Common use of Sicherheitsanforderungen Clause in Contracts

Sicherheitsanforderungen. (1) Die Teilnehmer führen zum Schutz ihrer Systeme vor unberechtigtem Zugriff und unbefugter Nutzung angemessene Sicherheitskontrollen durch. Der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme obliegt der ausschließlichen Verantwortung der Teilnehmer. (2) Die Teilnehmer informieren unverzüglich die Bank über alle sicherheitsrelevanten Vorfälle in ihrer technischen Infrastruktur und, sofern dies angemessen erscheint, über sicherheitsrelevante Vorfälle in der technischen Infrastruktur von Drittanbietern. Die Bank kann weitere Informationen über den Vorfall anfordern und erforderlichenfalls verlangen, dass der Teilnehmer angemessene Maßnahmen ergreift, um solche Ereignisse zukünftig zu vermeiden. (3) Die Bank kann für alle Teilnehmer und/oder Teilnehmer, die von der Bank als systemkritisch angesehen werden, zusätzliche Sicherheitsanforderungen verlangen, insbesondere im Hinblick auf Cybersicherheit oder Betrugsbekämpfung. (4) Die Teilnehmer gewähren der Bank i) dauerhaften Zugang zu ihrer Bescheinigung über die Einhaltung der Endpunktsicherheitsanforderungen des von ihnen gewählten Netzwerkdienstleisters und ii) übermitteln der Bank jährlich die für die von ihnen unterhaltenen Arten von Konten erforderliche und auf der Website der Bank und der Website der EZB in englischer Sprache veröffentlichte TARGET-Selbstzertifizierungserklärung. (5) Die Bank beurteilt anhand der Selbstzertifizierungserklärung(en) des Teilnehmers den Grad der Einhaltung jeder der in den TARGET-Selbstzertifizierungsanforderungen festgelegten Anforderungen durch den Teilnehmer. Diese Anforderungen sind in Anlage VII aufgeführt. (6) Der Grad der Einhaltung der Anforderungen der TARGET-Selbstzertifizierung durch den Teilnehmer wird, geordnet nach zunehmendem Schweregrad der Nichteinhaltung, wie folgt eingestuft: „vollständige Einhaltung“, „geringfügige Nichteinhaltung“, „gravierende Nichteinhaltung“. Die folgenden Kriterien finden Anwendung: Vollständige Einhaltung ist erreicht, wenn ein Teilnehmer 100 % der Anforderungen erfüllt; eine geringfügige Nichteinhaltung liegt vor, wenn ein Teilnehmer weniger als 100 %, aber mindestens 66 % der Anforderungen erfüllt, und eine gravierende Nichteinhaltung liegt vor, wenn ein Teilnehmer weniger als 66 % der Anforderungen erfüllt. Weist ein Teilnehmer nach, dass eine bestimmte Anforderung auf ihn nicht anwendbar ist, so wird für die Zwecke der Einstufung davon ausgegangen, dass er die Anforderungen erfüllt. Ein Teilnehmer, der die „vollständige Einhaltung“ nicht erreicht, legt einen Maßnahmenplan vor, aus dem hervorgeht, wie er die vollständige Einhaltung zu erreichen beabsichtigt. Die Bank unterrichtet die betreffenden Aufsichtsbehörden über den Stand der Einhaltung durch den jeweiligen Teilnehmer. (7) Verweigert der Teilnehmer den dauerhaften Zugang zu seiner Bescheinigung über die Einhaltung der Endpunktsicherheitsanforderungen seines gewählten Netzwerkdienstleisters oder übermittelt er die TARGET-Selbstzertifizierung nicht, so wird der Grad der Einhaltung der Anforderungen durch den Teilnehmer als „gravierende Nichteinhaltung“ eingestuft. (8) Die Bank beurteilt jährlich erneut die Einhaltung der Anforderungen durch die Teilnehmer. (9) Die Bank kann gegenüber Teilnehmern, bei denen der Grad der Einhaltung der Anforderungen als geringfügige oder gravierende Nichteinhaltung eingestuft wurde, mit zunehmendem Schweregrad folgende Maßnahmen treffen: a) verstärkte Überwachung: Der Teilnehmer legt der Bank monatlich einen von einem leitenden Angestellten unterzeichneten Bericht über seine Fortschritte bei der Behebung der Nichteinhaltung vor. Darüber hinaus zahlt der Teilnehmer für jedes betroffene Konto ein monatliches Strafentgelt in Höhe von 1 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn bei der Beurteilung der Einhaltung der Anforderungen durch den Teilnehmer zweimal in Folge eine geringfügige Nichteinhaltung oder eine gravierende Nichteinhaltung festgestellt wird; b) Suspendierung: Die Teilnahme an TARGET-BBk kann bei Vorliegen der in Artikel 25 Absatz 2 Buchstaben b und c beschriebenen Umstände suspendiert werden. Abweichend von Artikel 25 erfolgt die Suspendierung der Teilnahme mit einer Ankündigungsfrist von drei Monaten. Der Teilnehmer zahlt für jedes suspendierte Konto ein monatliches Strafentgelt in Höhe von 2 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn bei der Beurteilung der Einhaltung der Anforderungen durch den Teilnehmer zweimal in Folge eine gravierende Nichteinhaltung festgestellt wird; c) Beendigung: Die Teilnahme an TARGET-BBk kann bei Vorliegen der in Artikel 25 Absatz 2 Buchstaben b und/oder c beschriebenen Umstände beendet werden. Abweichend von Artikel 25 erfolgt die Beendigung der Teilnahme mit einer Ankündigungsfrist von drei Monaten. Der Teilnehmer zahlt für jedes im Rahmen der Beendigung der Teilnahme geschlossene Konto ein zusätzliches Strafentgelt in Höhe von 1 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn der Teilnehmer die gravierende Nichteinhaltung nicht innerhalb von drei Monaten nach der Suspendierung zur Zufriedenheit der Bank behoben hat. (10) Teilnehmer, die Dritten Zugang zu ihrem TARGET-Konto gemäß Artikel 7 gewähren, und Teilnehmer, die erreichbare BIC-Inhaber gemäß Teil III Artikel 2 registriert haben, tragen dem mit diesem Zugang verbundenen Risiko im Einklang mit den in den Absätzen 1 bis 9 genannten Sicherheitsanforderungen Rechnung.

Sicherheitsanforderungen. (1) . Die Teilnehmer führen zum Schutz ihrer Systeme vor unberechtigtem Zugriff und unbefugter Nutzung angemessene Sicherheitskontrollen durch. Der angemessene Schutz der Vertraulichkeit, Integrität und Verfügbarkeit ihrer Systeme obliegt der ausschließlichen Verantwortung der Teilnehmer. (2) . Die Teilnehmer informieren unverzüglich die Bank über alle sicherheitsrelevanten Vorfälle in ihrer technischen Infrastruktur und, sofern dies angemessen erscheint, über sicherheitsrelevante Vorfälle in der technischen Infrastruktur von Drittanbietern. Die Bank kann weitere Informationen über den Vorfall anfordern und erforderlichenfalls verlangen, dass der Teilnehmer angemessene Maßnahmen ergreift, um solche Ereignisse zukünftig zu vermeiden. (3) . Die Bank kann für alle Teilnehmer und/oder Teilnehmer, die von der Bank als systemkritisch angesehen werden, zusätzliche Sicherheitsanforderungen verlangen. Die Bank kann für alle Teilnehmer und/oder Teilnehmer, die von der Bank als systemkritisch angesehen werden, zusätzliche Sicherheitsanforderungen verlangen, insbesondere im Hinblick auf Cybersicherheit oder Betrugsbekämpfung. (4) Die . Teilnehmer gewähren übermitteln der Bank i) dauerhaften Zugang zu ihrer ihre TARGET2-Selbstzertifizierung und die Bescheinigung über die ihre Einhaltung der Endpunktsicherheitsanforderungen des von ihnen gewählten Netzwerkdienstleisters und ii) übermitteln der Bank jährlich die für die von ihnen unterhaltenen Arten von Konten erforderliche und auf der Website der Bank und der Website der EZB in englischer Sprache veröffentlichte TARGETTARGET2-Selbstzertifizierungserklärung. (5) Die Bank beurteilt anhand der Selbstzertifizierungserklärung(en) des Teilnehmers den Grad der Einhaltung jeder der in den TARGET-Selbstzertifizierungsanforderungen festgelegten Anforderungen durch den TeilnehmerNetzwerkdienstleisters. Diese Anforderungen sind in Anlage VII aufgeführt. (6) Der Grad der Einhaltung der Anforderungen der TARGET-Selbstzertifizierung durch den Teilnehmer wird, geordnet nach zunehmendem Schweregrad der Nichteinhaltung, wie folgt eingestuft: „vollständige Einhaltung“, „geringfügige Nichteinhaltung“, „gravierende Nichteinhaltung“. Die folgenden Kriterien finden Anwendung: Vollständige Einhaltung ist erreicht, wenn ein Teilnehmer 100 % der Anforderungen erfüllt; eine geringfügige Nichteinhaltung liegt vor, wenn ein Teilnehmer weniger als 100 %, aber mindestens 66 % der Anforderungen erfüllt, und eine gravierende Nichteinhaltung liegt vor, wenn ein Teilnehmer weniger als 66 % der Anforderungen erfüllt. Weist ein Teilnehmer nach, dass eine bestimmte Anforderung auf ihn nicht anwendbar ist, so wird für die Zwecke der Einstufung davon ausgegangen, dass er die Anforderungen erfüllt. Ein Teilnehmer, der die „vollständige Einhaltung“ nicht erreicht, legt einen Maßnahmenplan vor, aus dem hervorgeht, wie er die vollständige Einhaltung zu erreichen beabsichtigt. Die Bank unterrichtet die betreffenden Aufsichtsbehörden über den Stand der Einhaltung durch den jeweiligen Teilnehmer. (7) Verweigert der Teilnehmer den dauerhaften Zugang zu seiner Bescheinigung über die Einhaltung der Endpunktsicherheitsanforderungen seines gewählten Netzwerkdienstleisters oder übermittelt er die TARGET-Selbstzertifizierung nicht, so wird der Grad der Einhaltung der Anforderungen durch den Teilnehmer als „gravierende Nichteinhaltung“ eingestuft. (8) Die Bank beurteilt jährlich erneut die Einhaltung der Anforderungen durch die Teilnehmer. (9) Die Bank kann gegenüber Teilnehmern, bei denen der Grad der Einhaltung der Anforderungen als geringfügige oder gravierende Nichteinhaltung eingestuft wurde, mit zunehmendem Schweregrad folgende Maßnahmen treffen: a) verstärkte Überwachung: Der Teilnehmer legt der Bank monatlich einen von einem leitenden Angestellten unterzeichneten Bericht über seine Fortschritte bei der Behebung der Nichteinhaltung vor. Darüber hinaus zahlt der Teilnehmer für jedes betroffene Konto ein monatliches Strafentgelt in Höhe von 1 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn bei der Beurteilung der Einhaltung der Anforderungen durch den Teilnehmer zweimal in Folge eine geringfügige Nichteinhaltung oder eine gravierende Nichteinhaltung festgestellt wird; b) Suspendierung: Die Teilnahme an TARGET-BBk kann bei Vorliegen der in Artikel 25 Absatz 2 Buchstaben b und c beschriebenen Umstände suspendiert werden. Abweichend von Artikel 25 erfolgt die Suspendierung der Teilnahme mit einer Ankündigungsfrist von drei Monaten. Der Teilnehmer zahlt für jedes suspendierte Konto ein monatliches Strafentgelt in Höhe von 2 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn bei der Beurteilung der Einhaltung der Anforderungen durch den Teilnehmer zweimal in Folge eine gravierende Nichteinhaltung festgestellt wird; c) Beendigung: Die Teilnahme an TARGET-BBk kann bei Vorliegen der in Artikel 25 Absatz 2 Buchstaben b und/oder c beschriebenen Umstände beendet werden. Abweichend von Artikel 25 erfolgt die Beendigung der Teilnahme mit einer Ankündigungsfrist von drei Monaten. Der Teilnehmer zahlt für jedes im Rahmen der Beendigung der Teilnahme geschlossene Konto ein zusätzliches Strafentgelt in Höhe von 1 000 EUR. Diese Abhilfemaßnahme kann auferlegt werden, wenn der Sofern Teilnehmer die gravierende Nichteinhaltung Endpunktsicherheitsanforderungen nicht innerhalb von drei Monaten nach der Suspendierung einhalten, übermitteln sie ein Dokument, in dem alternative Risikominderungsmaßnahmen zur Zufriedenheit der Bank behoben hatbeschrieben sind. (10) 5. Teilnehmer, die Dritten Zugang zu ihrem TARGETPM-Konto gemäß Artikel 7 5 Absätze 2, 3 und 4 gewähren, und Teilnehmer, die erreichbare BIC-Inhaber gemäß Teil III Artikel 2 registriert haben, tragen dem mit diesem Zugang der Erlaubnis eines solchen Zugangs verbundenen Risiko im Einklang mit den in den Absätzen 1 bis 9 4 genannten Sicherheitsanforderungen Rechnung. In der in Absatz 4 genannten Selbstzertifizierung ist festgelegt, dass der Teilnehmer Dritte, die Zugang zu seinem PM-Konto haben, zur Einhaltung der Endpunktsicherheitsanforderungen des TARGET2- Netzwerkdienstleisters verpflichtet. TITEL VII DAS INFORMATIONS- UND KONTROLLMODUL (ICM)