(1) Die Mitgliedstaaten stellen sicher, dass Zahlungsdienstleister einen Rahmen angemessener Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihnen erbrachten Zahlungsdiensten schaffen. Als Teil dieses Rahmens müssen die Zahlungsdienstleister wirksame Verfahren für das Management von Vorfällen - auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle - festlegen und anwenden.
Unterabsatz 1 gilt unbeschadet der Anwendung von Kapitel II der Verordnung (EU) 2022/2554 auf
d) |
E-Geld-Institute, für die eine Ausnahme gemäß Artikel 9 Absatz 1 der Richtlinie 2009/110/EG gilt; |
(1) Die Mitgliedstaaten stellen sicher, dass Zahlungsdienstleister einen Rahmen angemessener Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihnen erbrachten Zahlungsdiensten schaffen. Als Teil dieses Rahmens müssen die Zahlungsdienstleister wirksame Verfahren für das Management von Vorfällen – auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle – festlegen und anwenden.
(2) Die Mitgliedstaaten stellen sicher, dass Zahlungsdienstleister der zuständigen Behörde jährlich oder in den von den zuständigen Behörde festgelegten kürzeren Abständen eine aktualisierte und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihnen erbrachten Zahlungsdiensten und der Angemessenheit der zur Beherrschung dieser Risiken ergriffenen Risikominderungsmaßnahmen und Kontrollmechanismen übermitteln.
(3) Die EBA gibt bis zum 13. Juli 2017 in enger Zusammenarbeit mit der EZB und nach Anhörung aller maßgeblichen Akteure, einschließlich der des Zahlungsverkehrsmarktes, unter Berücksichtigung der Interessen aller Beteiligten Leitlinien gemäß Artikel 16 der Verordnung (EU) Nr. 1093/2010 für die Festlegung, Anwendung und Überwachung der Sicherheitsmaßnahmen, gegebenenfalls unter Einbeziehung von Zertifizierungsverfahren, heraus.
Die EBA überprüft die in Unterabsatz 1 genannten Leitlinien in enger Zusammenarbeit mit der EZB regelmäßig, mindestens aber alle zwei Jahre.
(4) Unter Berücksichtigung der bei der Anwendung der Leitlinien nach Absatz 3 gewonnenen Erfahrung erstellt die EBA, wenn von der Kommission darum ersucht, einen Entwurf von technischen Regulierungsstandards zu den Kriterien und den Bedingungen für die Festlegung und Überwachung von Sicherheitsmaßnahmen.
Der Kommission wird die Befugnis übertragen, die technischen Regulierungsstandards nach Unterabsatz 1 gemäß den Artikeln 10 bis 14 der Verordnung (EU) Nr. 1093/2010 zu erlassen.
(5) Die EBA fördert die Zusammenarbeit, einschließlich des Austauschs von Informationen, zwischen den zuständigen Behörden untereinander sowie zwischen den zuständigen Behörden und der EZB und gegebenenfalls der Agentur der Europäischen Union für Netz- und Informationssicherheit im Bereich der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit Zahlungsdiensten.