Art. 21 REG_2025_1355 – Cyberrisiko | Lawbster

(1)Ein SIPS-Betreiber legt einen umfassenden Rahmen zur Widerstandsfähigkeit gegenüber Cyberangriffen mit geeigneten Steuerungsmaßnahmen, die ihm ein wirksames und effizientes Cyberrisikomanagement ermöglichen, sowie eine Strategie für die Widerstandsfähigkeit gegenüber Cyberangriffen fest, die der Risikotoleranz und der Risikobereitschaft des SIPS-Betreibers Rechnung trägt.

(2)Der in Absatz 1 genannte Rahmen zur Widerstandsfähigkeit gegenüber Cyberangriffen stellt mindestens Folgendes sicher: a) die Festlegung und Klassifizierung von Schlüsselrollen, einschließlich der Rechenschaftspflicht für Entscheidungen innerhalb der Organisation, Prozesse, Geschäfte, Dienstleistungen und Informationswerte, die die kritischen Geschäfte und Dienstleistungen des SIPS unterstützen, um zu gewährleisten, dass geeignete Maßnahmen zu deren Schutz und rechtzeitiger Wiederherstellung im Falle eines Cyberangriffs getroffen werden; b) einen angemessenen Schutz des SIPS vor Cyberrisiken, unter anderem durch die Umsetzung wirksamer Sicherheitskontrollen und die Durchführung von Kontrolltätigkeiten in Bezug auf das Funktionieren und die Sicherheit der wichtigsten IKT-Systeme sowie die Verarbeitung oder Speicherung sensibler Informationen; c) die rechtzeitige und angemessene Erkennung von Cybervorfällen oder entsprechenden Anzeichen, unter anderem durch die Überwachung anormaler Aktivitäten; d) die zeitnahe und angemessene Reaktion auf Cybervorfälle oder andere unerwünschte Ereignisse sowie die zeitnahe und angemessene Wiederherstellung der Betriebsabläufe, damit das SIPS seinen kritischen Geschäftsbetrieb zügig und so wieder aufnehmen kann, dass ein Schaden für das SIPS begrenzt wird.

(3)Ein SIPS-Betreiber legt ein Testprogramm auf, um die operative Wirksamkeit aller in den Absätzen 1 und 2 genannten Prozesse, Verfahren und Kontrollen des Rahmens zur Widerstandsfähigkeit gegenüber Cyberangriffen regelmäßig zu überprüfen. Im Rahmen dieses Testprogramms führt der SIPS-Betreiber bedrohungsorientierte Penetrationstests (TLPT — Threat Led Penetration Testing) gemäß TIBER-EU durch, bei denen Techniken zur Simulation eines Angriffs auf die kritischen Funktionen und die zugrunde liegenden Systeme des SIPS gemäß dem TIBER-EU-Rahmenwerk zum Einsatz kommen. Wird eine Zweigstelle als SIPS-Betreiber eingestuft, kann die zuständige Behörde die Ergebnisse eines von der juristischen Person, von der die Zweigstelle einen rechtlich abhängigen Teil bildet, durchgeführten Penetrationstests berücksichtigen, wenn dieser Penetrationstest als mit einem TIBER-EU-Test vergleichbar angesehen werden kann und wenn dieser auch die Wirksamkeit der einschlägigen Kontrollen und Systeme der Zweigstelle erfasst.

(4)Ein SIPS-Betreiber stellt sicher, dass sein Rat und seine Geschäftsleitung und gegebenenfalls die Geschäftsleitung der Zweigstelle sowie die Mitarbeiter des SIPS-Betreibers über ein fundiertes Verständnis der Widerstandsfähigkeit gegenüber Cyberangriffen und eine solide Lageerfassung in Bezug auf das Cyberbedrohungsumfeld, in dem er tätig ist, verfügen, und sorgt diesbezüglich für einen wirksamen Bedrohungsanalyseprozess und Informationsaustausch innerhalb seiner Organisation sowie mit anderen verflochtenen Unternehmen im gesamten Finanzsystem.

(5)Ein SIPS-Betreiber verfügt über angemessene Systeme, Grundsätze, Verfahren und Kontrollen, die es ihm ermöglichen, die Wirksamkeit der Umsetzung seiner Strategie und seines Rahmens zur Widerstandsfähigkeit gegenüber Cyberangriffen zu bewerten und zu verstehen.

(6)Ein SIPS-Betreiber verfügt über Verfahren, die sicherstellen, dass zumindest größere Cybervorfälle, die sich negativ auf das SIPS auswirken, einschließlich solcher Vorfälle, die sich bei SIPS- Teilnehmern und Drittdienstleistern ereignen, a) dem Rat, der Geschäftsleitung und gegebenenfalls der Geschäftsleitung der Zweigstelle und b) der zuständigen Behörde gemeldet werden. Ein SIPS-Betreiber verfügt über Prozesse für kontinuierliches Lernen und die Verbesserung der Cybersicherheit. Diese Prozesse müssen beispielsweise sicherstellen, dass im Rahmen zur Widerstandsfähigkeit gegenüber Cyberangriffen Bedrohungsentwicklungen sowie Überprüfungen von Cybervorfällen mit gewonnenen Erfahrungen berücksichtigt werden.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 14.07.2025

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 21 REG_2025_1355 und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 21 REG_2025_1355 direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.