von TLPT vorgesehen ist und die diesbezügliche Datenverarbeitung, einschließlich Generierung, Speicherung, Aggregation, Entwurf, Berichterstattung, Weitergabe oder Vernichtung, keine Risiken für das Finanzunternehmen mit sich bringt.",{"kapitel":18},[23,27,31],{"norm_key":24,"title":25,"slug":26},"Art. 26","Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT","art-26",{"norm_key":28,"title":29,"slug":30},"Art. 25","Testen von IKT-Tools und -Systemen","art-25",{"norm_key":32,"title":33,"slug":34},"Art. 24","Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz","art-24",[36,40,44],{"norm_key":37,"title":38,"slug":39},"Art. 28","Allgemeine Prinzipien","art-28",{"norm_key":41,"title":42,"slug":43},"Art. 29","Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene","art-29",{"norm_key":45,"title":46,"slug":47},"Art. 30","Wesentliche Vertragsbestimmungen","art-30",[],false]